DevBrute: универсальный брут-форсер паролей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺DevBrute - мощный фреймворк для проверки стойкости аутентификации в веб-приложениях и соцсетях. Поддерживает кастомные формы, OAuth, REST API и даже умеет анализировать цепочку редиректов.

⏺Фишка тут - это встроенные механизмы обхода защиты: ротация прокси, рандомизация User-Agent, контроль частоты запросов. Выглядит как «умный» брут, который меньше палится в логах.

⏺Работать реально просто:

git clone https://github.com/shivamksharma/DevBrute.git
cd DevBrute && sudo python3 setup.py
python3 devbrute.py -s https://target.com/login -u admin -w wordlist.txt -d 2

⏺Вывод довольно информативный: статус-код, размер ответа, цепочка редиректов. Успешный пароль сразу видно в отчёте. Для соцсетей есть пресеты (-s instagram).

ZeroDay | #Инструмент

UEBA vs SOAR vs TIP - три уровня проактивной безопасности

👋 Приветствую в мире цифровой безопасности!

Разберём три подхода, которые помогают не просто реагировать, а предсказывать и автоматизировать защиту.

⏺UEBA (User and Entity Behavior Analytics) — ваш внутренний детектив. Следит за пользователями и устройствами, ищет странные логины, необычные действия, подозрительные скачивания. Машинное обучение подсказывает, где прячется инсайдер или замаскированная атака.

⏺SOAR (Security Orchestration, Automation and Response) — роботизированный «ответчик». Как только UEBA или TIP что-то заметят, SOAR запускает сценарии: проверяет, блокирует, уведомляет. Быстро, без задержек, без усталости аналитика.

⏺TIP (Threat Intelligence Platform) — разведка на фронте. Собирает данные о новых угрозах, IOC, методах атакующих. Даёт UEBA и SOAR заранее информацию, чтобы атак не было сюрпризом.

ZeroDay | #безопасность

Rate limiting для API: защита от перегрузки

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, как контролировать нагрузку на сервисы и защищать API от злоупотреблений.

⏺Что и как: Rate limiting ограничивает количество запросов от одного клиента за единицу времени. Например, 100 запросов в минуту на пользователя или IP. Если лимит превышен — сервер временно блокирует лишние запросы, не ломая работу остальных.

⏺Типичные методы:
• Fixed window — считаем количество запросов в фиксированный интервал.
• Sliding window — более плавное ограничение с перекрывающимися окнами.
• Token bucket — запросы тратят «жетоны», которые пополняются с заданной скоростью.

⏺Как применяем: Можно настроить разные лимиты для обычных пользователей и сервисов, ставить более строгие правила для анонимного трафика, а для критичных API оставить щадящие параметры. Это снижает риск DDoS и злоупотреблений, не мешая нормальному трафику.

ZeroDay | #ratelimiting

Rules File Backdoor: как атакуют AI-ассистентов и почему это ваша проблема

👋 Приветствую в мире цифровой безопасности!

Сегодня разбираем, как обычный конфиг может превратить вашего AI-ассистента в инструмент атаки.

⏺Что и как: Rules File Backdoor - это файл с обычным текстом и невидимыми символами (zero-width, control-chars), где спрятаны скрытые инструкции. Для разрабов он выглядит безопасно, но ассистент воспринимает команды и начинает, например, логировать ключи, вызывать внешние API или добавлять скрытые колбэки.

⏺Как проникает:
Файл может попасть из GitHub, gist’а, npm-пакета, шаблонного репозитория или чата. Разработчик просто копирует «удобные правила» — и ИИ уже заражён.

⏺И что он делает: Добавляет сетевые вызовы, следит за переменными окружения, подсовывает мелкие скрипты-шпионы. Один заражённый rules.md способен заразить десятки форков и зависимостей.

⏺Почему именно это опасно: Проблема не в коде, а в доверии. Мы привыкли считать конфиги безвредными, а ИИ - умным. Но модель не понимает контекста - она просто выполняет инструкции. И обычная проверка безопасности тут бессильна: файл валидный, всё выглядит «чисто».

Делаем пост о защите от атаки?

ZeroDay | #атака

Как защитить Kubernetes на уровне ядра Linux

Контейнеры в Kubernetes работают поверх ядра Linux, и если атакующему удастся «вырваться» за границы контейнера, он получит доступ к хосту - а значит, и ко всему кластеру. Поэтому защита на уровне ядра — это не избыточная мера, а ключ к безопасности всей инфраструктуры.

⏺В статье по шагам показывают рабочие приёмы: минимизация прав в Pod (drop ALL, noNewPrivs, runAsNonRoot, readOnlyRootFilesystem), подключение seccomp/AppArmor профилей, конкретные sysctl и mount-флаги для хоста (noexec/nosuid/nodev, ptrace_scope, отключение ip_forward), а также быстрые eBPF/OSQuery-проверки и контроль целостности узлов

ZeroDay | #Статья

Как защитить Kubernetes на уровне ядра Linux

👋 Приветствую в мире цифровой безопасности!

Продолжим обсуждать атаку Rules File Backdoor

⏺Минимум привилегий в Pod: Пример securityContext, который стоит применять по умолчанию:

securityContext:
  runAsNonRoot: true
  allowPrivilegeEscalation: false
  readOnlyRootFilesystem: true
  capabilities:
    drop: ["ALL"]

Пункты: drop ALL capabilities, allowPrivilegeEscalation: false, readOnlyRootFilesystem: true, runAsNonRoot — базовый набор «first line of defence».

⏺Seccomp и AppArmor - база: Включите restrictive seccomp по умолчанию в runtime (containerd/runc) и назначайте профили для сервисов.

Пример аннотации pod для seccomp:

kubectl annotate pod mypod container.seccomp.security.beta.kubernetes.io/container=runtime/default

⏺Жёсткая конфигурация хоста (sysctl + mount flags): Ключевые sysctl, которые уменьшат поверхность атаки:

# запретить IP forwarding (если не нужен)
sysctl -w net.ipv4.ip_forward=0

# ограничить ptrace (уменьшает риск LPE через ptrace)
sysctl -w kernel.yama.ptrace_scope=1

Перемонтируйте временные точки с безопасными опциями:

mount -o remount,noexec,nodev,nosuid /tmp
mount -o remount,noexec,nodev,nosuid /var/tmp

Если контейнеры не требуют namespace хоста - не включайте hostPID/hostNetwork/hostIPC.

⏺Ограничения ресурсов и cgroup-защита: Задавайте CPU/Memory лимиты и requests, включайте OOM-score-adj и контролируйте cgroup-политику, чтобы потенциальный эксплойт не «съел» хост:

resources:
  requests:
    cpu: "100m"
    memory: "128Mi"
  limits:
    cpu: "500m"
    memory: "512Mi"

ZeroDay | #атака

📝 Держите схему работы Reverse Shell

ZeroDay | #атака

spiderfoot: авто OSINT для разведки и картирования поверхности атаки

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: SpiderFoot - Python‑платформа для автоматизированного OSINT с 200+ модулями: Whois, Shodan, HaveIBeenPwned, DNS, S3/Azure/DO бакеты, соцсети, дарквеб и т.п. Есть веб‑UI, CLI, экспорт в JSON/CSV/GEXF и встроенный движок корреляций — он связывает артефакты в удобные графы.

⏺Зачем нужен: если нужно быстро понять поверхность атаки - где утекли ключи, какие поддомены откровенно «висят», какие почты и сервисы связаны с проектом - SpiderFoot выдаст карту экспозиции и подозрительные связки. Отлично и для red/blue команд: разведка перед тестом и проверка инфраструктуры перед релизом.

⏺Запускаем быстро:

# локально из релиза
wget https://github.com/smicallef/spiderfoot/archive/v4.0.tar.gz
tar zxvf v4.0.tar.gz && cd spiderfoot-4.0
pip3 install -r requirements.txt
python3 ./sf.py -l 127.0.0.1:5001
# открыть http://127.0.0.1:5001

или

# через Docker (быстро и чисто)
docker run -d -p 5001:5001 --name spiderfoot smicallef/spiderfoot

⏺Быстрый CLI‑пример:

python3 sf.py -s example.com -o json -f report.json

ZeroDay | #Инструмент

Как австралийский хакер устроил «канализационный апокалипсис» в Маручи

👋 Приветствую в мире цифровой безопасности!

Расскажу, как хакер из Австралии превратил цифровое управление насосами в огромную экологическую проблему.

⏺В 2000 году Витек Боден, бывший подрядчик по обслуживанию SCADA в шира Маручи (Квинсленд), через радиоканалы управляющей сети заставил насосы сбрасывать сточные воды в неположенные места: парки, реки и даже территорию отеля. Это один из первых задокументированных случаев кибератаки, повлёкшей физический ущерб.

⏺Как он это провернул: Боден хорошо знал частоты, протоколы и контроллеры (142 станции в сети). Используя запасной контроллер и ноутбук с радиомодулем, он маскировался под легитимные устройства и посылал команды, которые операторы принимали как свои. Контроллеры не вели нормальных логов, а сеть была плохо сегментирована 😬

⏺Какие последствия: хаотичные отключения насосов, ложные данные датчиков, многократные разливы и дорогостоящая очистка - расходы для муниципалитета и подрядчика составили сотни тысяч долларов…

⏺Как его поймали: Бодена задержали после того, как полиция остановила его автомобиль, в салоне нашли рацию, «заимствованный» контроллер и ноутбук с ПО. Суд признал его виновным; наказание включало тюрьму и штрафы.

ZeroDay | #история

🎉 Результаты розыгрыша:

🏆 Победители:
1. Lars (@BARM4L3Y)
2. Serge (@Serge_59)
3. D.K (@moono_neko)
4. Anton (@netskg)
5. Мmm (@Mmm5768)
6. Макс (@hewipa)
7. Padoru (@PadoruPy)
8. 朴贊郁 (@flokiauther)
9. Андрей (@AnKirzhach)

✔️Проверить результаты

Новичок, опоздавший на 5 минут на созвон и CISO, который вообще на него не пришел 😅

ZeroDay | #мем

Пограничные случаи HTTP, которые ломают безопасность API

Часто люди думают, что HTTP - это просто «запрос и ответ». Но именно на его границах чаще всего случаются баги, которые превращаются в уязвимости: от DoS через Range-заголовки до утечек и повреждения данных из-за кодировок и неправильного Content-Type.

⏺В статье рассказывают, как реальные баги (вроде CVE-2024-26141 в Rack) выросли из мелочей, которые никто не проверял. Подробно разбираются Range-атаки, обход путей, согласование Accept/Content-Type, ошибки кодировок и неправильные 405-ответы с конкретными примерами для Spring, Express и Django.

ZeroDay | #Статья

Nuclei: топовый сканер уязвимостей

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Nuclei - это ультрабыстрый и настраиваемый сканер уязвимостей, построенный на простых YAML-шаблонах. Может создавать сценарии поиска проблем так, как их увидел бы реальный атакующий, снижая ложные срабатывания.

⏺Фишка тут - огромное сообщество: тысячи специалистов создают шаблоны под новые CVE, веб-приложения, API, сети и облачные конфиги. Поддержка HTTP, DNS, TCP, SSL, WHOIS, JavaScript и многого другого по сути делает его универсальным.

⏺Быстрый скан одного сайта:

nuclei -target https://example.com

Массовый скан:

nuclei -list urls.txt

Скан подсети:

nuclei -target 192.168.1.0/24

Используем свои шаблоны:

nuclei -u https://example.com -t /path/to/your-template.yaml

⏺Что плюсом классного: интеграция в CI/CD, возможность подключать Jira, Slack, Elastic, GitHub; быстрая параллельная обработка запросов и минимизация ложных тревог.

ZeroDay | #Инструмент

DNS Spoofing: защита на прикладном уровне (Layer 7)

👋 Приветствую в мире цифровой безопасности!

В одном из прошлых постов разбирали типы спуфинг атак по уровням. Сейчас посмотрим, как защититься от одной из них.

⏺Смысл атаки: хакер подменяет DNS-ответ, чтобы направить жертву на левый сервер.

1️⃣DNSSEC (DNS Security Extensions): Подписываем DNS-записи цифровой подписью. Если ответ изменён, клиент видит, что подпись не совпадает и игнорирует подмену.

BIND:

dnssec-enable yes
dnssec-validation auto

2️⃣Использование доверенных резолверов: Cloudflare (1.1.1.1), Google (8.8.8.8) или внутренний корпоративный DNS с фильтрацией трафика.

3️⃣Мониторим аномалии: чекаем неожиданные изменениями IP для известных доменов. Можно через Suricata или Zeek:

alert dns any any -> any 53 (msg:"Potential DNS Spoofing"; sid:100002;)

4️⃣Шифрование запросов: DoH (DNS over HTTPS) или DoT (DNS over TLS) защищают от MITM на уровне сети.

ZeroDay | #dnsspoofing

Сканируем Docker-образы на уязвимости

👋 Приветствую в мире цифровой безопасности!

Вот скачали мы свежий образ с Docker Hub, запустили контейнер - и через час сервер в ботнете… расскажу, как не попасть в такую историю.

⏺Trivy - сканер для ленивых и умных: Работает из коробки, проверяет пакеты, конфиги и даже утечки паролей.

curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh
trivy image python:3.9

Результат покажет:

Total: 42 (CRITICAL: 5, HIGH: 12)
libssl1.1 — CVE-2022-4304

⏺Docker Scout - встроенный контроль качества: Включается прямо в Docker Desktop:

docker scout quickview python:3.9

Покажет рейтинг «здоровья» и подскажет, чем заменить уязвимые пакеты.

⏺GitHub Dependabot - автосканер: Добавьте .github/dependabot.yml, и GitHub сам создаст PR, если найдёт CVE в Dockerfile.

⏺Для параноиков (в хорошем смысле): Подписывайте образы через cosign, чтобы никто не подменил их по пути:

cosign sign --key cosign.key myimage:1.0
cosign verify --key cosign.pub myimage:1.0

ZeroDay | #docker