Codeby

📜Четыре панели. Ни одного слова. Это одна атака. Как она называется? Делитесь своими догадками в комментариях!💫 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Друзья, напоминаем, на каких курсах начинается обучение в июне🚗 Старт 1 июня: ⏺️Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование. ⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь. Старт 8 июня: ⏺️Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин ⏺️Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение. Старт 15 июня: ⏺️Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования. ⏺️Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО. ➡️Запишитесь у нашего менеджера @CodebyAcademyBot 🚀или узнайте подробности на сайте!

🧠 Cisco Model Provenance Kit: “ДНК-анализ” для AI-моделей

Недавно команда AI Defense из Cisco представила Model Provenance Kit — open-source инструмент для анализа происхождения ML-моделей. Проект помогает ответить на важный вопрос: действительно ли модель была обучена “с нуля”, или она является производной от другой модели?

❓ Что такое Model Provenance Model provenance — это установление происхождения модели на уровне ее обученных весов. Проще говоря, инструмент позволяет определить: ⏺️ была ли модель fine-tuned версией другой модели ⏺️ использовался ли distillation ⏺️ является ли checkpoint переименованной копией ⏺️ происходят ли две модели из общего базового источника Cisco сравнивает этот процесс с ДНК-анализом моделей. 🎇 Как работает инструмент Model Provenance Kit использует двухэтапный анализ. 1️⃣ Быстрая архитектурная проверка На первом этапе анализируются: ▶️ конфигурация модели ▶️ структура слоев ▶️ tokenizer ▶️ metadata Если архитектура явно совпадает — система может сделать вывод без загрузки весов. 2️⃣ Анализ весов модели Если метаданных недостаточно, запускается глубокий анализ весов: ▶️ embedding geometry; ▶️ normalization layers; ▶️ energy profiles; ▶️ прямое сравнение параметров; ▶️ корреляционные сигналы. На основе этих признаков рассчитывается итоговый similarity score. ⬇️ Установка

git clone https://github.com/cisco-ai-defense/model-provenance-kit.git
cd model-provenance-kit
uv sync

Для работы достаточно CPU — GPU не требуется. Cisco отмечает, что архитектурные проверки выполняются за миллисекунды, а извлеченные признаки кешируются для повторного использования. 🎯 Пример использования 🧿 Сканирование модели по базе известных fingerprints

provenancekit scan bigscience/bloom-560m

Инструмент: ⏺️извлекает fingerprint модели; ⏺️запускает 3-stage lookup; ⏺️возвращает наиболее вероятные совпадения. 🪧 Сравнение двух моделей

provenancekit compare gpt2 distilgpt2

Результат включает: ➡️ metadata score; ➡️ tokenizer similarity; ➡️ weight-level similarity; ➡️ итоговый pipeline score. #ai #llm #mlsecurity #cisco #supplychain #opensource 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Sigma Rule Converter 🎇 Sigma Rule Converter — это инструмент для преобразования универсальных правил детекции Sigma (в формате YAML) в синтаксис конкретных SIEM-систем или платформ мониторинга, таких как Splunk, Elastic, QRadar ☁️ Он позволяет писать правило один раз в стандартизированном виде Sigma, а затем конвертировать его под нужную среду — от простых запросов до сложных корреляций логов, экономя время SOC L3. Ключевые возможности: ➡️ Поддержка форматов: Более 50 бэкендов — Splunk SPL, Elasticsearch DSL/QQL, QRadar AQL, ArcSight EPL, KQL (для KUMA, Defender), Sysmon, Timesketch и даже JSON/CSV для ручной доработки. ➡️ Валидация и обработка: Проверяет синтаксис правила, обрабатывает множественные документы YAML (rule collections), AND/OR-логику через списки/словари, модификаторы (all, base64offset) и исключения. ➡️ Опции конвертации: Флаги для трансформаций (e.g., --target для бэкенда, --config для маппинга полей, --flatten-xpath для XML), генерация action-документов для глобальных настроек. 🔑 Структура: Конвертер парсит разделы Sigma: title/id/status (метаданные), detection (selection + condition), fields/logsource (фильтры). Затем генерирует запрос, адаптируя под бэкенд — например, поле EventID в Windows Event Logs → event_id в ELK. Поддерживает теги (attack.tactic) для MITRE ATT&CK и уровни (low/medium/high). 🧿 А как вы используете Sigma правила? #sigma #converter #soc #rule 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Один POST-параметр — и flat-file CMS у вас в руках Представьте: CMS, где нет базы данных. Конфигурация, учётные записи, контент, настройки плагинов — всё хранится в YAML-файлах на диске. Теперь представьте, что неаутентифицированный атакующий может записать произвольный файл в любой каталог этой системы. Не «потенциально», а буквально одним HTTP-запросом. Именно это делает CVE-2026-42608 в Grav CMS — flat-file движке на PHP с 14 500+ звёзд на GitHub и порядка 36 000 публично доступных инстансов по данным ZoomEye. 🔍 Корень проблемы — компонент FormFlash, который сохраняет данные форм между HTTP-редиректами. Он принимает идентификатор сессии из POST-параметра __form-flash-id и использует его напрямую при построении пути к директории записи. Значение конкатенируется со строкой tmp://forms/ без проверки на символы вроде ../. Подставил traversal-последовательность — вышел за границы временной папки и пишешь куда хочешь. Разработчики обращались с этим параметром как с доверенным: «ну строка из POST, она же не в SQL попадает». В классической архитектуре с СУБД это могло бы сойти. Но в flat-file системе запись файла = модификация конфигурации = контроль над приложением. ⚡ Что получает атакующий на практике: • Запись в user/config/ — изменение поведения сайта и плагинов через инъекцию YAML-конфигурации • Запись в user/accounts/ — порча или подмена учётных данных, хешей паролей, 2FA-секретов • Запись в user/pages/ — инъекция контента, потенциальный SSTI через Twig-шаблоны CVSS 8.8 (HIGH), ноль привилегий, CISA оценивает Technical Impact как total. Эксплуатация автоматизируема — достаточно одного POST-запроса к любой странице с формой. А формы есть почти везде: контактная страница, /admin/login, регистрация. 🧩 Ключевой фрагмент уязвимого кода выглядит обманчиво просто. Метод __construct() класса FormFlash берёт session_id из POST и склеивает с путём без вызова basename() или regex-валидации. Одна пропущенная проверка — и вся файловая система webroot открыта для записи. По классификации MITRE это CWE-22 (Improper Limitation of a Pathname). По OWASP Top 10 — одновременно A01 (Broken Access Control) и A03 (Injection). Редкий случай, когда одна строка кода попадает сразу в две категории критичных уязвимостей. 📌 Если вы работаете с Grav или проводите аудит flat-file CMS — в полной статье разобран весь путь: от уязвимой строки PHP до рабочего HTTP-запроса, с маппингом на ATT&CK и контекстом предыдущих CVE движка. https://codeby.net/threads/grav-cms-uyazvimost-path-traversal-0-day-v-formflash-bez-autentifikatsii.93718/

Cadaver: Клиент командной строки для работы с WebDAV

Cadaver — это консольный клиент для работы с протоколом WebDAV (Web-based Distributed Authoring and Versioning), который предоставляет управлять файлами на удаленных серверах через командную строку.

▶️Передача файлов в обоих направлениях между клиентом и сервером ▶️Просмотр содержимого директорий на удаленном сервере (аналогично команде ls) ▶️Создание, удаление, копирование и перемещение коллекций и файлов ▶️Просмотр и изменение пользовательских свойств для WebDAV-ресурсов ▶️Предотвращение конфликтов при одновременном редактировании ▶️Возможность редактирования файлов удаленно с использованием стандартных редакторов ⬇️Установка

sudo apt install cadaver

Проверка

cadaver -h

⏺️Подключение с использованием прокси

cadaver -p proxy.example.com:8080 https://webdav.example.com/

⏺️Автоматизация через файл сценария - Создадим файл script.cmd

cd /backups/
put backup.tar.gz
quit

- Запуск с использованием файла сценария

cadaver -r script.cmd https://webdav.example.com/

⏺️Получение файлов без интерактивного режима (через pipe)

echo "get report.pdf\nquit" | cadaver https://webdav.example.com/

🧠Рекомендации - Предпочтительно использовать защищенное соединение через HTTPS для предотвращения перехвата учетных данных - При необходимости хранения учетных данных используйте защищенные механизмы хранения или переменные окружения - При работе в корпоративной сети может потребоваться настройка прокси-сервера через опцию -p или переменные окружения http_proxy / https_proxy #cadaver #webdav #cli #pentest #tool 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Почему пентестер без бинарного анализа — половина специалиста Conficker, Stuxnet, EternalBlue — три инцидента, перевернувших индустрию. Каждый начался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Только по классу CWE-119/120/121 (переполнение буфера) в базе NVD десятки тысяч записей. А ведь это лишь один класс из десятка. И вот парадокс: на реальном пентесте или bug bounty рано или поздно встречается сервис, для которого нет публичного эксплойта. Проприетарный демон на Linux, прошивка IoT-устройства без строки документации, десктопное ПО с кастомным протоколом. Всё, что есть — скомпилированный бинарь. Без навыков бинарного анализа ты можешь сканировать порты и фаззить HTTP-эндпоинты, но закрытый нативный код остаётся чёрным ящиком. 🔬 Что отличает того, кто запускает готовый эксплойт из Metasploit, от того, кто способен вскрыть проприетарный бинарь, найти 0-day и превратить его в рабочую цепочку атаки? Именно бинарный анализ. Это не отдельная экзотическая специализация — это необходимый компонент kill chain. Карта навыков выглядит так: • Статический анализ — дизассемблирование и декомпиляция. Открываешь бинарь, не запуская его. Смотришь заголовки ELF/PE, таблицу импортов, ищешь красные флаги: gets, strcpy, sprintf без проверки длины. Уже на этом этапе видно, куда копать. • Динамический анализ — отладчики (GDB, x64dbg, WinDbg) и DBI-фреймворки (Frida, PIN, DynamoRIO). Ставишь брейкпоинт, смотришь, что происходит на уровне регистров и стековых фреймов в рантайме. • Эксплуатация — stack overflow, heap exploitation, ROP/JOP-цепочки и обход современных защит (ASLR, DEP, canary). Tcache poisoning в glibc — отдельное искусство. • Символьное исполнение — angr, Manticore, Triton. Автоматический поиск входных данных, которые приводят программу к нужному состоянию. Мощнейший инструмент для CTF и реальных исследований. • Фаззинг — AFL++, libFuzzer, coverage-guided подход. Генерируешь миллионы мутированных входов, отслеживаешь покрытие кода, ловишь краши. 🎯 В CTF категория pwn стабильно собирает наименьший процент решений. Задачи уровня DEF CON CTF требуют не теории, а рабочего процесса: открыл бинарь в дизассемблере, нашёл уязвимый путь, написал эксплойт, обошёл защиты. Каждый шаг — конкретный инструмент и понимание того, что происходит под капотом. В терминах MITRE ATT&CK атакующие группировки разрабатывают эксплойты (T1587.004), собирают информацию об уязвимостях (T1588.006) и используют их для повышения привилегий (T1068). Пентестер, понимающий эту цепочку с обеих сторон, перестаёт быть пользователем чужих инструментов и становится исследователем. 📖 Полная карта направления — от статического реверса до автоматизированного фаззинга — разобрана в руководстве на форуме. https://codeby.net/threads/binarnyi-analiz-uyazvimostei-polnoye-rukovodstvo-dlya-pentestera-i-ctf-igroka.93708/

Водоочистная станция, VNC с дефолтным паролем и 40 миль до военной базы США В январе 2024 хактивисты из CARR зашли в систему управления водоснабжением техасского городка Muleshoe. Не через zero-day, не через кастомный эксплойт — просто подключились по VNC с дефолтными кредами. Перенастроили параметры, вызвали перелив водонапорной башни, сняли видео взаимодействия с HMI-панелями и выложили в открытый доступ. Потом ударили по соседним городам. А Mandiant позже с умеренной уверенностью связал CARR с APT44/Sandworm — военной разведкой ГРУ. И это не единичный случай. 🔴 По данным «Информзащиты», в первом полугодии 2025 атаки на SCADA выросли на 27% год к году. В энергетике — на 38%. EPA проверило водоочистные станции и обнаружило, что более 70% нарушают требования кибербезопасности. Неизменённые пароли, отсутствие MFA, HMI-панели, торчащие наружу. Как выглядит типичный kill chain такой атаки? ⚡ Начальный доступ — три реальных вектора: • Дефолтные учётки на HMI и SCADA-серверах. Классика — admin/admin, вендорные пароли Siemens, Schneider Electric, Rockwell. • Внешние сервисы удалённого доступа: VNC, RDP, TeamViewer. В Oldsmar (Флорида, 2021) кто-то подключился через TeamViewer к HMI оператора и прямо на его глазах поднял концентрацию гидроксида натрия со 100 ppm до 11 100 ppm. Оператор увидел, как курсор двигается сам, и откатил изменения. • Публично доступные веб-интерфейсы ПЛК. Запрос port:502 на Shodan возвращает тысячи Modbus-устройств. У Siemens S7-1200/1500 веб-сервер включён по умолчанию. 🎯 Что делают после проникновения: Сканируют подсеть, находят ПЛК, отправляют команды записи в регистры. В терминах Modbus — function codes FC5, FC6, FC15, FC16. Через них меняют уставки: концентрацию реагентов, давление, расход. Или останавливают процессы — как на Arkansas City Water Treatment Facility в сентябре 2024, где станция перешла на ручное управление. Что критично для обнаружения: • Мониторинг аутентификаций на HMI/SCADA с нетипичных IP • Baseline remote-access сессий — любое VNC/RDP-подключение вне белого списка = critical • Контроль внешних подключений к портам 502, 102, 44818, 20000 • Корреляция: source IP не из OT-подсети + промышленный порт = инцидент Штатный Modbus-трафик предсказуем и цикличен. Любая аномалия — нехарактерные function codes, всплеск write-операций, новый source — видна на фоне этой регулярности. OT-сеть парадоксально проще мониторить, чем IT, если знать, что искать. В полной статье — детальный detection-playbook с конкретными правилами корреляции, разбор APT-группировок и рекомендации по сегментации OT-сетей. https://codeby.net/threads/ataki-na-scada-sistemy-razbor-vzlomov-vodoochistnykh-stantsii-i-detection-playbook-dlya-ot-seti.93707/

🔎pretender

Инструмент, предназначенный для MitM-атак, таких как захват DNS через DHCPv6, а также подмена mDNS, LLMNR и NetBIOS-NS. Ранее для перехвата DNS-запросов DHCPv6 использовался инструмент mitm6, а для подмены локальных имен Responder. Однако pretender во многом отличается от этих проектов, предоставляя специалистам дополнительные возможности.

🎯Отличия инструмента ➡️позволяет шаг за шагом отображать этапы цепочки атак вместе с соответствующими инструментами, что упрощает составление отчётов и демонстрацию в реальном времени; ➡️можно скомпилировать для различных архитектур и операционных систем (Linux, Windows, macOS и др.); ➡️не требует специальных привилегий в Windows, если необходимые порты не используются другим процессом и не заблокированы брандмауэром; ➡️возможность изменения значений флагов конфигурации командной строки во время компиляции для создания предварительно сконфигурированного двоичного файла под особые случаи использования. ⬇️Установка

git clone https://github.com/RedTeamPentesting/pretender.git
cd pretender
go build

⛓️‍💥Использование 1️⃣Чтобы оценить ситуацию в локальной сети, pretender можно запустить в --dry режиме, в котором он регистрирует только входящие запросы и не отвечает на них.

pretender -i eth0 --dry
pretender -i eth0 --dry --no-ra # без router advertisements (RA)

2️⃣Чтобы подменить локальное разрешение имен с помощью mDNS, LLMNR и NetBIOS-NS, а также перехватить управление DNS по протоколу DHCPv6 с помощью объявлений маршрутизатора, просто запустите pretender следующим образом:

pretender -i eth0

Также можно отключить некоторые атаки с помощью --no-dhcp-dns (отключение DHCPv6, DNS), --no-lnr, --no-mdns, --no-llmnr, --no-netbios (отключение mDNS, LLMNR и NetBIOS-NS). 3️⃣Pretender можно настроить так, чтобы он отвечал только на запросы для определенных доменов (или для всех кроме определенных доменов) и выполнял спуфинг-атаки только для определенных хостов (или для всех кроме определенных хостов). При обращении к хостам по имени хоста используется разрешение имени хоста, на котором запущен pretender.

pretender -i eth0 --spoof "example.com" --dont-spoof-for "10.0.0.3,host1.corp,fe80::f" --ignore-nofqdn

#mitm #tools #AD #pentest 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

75% взломов начинаются с обычного логина и пароля — как устроен рынок вымогателей в 2026 19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри. 🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с valid credentials на 71% год к году. Каждый день в даркнете появляется более 6 000 свежих пар логин-пароль от инфостилеров. Для SOC это значит одно: initial access выглядит как легитимный вход. Никакого эксплойта, никакого подозрительного бинарника — просто сотрудник «сам» зашёл в VPN в 3 часа ночи воскресенья. Вся эта машина работает на трёх ролях: • Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа. • Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC. • IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000. Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году. ⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале. Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов. 📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн. Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки. Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме. https://codeby.net/threads/ransomware-as-a-service-2026-the-gentlemen-i-analiz-raas-ekosistemy-affiliaty-ttps-detection.93712/

«Кто это сделал?» — фраза, с которой в командах начинается половина расследований. Ответ на такой вопрос даёт сервис аудитных логов. Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях. В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.

Plaso ☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях. 🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами Основные свойства: ➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты. ➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение). ➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования. ➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy. ➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM). ➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang. ⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso  
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

⏺️10 ноября 1983 года (рождение вируса) Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.

⏺️Как был устроен первый вирус Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип. Принцип был элегантен: ▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений ▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки ▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов Результаты пяти экспериментов оказались шокирующими даже для самого Коэна: ▶️минимальное время получения полного контроля над системой — менее 5 минут ▶️среднее время — менее 30 минут ▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится

«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало. ⏺️«Если бы мы знали…» После демонстрации к Коэну подошёл представитель АНБ США:

«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу. ⏺️Двойная жизнь: подозреваемый и ценный кадр Власти инициировали наблюдение за Коэном: ▶️задержания на границе ▶️отслеживание передвижений ▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним) Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры. ⏺️1984 В научной работе того года Коэн сформулировал два фундаментальных тезиса: ▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует ▶️Универсальный антивирус невозможен в принципе

«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.

⏺️1988. Первая массовая атака (червь Морриса) Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.

«Я просто хотел показать уязвимости», — утверждал он.

Результаты: ▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета ▶️многократное самовоспроизведение червя приводило к полной остановке систем ▶️первая зафиксированная DDoS-атака в истории Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление. ⏺️Главная уязвимость — человек На основе анализа инцидента Коэн сформулировал ключевой тезис:

«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак. ⏺️Последующие атаки подтвердили правоту Коэна: ▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов ▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг ▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов #ФредКоэн #Моррис #virus #DDoS 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Предсказуемый sequence number — и чужая сессия у тебя в руках Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью. 🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях: • Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood. • В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы. ⚡ А теперь про разведку. SYN-скан в Nmap (nmap -sS) — первое, что запускаешь на новом проекте. Отправляется SYN, анализируется ответ, тут же шлётся RST — рукопожатие не завершается. Три варианта ответа: • SYN-ACK → порт открыт, сервис слушает • RST → порт закрыт • Тишина → файрвол дропает пакет Разница между SYN-сканом и обычным connect-сканом (-sT) — как между подглядыванием в замочную скважину и стуком в дверь. Первый не оставляет записей в логах сервиса, второй — оставляет. 🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются. TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках. 📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby. https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/

Subzy

Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.

📐Функции: 📉Возможность сканировать несколько поддоменов списком 📉Скрытие неудачных проверок или неуязвимых домменов 🖱Проверка действительности SSL ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/PentestPad/subzy.git

cd subzy/

1️⃣Устанавливаем язык GO:

sudo apt install golang-go

2️⃣Собираем проект:

go build

⛓️‍💥Запуск: ▶️Запуск и сканирование одной цели:

./subzy r --target {URL}

▶️Запуск и сканирование списка поддоменов:

./subzy r --targets {TXT}

▶️Запуск и сканирование несольких целей, без использования списка:

./subzy r --targets {URL},{URL}

#web #wapt 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

732 байта Python-кода — и детерминистический root на любом Linux Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет. 🔎Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно: • AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу • splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования • Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари В 2017 году модуль algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован. 👉Почему это страшнее Dirty Pipe? Три причины: 1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью 2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian) 3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK. 🎇Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро. Интересный момент: баг прятался так долго, потому что подсистему crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет. На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль algif_aead загружен и ядро не пропатчено — root за секунды. Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье. https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/

🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей «Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так. Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows. Что внутри: 📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe 📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG) 📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики 📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр ⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass. Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе. 👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-baza-dannykh-sam-i-kheshi-paroley.93745/

🚩 Новые задания на платформе HackerLab! 🎢 Категория Разное — Анонимизатор —————————————— 🗂 В архив добавлены задания + райтапы: 🔵PWN - Piece of cake Приятного хакинга!

🚗Пятничный опрос Проверим знания не по вебу, а по сетевой безопасности 🧠