Codeby

💬 Мы добавили чат на Codeby Games! Теперь вы можете общаться с другими игроками прямо на платформе! Без лишних переходов — обсуждайте, делитесь идеями и находите единомышленников. ➡️ https://codeby.games/

Изучите создание устройств для пентеста на практике на курсе от Академии Кодебай! 😎 🗓 Старт: 20 января. Присоединиться: https://clck.ru/3FkYNm Что вы получите после обучения? 🔸 Практические навыки работы с микроконтроллерами и микрокомпьютерами 🔸 Навыки сборки устройств для тестирования на проникновение 🔸 Актуальные знания по защитному функционалу

Курс создан для всех, кто хочет на практике изучить техники аудита систем ИБ и эксплуатации уязвимостей с помощью современных устройств.

✔️ Сертификат / удостоверение о повышении квалификации 🚀 По всем вопросам пишите: @Codeby_Academy

Whois Whois - предоставляет услуги по поиску информации в различных реестрах. Whois сервисы можно разделить на 2 вида: Network service based и Name service based. Разница между ними в том, что первый нацелен на сетевую часть, второй - на доменное имя. ⏺️Network service based Есть допустим сайт, coolhackers228.us После определения IP мы поймём, где находиться подсеть. А там уже мы будем использовать специальный реестр.

whois -h {РЕЕСТР} {IP}

Мы получим очень много полезной информации. ⏺️Name service Based: Давайте посмотрим на вывод:

whois coolhackers228.us

И также получим много полезной информации. Кстати, вам не обязательно использовать kali для доступа к whois, можно использовать онлайн решения, такие как: nic.ru who.is

Shodan Shodan - поисковая система, позволяющая пользователям искать различные типы серверов (веб-камеры, маршрутизаторы, серверы и так далее), подключённых к сети Интернет, с использованием различных фильтров. Shodan собирает данные главным образом о веб-серверах HTTP/HTTPS (порты 80, 8080, 443, 8443), а также FTP (порт 21), SSH (порт 22), Telnet (порт 23), SNMP (порт 161), IMAP (порты 143 или зашифрованный 993), SMTP (порт 25), SIP (порт 5060) и RTSP (порт 554). Последний протокол может использоваться для доступа к веб-камерам и их видеопотоку. Сайт при помощи веб-краулеров сканирует Интернет в поисках общедоступных устройств. В настоящее время Shodan отображает 10 результатов поиска пользователям без учётной записи и 50 результатов тем, у кого она есть. Если пользователи хотят снять ограничение, они должны указать причину и заплатить взнос. Основными пользователями Shodan являются профессионалы в области компьютерной безопасности, исследователи и правоохранительные органы. Но для более "хороших" результатов, Shodan требует наличие учётной записи, как говорилось ранее, на ресурсе, но и без регистрации shodan хороший поисковик, главно знать что просить. Также Shodan был показан в американском драматическом сериале «Мистер Робот» в октябре 2017 года. ⏺️Ссылка на ресурс: shodan

По всей России масштабный сбой интернета. Многие сайты открываются с перебоем, крупнейшие операторы не работают. Напоминаем, что подобное уже наблюдалось в марте 2024

Sploitus Sploitus — это удобное центральное место для идентификации новейших эксплойтов и поиска атак, использующих известные уязвимости. Поисковая система также является хорошим ресурсом для поиска инструментов безопасности и обнаружения уязвимостей. На нём даже выкладываются уязвимости недели - самые новые уязвимости, которые мы можем попробовать прямо сейчас. При изучении страницы с уязвимостью мы видим несколько возможностей, а именно: копировать код, скачать его, посмотреть источник, поделиться страницей. Используя поисковое окно, можно находить много скриптов связанных с обнаруженной уязвимостью. ⏺️Ссылка на ресурс: sploitus.com

🤖 C2-серверы (Command & Control) — важный элемент атак злоумышленников, позволяющий управлять скомпрометированными устройствами, перемещаться по сети и эксфильтрировать данные. Одним из интересных представителей таких серверов является Havoc — кроссплатформенный фреймворк с открытым исходным кодом. Что мы разобрали в статье: 🔸 Как установить Havoc и настроить серверную часть. 🔸 Создание Listener для подключения агентов. 🔸 Генерация агентов в различных форматах: .exe, .dll, шеллкод. 🔸 Управление подключениями, просмотр логов и удобный графический интерфейс. 🔸 Выполнение команд на удаленной машине через сессию. 👾 Havoc — мощный инструмент для тестирования безопасности, с удобными функциями, такими как Process Explorer и File Explorer, что делает работу интуитивной и эффективной. 🔔 Для детального гайда по установке и использованию Havoc переходите в статью!

Критическая уязвимость нулевого дня в Ivanti активно эксплуатируется в реальной среде Национальный центр кибербезопасности Великобритании (NCSC) и его американский аналог (CISA) призвали пользователей Ivanti срочно принять меры для устранения двух новых уязвимостей, одна из которых уже активно используется злоумышленниками. CVE-2025-0282 🔸 Тип: Нулевой день 🔸 CVSS: 9.0 (Критическая) 🔸 Риски: Удаленное выполнение кода (RCE) без аутентификации 🔸 Затронутые продукты: - Ivanti Connect Secure (до версии 22.7R2.5) - Ivanti Policy Secure (до версии 22.7R1.2) - Ivanti Neurons for ZTA (до версии 22.7R2.3) CVE-2025-0283 🔸 Тип: Эскалация привилегий 🔸 Риски: Локальная атака с повышением прав 🔸 Затронутые продукты: Те же версии, что и в CVE-2025-0282 Исследователи Microsoft и Google Mandiant обнаружили, что CVE-2025-0282 активно эксплуатируется начиная с декабря 2024 года. 🔔 Рекомендации Ivanti и агентств безопасности: 1. Запустите инструмент Integrity Checker Tool (ICT) для проверки на компрометацию. 2. При обнаружении компрометации немедленно сообщите в NCSC или CISA. 3. Выполните сброс настроек до заводских и установите последние обновления для Ivanti Connect Secure. 4. Проверьте конфигурацию Ivanti Policy Secure, чтобы она не была доступна из интернета. 5. Для ZTA gateways избегайте подключения незакрепленных шлюзов к контроллеру. 6. Выполняйте непрерывный мониторинг и поиск угроз. ✏️ Обновления уже доступны для Ivanti Connect Secure. Для Policy Secure и ZTA gateways исправления выйдут 21 января.

Ivanti ранее сталкивалась с высокоопасными уязвимостями, включая обход аутентификации, обнаруженный менее года назад. Эти инциденты подчеркивают необходимость оперативной реакции на угрозы.

#новости

Кодебай, привет! Напоминаем, на каких курсах начинается обучение в январе 😎 Старт 20 января: ⭐️ Курс «Специалист по тестированию на проникновение в информационные системы» — освоить новую профессию за 10 месяцев! 🌟 Курс «Устройства для тестирования на проникновение» 🌟 Курс «SQL-Injection Master» 🌟 Курс «Основы программирования на Python» — самый популярный ЯП с нуля за 2 месяца! 🐍 🌟 Курс «Анализ защищенности приложений Андроид» 🌟 Курс «Git. Система контроля версий» Запись на курс «Django - разработка веб-приложений» продлится до 23 января! После прохождения курса вы сможете разрабатывать с нуля сайты на Django, верстать интерфейсы, и создавать интеграцию с бэкендом приложения. 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Fierce Fierce — это полулегкий сканер, который помогает находить несмежные IP-пространства и имена хостов по указанным доменам. Он не выполняет эксплуатацию и не сканирует весь интернет без разбора. Он специально предназначен для обнаружения вероятных целей как внутри, так и за пределами корпоративной сети. Поскольку он в первую очередь использует DNS, мы часто будем находить неправильно настроенные сети, которые пропускают внутреннее адресное пространство. 👩‍💻Запуск:

fierce --domain example.com

Чтобы сохранить результат в файл, можно использовать ключ —file:

fierce --domain example.com —file out.txt

При необходимости можно указать количество потоков:

fierce --domain example.com -threads 10

Также можно использовать wordlist для поиска поддоменнов:

fierce --domain example.com -wordlist {PATH}

Можно использовать и пару слов:

fierce --domain example.com --subdomains videos admin

Мы можем попытаться установить HTTP подключения используя ключ —connect:

fierce --domain example.com --subdomains videos —connect

Использовать обход IP-адресов вблизи обнаруженных доменов для поиска смежных блоков:

fierce --domain example.com --subdomains videos --traverse 10

Ключём —tcp можно использовать протокол TCP, избегая UPD:

fierce --domain example.com —tcp

ВПО FireScam для Android выдает себя за Telegram Premium для кражи данных и управления устройствами. Распространяется в виде поддельного APK «Telegram Premium» через фишинговый сайт, размещенный на домене github[.]io, имитирующий магазин приложений RuStore (rustore-apk.github[.]io). Фишинговый веб-сайт доставляет дроппер, который затем устанавливает FireScam. 📞 Приложение-дроппер запрашивает несколько разрешений, включая возможность записи во внешнее хранилище и установки, обновления или удаления произвольных приложений на зараженных устройствах Android. Назначив себя владельцем обновления, вредоносное приложение может предотвратить законные обновления из других источников, тем самым поддерживая свое присутствие на устройстве. 📱 Мошенническое приложение Telegram Premium при запуске дополнительно запрашивает разрешение пользователей на доступ к спискам контактов, журналам звонков и SMS-сообщениям, после чего через WebView отображается страница входа на законный веб-сайт Telegram для кражи учетных данных. Процесс сбора данных инициируется независимо от того, входит ли жертва в систему или нет. 💭 ВПО извлекает конфиденциальные данные, включая уведомления, сообщения и другие данные приложений, в конечную точку базы данных реального времени Firebase. Там они фильтруются по ценному содержимому, а затем удаляются. Приложение одновременно устанавливает соединение WebSocket с Firebase для командной связи, хранения данных и доставки дополнительных вредоносных полезных нагрузок. 👀 ВПО отслеживает действия устройства, такие как изменения состояния экрана, транзакции, активность буфера обмена и взаимодействие с пользователями, чтобы тайно собирать ценную информацию, а также захватывает уведомления в различных приложениях, включая системные. Кроме того, примечательной функцией является способность ВПО загружать и обрабатывать данные изображений с указанного URL.

🚩 Новые задания на платформе Codeby Games! 🖼 Категория Стеганография — Что ж, с наступившим! 🎢 Категория Разное — Вежливый таск 🔎 Категория OSINT — Праздничное изображение Приятного хакинга!

Фейковые “звёзды” на GitHub и их связь с вредоносным ПО Исследование, проведённое компанией Socket совместно с учёными из университетов Carnegie Mellon и North Carolina State, выявило серьёзную проблему с поддельными звёздами на GitHub. Что обнаружено: ✖️ Поддельные “звёзды” используются для создания иллюзии популярности репозиториев, в том числе содержащих вредоносное ПО. ✖️ Многие такие репозитории связаны с пиратским программным обеспечением, читами для игр и криптоботами. ✖️ Заказ поддельных звёзд осуществляется через платформы вроде Baddhi Shop и BuyGitHub, где цена за 1000 звёзд составляет $110. Масштаб проблемы: ✖️ Исследователи выявили 4,5 миллиона фейковых звёзд, полученных с 1,32 миллиона аккаунтов, для 22,915 репозиториев. ✖️ Большинство таких репозиториев имеют кратковременный цикл жизни и быстро удаляются после выполнения своих задач.

GitHub осведомлён о проблеме и работает над удалением фейковых аккаунтов и звёзд. Однако текущая система оценки популярности репозиториев остаётся уязвимой к манипуляциям.

Рекомендации, которых стоит придерживаться разработчикам и пользователям: ✖️ Разработка новых метрик, учитывающих активность пользователей, репутацию и другие параметры, чтобы предотвратить злоупотребления. ✖️ Пользователям рекомендуется внимательно проверять репозитории, не полагаясь исключительно на количество звёзд как индикатор качества.

Новая уязвимость DoubleClickjacking обходит защиту от Clickjacking на сайтах. Исследователи выявили новый класс уязвимостей, которые используют последовательность двойного щелчка для облегчения атак кликджекинга и захвата учётных записей почти на всех основных веб-сайтах. ✏️ Clickjacking — это метод атаки, при котором пользователей обманом заставляют нажимать на, казалось бы, безобидный элемент веб-страницы (к примеру на кнопку), что приводит к установке вредоносного ПО или краже конфиденциальных данных. 👀 DoubleClickjacking — разновидность этой схемы, которая использует промежуток между началом клика и окончанием второго клика, чтобы обойти средства защиты и захватить учётные записи с минимальным взаимодействием. Атака включает в себя следующие шаги: 1️⃣Пользователь заходит на сайт, контролируемый злоумышленником, который либо открывает новое окно браузера (или вкладку) без какого-либо взаимодействия с пользователем, либо по нажатию кнопки. 2️⃣Новое окно, которое может имитировать что-то безобидное, например проверку CAPTCHA, предлагает пользователю дважды щёлкнуть мышью, чтобы завершить действие. 3️⃣Во время двойного щелчка родительский сайт использует объект JavaScript Window Location для скрытого перенаправления на вредоносную страницу. 4️⃣В то же время верхнее окно закрывается, что позволяет пользователю неосознанно предоставить доступ, подтвердив диалоговое окно с запросом разрешения на родительском сайте. ⚙️ Двойной кликджекинг добавляет уровень защиты, с которым многие системы никогда не сталкивались. Такие методы, как X-Frame-Options, файлы cookie SameSite или CSP, не могут защитить от этой атаки. Владельцы веб-сайтов могут устранить уязвимость, используя подход на стороне клиента, который по умолчанию отключает важные кнопки, если не обнаружено движение мыши или нажатие клавиши.

Rubeus — это набор инструментов, написанный на C#, для взаимодействия с Kerberos (основной протокол аутентификации в среде Windows Active Directory) и различных атак на него. С его помощью можно совершать следующие действия: ⏺️Запросы и продление билетов ⏺️Злоупотреблять делегированием ⏺️Подделывать билеты ⏺️Управлять билетами ⏺️Извлекать и собирать билеты ⏺️Получать учетные данные через Roasting Рассмотрим некоторые возможности Rubeus: 1️⃣ Проведение атаки AS-REP Roasting — получаем AS-REP сообщение от имени пользователя, у которого установлен флаг “Не требовать предварительной аутентификации Kerberos”

Rubeus.exe asreproast /nowrap

2️⃣ Kerberoasting — получение TGS билета учетной записи, имеющей SPN.

Rubeus.exe kerberoast /nowrap

3️⃣ Silver ticket — возможность сгенерировать TGS билет на имя любого пользователя с указанием любых разрешений, если у атакующего есть пароль учетной записи службы или его NTLM хеш.

Rubeus.exe silver /user:user /service:HTTP/Domain.Local /rc4:5a1caa1361243172e25d437573c67b28 /ldap /groups: 518,519,512,520,513 -user-id 1601 /nowrap /ptt

4️⃣ Pass The Key — имея хеш пароля пользователя можем получить его TGT билет. Для этого сначала вычисляем RC4, AES128 или AES256 ключ, зная учетные данные пользователя. Затем запрашиваем сам билет.

Rubeus.exe hash /domain:Domain.Local /user:user1 /password:qwerty123! 

Rubeus.exe asktgt /user:s.user1 /rc4:5a1caa1361243172e25d437573c67b28 /nowrap

Для использования утилиты необходимо скачать исходный код по ссылке. Затем собрать её, например в Visual Studio, предварительно отключив Defender, либо добавить каталог с проектом в исключения антивируса.

Новые требования кибербезопасности в здравоохранении США Министерство здравоохранения и социальных служб США (HHS) предложило новые меры для усиления защиты медицинских данных от кибератак. Изменения в Законе HIPAA направлены на противодействие растущим угрозам в сфере здравоохранения. Ключевые требования включают: 🧹Обязательное шифрование электронных медицинских данных (ePHI) в состоянии покоя и при передаче. 🧹Проведение аудитов на соответствие не реже одного раза в год. 🧹 Внедрение многофакторной аутентификации и антивирусной защиты. 🧹 Удаление ненужного программного обеспечения с электронных систем. 🧹 Сегментацию сетей и установку технических средств для резервного копирования и восстановления данных. 🧹 Регулярное сканирование уязвимостей (каждые шесть месяцев) и тестирование на проникновение (ежегодно). Также организации обязаны выявлять уязвимости в своих системах, обновлять инвентарь технологий и разрабатывать планы восстановления данных в течение 72 часов после потери. Эти меры принимаются на фоне роста атак с использованием программ-вымогателей: в 2024 году 67% организаций здравоохранения пострадали от таких инцидентов (по сравнению с 34% в 2021 году). Причинами большинства атак стали уязвимости в системах, компрометация учетных данных и вредоносные письма. Средний выкуп за восстановление данных составил $1,5 млн, причем только 22% организаций смогли восстановить свои системы за неделю или быстрее. Это свидетельствует о недостаточной готовности многих учреждений к таким атакам. ВОЗ назвала угрозы кибератак на больницы “вопросами жизни и смерти” из-за риска нарушения работы критически важных систем и призвала к международному сотрудничеству в борьбе с этим вызовом.

Вредоносный пакет NPM, замаскированный под инструмент Ethereum Киберспециалисты обнаружили вредоносный пакет ethereumvulncontracthandler на платформе NPM. Он заявлен как библиотека для поиска уязвимостей в смарт-контрактах Ethereum, но вместо этого загружает и запускает троян Quasar RAT, предоставляя злоумышленникам доступ к системам разработчиков. Quasar RAT — это инструмент с открытым исходным кодом, впервые выпущенный в 2014 году. Он используется как для кибершпионажа, так и для киберпреступности. Он предоставляет злоумышленникам полный контроль над системой, включая возможность кражи данных, установки нового вредоносного ПО и управления несколькими устройствами одновременно. Как работает атака: 1⃣ Публикация: Пакет опубликован 18 декабря 2024 года пользователем с псевдонимом solidit-dev-416. Несмотря на его низкую популярность (66 загрузок), он представляет серьёзную угрозу. 2⃣ Установка вредоносного ПО: После установки пакет загружает скрипт с удалённого сервера и выполняет его в скрытом режиме, чтобы внедрить троян. 3⃣ Обфускация кода: Код маскируется с помощью Base64-, XOR-кодирования и минимизации, что затрудняет его анализ. 4⃣ Адаптация: Пакет проверяет, не запущен ли он в виртуальной или песочницеобразной среде, чтобы избежать обнаружения. 5⃣ Использование PowerShell: Скрипт выполняет команды PowerShell для установки Quasar RAT, который вносит изменения в реестр Windows, обеспечивая устойчивость вредоносного ПО. 6⃣ Связь с C2 сервером: Троян связывается с сервером управления и контроля (C2) по адресу captchacdn[.]com:7000, получает инструкции и может использоваться для кражи данных или выполнения других вредоносных действий.

Видишь порт? А он есть

Port knocking — это сетевой защитный механизм, действие которого основано на следующем принципе: сетевой порт является по-умолчанию закрытым, но до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться. Например, вы можете сделать «невидимым» для внешнего мира порт SSH, и открытым только для тех, кто знает нужную последовательность.

Сначала установим утилиту:

apt install knockd

Затем откроем файл /etc/default/knockd и установим следующую опцию:

START_KNOCKD=1

Далее откроем файл /etc/knockd.conf и в секции options укажем наш интерфейс

[options]
     UseSyslog
     Interface = ens33

Теперь создадим секцию для доступа к SSH:

[SSH]
    sequence = 7000,9000,8000     # Порядок последовательности для операций.
    seq_timeout = 5                # Время ожидания завершения последовательности (сек).
    tcpflags = syn                 # Флаг TCP для установления соединения (SYN).
    start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT  # Разрешение доступа по SSH для IP %IP%.
    stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT   # Отключение доступа по SSH для IP %IP%.
    cmd_timeout = 60               # Время ожидания выполнения команды (сек).

Сохраним конфигурацию и запустим сервис:

systemctl start knockd

Теперь на клиенте перед подключением к серверу по SSH нужно будет использовать следующую команду - постучаться

knock IP_сервера 7000 9000 8000

Новая кампания атак была нацелена на известные расширения Google Chrome, что подвергло более 600 000 пользователей риску раскрытия данных. 🚨 Атака была направлена на издателей браузерных расширений в интернет-магазине Chrome. Первая жертва — компания Cyberhaven, один из сотрудников которой подвергся фишинговой атаке 24 декабря, что позволило злоумышленникам опубликовать вредоносную версию расширения. 27 декабря Cyberhaven рассказала, что злоумышленник скомпрометировал расширение и внедрил вредоносный код для связи с C2 с целью кражи файлов cookie и токенов доступа пользователей. 🌐 Расширения, подозревающиеся в компрометации: ⏺️AI Assistant - ChatGPT and Gemini for Chrome ⏺️Bard AI Chat Extension ⏺️GPT 4 Summary with OpenAI ⏺️Search Copilot AI Assistant for Chrome ⏺️TinaMInd AI Assistant ⏺️Wayin AI ⏺️VPNCity ⏺️Internxt VPN ⏺️Vindoz Flex Video Recorder ⏺️VidHelper Video Downloader ⏺️Bookmark Favicon Changer ⏺️Castorus ⏺️Uvoice ⏺️Reader Mode ⏺️Parrot Talks ⏺️Primus ⏺️Tackker - online keylogger tool ⏺️AI Shop Buddy ⏺️Sort by Oldest ⏺️Rewards Search Automator ⏺️ChatGPT Assistant - Smart Search ⏺️Keyboard History Recorder ⏺️Email Hunter ⏺️Visual Effects for Google Meet ⏺️Earny - Up to 20% Cash Back 💱 Основатель Secure Annex Джон Такнер предположил, что кампания продолжается с 5 апреля 2023 года, и, вероятно, даже раньше, исходя из дат регистрации используемых доменов nagofsg[.]com и sclpfybn[.]com. Cyberhaven сообщает, что вредоносная версия расширения браузера была удалена примерно через 24 часа после его запуска. Некоторые из других расширений также уже обновлены или удалены из Интернет-магазина Chrome.

🎄 Поздравляем с наступающим Новым годом! Желаем крепких паролей, надежной защиты и успехов во всех начинаниях! Пусть ваши знания и навыки помогают строить безопасное будущее для вас, ваших близких и вашего бизнеса. 🥂🥂 Спасибо, что были с нами в этом году. До встречи в 2025-м! ❤️ С любовью, ваш Кодебай! 😎