Codeby

🗣Raccoon Stealer: История и анализ типичного стиллера Во второй части статьи про стиллеры: 👀 🌟 Деобфускация и C&C сервер: Как злоумышленники используют RC4 для шифрования данных и прямые HTTP запросы для связи с сервером. 🌟 Мьютексы и привилегии: Почему важно знать о мьютексах и как вредоносное ПО проверяет свои привилегии. 🌟 Сбор информации: Как вредоносное ПО собирает данные о жертве и какие именно данные оно ищет. 🌟 Кража данных: Использование DLL для кражи логинов, cookies, и даже криптовалютных кошельков. ➡️ Читать подробнее #raccoonstealer

Курс "Тестирование веб-приложений на проникновение (WAPT)"! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома. Старт: 2 сентября Содержание курса: 🔸 65 рабочих и 16 экзаменационных тасков в лаборатории ✔️ 🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг 🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection 🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF) 🔸 трудоустройство / стажировка для лучших выпускников 🥇 Получите практические навыки как в рабочих задачах, так и в Bug Bounty. С сертификатом от Академии карьерный рост идет быстрее ⭐️ 🚀 Пишите нам @Codeby_Academy ➡️ Подробнее о курсе

Magnibar: Исследование одного из самых сложных азиатских шифровальщиков 🔗 В новой статье мы исследуем историю, методы распространения и уязвимости, которые он эксплуатирует. 🖥 Magnibar впервые был обнаружен в Южной Корее в 2017 году и быстро распространился по Азии, используя уязвимости в Windows. Он не только шифрует файлы жертвы, но и требует выкуп за их расшифровку 👀 ⏺Детальный анализ, в котором использовались различные инструменты для исследования вредоносного ПО, включая DIE, PE Bear, Tiny Tracer, IDA Pro, Reko, HollowHunter и Hidra, показал, что Magnibar постоянно адаптируется и использует новые уязвимости для распространения. ⏺Magnibar остается активным и опасным, несмотря на временные периоды "спячки". Его способность к адаптации и использование новых уязвимостей делают его одним из самых сложных шифровальщиков. ➡️ Читать подробнее #magnibar #ransomware

👀 "Ужас страховых компаний: HardBit 3.0 и таинственная роль Игоря Войтенко" Сегодня в новой статье: 🔴 История возникновения и развития HardBit 3.0 🔴 Как страховые компании стали главными мишенями 🔴 Психологический аспект в действиях злоумышленников 🔴 Технический анализ и методы защиты от HardBit 3.0 Что это такое? 💫HardBit Ransomware впервые появился в октябре 2022 года и быстро развился, став одной из наиболее опасных угроз в сфере кибербезопасности. 💫В отличие от многих других групп, работающих с шифровальными программами, HardBit не имеет сайтов для публикации утечек данных и не прибегает к двойному вымогательству. 💫Основные тактики включают кражу и шифрование данных жертв, а затем требование выкупа, а также угрозу дополнительных атак, если требования выкупа не будут выполнены. 📍 Читать подробнее #hardbit #ransomware

#работа Приглашаем в команду Кодебай Junior+ Go Backend Разработчика Белая зарплата Оклад от 100.000 руб Полная занятость Обязанности: - Разработка и поддержка серверной логики на Go (Golang). - Работа с базами данных PostgreSQL и кэш-системой Redis. - Интеграция и управление очередями сообщений с использованием RabbitMQ. - Создание и управление контейнерами с использованием Docker. - Участие в проектировании архитектуры приложений и написание технической документации. - Взаимодействие с командой для достижения общих целей. Требования: - Уверенные знания и опыт работы с Go (Golang). - Опыт работы с PostgreSQL и Redis. - Знание принципов работы и опыт интеграции с RabbitMQ. - Навыки работы с Docker. - Понимание принципов REST API и микросервисной архитектуры. - Основы Linux и уверенное владение командной строкой. - Умение работать в команде и хорошие коммуникативные навыки. - Готовность к обучению и развитию новых навыков. Прислать резюме и пообщаться: @stpov

🔥 Курс по Цифровой Криминалистике от Академии Кодебай! Что будет на курсе? 🌟 Решение задач, основанных на APT-отчетах 🌟 Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты 🌟 Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО Для кого создан этот курс? 🔸 для аналитиков 1, 2 и 3 линий SOC 🔸 для для начинающих DFIR и Red Team специалистов 🔸 для организаций — повысить квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX 🗓 Старт: 26 августа 🚀 Пишите нам @Codeby_Academy или узнайте подробнее о курсе здесь.

Что такое clickjacking (захват клика)? 👩‍💻 ⏺️Атака типа clickjacking позволяет вредоносной странице кликнуть по сайту-жертве от имени посетителя. 🌚 План атаки:

Посетителя заманивают на вредоносную страницу (неважно как).
На странице есть ссылка, которая выглядит безобидно.
Поверх этой ссылки вредоносная страница размещает прозрачный <iframe> с src с сайта facebook.com таким образом, что кнопка «like» находится прямо над этой ссылкой. Обычно это делается с помощью z-index в CSS.
При попытке клика на эту ссылку посетитель на самом деле нажимает на кнопку.

🌚 Пример кода:

index.html ⬇️

<!DOCTYPE html>
<html>
<body>
  <style>
    iframe {
      width: 400px;
      height: 100px;
      position: absolute;
      top: 5px;
      left: -14px;
      opacity: 0;
      z-index: 1;
    }
  </style>
  <div>Нажми:</div>
  <iframe src="codeby.html"></iframe>
  <button>Нажмите сюда!</button>

</body>
</html>

codeby.html ⬇️

<!DOCTYPE HTML>
<html>
<body style="margin:10px;padding:10px">
  <input type="button" onclick="alert('Бум')" value="!">
</body>
</html>

🚩 Новые задания на платформе Codeby Games! ⚙️ Категория Реверс-инжиниринг — Что это такое? 🔑 Категория Криптография — Запутанный шифр 🔎 Категория OSINT — Код да Винчи Приятного хакинга!

🌐 Безопасность в публичных Wi-Fi сетях Публичные Wi-Fi сети могут быть удобны, но они также несут риски для безопасности. Вот как защитить себя: Практические советы⬇️ ⏺️Используйте VPN: Виртуальная частная сеть (VPN) шифрует ваш трафик и защищает данные от перехвата. ⏺️Избегайте ввода личной информации: Не вводите пароли, номера кредитных карт и другую личную информацию при подключении к публичным сетям. ⏺️Выключайте автоматическое подключение: Отключите функцию автоматического подключения к доступным сетям на вашем устройстве. ⏺️Обновляйте ПО: Убедитесь, что ваше устройство и все приложения обновлены до последних версий для защиты от уязвимостей. ⏺️Используйте HTTPS: Всегда проверяйте, что сайт использует защищенное соединение (https://) при вводе любой информации.

🌚 Пример Подключившись к Wi-Fi в кафе, используйте VPN для шифрования трафика. Никогда не вводите пароли или номера кредитных карт без защищенного соединения (HTTPS).

🚨 Безопасность в коде: Race Condition Сегодня мы проведем обзор состояния гонки (Race Condition), одного из самых опасных аспектов программирования, который может привести к непредвиденным последствиям в вашем коде. 💥 ➡️ В этой статье мы раскроем, как работают состояния гонки, приведем простой пример на Python и обсудим способы их предотвращения. ⌛ Что такое Race Condition? Это ситуация, когда два или более процесса или потока пытаются изменить общий ресурс одновременно, что может привести к непредсказуемым результатам. Например, двум пользователям, одновременно снимая деньги со своего счета, могут "накрутить" баланс, совершив несколько транзакций вместо одной. 🛡 Как защититься от State Race Condition? Чтобы избежать состояний гонки, важно использовать механизмы синхронизации, такие как блокировки (Lock в Python), семафоры, атомарные операции или асинхронный код. Эти инструменты помогают гарантировать, что только один поток или процесс может изменить общий ресурс в любой момент времени. ➡️ Читать подробнее #racecondition #python

🤫 Что такое Raccoon Stealer? Об этом в новой статье! 🔸Это вредоносное ПО, специализирующееся на краже данных из криптовалютных кошельков и браузеров. 🔸Он также может красть данные из игровой платформы Steam, а также логиновые данные для Discord и Telegram. 🔸Некоторые версии Raccoon могут нарушать шифрование TLS, позволяя ему эффективно проводить атаки "man-in-the-middle" на зараженный хост. ❓ Как работает Raccoon Stealer? После установки на устройстве, вредонос выполняет ряд действий: импорт библиотек, деобфускацию значений, связь с командным сервером, установку дополнительных DLL библиотек и, наконец, непосредственную кражу данных.

Для изучения Raccoon Stealer используются такие инструменты, как DIE, PE Bear, Tiny Tracer, IDA PRO, Reko, HollowHunter и Hidra. Они помогают визуализировать структуру вредоноса, определить его функции и методы работы.

📊 По данным Secola, Raccoon Stealer был обнаружен на 250 сайтах с пиратским ПО, что говорит о масштабах его распространения. Специалисты фиксируют до 311 вредоносных сэмплов в сутки. ➡️ Читать подробнее #raccoonstealer

🔄 Курс «Введение в Реверс инжиниринг»! Запись до 17 августа Курс подойдёт всем интересующимся темой реверс-инжиниринга. По окончанию курса, вы будете уметь проводить исследования исполняемых файлов и вносить изменения в логику программ. ⌨️ Курс включает в себя: 🔸 Работу с отладчиком IDA 🔸 Практические навыки анализа исполняемых файлов без исходного кода 🔸 Изучение ассемблера, языка Си и EXE / ELF 🔸 Восстановление исходного кода из скомпилированных программ ⭐️ Сертификат / удостоверение о повышении квалификации 🚀 Пишите нам @Codeby_Academy или узнайте подробнее о курсе здесь

👩‍💻 Apple выпустила открытую библиотеку гомоморфного шифрования Apple представила библиотеку для гомоморфного шифрования на Swift, позволяющую создавать приложения, работающие с зашифрованными данными без их раскрытия.

🌚 Гомоморфное шифрование позволяет выполнять вычисления с зашифрованными данными. Данные остаются защищёнными на всех этапах обработки: от шифрования и передачи на сервер до выполнения вычислений и возвращения результата. Расшифровать данные может только пользователь, обладающий ключами.

⏺️Библиотека Apple использует схему BFV (Brakerski-Fan-Vercauteren), устойчивую к квантовым компьютерам. В Swift Crypto включены низкоуровневые примитивы для шифрования, обеспечивая безопасность и производительность.

🔄 Сегодня мы поговорим о том, как объединить большие наборы данных из нескольких CSV-файлов в один, используя SQLite3 и Python. Это особенно полезно, когда у вас есть ограниченное количество оперативной памяти или когда вы работаете с очень большими файлами данных. Об этом в новой части цикла статей на codeby.net 🖥 💛 Создадим вспомогательные функции для работы с базой данных, научимся читать данные из CSV-файлов, добавлять их в базу данных и сохранять результаты в новый файл. 💛 Рассмотрим, как оптимизировать процесс для больших объемов данных, чтобы избежать перегрузки оперативной памяти. 💛 Создадим два ключевых файла: base_work.py для работы с базой данных и merge_csv.py для чтения данных из CSV, их объединения и сохранения результата. 💡 Этот метод идеально подходит для объединения файлов с одинаковой структурой заголовков и может быть адаптирован под ваши конкретные нужды. ➡️ Читать подробный гайд по созданию скрипта для объединения больших наборов данных без значительного использования оперативной памяти! #csv #python

⚡️ Новый курс "Устройства для тестирования на проникновение" стартует 12 августа. Изучите создание устройств для пентеста на практике! Что вы получите после обучения? 🔸 Практические навыки работы с микроконтроллерами и микрокомпьютерами 🔸 Навыки сборки устройств для тестирования на проникновение 🔸 Актуальные знания по защитному функционалу Курс создан для всех, кто хочет на практике изучить техники аудита систем ИБ и эксплуатации уязвимостей с помощью современных устройств. 🥇 Сертификат / удостоверение о повышении квалификации Пишите нам: @Codeby_Academy 🚀 ➡️ Узнать подробнее о курсе

👥 Главный фактор уязвимости компаний — устаревшее ПО Исследование Positive Technologies показало, что треть успешных кибератак связана с устаревшим ПО. С 2022 по 2023 год этот метод использовался для кражи данных у более чем 2700 компаний.

⏺️ Доля таких атак выросла с 18% в 2019 году до 32% в 2023 году. В мае 2023 года массовая атака на сайты .ru и .рф произошла из-за уязвимости в «1С-Битрикс», а телекоммуникационная компания Xfinity потеряла данные 36 миллионов клиентов.

🌚 В 2023 году основные методы атак включали уязвимости в общедоступных приложениях (почтовые и веб-серверы) и использование украденных учетных данных. Эксперты прогнозируют рост числа кибератак.

Что такое DLL-injection? 👩‍💻 ⏺️DLL-инъекции часто используются внешними программами, чтобы повлиять на поведение другой программы так, как её авторы не задумывали и не предполагали. ⏺️Например, внедрённый код может перехватывать системные вызовы функций или прочитать содержимое текстовых полей пароля, что невозможно сделать обычным способом. 👩‍💻 На Windows имеется множество способов заставить процесс загрузить код в DLL-библиотеке:

DLL-файлы, указанные в списке системного реестра по ключу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, будут загружаться в каждом процессе, загружающем библиотеку User32.dll при её начальном вызове.

DLL-файлы по ключу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDLLs будут загружаться в каждом процессе, которые вызывают функции Windows API CreateProcess, CreateProcessAsUser, CreateProcessWithLogonW, CreateProcessWithTokenW и WinExec.

Эксплуатация ограничений Windows и приложений, вызывающих LoadLibrary или LoadLibraryEx без указания пути к загружаемой DLL.

👩‍💻 Пример такого кода на языке C:

#include <windows.h>

HANDLE inject_DLL(const char* file_name, int PID)
{
    HANDLE h_process, h_rThread;
    char fullDLLPath[_MAX_PATH];
    LPVOID DLLPath_addr, LoadLib_addr;
    DWORD exit_code;

    /* Извлечение handle-идентификатора целевого процесса */
    h_process = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID);

    /* Получение полного пути к DLL-файлу */
    GetFullPathName(file_name, _MAX_PATH, fullDLLPath, NULL);

    /* Выделение памяти в целевом процессе */
    DLLPath_addr = VirtualAllocEx(h_process, NULL, _MAX_PATH,
                                  MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

    /* Запись пути к DLL-файлу в недавно созданный блок памяти */
    WriteProcessMemory(h_process, DLLPath_addr, fullDLLPath,
                       strlen(fullDLLPath), NULL);

    /* Получение адреса LoadLibraryA (такой же для всех процессов), чтобы начать его запуск */
    LoadLib_addr = GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");

    /* Запуск удалённого потока в LoadLibraryA, и проброс пути к DLL в качестве аргумента */
    h_rThread = CreateRemoteThread(h_process, NULL, 0, 
                                  (LPTHREAD_START_ROUTINE)LoadLib_addr, DLLPath_addr, 0, NULL);

    /* Ожидание его завершения */
    WaitForSingleObject(h_rThread, INFINITE);

    /* Получение кода завершения (то есть, значение handle, возвращённый вызовом LoadLibraryA */
    GetExitCodeThread(h_rThread, &exit_code);

/* Освобождение носителя внедрённого потока. */
    CloseHandle(h_rThread);
    /* А также память, выделенная для пути к DLL */
    VirtualFreeEx(h_process, DLLPath_addr, 0, MEM_RELEASE);
    /* А также handle-иднетификатор целевого процесса */
    CloseHandle(h_process);

    return (HANDLE)exit_code;
}

📣 Хакеры захватили 35 000 доменов через DNS-атаку Sitting Ducks Эксперты из Infoblox и Eclypsium предупреждают о DNS-атаке Sitting Ducks, которая угрожает более миллиону доменов ежедневно. Уже захвачены 35 000 доменов. Атака позволяет перехватить домен без доступа к аккаунту владельца у DNS-провайдера или регистратора.

🌚 Sitting Ducks использует конфигурационные проблемы у регистраторов и недостаточную проверку прав собственности у DNS-провайдеров. Впервые об этой уязвимости сообщил специалист Snap Мэтью Брайант в 2016 году, но она до сих пор остается актуальной и эффективной.

😎 Напоминаем, на каких курсах начинается обучение в августе: 🌟 7 августа — «Введение в Реверс инжиниринг» 🌟 8 августа — «Основы Linux» 🌟 12 августа — «Устройства для тестирования на проникновение» — Первый поток! 🌟 26 августа — «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» ✔️ Запись на «Боевой OSINT» открыта до 15 августа! ✔️ Скидка 5% на «Анализ защищенности инфраструктуры на основе технологий Active Directory» при записи до 23 августа! 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

⚠️ Учёные нашли способ красть данные через HDMI Уругвайские исследователи разработали метод кражи конфиденциальной информации, используя ИИ и интерфейс HDMI. ➡️ Они смогли зафиксировать электромагнитные сигналы от кабеля HDMI, подключенного к компьютеру, и расшифровать их с помощью ИИ.

🗣️ Метод позволяет с точностью 70% выявлять пароли, которые вводит пользователь. Учёные сообщают, что хакеры уже использовали эту технику для шпионажа за правительственными организациями и частными компаниями.