Инструмент выводит следующие файлы
git clone https://github.com/dirkjanm/ldapdomaindump
cd ./ldapdomaindump
pip install ldap3 dnspython future
python setup.py install
По умолчанию инструмент выводит все файлы в формате HTML, JSON и с разделителями табуляции (для поиска). Для удобства есть также два сгруппированных файла (users_by_group и computers_by_os). Они не поддерживают поиск. Вывод JSON для сгруппированных файлов по умолчанию отключен, так как он создает очень большие файлы без каких-либо данных, которых нет в других файлах.
По умолчанию ldapdomaindump пытается вывести на диск все атрибуты, которые он может прочитать, в файлы .json. В больших сетях это требует много памяти. Чтобы вывести только минимально необходимые атрибуты (те, которые по умолчанию отображаются в файлах .html и .grep), используйте --minimal.
LDAPDomainDump включает в себя утилиту, которую можно использовать для вывода файлов ldapdomaindumps .json в формате, аналогичном enum4linux. Утилита называется ldd2pretty и добавляется в ваш путь при установке. Также есть интеграция с BloodHound с помощью утилиты ldd2bloodhound для преобразования данных в формат, совместимый с BloodHound (версия 1.x).
Базовый дамп домена:
ldapdomaindump ldaps://192.168.138.15 -u 'TEST\user' -p password -o /tmp/ldapdump
Использование ldd2pretty для вывода аналогичному enum4linux:
ldd2pretty -d /tmp/ldapdump
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤5🔥5🏆2
Forwarded from Codeby One — пентест глазами исполнителя
Представьте: ваш последний пентест показал «идеальную» защиту, но через месяц хакеры сливают данные клиентов в даркнет. Регуляторы, штрафы, репутационный крах — и вопрос: «Как мы могли это пропустить?»
В чём подвох?
⚪️ «Бумажные» пентесты игнорируют реальные угрозы: уязвимые API, социнженерию, тени в инфраструктуре.
⚪️ Красивые отчёты ≠ безопасность. 68% компаний, которые не репортят инциденты, *уже взломаны*.
⚪️ Штрафы за утечки в 2024 году достигают миллионов, но главный удар — по доверию клиентов.
3 причины, почему компании играют в русскую рулетку:
1️⃣ «Нам нужна галочка, а не проблемы» — страх перед правдой.
2️⃣ «Настоящий пентест — это дорого» — но штрафы и убытки дороже в 10 раз.
3️⃣ «Наши сотрудники и так всё знают» — однако 84% внутренних проверок пропускают критические дыры.
Что делать?
▪️ CISO: Документируйте каждый шаг — это ваш щит перед регуляторами.
▪️ HR: Тренируйте сотрудников через реалистичные фишинг-атаки.
▪️ CTO: Интегрируйте безопасность в CI/CD, чтобы ловить угрозы до продакшена.
Как отличить показуху от реальной защиты? Читайте полный разбор — и проверьте, не ваш ли бизнес следующий в списке жертв «галочных» проверок.
В чём подвох?
3 причины, почему компании играют в русскую рулетку:
Что делать?
Как отличить показуху от реальной защиты? Читайте полный разбор — и проверьте, не ваш ли бизнес следующий в списке жертв «галочных» проверок.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍9❤5
Платформа тестирования безопасности для Android, поддерживаемая компанией WithSecure. Позволяет искать уязвимости в приложениях и устройствах, взаимодействуя с Android Runtime, другими приложениями, конечными точками IPC и базовой операционной системой.
Для установки последней версии консоли drozer с PyPI можно использовать pip или pipx:
pipx install drozer
Агент drozer можно получить из репозитория в виде файла Android Package (.apk). Его можно установить на эмулятор или устройство с помощью Android Debug Bridge (adb):
adb install agent.apk
. Приложение Drozer Agent должно появиться в панели запуска вашего устройства.Теперь нужно соединить устройства на которых установлены агент и консоль, затем приступать к исследованию. Для этого можно использовать сервер, встроенный в Drozer Agent. Сначала запускаем, выбираем опцию Embedded Server и нажимаем Enable, чтобы запустить сервер. Вы должны увидеть уведомление о том, что сервер запущен.
Далее возможны варианты подключения через сеть
drozer console connect --server <phone's IP address>
и через USB:adb forward tcp:31415 tcp:31415
drozer console connect
Использовать инструмент будем на примере потенциально уязвимого приложения Sieve.
Первым шагом в оценке Sieve является поиск приложения на устройстве Android
run app.package.list -f sieve
. Приложения, установленные на устройстве Android, однозначно идентифицируются по «имени пакета».Далее запрос у drozer базовой информации о пакете с помощью команды
run app.package.info -a com.withsecure.example.sieve
. Результатом будет ряд сведений о приложении, в том числе версия, место хранения данных приложения на устройстве, место его установки и ряд сведений о разрешениях, предоставленных приложению.Определяем поверхность атаки
run app.package.attacksurface com.withsecure.example.sieve
.Подробнее изучаем узнав какие действия экспортируются Sieve, используя более конкретные команды:
run app.activity.info -a com.withsecure.example.sieve
В данном случае можем обойти аутентификацию через действие PWList:
run app.activity.start --component com.withsecure.example.sieve com.withsecure.example.sieve.activity.PWList
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤8🔥5🏆1
Volt Typhoon: как китайские хакеры годами скрытно атакуют критическую инфраструктуру США
Киберразведка вскрыла опасные схемы работы хакерской группы Volt Typhoon, связанной с КНР. В статье разбираем:
▪️ Их уникальные методы (LOTL, эксплуатация легальных инструментов)
▪️ Хронологию скрытных многоэтапных атак
▪️ 5 ключевых уязвимостей, которые они используют
▪️ Конкретные меры защиты для вашей инфраструктуры
Особое внимание:
✅ Как они годами остаются незамеченными
✅ Почему классические антивирусы бессильны
✅ Какие отрасли в зоне риска прямо сейчас
🔴 Читать полный разбор атаки
🔴 Для тех, кто хочет глубже изучить защиту инфраструктуры: 30+ виртуальных машин, 100+ практических тасков здесь.
Киберразведка вскрыла опасные схемы работы хакерской группы Volt Typhoon, связанной с КНР. В статье разбираем:
Особое внимание:
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍7🔥7
Weakpass
Ресурс, представляющий собой коллекцию словарей для брутфорса и набор инструментов для взлома паролей и хэшей. Может быть полезен как для проведения пентестов, так и для повышения безопасности паролей. Доступно более 1500 вордлистов, загрузку можно осуществить через torrent. Кроме того, у сервиса есть API для автоматизации и интеграции в собственные инструменты.
⚡️ Обзор функций
⏺️ Lookup - инструмент поиска пароля по хэшу. Выполняется безопасный поиск по хешу, обеспечивая безопасность и конфиденциальность ваших данных. С помощью поиска можно найти пароли для таких хешей, как MD5, NTLM, SHA1 и SHA256. В качестве базы данных используется предварительно рассчитанный файл weakpass4.merged.txt без отправки хэша на сервер.
⏺️ Password check - проверка пароля на то был ли он взломан или уязвим для атак на основе правил. Инструмент проверяет, есть ли ваш пароль в списке weakpass_4.merged с помощью API поиска по диапазону и имитирует атаки на основе правил, применяя «обратные» правила Hashcat для выявления слабых паролей. Все проверки также выполняются на стороне клиента, поэтому пароль никогда не отправляется на сервер.
⏺️ Generator - генератор паролей. Создаёт список слов на основе предоставленных пользователем ключевых слов для целевого тестирования паролей. Например, введя Acme.corp, получим список возможных паролей, таких как Acme.corp2018!, Acme.corp123 и т. д. По умолчанию генератор будет использовать собственные правила, но можно настраивать свои.
⏺️ Kraker-JS - инструмент пытается подобрать хэши прямо в браузере. Является исключительно клиентским инструмент на основе JavaScript. Поддерживаемые типы хэшей: MD5, SHA1, криптографические функции, JWT, Net-NTLMv2 и другие. Так же осуществляется поддержка запуска нескольких задач одновременно для эффективной обработки.
Ресурс является абсолютно бесплатным и без ограничений.
Ресурс, представляющий собой коллекцию словарей для брутфорса и набор инструментов для взлома паролей и хэшей. Может быть полезен как для проведения пентестов, так и для повышения безопасности паролей. Доступно более 1500 вордлистов, загрузку можно осуществить через torrent. Кроме того, у сервиса есть API для автоматизации и интеграции в собственные инструменты.
Ресурс является абсолютно бесплатным и без ограничений.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤6🔥6🏆2
🚩 Новые задания на платформе HackerLab!
👩💻 Категория Pentest Machines — Umbrella
🌍 Категория Веб — Easy Upload
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠 Разное - Странный код
🟠 OSINT - Назад в будущее
🟠 Стеганография - Самозванец
Приятного хакинга!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍9❤7🤯1
Примеры Equifax и WannaCry наглядно показали: большинство взломов происходят через известные уязвимости, которые просто не закрыли вовремя. Сейчас та же угроза нависла над браузерами — главными "воротами" для хакеров.
Компания Google недавно представила очередное крупное обновление своего популярного веб-браузера Chrome — версию 135. Эта версия включает ряд важнейших патчей, устраняющих потенциально серьезные угрозы безопасности. Вот основные моменты:
Что было исправлено?
Google также устранил другие критические уязвимости в движке Chromium. Детали не разглашаются, чтобы хакеры не успели ими воспользоваться до массового обновления.
Компания Mozilla тоже выпускает важную новую версию своего знаменитого браузера Firefox — 137-ю. Это обновление приносит существенные улучшения в области безопасности, призванные защитить миллионы пользователей по всему миру.
Какие изменения внесены?
Кроме того, были выявлены и ликвидированы другие уязвимости различной степени опасности, информация о большинстве из которых временно закрыта ради безопасности пользователей.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25🔥8❤6
Ettercap
Ettercap - это мощный инструмент для анализа и атаки на сетевые протоколы, который используется в основном для проведения атак типа "человек посередине" (Man-in-the-Middle, MitM). Он позволяет перехватывать, анализировать и модифицировать сетевой трафик в реальном времени. Ettercap поддерживает различные протоколы, включая Ethernet, TCP, UDP и ICMP, и может работать как в графическом, так и в текстовом режиме.
Ettercap поддерживает активное и пассивное вскрытие многих протоколов (даже зашифрованных) и включает множество функций для анализа сети и хоста. Также возможна инъекция данных в установленное соединение и фильтрация (замена или отбрасывание пакета) на лету, сохраняя соединение синхронизированным.
Реализовано множество режимов сниффинга для мощного и полного набора сниффинга.
Сниффинг возможен в четырех режимах:
🔸 на основе IP;
🔸 на основе MAC;
🔸 на основе ARP (полный дуплекс);
🔸 на основе PublicARP (полудуплекс).
Ettercap также может обнаруживать коммутируемую локальную сеть и использовать отпечатки ОС (активные или пассивные) для поиска геометрии локальной сети.
📌 Установка:
Инструмент уже установлен в Kali Linux с графическим интерфейсом.
💡 Можно также скачать из исходников:
📎 Запуск:
При запуске выбираем сетевой интерфейс (по умолчанию eth0, меняем на wlan0) и запускаем сниффинг.
Для запуска вашего "свистка" пишем
Ищем ваш адаптер и включаем его
и выбираем в
Ettercap - это мощный инструмент для анализа и атаки на сетевые протоколы, который используется в основном для проведения атак типа "человек посередине" (Man-in-the-Middle, MitM). Он позволяет перехватывать, анализировать и модифицировать сетевой трафик в реальном времени. Ettercap поддерживает различные протоколы, включая Ethernet, TCP, UDP и ICMP, и может работать как в графическом, так и в текстовом режиме.
Ettercap поддерживает активное и пассивное вскрытие многих протоколов (даже зашифрованных) и включает множество функций для анализа сети и хоста. Также возможна инъекция данных в установленное соединение и фильтрация (замена или отбрасывание пакета) на лету, сохраняя соединение синхронизированным.
Реализовано множество режимов сниффинга для мощного и полного набора сниффинга.
Сниффинг возможен в четырех режимах:
Ettercap также может обнаруживать коммутируемую локальную сеть и использовать отпечатки ОС (активные или пассивные) для поиска геометрии локальной сети.
Инструмент уже установлен в Kali Linux с графическим интерфейсом.
git clone https://salsa.debian.org/pkg-security-team/ettercap.git
cd ettercap
При запуске выбираем сетевой интерфейс (по умолчанию eth0, меняем на wlan0) и запускаем сниффинг.
Для запуска вашего "свистка" пишем
ip a
Ищем ваш адаптер и включаем его
ifconfig wlan0 up
и выбираем в
ettercap
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥6❤4
Хотите научиться быстро проверять человека по открытым данным? Приходите на бесплатный вебинар!
Спикер: Екатерина Тьюринг – эксперт по кибербезопасности с 5-летним опытом, спикер Offzone/PHDays.
Сегодня в 19:00 по МСК — бонусы для всех участников.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤5🔥4😁2
Вы еще успеваете присоединиться!
Через час — мастер-класс от Екатерины Тьюринг.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤7🔥7
Crunch
Crunch — это генератор списков слов, в котором вы можете указать стандартный набор символов или любой набор символов, который будет использоваться при создании списков слов. Списки слов создаются путем комбинирования и перестановки набора символов. Вы можете определить количество символов и размер списка.
💡 Возможности:
⏺️ Генерация словарей
⏺️ Настройка кодировки
⏺️ Интеграция с другими инструментами
⏺️ Вывод в различных форматах
📌 Установка:
Инструмент уже установлен в Kali Linux, но...
Можно также скачать из исходников:
📎 Запуск:
crunch -h
⏺️ Создание словаря паролей длиной от 1 до 3 символов, используя только строчные буквы:
⏺️ Создание словаря паролей длиной от 1 до 3 символов, используя цифры и строчные буквы:
⏺️ Создание словаря паролей длиной от 1 до 3 символов, используя символы, цифры и строчные буквы:
⏺️ Генерация словаря с использованием ключевых слов и добавлением чисел
Crunch — это генератор списков слов, в котором вы можете указать стандартный набор символов или любой набор символов, который будет использоваться при создании списков слов. Списки слов создаются путем комбинирования и перестановки набора символов. Вы можете определить количество символов и размер списка.
Инструмент уже установлен в Kali Linux, но...
Можно также скачать из исходников:
git clone https://salsa.debian.org/debian/crunch.git
cd crunch
crunch -h
crunch 1 3 abcdefghijklmnopqrstuvwxyz -o [PATH]
crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789 -o [PATH]
crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789!"№;%:?*()-= -o [PATH]
crunch 1 6 -o [PATH] -t password%% -t admin%% -t user%%
где %% - заменит на случайные числа
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤5🔥4
DMitry: Всё, что вы хотели знать о своем целевом хосте
🪄 Основные функции
- Whois-запросы - информация о домене (
- Сканирование портов - выявление открытых портов (
- Поиск поддоменов - идентификация связанных поддоменов (
- Сбор email-адресов - поиск адресов, связанных с доменом (
- Информация от Netcraft - извлечение данных о хосте (
🪄 Установка DMitry
DMitry обычно предустановлен в Kali Linux. Если его нет, установите с помощью команды:
🪄 Примеры использования
1. Сканирование всех доступных данных и сохранение в файл:
Команда делает whois-запросы для домена и IP, собирает данные с Netcraft, ищет поддомены и email-адреса, а потом сохраняет все результаты в файл "результат.txt".
2. Сканирование портов с отображением фильтрованных портов и баннеров:
Команда сканирует TCP-порты, показывает фильтрованные порты и собирает баннеры.
✨ Возможности и лайфхаки
- Время ожидания (TTL) - опция
- Комбинирование опций - DMitry поддерживает использование нескольких параметров одновременно. Например, команда
- Сохранение результатов - параметр
🔮 DMitry (Deepmagic Information Gathering Tool) — это удобный инструмент для Linux/UNIX, который помогает собирать разные данные о целевом хосте. С его помощью можно узнать о поддоменах, найти email-адреса, проверить время работы сервера, просканировать порты, сделать whois-запросы и многое другое.
- Whois-запросы - информация о домене (
-w
) и IP (-i
). - Сканирование портов - выявление открытых портов (
-p
), фильтрованных (-f
), сбор баннеров (-b
). - Поиск поддоменов - идентификация связанных поддоменов (
-s
). - Сбор email-адресов - поиск адресов, связанных с доменом (
-e
). - Информация от Netcraft - извлечение данных о хосте (
-n
). DMitry обычно предустановлен в Kali Linux. Если его нет, установите с помощью команды:
sudo apt install dmitry
1. Сканирование всех доступных данных и сохранение в файл:
dmitry -winseo результат.txt example.com
Команда делает whois-запросы для домена и IP, собирает данные с Netcraft, ищет поддомены и email-адреса, а потом сохраняет все результаты в файл "результат.txt".
2. Сканирование портов с отображением фильтрованных портов и баннеров:
dmitry -pfb example.com
Команда сканирует TCP-порты, показывает фильтрованные порты и собирает баннеры.
- Время ожидания (TTL) - опция
-t
задает время ожидания при сканировании портов. Например, -t 5
устанавливает TTL в 5 секунд. - Комбинирование опций - DMitry поддерживает использование нескольких параметров одновременно. Например, команда
dmitry -winsep example.com
выполнит полный анализ: whois-запросы, поиск поддоменов, email-адресов и сканирование портов. - Сохранение результатов - параметр
-o
позволяет сохранить результаты в файл для дальнейшего изучения.Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤6🔥4
Атакующие используют популярный ресурс для хостинга проектов и обмена программным обеспечением SourceForge для распространения майнеров и трояна ClipBanker под видом приложений Microsoft Office. С данной активностью уже столкнулось порядка 5000 российских пользователей.
🔗 Цепочка заражения
Злоумышленники создали проект на одном из доменов SourceForge (sourceforge.io), предлагая бесплатно скачать популярные приложения Microsoft. На странице отображался список офисных программ, но вместо них по ссылке загружался вредоносный архив.
В архиве находились два файла:
⏺️ Запароленный архив;
⏺️ Текстовый документ с паролем.
После распаковки защищённого архива на компьютер жертвы проникали две вредоносные программы:
⏺️ Майнер, использующий ресурсы ПК для добычи криптовалюты в пользу злоумышленников;
⏺️ ClipBanker — троян, подменяющий адреса криптокошельков для кражи средств.
Внутри вложенного архива находился файл размером 700 МБ вероятно для убеждения жертвы в подлинности файла, но реальный вредоносный код занимал всего 7 МБ. Остальной объём был заполнен «мусором». Данная техника получила название File Pumping.
❗️ Несмотря на то что в данный момент атака направлена на криптовалюту, в будущем злоумышленники могут продавать доступ к заражённым устройствам или использовать их для других атак.
👀 Как обманули SourceForge?
1️⃣ Атакующие воспользовались особенностью платформы: проекты на sourceforge.net автоматически получают дополнительный домен на sourceforge.io.
2️⃣ На основном сайте они разместили безвредное ПО, а на дополнительном — описание «офисных программ» с вредоносной ссылкой.
В качестве мер предосторожности можно посоветовать пользователем подходить к загрузке программного обеспечения более осмысленно и скачивать программы только из официальных источников.
🔗 Цепочка заражения
Злоумышленники создали проект на одном из доменов SourceForge (sourceforge.io), предлагая бесплатно скачать популярные приложения Microsoft. На странице отображался список офисных программ, но вместо них по ссылке загружался вредоносный архив.
В архиве находились два файла:
После распаковки защищённого архива на компьютер жертвы проникали две вредоносные программы:
Внутри вложенного архива находился файл размером 700 МБ вероятно для убеждения жертвы в подлинности файла, но реальный вредоносный код занимал всего 7 МБ. Остальной объём был заполнен «мусором». Данная техника получила название File Pumping.
В качестве мер предосторожности можно посоветовать пользователем подходить к загрузке программного обеспечения более осмысленно и скачивать программы только из официальных источников.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤4🔥4👎2
🚪Knock: Утилита для поиска субдоменов
🔍 Основные возможности Knock
➡️ Автоматический перебор поддоменов с использованием словарей.
➡️ Быстрая работа за счет асинхронных запросов.
➡️ Гибкость в настройке (можно указывать пользовательские словари).
➡️ Поддержка многопоточности для ускорения сканирования.
➡️ Легкость в использовании — Knock написан на Python и легко устанавливается через pip.
⬇️ Установка Knock
Для установки Knock используйте команду:
🌟 Пример использования
Чтобы просканировать домен на наличие поддоменов, выполните:
Это позволит получить список возможных поддоменов, которые могут быть неочевидны при обычном анализе.
⚡️ Где применяется Knock?
➡️ Тестирование безопасности веб-приложений.
➡️ Исследование инфраструктуры компаний.
➡️ Поиск скрытых сервисов и админ-панелей.
➡️ Расширенный OSINT-анализ.
Knock — это утилита для автоматического поиска субдоменов, используемая в тестировании на проникновение и кибербезопасности. Она помогает исследователям находить скрытые поддомены веб-сайтов, что может быть полезно для выявления потенциальных уязвимостей.
Для установки Knock используйте команду:
pip install knock-subdomains
Чтобы просканировать домен на наличие поддоменов, выполните:
knockpy -d domain.com --recon --bruteforce
Это позволит получить список возможных поддоменов, которые могут быть неочевидны при обычном анализе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤8🔥8
AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая!
Более 30 виртуальных машин, которые не взломает 80% участников CTF:
🔸 AD-сети с миксом Windows/Linux
🔸 Задачи на эскалацию привилегий, persistence, stealth
🔸 Разбор решений от победителей the Standoff
Бросаем вызов с 29 мая😎
🔴 Регистрация
Более 30 виртуальных машин, которые не взломает 80% участников CTF:
Бросаем вызов с 29 мая
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆14👍6🔥4👎3
Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥 Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍6❤4🏆2
С Днём труда, бойцы киберфронта! 😎
Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.
Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤42👍21🔥11🎉5👾2😭1
Process Environment Block (PEB) — это золотая жила для исследователей кода, содержащая критически важные данные о процессе, обычно скрытые в ядре. В новой статье разбираем, как с помощью PEB можно:
🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)
Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.
🔴 Исходники и полная статья
Содержание статьи:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤6🔥5🤨1
🚩 Новые задания на платформе HackerLab!
🌍 Категория Веб — Звездный сейф
🔎 Категория OSINT — Пасхалка
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠 Веб - Старая версия
🟠 Стеганография - Н.Н.
🟠 Разное - Старый боец
Приятного хакинга!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥8❤6
Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего
Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь
😁 Как работал бэкдор?
Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.
Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.
📹 Хронология атак
⏺️ 2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️ 2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.
🔍 Атрибуция и технические детали
Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.
Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):
Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.
2. Обход цифровой подписи обновлений:
Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.
Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS
Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
Действия бэкдора:
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.
Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.
Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):
Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
2. Обход цифровой подписи обновлений:
Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍27❤7🔥7