Golden SAML позволяет атакующему…
Anonymous Quiz
21%
Выполнять пассивный перехват SAML-ассершнов без изменения трафика
46%
Генерировать валидные SAML-ассершны без доступа к сервисам федерации
7%
Подменять метаданные IdP прямо в браузере жертвы
26%
Перехватывать Kerberos-тикеты и конвертировать их в SAML-токены
This media is not supported in your browser
VIEW IN TELEGRAM
Приветствую в мире цифровой безопасности!
Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.
ZeroDay | #Подборка
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
На AI Journey назвали три стратегических направления развития ИИ в кибербезопасности
👋 Приветствую в мире цифровой безопасности!
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
⏺ Первое направление ― автоматизация реагирования. Вы никогда не узнаете, насколько хорошо вы защищены, пока вас не атакуют или пока вы не научитесь моделировать риск-события и на основе полученных данных совершенствовать защиту. Разумеется, для Сбера приемлем только второй вариант. Поэтому в банке активно разрабатываются мультиагентные системы на основе ИИ.
⏺ Второе – это автоматизированная безопасная разработка. Разработка без учетов киберрисков в современных реалиях, это все равно что прогулка по канату над пропастью с завязанными глазами ― шансы на положительный результат практически равны нулю.
⏺ Третье направление ― ассистенты и копайлоты на основе ИИ. Эти системы компенсируют недостаток знаний экспертов, недостаточную скорость получения и обработки ими данных, или и то, и другое.
ZeroDay | #безопасность
Поговорим о выступлении президента кибербеза Сбера Сергея Лебедя на международной конференции AI Journey. Он уверен, что современная кибербезопасность невозможна без использования искусственного интеллекта — это подтверждает опыт практически всех мировых лидеров.
ZeroDay | #безопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9❤3🔥2
Какой метод защиты от переполнения буфера предотвращает выполнение произвольного кода, запрещая выполнение данных в определенных областях памяти?
Anonymous Quiz
31%
ASLR
29%
DEP
26%
Sandbox
14%
WAF
😢16🔥4❤2👍2
Сбер открывает флагманские модели ИИ для проектов и локальных данных
👋 Приветствуем в мире цифровых экспериментов!
Сбер сделал доступными передовые модели для русскоязычных задач. Теперь компании и разработчики могут использовать их внутри своего защищённого контура, сохраняя конфиденциальность данных и повышая уровень безопасности.
⏺ GigaChat Ultra-Preview - самая мощная модель Сбера. Лучше DeepSeek V3.1 и GigaChat Max 2 в русскоязычных задачах. Подходит для бизнеса, аналитики, разработки и дообучения на своих данных
⏺ GigaChat Lightning - лёгкая, компактная и быстрая. Конкурирует с Qwen3-4B, по скорости сравнима с Qwen3-1.7B, но намного умнее и больше по параметрам
⏺ GigaAM-v3 — распознавание речи с пунктуацией и нормализациейять моделей, которые превращают голос в текст с пунктуацией, понимают акценты, спонтанную речь и даже музыкальные запросы.
⏺ Kandinsky 5.0 — генерация изображений и видео с поддержкой кириллицы
⏺ K-VAE 1.0 — сжатие визуальных данных для обучения моделей
✅ Сбер как надёжный партнёр: помогает интегрировать ИИ, защищает данные и даёт инструменты для безопасной работы внутри компании.
🗣 Все подробности на Хабр
ZeroDay | #статья
Сбер сделал доступными передовые модели для русскоязычных задач. Теперь компании и разработчики могут использовать их внутри своего защищённого контура, сохраняя конфиденциальность данных и повышая уровень безопасности.
ZeroDay | #статья
Please open Telegram to view this post
VIEW IN TELEGRAM
💩10❤6🔥1
Как я раскрыл формат адресной книги Radmin и автоматизировал импорт сотен машин
Автор стокнулся с задачей массово обновить список хостов для внутреннего инструмента - сотни IP, имён и настроек. Логичное решение тут взять экспорт из Radmin. Но программа упорно выдаёт данные только в собственный бинарный .rpb без документации, CSV или API. Пришлось открыть файл в hex-редакторе и разбираться, что внутри.
⏺ В статье разбираются структуры заголовка и записей, «магических» чисел, фиктивного заполнителя, который перестаёт работать уже после 128 записей, и странного таймстампа, который оказался временем с последней загрузки Windows.
Покажут, как по шагам автор восстановил формат RPB, написал анализатор и собрал утилиту для конвертации RPB ↔ JSON, чтобы больше никогда не вводить IP вручную.
ZeroDay | #Статья
Автор стокнулся с задачей массово обновить список хостов для внутреннего инструмента - сотни IP, имён и настроек. Логичное решение тут взять экспорт из Radmin. Но программа упорно выдаёт данные только в собственный бинарный .rpb без документации, CSV или API. Пришлось открыть файл в hex-редакторе и разбираться, что внутри.
Покажут, как по шагам автор восстановил формат RPB, написал анализатор и собрал утилиту для конвертации RPB ↔ JSON, чтобы больше никогда не вводить IP вручную.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🥴3👍2🔥2
Viper: платформа для редтиминга с автоматизацией и AI
👋
⏺ Viper - платформа для редтиминга, которая закрывает почти весь MITRE ATT&CK: управление имплантами, пост-эксплуатация, обход защит, автоматизация цепочек и даже встроенный LLM-агент, который подсказывает шаги и помогает принимать решения.
⏺ Работает на Windows, Linux и macOS, даёт удобный UI, граф переходов и больше сотни встроенных модулей, а свои модули можно писать на Python.
⏺ Развернуть всё можно буквально за пару минут - хоть в Docker, хоть локально. Дальше создаёте имплант, подключаетесь к сессии и запускаете модули: от credential dump до lateral movement. И да, уведомления и автоматические флоу тут тоже есть.
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
# Развернуть через Docker
docker run -p 8000:8000 funnywolf/viper-rtp
# Локальный запуск
git clone https://github.com/FunnyWolf/Viper
cd Viper
npm install
npm run dev
# Посмотреть доступные модули
viper module list
# Запустить модуль пост-эксплуатации
viper module run credential-dump
# Сгенерировать имплант
viper implant generate --os windows
# Активные сессии имплантов
viper implant sessions
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥7👍4🔥2❤1
Какой признак наиболее точно указывает на возможную Golden Ticket атаку?
Anonymous Quiz
20%
Большое количество 4625 (неуспешных логинов)
47%
TGT с очень длинным сроком жизни
23%
NTLM-аутентификация вместо Kerberos
10%
Много событий о блокировке учётной записи
👨💻7👍3❤1🔥1
Service Mesh и mTLS: что реально защищает, а что - нет
👋
⏺ Что делает mTLS на самом деле: Он шифрует трафик между сервисами и проверяет, что с вами общается именно тот сервис, за кого он себя выдаёт. То есть защищает канал связи и подтверждает «кто есть кто». Но! На этом защита заканчивается. mTLS не проверяет, что сервис имеет право запрашивать конкретные данные. Это очень частое заблуждение.
⏺ Где возникает миф: Команда ставит Istio или Linkerd, включает mTLS - и думает, что теперь «всё в Mesh под защитой». На деле:
➡️ если злоумышленник взломал один под — он получает уже расшифрованный трафик,
➡️ Envoy-сертификаты лежат в памяти sidecar,
➡️ сеть шифруется, но внутренние разрешения не контролируются.
⏺ mTLS ≠ полноценный zero trust: Mesh проверяет «кто ты», но не проверяет «что тебе можно». Чтобы это заработало, нужны политики доступа.
Вот пример двух ключевых настроек:
⏺ В итоге: mTLS - нужная и важная часть защиты, но он отвечает только за безопасный канал. Настоящая безопасность появляется, когда поверх него добавляют:
• политики кто к кому может ходить,
• изоляцию подов,
• правила авторизации на уровне действий.
ZeroDay | #mTLS
Приветствую в мире цифровой безопасности!Сегодня разберёмся, как работает безопасность в Service Mesh и почему mTLS часто понимают не так.Вот пример двух ключевых настроек:
# Включаем строгий mTLS (обязательное шифрование)
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: strict
spec:
mtls:
mode: STRICT
# Разрешаем к сервису B обращаться только сервису A
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: limit-b
spec:
selector:
matchLabels:
app: service-b
rules:
- from:
- source:
principals: ["cluster.local/ns/default/sa/service-a"]
• политики кто к кому может ходить,
• изоляцию подов,
• правила авторизации на уровне действий.
ZeroDay | #mTLS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4👨💻3
RomCom атакует через фейковые обновления браузера
👋
⏺ Что произошло: SocGholish - тот самый «фейковый апдейтер» Chrome/Firefox, который показывают на взломанных сайтах. Жертва видит «обновите браузер», скачивает скрипт, и цепочка запускается.
⏺ Обычно этот загрузчик работает с группами вроде Evil Corp или LockBit, но впервые замечено, что он доставил RomCom-перегрузчик.
⏺ Как шла атака: вредоносный JS разворачивает reverse shell к C2, позволяет выполнять команды, тянет Python-бэкдор VIPERTUNNEL, а затем - DLL-лоадер RomCom, который подгружает Mythic Agent (постэксплуатация: команды, файловые операции, управление). От клика по «обновить браузер» до доставки полезной нагрузки меньше 30 минут.
⏺ Контекст: RomCom (Storm-0978 / Void Rabisu) связан с российской группировкой GRU Unit 29155 и активно работает по узким, заранее определённым целям. Здесь целью стала американская инжиниринговая компания.
⏺ Что интересно: полезная нагрузка доставляется только если домен Active Directory совпадает с нужным значением - атака точечная, не массовая. В этом инциденте цепочку удалось остановить.
ZeroDay | #история
Приветствую в мире цифровой безопасности!Расскажу про свежую цепочку атаки, где RomCom впервые использовал SocGholish (FakeUpdates), чтобы доставить Mythic Agent, и всё под видом обновления браузера.ZeroDay | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3😱3
LaLiga устроила интернет‑хаос: как борьба с пиратством положила пол‑Испании
👋
⏺ Как всё началось: у лиги было судебное разрешение на «динамические блокировки», можно мгновенно резать IP, с которых идут пиратские трансляции. Идея понятная, но исполнение… чуть менее.
⏺ Вместо точечных блоков LaLiga начала гасить целые диапазоны, включая адреса Cloudflare. В итоге люди просто открывали сайты — а те не работали. Никакого пиратства, просто побочный урон.
⏺ Что происходило в сети: под нож попадали CDN‑IP, за которыми сидят сотни легальных сайтов. Блокируют один IP - исчезают интернет‑магазины, новостные порталы, чьи‑то рабочие сервисы.
⏺ Провайдеры действовали формально: есть предписание - блокируем. А тонких механизмов фильтрации в инфраструктуре просто нет.
⏺ Масштаб бедствия: к лету заблокированы миллионы IP. Юзеры массово писали в поддержку провайдеров, VPN‑трафик улетел вверх, а Cloudflare уже официально жаловалась США на «вред третьим странам». LaLiga же стояла на своём: «боремся с пиратством, всё законно».
⏺ Что можно было сделать: проблема не в борьбе с пиратами, а в выбранном инструменте. IP‑блокировки в 2025 году - это как выключить рубильник в доме, чтобы погасить лампочку… Вместо этого можно использовать SNI‑фильтрацию, L7‑анализ или точечные судебные ордера на конкретные хосты, а не на сетевые диапазоны.
ZeroDay | #история
Приветствую в мире цифровой безопасности!Расскажу, как борьба Ла Лиги с пиратскими стримами превратилась в один из самых громких сетевых фейлов 2025 года.ZeroDay | #история
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10🌚2❤1
Чтобы тебя не вычислили рекламщики: почему приватность - это паранойя
Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.
⏺ В статье о том, как именно собирают эти отпечатки, почему банальные меры защиты почти не работают, и какие браузеры вроде Brave или Mullvad реально умеют снижать отслеживание. В 2025‑м, чтобы остаться незаметным, мало просто спрятаться, приходится думать как параноик.
ZeroDay | #Статья
Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.
ZeroDay | #Статья
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍2👎2
Infection Monkey: "безопасный червь", который проверяет вашу сеть лучше пентеста
👋
⏺ Infection Monkey - это открытая платформа для adversary emulation, которая имитирует поведение реального malware: распространяется по сети, подбирает логины, использует уязвимости, ворует креды и отправляет отчёт на C2-сервер Monkey Island.
⏺ Monkey комбинирует техники lateral movement и реальные эксплойты: Log4Shell, RDP, SSH, SMB, WMI, слабые пароли и даже Mimikatz.
⏺ Логика простая: запускаете «ослабленный вирус», смотрите, куда он смог проникнуть, и укрепляете защиту там, где она дала сбой. Это как вакцина: безопасный патоген помогает выстроить иммунитет сети.
⏺ Установка и запуск:
ZeroDay | #Инструмент
Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
# Клонируем проект
git clone https://github.com/guardicore/monkey
cd monkey
# Установка зависимостей (пример для Python-части)
pip install -r requirements.txt
# Запуск Monkey Island (C2-сервер)
docker run -p 5000:5000 guardicore/monkey-island
# Старт Infection Monkey агента
./infection_monkey --auto
# Запуск юнит-тестов
pytest
# Покрытие кода
pytest --cov-report=html --cov .
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤔13❤4🔥3👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Мониторинг Linux на уровне ядра: понятное введение в eBPF + Cilium
👋
⏺ Вспомним, что такое eBPF: это способ перехватывать системные события (syscalls, сетевые пакеты, функции ядра), анализировать их и отправлять данные обратно в юзерспейс. Под это есть разные крючки: tracepoints, kprobes/kretprobes, uprobes и карты (maps) для обмена данными.
⏺ А теперь перехватим execve на Go через Cilium eBPF
1️⃣ Создаём проект:
2️⃣ Пишем BPF-программу, которая ловит вызов execve и отправляет PID, имя процесса и запускаемый файл. Она цепляется к tracepoint:
3️⃣ Go-часть: подключаемся к tracepoint, читаем события из perf-буфера и выводим в консоль:
После запуска вы увидите каждый процесс, который выполняет execve - от bash до systemd-сервисов.
ZeroDay | #EBPF
Приветствую в мире цифровой безопасности!Давай разберёмся, как вообще смотреть «внутрь ядра» без написания громоздких kernel-модулей. eBPF как раз про это: маленькие программы, которые запускаются внутри ядра через встроенную виртуальную машинуmkdir execve-tracer && cd execve-tracer
go mod init execve-tracer
sudo apt install clang llvm libbpf-dev
go get -t github.com/cilium/ebpf/cmd/bpf2go
SEC("tp/syscalls/sys_enter_execve")
int monitor_execve(struct syscalls_enter_execve_args* ctx) {
struct event evt = {};
evt.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(evt.comm, sizeof(evt.comm));
bpf_probe_read_user_str(evt.filename, sizeof(evt.filename), ctx->filename);
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &evt, sizeof(evt));
return 0;
}go generate
go build -o tracer
sudo ./tracer
После запуска вы увидите каждый процесс, который выполняет execve - от bash до systemd-сервисов.
ZeroDay | #EBPF
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍4
Как не отправить деньги «не туда»
👋
⏺ А попали вы не потому, что банки небезопасные. А потому, что главный разрыв происходит между людьми, когда реквизиты гуляют по мессенджерам.
⏺ Что реально ломается: мессенджер можно обмануть. Сообщение редактируют, номер подменяют, пересылают старый, делают фишинговую визитку, а предпросмотр ссылки могут перехватить. И всё, вы переводите деньги не тому, кому хотели. Это не атаки на СБП или банк. Это атаки «по дороге» - до того, как вы вообще открыли приложение.
⏺ Почему «просто номер» не всегда безопасно: номер - это просто цифры без защиты и без проверки. Вы никак не узнаете, что тот самый реквизит, который вы вставили, настоящий, а не подменённый кем‑то в чате или в буфере обмена.
⏺ Как решают проблему: защитная фраза. Отправитель создаёт свою короткую фразу, и она показывается на каждой визитке, которую он открывает. Фраза хранится на стороне отправителя, поэтому подделать её невозможно - даже если кто‑то подсунул фейковую ссылку, визитка просто не покажет нужный маркер.
⏺ Что это даёт: вы сразу понимаете, что визитка настоящая, реквизит правильный, а путь до банка не был подменён. Фишинг, ошибки и MITM‑подмены - сильно сложнее или полностью невозможны. Деньги по‑прежнему идут напрямую через банк, сервис их даже не видит.
ZeroDay | #фишинг
Приветствую в мире цифровой безопасности!Если вы хоть раз пересылали кому‑то номер для перевода - вы уже попадали в зону риска. ZeroDay | #фишинг
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤6🤬1🤡1
This media is not supported in your browser
VIEW IN TELEGRAM
ХАКСЕТ .labs: практичная площадка для первых шагов в пентесте
👋 Приветствую в мире цифровой безопасности!
Ещё один инструмент, который может пригодиться тем, кто только начинает разбираться в ИБ.
⏺ Вход с нулём знаний: задачи идут от самых простых, чтобы понять базовую механику
⏺ Внутри уже 25 задач: каждая задача сопровождается видеоразбором
⏺ Живое комьюнити: где можно уточнить непонятные моменты или обсудить решение
⏺ Можно выкладывать свои задачи: это приятный бонус для тех, кто уже что-то умеет. Платформа растёт за счёт самих пользователей
ZeroDay | #Инструмент
Ещё один инструмент, который может пригодиться тем, кто только начинает разбираться в ИБ.
ZeroDay | #Инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🏆5🥰2⚡1😁1😍1
Что изменится, если сайт включает строгую политику HSTS?
Anonymous Quiz
26%
Браузер будет принудительно использовать TLS 1.3
49%
Браузер запретит любые попытки перейти на HTTP для этого домена
16%
Сервер начнёт автоматически отклонять старые сертификаты
9%
DNS-запросы будут отправляться только по DoH
👍8🤯4
This media is not supported in your browser
VIEW IN TELEGRAM
3 приёма для веб‑пентеста
👋
⏺ Blind SSRF через favicon-hash: Подмена пути на /favicon.ico с редиректом на ваш сервер. Многие прокси разрешают favicon без проверки домена.
Если хэш favicon меняется, значит и SSRF-трафик точно дошёл до вас.
➡️ Защита: строгие allowlist доменов, отключение «favicon fallback».
⏺ Cookie-forcing через незаполненные поддомены: Если у домена есть
При следующем запросе браузер отправит ваши куки в реальное приложение, а это часто ломает auth‑логику.
➡️ Защита: запрет wildcard‑cookie, политика Host-Only, закрытие неиспользуемых поддоменов.
⏺ Cache-Poisoning через хитрый параметр: Многие CDN кэшируют URL вроде:
/api/user?nocache=1&x=
Если добавить пустой параметр или нестандартный разделитель (;, %00), CDN кэширует вашу версию ответа, а пользователь получает поддельный контент.
➡️ Защита: нормализация URL, запрет необычных разделителей, строгая политика кэширования.
ZeroDay | #пентест
Приветствую в мире цифровой безопасности!
Расскажу сегодня о трех полезных фишках именно для веб-пентеста.Если хэш favicon меняется, значит и SSRF-трафик точно дошёл до вас.
GET /favicon.ico HTTP/1.1
Host: internal.service
a.example.com, но нет b.example.com, вы можете поднять свой b. и выставить cookies на весь .example.com.При следующем запросе браузер отправит ваши куки в реальное приложение, а это часто ломает auth‑логику.
Set-Cookie: session=evil; Domain=.example.com
/api/user?nocache=1&x=
Если добавить пустой параметр или нестандартный разделитель (;, %00), CDN кэширует вашу версию ответа, а пользователь получает поддельный контент.
/api/user?nocache=1&x=%00inject
ZeroDay | #пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍5🔥2