Криптопаразиты-снайперы: грабь награбленное‽

Биткоин-головоломки с «легкими» BTC казались простым выигрышем, пока не появились криптопаразиты, то есть хакеры, которые перебивают транзакции и забирают приз себе. Механика тут проста: транзакция раскрывает публичный ключ, а слабые кошельки позволяют быстро вычислить приватный и отправить свою транзакцию с более высокой комиссией.

⏺В статье у нас краткий разбор: как перебивают транзакции, ускоряют ставки, используют PoC и тестовые скрипты, чтобы забрать награбленное. Кейсы на 6.6–6.9 BTC показывают, как паразиты действуют быстрее обычного юзера и почему нужно быть осторожным с «легкими» головоломками.

ZeroDay | #Статья

afrog: сканер, который ускоряет пентест

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: afrog - быстрый и стабильный сканер на Go. Пробегает встроенные PoC: CVE, CNVD, default-пароли, info-leak, RCE, arbitrary file read и многое другое. Можно добавлять свои PoC, а результаты сразу превращаются в аккуратный HTML-отчёт.

⏺В чем удобство: мало ложных срабатываний, легко масштабируется на десятки сайтов, поддерживает фильтры по ключевым словам и уровню критичности, плюс JSON для CI/CD.

⏺Глянем на практике:

git clone https://github.com/zan8in/afrog.git
cd afrog
go build cmd/afrog/main.go
./afrog -h

Скан одного сайта:

./afrog -t https://example.com

Скан по списку:

./afrog -T urls.txt

⏺Полезные флаги:
• -P <mypocs/> — свои PoC
• -s keyword1,keyword2 — поиск по ключевым словам
• -S high,critical — фильтр по серьёзности
• -json / -json-all — сохранить результаты в JSON
• -web — локальный веб-интерфейс для просмотра отчётов

⏺Для сложных PoC: некоторые проверки требуют OOB (ceye, dnslog и др.). Первый запуск создаёт ~/.config/afrog/afrog-config.yaml — настройте секцию reverse и API ключи, чтобы все blind-RCE работали корректно.

ZeroDay | #Инструмент

📝 Как убить процессы в Linux

ZeroDay | #атака

IP Spoofing: защита на сетевом уровне (Layer 3)

👋 Приветствую в мире цифровой безопасности!

В одном из прошлых постов разбирали типы спуфинг атак по уровням. Сейчас посмотрим, как защититься от одной из них.

⏺Смысл атаки: хакер подменяет IP-адрес источника в пакетах, чтобы скрыть своё местоположение, обойти фильтры или направить трафик на жертву. Это классика для DDoS, MITM и обхода контроля доступа.

⏺Покажу на практике:

1️⃣Ingress/Egress Filtering: фильтруем пакеты на границах сети, чтобы трафик с «чужим» исходным IP просто не проходил.

Cisco:

interface GigabitEthernet0/1
 ip verify unicast source reachable-via rx

Linux (iptables):

iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -j DROP

2️⃣Reverse Path Filtering (uRPF): проверяем, что пакет пришёл по корректному маршруту. Если нет - DROP.

Linux:

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

3️⃣Точечный мониторинг и alert-правила: следим за подозрительными исходящими пакетами. Даже если атака идёт изнутри сети, IDS сможет поднять тревогу. Например, Suricata правило:

alert ip any any -> 192.168.0.0/16 any (msg:"Suspicious spoofed packet"; sid:100001;)

ZeroDay | #Zeroday

5 фишек Bash для автоматизации атак

👋 Приветствую в мире цифровой безопасности!

Давай расскажу о 5 фишках Bash, которые заметно ускорят пентест.

⏺Массовый пинг сети: Бывает, нет под рукой nmap, а нужно быстро понять, какие машины живы в подсети. Поможет простой цикл:

for ip in 192.168.1.{1..254}; do ping -c1 -W1 $ip &>/dev/null && echo "$ip жив"; done

Одной строкой получаем список активных хостов.

⏺Проверка открытых портов без nmap: То же самое можно сделать и с портами:

for p in 22 80 443 3306; do (echo >/dev/tcp/192.168.1.10/$p) &>/dev/null && echo "порт $p открыт"; done

⏺Автоподбор паролей через SSH: Мини-брут без Hydra - иногда работает на тестовых стендах:

while read p; do sshpass -p "$p" ssh -o StrictHostKeyChecking=no user@host "echo успех с $p" && break; done < passlist.txt

⏺Заливка скрипта на все машины: Рутинные действия можно автоматизировать одним циклом:

for h in $(cat hosts.txt); do scp hack.sh $h:/tmp/; ssh $h "bash /tmp/hack.sh"; done

Так можно массово прогнать свой скрипт по списку хостов.

⏺Сбор инфы с машин: Чтобы не заходить на каждый сервер отдельно:

for h in $(cat hosts.txt); do echo "== $h =="; ssh $h "id; uname -a; df -h"; done

ZeroDay | #bash

EDR vs NDR: что выбрать и как их совместить?

👋 Приветствую в мире цифровой безопасности!

Расскажу, чем отличаются EDR и NDR. И можно ли их юзать совместно.

⏺EDR (Endpoint Detection and Response) - можно сказать, что это, как охранник на каждом компьютере или сервере. Он фиксирует непонятные процессы, аномалии в поведении приложений и сразу реагирует. Можно юзать против локальных атак и вредоносов.

⏺NDR (Network Detection and Response) - тут уже что-то вроде шпиона внутри сети. Он анализирует трафик, ищет аномальные соединения, подозрительные паттерны протоколов и нестандартное поведение, даже если конечные точки чистые.

⏺Но лучше их комбинировать: EDR быстро блочит локальные угрозы, NDR ловит скрытые сетевые атаки и нетривиальные попытки обхода. Вместе они дают полный обзор и ускоряют расследование инцидентов.

ZeroDay | #EDR #NDR

📝 Ловите небольшую шпаргалку для Kali Linux

ZeroDay | #Kalilinux

Isolation Forest: как находить аномалии в данных

Аномалии - это не всегда очевидные выбросы: глобальные (резко отличающиеся точки), контекстные (необычные сочетания признаков) и коллективные (группы «нормальных» точек с аномальным паттерном). Isolation Forest ловит такие выбросы, создавая ансамбль деревьев и «изолируя» редкие наблюдения; каждая случайная выборка учится выявлять аномалии, а объединение моделей повышает точность.

⏺В статье будет очень наглядное объяснение типов аномалий и как ансамбли деревьев Isolation Forest помогают их обнаружить, с примерами глобальных, контекстных и коллективных выбросов.

ZeroDay | #Статья

dirsearch: сканер скрытых путей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺dirsearch - такой быстрый web path scanner, который помогает находить спрятанные директории и файлы на сайтах.

⏺dirsearch брутфорсит пути по словарю и проверяет их доступность. Так можно найти забытые админки, бэкапы или тестовые файлы.

⏺Что умеет: поддержка wordlist’ов, маскировка расширений (-e php,html,js), рекурсивное сканирование (-r), фильтрация по статусам и даже обход лимитов через прокси или Tor.

⏺Как работает:

# стандартный запуск
python3 dirsearch.py -u https://target -e php,html,js -w /path/to/wordlist -r -t 30  

# скан с сохранением в отчёт (HTML)
python3 dirsearch.py -u https://target -w /path/to/wordlist --format=html -o report.html  

# запуск через прокси
python3 dirsearch.py -u https://target -w /path/to/wordlist --proxy=http://127.0.0.1:8080  

# ограничение по коду ответа (например, только 200)
python3 dirsearch.py -u https://target -w /path/to/wordlist --include-status=200

⏺Результат, кстати, можно выгрузить в json, html или csv.

ZeroDay | #Инструмент

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺Скрытый канареечный файл с webhook‑оповещением: Ставит «приманку», которая подтверждает факт доступа и фиксирует время/источник, полезно для верификации пост‑эксплойта.

echo "TOP_SECRET" > /tmp/credentials.xlsx
curl -s -X POST https://webhook.site/your-id -d "event=access&file=/tmp/credentials.xlsx&time=$(date -Iseconds)"

⏺Целевая разведка с fingerprinting и enum: Короткие, прицельные запросы дають больше точной инфы и меньше шума в логах. Но сначала узнайте версии и медиа‑векторы.

nmap -sS -sV -p22,80,443 --noscript=banner target.example.com
curl -I http://target.example.com | grep -i "Server\|X-Powered-By"

➡️ Тут защититься так: мониторить аномальные sequence‑patterns сканирования и блокировать нестандартные заголовки/поведение.

⏺SSH‑pivot через нестандартный порт + agent‑forwarding: Используйте агент для безопасного доступа без копирования ключей, а нестандартный порт и jump‑host уменьшают «шум» в простых фильтрах. Всегда проверяйте, какие ключи в агенте, прежде чем прыгать.

ssh-add -l
ssh -p 2222 -A -J user@bastion user@target
# или ProxyCommand
ssh -o ProxyCommand="ssh -W %h:%p -p2222 user@bastion" user@target

➡️ Защититься можно так: надо выключить AgentForwarding, зафиксировать и аудитить jump‑hosts, жесткие ACL и логирование нестандартных портов.

ZeroDay | #пентест

Как появилась программа багбаунти? История развития

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, откуда взялись программы багбаунти и как они стали частью кибербезопасности.

⏺Первые шаги: идея платить за взлом появилась ещё в XIX веке. Компания Bramah Locks предложила вознаграждение тому, кто вскроет «невзламываемый» замок. Спустя 70 лет это удалось слесарю Альфреду Хоббсу - и это стало прообразом будущих баунти.

⏺Эра компьютеров: в 1983 году Hunter & Ready выдали 1000 $ или Volkswagen «жук» за баг в своей ОС. В 1995 Netscape запустила первую известную прогу для браузера Navigator, где исследователям платили за найденные уязвимости.

⏺Сопротивление и скепсис: многие компании долго не решались на открытые программы. Боялись ударов по репутации, скрывали баги и не доверяли сторонним хакерам. Но со временем стало очевидно: дешевле и безопаснее поощрять исследователей, чем ждать инцидентов.

⏺Систематизация: в 2000-х появились Zero Day Initiative, а позже HackerOne и Bugcrowd. Эти площадки взяли на себя инфраструктуру: проверку отчётов, выплаты и правила для исследователей. Участие стало массовым и удобным для компаний.

⏺И как сейчас: Google, Microsoft, Яндекс, VK и сотни других компаний платят за баги. За критические уязвимости дают десятки тысяч долларов, а рекорд на российских платформах - почти 5 млн ₽ за один баг.

ZeroDay | #история

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только.

⏺ The Bid Picture - Cybersecurity & Intelligence Analysis
— обсуждения новостей из мира ИБ. Особенность подкаста в том, что он сосредоточен на повседневных последствиях кибербезопасности.
⏺ The Hacker Mind — истории людей, стоящих за взломами, о которых вы читали, и разборы некоторых проблем безопасности ПО с помощью таких методов, как нечеткое тестирование.
⏺ The BlueHat Podcast — Ник Филлингхэм и Венди Зенон общаются с исследователями и лидерами отрасли информационной безопасности внутри Microsoft, так и за ее пределами.
⏺ The Lazarus Heist — трукрайм-подкаст BBC, целиком посвященный хакерской группировке Lazarus.
⏺ Grey Dynamics — подкаст с участием бывших и действующих сотрудников разведки, работающих в серой зоне.

ZeroDay | #Подборка

Реверс‑инжиниринг: запускаем прошивку ReadyNAS в QEMU

Прошивка ReadyNAS не оказалась «непробиваемой капсулой»: внутри образа - tar, ядро, initrd и корневая FS, а немного магии с распаковкой и QEMU превращают это в живую систему, в которой можно дебажить сервисы, исследовать сетевые настройки и тестировать уязвимости без физического устройства.

⏺В статье супер подробно показывают, как извлечь payload из .img, разобраться с нестандартным LZMA/initrd, распаковать root.tlz, подготовить диск и запустить систему в QEMU с правильной сетью и консолью.

ZeroDay | #Статья

DevBrute: универсальный брут-форсер паролей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺DevBrute - мощный фреймворк для проверки стойкости аутентификации в веб-приложениях и соцсетях. Поддерживает кастомные формы, OAuth, REST API и даже умеет анализировать цепочку редиректов.

⏺Фишка тут - это встроенные механизмы обхода защиты: ротация прокси, рандомизация User-Agent, контроль частоты запросов. Выглядит как «умный» брут, который меньше палится в логах.

⏺Работать реально просто:

git clone https://github.com/shivamksharma/DevBrute.git
cd DevBrute && sudo python3 setup.py
python3 devbrute.py -s https://target.com/login -u admin -w wordlist.txt -d 2

⏺Вывод довольно информативный: статус-код, размер ответа, цепочка редиректов. Успешный пароль сразу видно в отчёте. Для соцсетей есть пресеты (-s instagram).

ZeroDay | #Инструмент

UEBA vs SOAR vs TIP - три уровня проактивной безопасности

👋 Приветствую в мире цифровой безопасности!

Разберём три подхода, которые помогают не просто реагировать, а предсказывать и автоматизировать защиту.

⏺UEBA (User and Entity Behavior Analytics) — ваш внутренний детектив. Следит за пользователями и устройствами, ищет странные логины, необычные действия, подозрительные скачивания. Машинное обучение подсказывает, где прячется инсайдер или замаскированная атака.

⏺SOAR (Security Orchestration, Automation and Response) — роботизированный «ответчик». Как только UEBA или TIP что-то заметят, SOAR запускает сценарии: проверяет, блокирует, уведомляет. Быстро, без задержек, без усталости аналитика.

⏺TIP (Threat Intelligence Platform) — разведка на фронте. Собирает данные о новых угрозах, IOC, методах атакующих. Даёт UEBA и SOAR заранее информацию, чтобы атак не было сюрпризом.

ZeroDay | #безопасность