Codeby

Patator Patator - это инструмент намного превосходящий по возможностям такие инструменты как Hydra, Medusa, Ncrack и т.п. Вы уже поняли что это брутфорсер, но не обычный. Особенности этого инструмента: 🔸Нет ложных срабатываний. 🔸Модульный дизайн 🔸Многопоточность 🔸Интерактивное выполнение Мы попробуем подобрать пароль к учётной записи на сайте, а также к ssh службе. ➡️ И так, для работы patator нужно использовать специальный модуль, найдём его:

patator -h

http_fuzz - нам нужен именно он. ➡️ Следующая команда запустит атаку на данный аккаунт:

patator http_fuzz url=https://127.0.0.1:80/login.php method=POST body='Login=FILE0&Password=FILE1' 0=[PATH_LOGIN] 1=[PATH_PASS] follow=1 accept_cookie=1

➡️ А эта выполнит атаку на ssh сервер:

patator ssh_login host=127.0.0.1 user=FILE0 password=FILE1 0=[PATH_LOGIN] 1=[PATH_PASS]

➡️ Очень полезный ключ в совокупности с этим всем -x:

patator ssh_login host=127.0.0.1 user=FILE0 password=FILE1 0=[PATH_LOGIN] 1=[PATH_PASS] -x ignore:mesg='Authentication failed.'

Который будет игнорировать сообщение о неудачной аутентификации.

Commix Инструмент Commix предназначен для использования уязвимости Command Injection в веб-приложениях. Commix удобен для веб-разработчиков, тестеров на проникновение и исследователей безопасности. Он предоставляет пользователю множество опций, таких как возможность указать параметры, которые необходимо подключить к хосту, перечисление жертвы, доступ к файлам и их изменение, а также автономный режим. Это довольно полезный актив для использования уязвимости внедрения команд. Давайте посмотрим как он работает:

commix -u example.de --data='q=-s'

-s - это предположительно уязвимый параметр. Если программа определила уязвимый параметр, проэксплуатировала его и открыла OS-Shell, то далее выбираем reverse_tcp. Далее синтаксис схож с Metasploit Framework.

⚡️ Дональд Трамп неожиданно помиловал основателя печально известного подпольного онлайн-рынка Silk Road Росса Ульбрихта, который с 2015 года отбывал пожизненный срок в федеральной тюрьме. Это решение стало настоящей сенсацией, вызвав шквал обсуждений в СМИ и соцсетях. Silk Road, функционировавший в сети Tor, стал первой крупной платформой, где за биткойны продавались наркотики, фальшивые документы и другие нелегальные товары. 👀 Ульбрихт, управлявший сайтом под псевдонимом "Ужасный пират Робертс" (отсылка к фильму "Принцесса-невеста"), был признан виновным по целому ряду обвинений, включая наркоторговлю, отмывание денег и сговор с целью взлома компьютерных систем.

"Это было необходимо" — Д. Трамп

На платформе Truth Social Трамп резко высказался в адрес тех, кто добивался обвинительного приговора:

🗣️ Мерзавцы, которые работали над его осуждением, были теми же безумцами, что пытались устроить охоту на меня

Помилование, по его словам, стало "полным и безоговорочным", а сам он лично позвонил матери Ульбрихта, чтобы сообщить ей радостную новость. Адвокат Росса, Джошуа Дрейтел, выразил благодарность за это решение, заявив, что теперь его подзащитный сможет "начать новую жизнь и реализовать тот потенциал, который был утерян за годы заключения". Однако сроки освобождения Ульбрихта из тюрьмы в Аризоне пока не уточняются. ❓ Кто такой Росс Ульбрихт? Росс, амбициозный программист, в свое время мечтал создать платформу свободного рынка, где не будет государственного контроля. Его адвокаты утверждают, что Silk Road позже был передан другим лицам, а самого Ульбрихта сделали "козлом отпущения". Новость уже вызвала бурю реакций: от восторженных комментариев в криптосообществах до резкой критики со стороны сторонников жесткой борьбы с наркотрафиком. Как это решение изменит цифровой мир и повлияет на будущее судебных процессов в эпоху криптовалют? Делитесь своими мыслями в комментариях! #новости

Как искать иголку в цифровом стоге сена? Представьте, что вам нужно собрать максимум информации о человеке, организации или событии, используя только открытые источники. Кажется сложным? На самом деле, это искусство, которым овладевают специалисты OSINT. Поговорим о методах в новой статье. Что вы узнаете из статьи? 1️⃣ Back-Me-Up: Утилита, которая сканирует хосты на наличие забытых или скрытых поддоменов. Часто используется для поиска тестовых окружений компаний или старых веб-сайтов, которые неожиданно открывают доступ к чувствительной информации. 2️⃣ Enola-Finds: Уникальный инструмент для поиска информации по никам. Например, хотите узнать, что писал пользователь под одним и тем же ником на форумах, в соцсетях или даже на старых онлайн-платформах? Этот инструмент вас выручит. 3️⃣ Другие фишки OSINT: 🔸Способы поиска информации по e-mail: кто владелец, где зарегистрирован и какие данные можно из него вытащить. 🔸Анализ оставленных цифровых следов: как правильно интерпретировать данные с форумов, блогов и даже старых архивов. 🔸Примеры из реальных расследований, где OSINT-инструменты раскрыли детали, которых никто не ожидал. OSINT — это больше, чем просто сбор данных. Это навык, который применим в кибербезопасности, аналитике, расследованиях и даже в бизнесе. Правильный инструмент и грамотный анализ способны спасти компании от утечек или помочь расследователям вывести преступников на чистую воду. 🔍 Хотите больше? Если вас заинтересовали описанные методы, то это только верхушка айсберга. На обновленном курсе «OSINT: технология боевой разведки» вы освоите лучшие практики разведки в интернете за 4 месяца. ➡️Записаться на курс можно здесь или у нашего менеджера @Codeby_Academy 🚀 ⭐️ Читать статью полностью

Gobuster Gobuster — это инструмент, используемый для подбора паролей к следующим идентификаторам URI (каталогам и файлам) на веб-сайтах, поддоменам DNS (с поддержкой подстановочных знаков), именам виртуальных хостов на целевых веб-серверах, открытым контейнерам Amazon S3, открытым контейнерам Google Cloud и серверам TFTP. Инструмента нет в kali, поэтому мы его установим:

sudo apt install gobuster

Давайте попробуем использовать режим перечисления поддоменов DNS:

gobuster dns --domain example.de --wordlist [PATH]

С помощью команды completion, мы получим скрипт который даст нам доступ к shell.

gobuster comletion bash

Давайте используем режим перечисления для директорий и файлов:

gobuster dir --url [URL] --wordlist [PATH]

Как мемкоин Трамп открыл новую эру блокчейна: смекалка, миллионы и азарт Ночью блокчейн Solana стал ареной настоящей крипто-драмы, которая дала понять, зачем на самом деле нужен блокчейн. Мемкоин Трамп, взлетевший за считанные часы, стал катализатором новой волны спекуляций, смекалки и неожиданных успехов. Разгон $ TRUMP На один из кошельков, связанный с создателем токена Трамп, поступило более 56 миллионов монет (2.7 миллиарда долларов). Это мог быть маркетмейкер, участник команды или сам президент. Но внимание привлекли не только объемы мемкоина Трамп. На кошелек начали закидывать "левые" мемкоины. Один из них — Милей. Создатель токена Милей отправил 4.4 миллиона монет на кошельки крупнейших держателей Трампов. Блокчейн-энтузиасты, мониторящие Solana, начали скупать этот мемкоин. Итог: за 10 часов объем продаж мемкоин-подкидышей превысил $487 тысяч. Как сейчас зарабатывают на мемах 🙂 Создатели других подкинутых монет тоже не теряли времени. На крупные кошельки, держащие Трамп за сутки накидали 183 новых токена. Некоторые из них за ночь принесли своим создателям сотни тысяч долларов. К примеру: ➡️ Токен 1: объем продаж — $500 тысяч. ➡️ Токен 2: объем продаж — $500 тысяч. 🔸 Общая сумма продаж всех "левых" монет за сутки — более $20 миллионов.

Создать монету, закинуть её на заметный кошелек и смотреть, как трейдеры начинают покупать, — теперь это новая модель заработка в блокчейне.

Мемкоин TRUMP уже стал символом новой эпохи блокчейна — это похоже на эволюцию классических казино, только с прозрачностью и безграничными возможностями децентрализации. Поздравляем тех, кто успел заработать, и наблюдаем за развитием событий 👀 Криптаны в чате, активизируйтесь! #новости

Хотите научиться разрабатывать сайты любой сложности — от личного блога до новостного портала? Станьте профессионалом в создании сайтов на Python вместе с Академией Кодебай! 😎 Чему вы научитесь: 🔸 Создавать сайты на Django с нуля. 🔸 Верстать интерфейсы. 🔸 Настраивать бэкенд и интеграцию приложений. 🔸 Разбираться в архитектуре REST и использовать Django REST Framework. Запись до 23 января. Присоединиться: https://clck.ru/3Fs4hz Программа курса: 🔸 Основы Django и настройка проекта. 🔸 Работа с ORM, миграциями и базами данных. 🔸 Создание API с помощью DRF: Serializers, Viewset, аутентификация. 🔸 Обработка форм, cookies, sessions, сигналы, безопасность, и многое другое! 🌟 После прохождения курса вы сможете создавать современные веб-приложения и продвигать свои проекты в IT! 🚀 По всем вопросам @Codeby_Academy

WhatWeb WhatWeb идентифицирует веб-сайты. Он распознает веб-технологии, включая системы управления контентом (CMS), блог-платформы, статистические/аналитические пакеты, библиотеки JavaScript, веб-серверы и встроенные устройства. WhatWeb имеет более 900 плагинов, каждый из которых распознает что-то свое. Он также определяет номера версий, адреса электронной почты, идентификаторы учетных записей, модули веб-фреймворка, ошибки SQL и многое другое. Запуск:

whatweb [URL]

Но мы получим не структурированную информацию, поэтому используем ключи: -v - подробный вывод включает описания плагинов. -a - агрессивное сканирование (от 1 до 3). Мы можем получить такую информацию как IP, Страна, HTTP-сервер, Информацию о плагинах, и заголовок

Технологии кибербезопасности, которые остались в прошлом В 2024 году кибербезопасность попрощалась с рядом устаревших решений, уступивших место более современным технологиям: 1⃣ Устаревшая MFA Причина утраты: уязвимость к фишингу, MitM-атакам и взлому SIM-карт. Преемник: стандарты FIDO2 с использованием биометрии и аппаратных ключей, которые защищают данные без использования паролей. 2⃣ Антивирусы на основе сигнатур Сигнатурные антивирусы были верными спутниками пользователей с начала эры интернета. Но их неспособность справляться с угрозами, которые мутируют быстрее, чем обновляются базы данных, сделала их бесполезными против современных атак. Причина утраты: неспособность справляться с полиморфным и бесфайловым вредоносным ПО. Преемник: EDR/XDR, использующие машинное обучение для анализа поведения системы и предотвращения атак. 3⃣ Устаревшие VPN VPN долгое время оставались стандартом для удалённого доступа, но их концепция “один раз довериться — получить доступ ко всему” устарела в эпоху гибридных рабочих моделей и облачных технологий. Причина утраты: низкая производительность и уязвимость. Преемник: ZTNA, обеспечивающий динамическое управление доступом, и SASE, объединяющий безопасность и сетевую оптимизацию. 4⃣ Менеджеры паролей Причина утраты: утрата доверия из-за утечек данных. Преемник: FIDO2 и решения без паролей, интегрированные с IAM-системами. Уроки прошлого: ✖️ Адаптация: устаревшие технологии уязвимы к современным угрозам. ✖️ Интеграция: комплексные решения заменяют изолированные инструменты. ✖️ Фокус на безопасность нового поколения: MFA нового поколения и решения без паролей становятся стандартом.

Kube-hunter

Специализированый сканер уязвимостей для проверки безопасности kubernetes. Распространяется под лицензией Apache.

🔴 Этот сканер ищет уязвимости в удалённых кластерах, а затем пробивает защиту на основании полученной информации об уявимостях. Пользоваться им следует осторожностью, потому что он может что-нибудь сломать. 🔴 Есть 2 режима работы — обычный и активный. В первом он выдаёт только информацию об уязвимостях. А второй пытается проникнуть самостоятельно. Скачать сканер можно тут. Для работы нужен только python, ну или докер.

docker pull aquasec/kube-hunter

docker run --rm aquasec/kube-hunter [АРГУМЕНТЫ]

Разберём привлекательные ключи: 🔸 remote [АДРЕС] — сканировать кластер по адресу; 🔸 cidr [CIDR] — найти и атаковать все кластеры в заданном диапазоне адресов; 🔸 active — Активный режим. 🔸 mapping — Вывести все найденные узлы Kubernetes. Можно просматривать результаты работы на онлайновой панели управления, но для этого требуется аккаунт на сайте компании.

Social engineer Toolkit Это набор инструментов для социальной инженерии, написанный специалистом в области кибербезопасности Дэвидом Кеннеди, предназначенный для выполнения сложных атак против человеческих слабостей. Такие атаки известны как "социальная инженерия". Для запуска используем следующую команду (от root):

sudo setoolkit

➡️Принимаем пользовательское соглашение и нам открывается список возможностей, попробуем отправить письмо, выбираем пункт "Social-Engineering Attacks". ➡️Затем выбираем "Mass Mailer Attack". ➡️В следующем окне у нас есть возможность отправить письмо, либо группе людей, либо одному человеку. Отправим письмо одному человеку. ➡️Выбираем свой шаблон и тему и что наше сообщение будет простым текстом. Далее нас спросят использовать свою почту или использовать свой сервер. Выбираем удобный вариант (для нас пока что первый). Отвечаем на вопросы и письмо отправлено. Инструмент имеет большой функционал для атак рода "социальная инженерия": 🔸 Векторы фишинговых атак 🔸 Векторы атак на веб-сайты 🔸 Генератор зараженных медиа 🔸 Создание полезной нагрузки и прослушивателя 🔸 Массовая почтовая атака 🔸 Вектор атаки на базе Arduino 🔸 Вектор атаки на беспроводную точку доступа 🔸 Вектор атаки на генератор QRCode 🔸 Векторы атак Powershell 🔸 Модули сторонних производителей

🛠 Инструменты специалиста Threat Intelligence Специалисты данной сферы используют различные инструменты для эффективного сбора, анализа и предоставления данных о киберугрозах. Основные инструменты: 1️⃣ Threat Intelligence Platform (TIP) Платформа, которые интегрируют данные из различных источников, обрабатывают и анализируют их с помощью различных технологий. TIP помогает определить, является ли предоставленные данные IoC’s, а также классифицировать угрозы, если данные все же является IoC’s. Самая распространенная платформа TI – VirusTotal. 2️⃣ Feeds Фиды в контексте Threat Intelligence предоставляют собой канал для получения информации о киберугрозах, включая IoC. Они обеспечивают обогащение контекста для инцидентов и облегчают работу SOC 3️⃣ Анализаторы ВПО Анализаторы вредоносного кода, такие как различные отладчики или песочницы, помогают специалистам определить поведение вредоносных программ и их тактики. Из распространенных отладчиков можно выделить IDA Pro, а из песочниц, которая обладает различным функционалом и удобна в использовании – ANY RUN 4️⃣ Матрица угроз Самая распространенная матрица угроз в информационной безопасности - MITRE ATT&CK. Это база знаний о тактиках, техниках и процедурах (TTP) злоумышленников, которая используется специалистами для углубленного исследования действий атакующих и написания более точных отчетов, которые в дальнейшем используются специалистами смежных департаментов.

🚩 Новые задания на платформе Codeby Games! 🕵️ Категория Форензика — Новый сотрудник 🏆 Категория Квесты — Самбо 🌍 Категория Веб — Творение безумца Приятного хакинга!

💵 Согласно отчёту аналитической компании Chainalysis, киберпреступники получили не менее $41 млрд с использованием криптовалюты. Ожидается, что эта сумма вырастет до $51 млрд, так как продолжается выявление новых адресов, связанных с преступной деятельностью. Ключевые направления незаконной активности: 🔸 Организованные группы — крупные сети преступников, включая транснациональные. 🔸 Мошенничество и скамы — с каждым годом изощрённее. 🔸 Даркнет-рынки — оборот составил $2 млрд. 🔸 Кражи средств — прирост на 21% до $2.2 млрд. 🔸 Санкционированные юрисдикции — криптоактивы под контролем санкционных органов. Снижение активности в отдельных категориях ➡️ Средства, поступившие на fraud-шопы, упали более чем на 50% – всего $220 млн. ➡️ Оборот даркнет-рынков также сократился по сравнению с 2023 годом. Рост краж и влияние Северной Кореи Из $2.2 млрд похищенных средств около $1.3 млрд украли северокорейские хакеры, которые остаются в авангарде кибератак, особенно на криптовалютные платформы и проекты. Смена предпочтений в криптовалютах 🔸 Stablecoins стали фаворитом среди преступников — на их долю пришлось 63% всей незаконной активности. 🔸 Bitcoin, хоть и теряет популярность, всё ещё активно используется в схемах вымогательства и на даркнет-рынках.

Хотя преступная деятельность в криптопространстве остаётся заметной, общий объём таких транзакций составляет всего **0.14%** от всех операций за 2024 год.

Как преступники используют криптовалюту ➡️ Традиционные схемы: отмывание денег, торговля наркотиками и оружием. ➡️ Поликриминал: многоуровневые преступления, такие как торговля людьми и интеллектуальное пиратство. #новости

🪲Индикаторы компрометации и их влияние на мониторинг ИБ. Индикаторы компрометации (IoC) – артефакты, которые могут указывать на наличие атак или возможных атак на инфраструктуру со стороны злоумышленников. К ним относятся: 🔸 IP-адреса 🔸 URL 🔸 Хэш-сумма файлов 🔸 DNS запросы Влияние IoC на мониторинг: 1️⃣ Обнаружение угроз IoC позволяет быстро идентифицировать потенциальные угрозы, что важно для быстрого реагирования на кибератаки. На основе предоставленных индикаторов компрометации системы мониторинга могу непрерывно отслеживать активность в инфраструктуре на наличие IoC 2️⃣ Анализ инцидентов При обнаружении IoC специалисты могут определить степень компрометации, предугадать возможный дальнейший исход событий и разработать определенный план реагирования на инцидент 3️⃣ Снижение False-сработок Количество ложноположительных срабатываний уменьшается за счет предоставленных IoC, так как предоставляются конкретные данные о вредоносных активностей.

🔍Threat Intelligence. Зачем нужна киберразведка? Threat Intelligence (TI или в простонародье «киберразведка») представляет собой процесс сбора, анализа и использования информации о киберугрозах, который помогает организациям лучше понимать риски и принимать обоснованные решения для защиты своих активов. Основные компоненты TI: 🔸 Сбор данных: интеграция информации из различных источников, такие как открытые и закрытые форумы, социальные сети, различные сайты и т.д. 🔸 Анализ данных: собранные данные проходят определенную обработку с использованием различных технологий 🔸 Классификация угроз: по различным критериям классифицируются угрозы для разработки определенных мер защиты 🔸 Информационные дайджесты: предоставление регулярных отчетов о текущах киберугрозах, APT-группировок и т.д. Так все же, зачем нужна киберразведка? Threat Intelligence, в первую очередь, предотвращает кибератаки еще до их начала. С помощью TI можно предугадать возможные атаки на организацию, нарисовать портрет злоумышленника и развернуть соответствующие средства защиты информации на основе предоставленных данных. Также на основе предоставленных данных от TI можно сократить время реагирования на кибератаку (Time to Response, TTR), поставив на особый мониторинг вредоносные IP-адреса, хэши, наименование файлов и т.д., которые одним словом называются индикаторы компрометации (Indicator of Compromise, IoC).

⚡️ Microsoft устраняет 8 уязвимостей нулевого дня в рамках январского Patch Tuesday 2025 Microsoft начала 2025 год с выпуска обновлений безопасности, закрывающих 8 уязвимостей нулевого дня, из которых 3 активно эксплуатируются злоумышленниками: CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335: ➡️Тип: Elevation of Privilege (EoP) ➡️Описание: Уязвимости в Windows Hyper-V NT Kernel Integration VSP с CVSS 7.8. Несмотря на "не самый высокий" рейтинг, эксперты предупреждают о серьёзной угрозе из-за ключевой роли Hyper-V в Windows 11 (защита устройства, управление учетными данными). Комментарий эксперта Immersive Labs, Кевина Брина:

«Если злоумышленник уже получил доступ к системе (например, через фишинг), эти уязвимости позволяют ему повысить свои привилегии до системного уровня, отключить защитные механизмы, похитить учетные данные и организовать дальнейшие атаки».

Другие исправленные уязвимости нулевого дня: 🔸 CVE-2025-21275: Проблема повышения привилегий в Windows App Package Installer 🔸 CVE-2025-21308: Спуфинг Windows Themes 🔸 CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: Уязвимости удалённого выполнения кода (RCE) в Microsoft Access Критические уязвимости с CVSS 9.8: 🔸 CVE-2025-21311: Повышение привилегий в Windows NTLM V1 🔸 CVE-2025-21307: RCE в Windows Reliable Multicast Transport Driver (RMCAST) 🔸 CVE-2025-21298: RCE в Windows OLE ⚙️ Рекомендации: Microsoft устранила свыше 150 CVE за январь, поэтому админам важно автоматизировать процесс управления патчами. Без этого сложно справиться с текущими темпами выхода обновлений. #новости

Maltego Maltego — это приложение для разведки и криминалистики с открытым исходным кодом. Оно предложит вам бережную добычу и сбор информации, а также представление этой информации в удобном для понимания формате, а именно визуализирует её в понятную схему. 💻 Установка: Конечно можно установить и из базового репозитория, но я столкнулся с рядом проблем при такой установке, а именно отсутсвие трансформационного меню.

sudo apt install maltego

Поэтому мы заходим на официальный сайт и устанавливаем через deb пакет.

https://www.maltego.com/downloads/

dpkg -i maltego-***.deb

У нас попросят создать аккаунт, берём любой сервис по фейковым почтам и создаём аккаунт, если вас попросят ввести номер телефона, вводите рандомные числа, он его не станет проверять, точно также не станет проверять и организацию. Но если вы хотите в будущем использовать программу, тогда вводите валидные данные. 💻 Запуск:

maltego

После запуска мы увидим миллион окон, их все читать не обязательно, просто пропускайте их ничего не меняя. По началу можно потеряться в пользовательском интерфейсе, поэтому давайте вместе поймём как начать работать с программой. 1️⃣Для начала сделаем базовую разведку сайта, копируем доменное имя и вставляем его в раздел "Entity Palette"->"Infrastructure"->"Domain". У нас должен появится кружочек с нашим доменным именем. 🔤 Далее кликаем по нему ПКМ и выбираем трансформацию к нему. Я выберу "To mail addresses", мы получили email/gmail адреса, точно также можно найти и номера телефонов. Самое интересное — расширения, их очень много и даже есть поисковик shodan. Но вам понадобиться API Key для его использования.

THE HARVESTER Пакет содержит инструменты для сбора имен поддоменов, адресов электронной почты, виртуальных хостов, открытых портов/баннеров и имен сотрудников из различных общедоступных источников (поисковые системы, серверы ключей PGP). Пакет инструментов уже предустановлен в Kali Linux. 💻Запуск:

theHarvester -h

⏺️Простая команда представленная ниже не даёт нам результатов, поэтому познакомимся в важными ключами:

theHarvester -d gnu.org

⏺️Лимит вывода будет очень полезен, если мы сканируем что-то большое:

theHarverster -d gnu.org -l 50 

⏺️Также можно увеличить вероятность поиска используя "источник", список я оставлю ниже:

theHarverster -d gnu.org -l 50 -b duckduckgo

⏺️Крутость этой программы, что она также может использовать shodan для получения информации:

theHarverster -d gnu.org -l 50 -b duckduckgo -s

⏺️И может также находить виртуальные хосты:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v

⏺️Ну и искать DNS-сервера:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v -n

⏺️Можно использовать метод грубой силы для DNS адресов на домене:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v -n -с {PATH}

Истоники:
anubis, baidu, bevigil, binaryedge, bing, bingapi, bufferoverun, brave, censys, certspotter, criminalip, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, hackertarget, hunter, hunterhow, intelx, netlas, onyphe, otx, pentesttools, projectdiscovery, rapiddns, rocketreach, securityTrails, sitedossier, subdomaincenter, subdomainfinderc99, threatminer, tomba, urlscan, virustotal, yahoo, zoomeye

Новый троян под названием NonEuclid позволяет злоумышленникам удалённо управлять скомпрометированными системами Windows. Компания Cyfirma сообщила, что ВПО разработано на С# и предоставляет атакующим несанкционированный удаленный доступ с использованием передовых методов уклонения от обнаружения. 👀 Наблюдения показывают, что его популярность среди киберпреступников растёт, о чём свидетельствуют обучающие материалы и обсуждения в Discord и YouTube, указывающие на скоординированные усилия по распространению и расширению его использования в вредоносных операциях. 🖥 RAT начинается с этапа инициализации клиентского приложения, после чего выполняет ряд проверок, чтобы избежать обнаружения, прежде чем настроить TCP-сокет для связи с указанным IP-адресом и портом. 💱 ВПО также настраивает исключения для антивируса Microsoft Defender, чтобы артефакты не помечались как подозрительные. NonEuclid отслеживает запущенные процессы "Taskmgr.exe", "ProcessHacker.exe" и "procexp.exe" и, используя вызовы API Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) проверяет совпадают ли запущенные в системе процессы с вышеперечисленными и при совпадении завершает их. 💰 Кроме того у трояна имеется функция шифрования файлов и их переименования с расширением «. NonEuclid», что фактически превращает программу в ransomware.

«NonEuclid RAT является примером растущей сложности современных вредоносных программ, сочетающих в себе передовые механизмы маскировки, функции защиты от обнаружения и возможности программ-вымогателей», — заявили в Cyfirma.