Codeby
09.05.202509:01
Кодебай, с Днём Победы! 😎
9 мая — это день, когда мы вспоминаем подвиг наших дедов и прадедов, которые отстояли свободу и независимость нашей Родины.
Мы чтим память тех, кто сражался на фронте, трудился в тылу и не жалея сил приближал Победу. Их мужество, стойкость и самоотверженность навсегда останутся в наших сердцах.
Пусть память о героях будет вечной, а их подвиг вдохновляет нас на мир и процветание! 🇷🇺
9 мая — это день, когда мы вспоминаем подвиг наших дедов и прадедов, которые отстояли свободу и независимость нашей Родины.
Мы чтим память тех, кто сражался на фронте, трудился в тылу и не жалея сил приближал Победу. Их мужество, стойкость и самоотверженность навсегда останутся в наших сердцах.
Пусть память о героях будет вечной, а их подвиг вдохновляет нас на мир и процветание! 🇷🇺
06.05.202515:14
Пентест веб-приложений: 6 инструментов, с которых стоит начать
Хотите попробовать себя в роли пентестера и увидеть веб-сайты наизнанку? 👀 Тогда вам сюда.
Мы собрали 6 мощных и бесплатных инструментов, которые помогут перехватывать трафик, находить скрытые директории, взламывать формы авторизации и тестировать сайт на уязвимости — без лишней теории, только практика.
📌 В обзоре:
▪️
▪️
▪️
▪️
И бонус — практика на платформе hackerlab.pro, где вы сможете применить всё это в реальных сценариях 😎
➡️ Прочитайте статью — и узнайте, с чего начать путь в кибербез!
Хотите попробовать себя в роли пентестера и увидеть веб-сайты наизнанку? 👀 Тогда вам сюда.
Мы собрали 6 мощных и бесплатных инструментов, которые помогут перехватывать трафик, находить скрытые директории, взламывать формы авторизации и тестировать сайт на уязвимости — без лишней теории, только практика.
📌 В обзоре:
▪️
Burp Suite и ZAP для анализа трафика и перехват запросов▪️
Nikto и Nuclei — быстрые сканеры уязвимостей▪️
sqlmap — автоматический поиск и эксплуатация SQL-инъекций▪️
dirsearch — брутфорс скрытых директорийИ бонус — практика на платформе hackerlab.pro, где вы сможете применить всё это в реальных сценариях 😎
➡️ Прочитайте статью — и узнайте, с чего начать путь в кибербез!
05.05.202509:57
Внимание, друзья! 🚩
Поддержите наш проект hackerlab.pro — проголосовав за нас в конкурсе!
🔗 Ссылка для голосования
Важно:
1️⃣ Зарегистрируйтесь на платформе.
2️⃣ Подтвердите почту и телефон (иначе голос не засчитают).
3️⃣ Голосуйте за нас до 07.05 23.59!
Каждый голос помогает развитию проекта! Заранее благодарим за поддержку 😎
Поддержите наш проект hackerlab.pro — проголосовав за нас в конкурсе!
🔗 Ссылка для голосования
Важно:
1️⃣ Зарегистрируйтесь на платформе.
2️⃣ Подтвердите почту и телефон (иначе голос не засчитают).
3️⃣ Голосуйте за нас до 07.05 23.59!
Каждый голос помогает развитию проекта! Заранее благодарим за поддержку 😎
02.05.202511:06
Process Environment Block (PEB) — это золотая жила для исследователей кода, содержащая критически важные данные о процессе, обычно скрытые в ядре. В новой статье разбираем, как с помощью PEB можно:
🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)
Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.
🔴Исходники и полная статья
🔸 Собирать информацию без Win32API (версия ОС, дебаг-флаги, загруженные DLL)
🔸 Эксплуатировать уязвимости консоли (DoS через сброс ConsoleHandle)
🔸 Получать доступ к системным структурам (KUSER_SHARED_DATA, RTL_USER_PROCESS_PARAMETERS)
Содержание статьи:
1️⃣ Зачем нужен PEB и как он связан с EPROCESS/ETHREAD.
2️⃣ Чтение полей PEB на ассемблере (BeingDebugged, ImageBaseAddress, ProcessHeap).
3️⃣ Обход загруженных модулей через PEB_LDR_DATA — альтернатива EnumProcessModules.
4️⃣ Атака на консоль — как создать "зомби"-окна через модификацию RTL_USER_PROCESS_PARAMETERS.
5️⃣ Доступ к KUSER_SHARED_DATA (TickCount, память, CPU) — читаем без перехода в ядро.
🔴Исходники и полная статья
30.04.202507:04
🚪Knock: Утилита для поиска субдоменов
🔍 Основные возможности Knock
➡️ Автоматический перебор поддоменов с использованием словарей.
➡️ Быстрая работа за счет асинхронных запросов.
➡️ Гибкость в настройке (можно указывать пользовательские словари).
➡️ Поддержка многопоточности для ускорения сканирования.
➡️ Легкость в использовании — Knock написан на Python и легко устанавливается через pip.
⬇️ Установка Knock
Для установки Knock используйте команду:
🌟 Пример использования
Чтобы просканировать домен на наличие поддоменов, выполните:
Это позволит получить список возможных поддоменов, которые могут быть неочевидны при обычном анализе.
⚡️ Где применяется Knock?
➡️ Тестирование безопасности веб-приложений.
➡️ Исследование инфраструктуры компаний.
➡️ Поиск скрытых сервисов и админ-панелей.
➡️ Расширенный OSINT-анализ.
Knock — это утилита для автоматического поиска субдоменов, используемая в тестировании на проникновение и кибербезопасности. Она помогает исследователям находить скрытые поддомены веб-сайтов, что может быть полезно для выявления потенциальных уязвимостей.
🔍 Основные возможности Knock
➡️ Автоматический перебор поддоменов с использованием словарей.
➡️ Быстрая работа за счет асинхронных запросов.
➡️ Гибкость в настройке (можно указывать пользовательские словари).
➡️ Поддержка многопоточности для ускорения сканирования.
➡️ Легкость в использовании — Knock написан на Python и легко устанавливается через pip.
⬇️ Установка Knock
Для установки Knock используйте команду:
pip install knock-subdomains🌟 Пример использования
Чтобы просканировать домен на наличие поддоменов, выполните:
knockpy -d domain.com --recon --bruteforceЭто позволит получить список возможных поддоменов, которые могут быть неочевидны при обычном анализе.
⚡️ Где применяется Knock?
➡️ Тестирование безопасности веб-приложений.
➡️ Исследование инфраструктуры компаний.
➡️ Поиск скрытых сервисов и админ-панелей.
➡️ Расширенный OSINT-анализ.
23.04.202509:50
Сможете провести полный пентест AD? Проверим на практике уже 29 мая.
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее аудит
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
Надоели учебные задания? Ломайте реальные AD-сети в нашей лаборатории из >30 виртуальных машин. До 29 апреля скидка 5%.
🔴Регистрация
Содержание курса:
🔸 Архитектура AD и ее аудит
🔸 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🔸 Захват и укрепление позиций внутри инфраструктуры
🔸 Применение и анализ популярных эксплоитов
Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff
По всем вопросам пишите @Codeby_Academy 🚀
07.05.202515:41
Группировка MirrorFace атакует японские организации, используя Windows Sandbox и Visual Studio Code для скрытного внедрения вредоносного ПО LilimRAT.
Как это работает?
🔸 Злоумышленники включают отключённую по умолчанию Windows Sandbox после взлома системы.
🔸 Через WSB-конфиг настраивают общие папки, сетевые подключения и автозапуск скриптов.
🔸 Windows Defender в Sandbox не работает, что позволяет скрытно запускать эксплоиты.
Новые угрозы после обновлений Windows 11:
✅ Фоновый запуск Sandbox через wsb.exe
✅ Возможность работы без WSB-файлов (меньше следов)
✅ Песочница не удаляется при закрытии окна — только через
Мониторинг процессов:
🔸
🔸Сетевой трафик (Sandbox использует IP хоста).
🔴 Подробнее в статье
Как это работает?
🔸 Злоумышленники включают отключённую по умолчанию Windows Sandbox после взлома системы.
🔸 Через WSB-конфиг настраивают общие папки, сетевые подключения и автозапуск скриптов.
🔸 Windows Defender в Sandbox не работает, что позволяет скрытно запускать эксплоиты.
Новые угрозы после обновлений Windows 11:
✅ Фоновый запуск Sandbox через wsb.exe
✅ Возможность работы без WSB-файлов (меньше следов)
✅ Песочница не удаляется при закрытии окна — только через
wsb.exe stop Мониторинг процессов:
🔸
WindowsSandbox.exe, wsb.exe, vmmemWindowsSandbox 🔸Сетевой трафик (Sandbox использует IP хоста).
🔴 Подробнее в статье
06.05.202509:11
▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»
14 мая в 19:00 (МСК) | Онлайн | Бесплатно
🔴Регистрация
Linux уже давно перестал быть инструментом исключительно для системных администраторов. Сегодня это необходимый навык для DevOps-инженеров, специалистов по кибербезопасности и всех, кто работает с IT-инфраструктурой.
На нашем вебинаре мы:
▪️ Развеем мифы о сложности Linux и покажем, как начать работать с ним уверенно
▪️ Продемонстрируем практическое применение в реальных рабочих задачах
▪️ Расскажем о карьерных перспективах для специалистов, владеющих Linux
▪️ Дадим пошаговый алгоритм освоения системы
Особое внимание уделим:
✅ Работе с терминалом (основные команды и их применение)
✅ Решению типовых задач системного администрирования
✅ Возможностям для профессионального роста
Ведущий: Дмитрий Семьянов — действующий специалист по пентесту, куратор курса «Основы Linux».
Не пропустите! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
14 мая в 19:00 (МСК) | Онлайн | Бесплатно
🔴Регистрация
Linux уже давно перестал быть инструментом исключительно для системных администраторов. Сегодня это необходимый навык для DevOps-инженеров, специалистов по кибербезопасности и всех, кто работает с IT-инфраструктурой.
На нашем вебинаре мы:
▪️ Развеем мифы о сложности Linux и покажем, как начать работать с ним уверенно
▪️ Продемонстрируем практическое применение в реальных рабочих задачах
▪️ Расскажем о карьерных перспективах для специалистов, владеющих Linux
▪️ Дадим пошаговый алгоритм освоения системы
Особое внимание уделим:
✅ Работе с терминалом (основные команды и их применение)
✅ Решению типовых задач системного администрирования
✅ Возможностям для профессионального роста
Ведущий: Дмитрий Семьянов — действующий специалист по пентесту, куратор курса «Основы Linux».
Не пропустите! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
05.05.202507:03
👽 uro
Инструмент, написанный на Python и разработанный для чистки списков URL-адресов, используемых в задачах краулинга или тестирования на проникновение. Он помогает удалять из списков неинтересные, дублирующиеся или бесполезные ссылки.
Утилита не совершает никаких HTTP запросов, она лишь удаляет заданные ей URL:
⏺️инкрементные URL (/page/1/ и /page/2/);
⏺️записи в блоге и аналогичный контент, написанный человеком (/posts/a-brief-history-of-time);
⏺️URL-адреса с одинаковым путем, но различающимися значениями параметров (/page.php?id=1, /page.php?id=2);
⏺️изображения, css и другие файлы.
Рекомендуемый способ установки:
👩💻 Использование
Самый простой способ включить uro в свой рабочий процесс — передать ему данные через стандартный ввод и вывести их на терминал:
Чтение URL-адресов из файла и запись отфильтрованных адресов в другой файл:
Удаление всех расширений, кроме предоставленных. Страницы без расширений (/books/1), по-прежнему будут включены. Чтобы удалить и их, используйте --filter hasext:
Удаление определенных расширений:
Инструмент, написанный на Python и разработанный для чистки списков URL-адресов, используемых в задачах краулинга или тестирования на проникновение. Он помогает удалять из списков неинтересные, дублирующиеся или бесполезные ссылки.
Утилита не совершает никаких HTTP запросов, она лишь удаляет заданные ей URL:
⏺️инкрементные URL (/page/1/ и /page/2/);
⏺️записи в блоге и аналогичный контент, написанный человеком (/posts/a-brief-history-of-time);
⏺️URL-адреса с одинаковым путем, но различающимися значениями параметров (/page.php?id=1, /page.php?id=2);
⏺️изображения, css и другие файлы.
Рекомендуемый способ установки:
pipx install uro.👩💻 Использование
Самый простой способ включить uro в свой рабочий процесс — передать ему данные через стандартный ввод и вывести их на терминал:
cat urls.txt | uroЧтение URL-адресов из файла и запись отфильтрованных адресов в другой файл:
uro -i input.txt -o output.txtУдаление всех расширений, кроме предоставленных. Страницы без расширений (/books/1), по-прежнему будут включены. Чтобы удалить и их, используйте --filter hasext:
uro -w php asp html
Удаление определенных расширений:
uro -b jpg png js pdfТакже инструмент поддерживает следующие фильтры:
- hasparams: только URL с параметрами запроса;
- noparams: только URL без параметров запроса;
- hasext: только URL, которые имеют расширения;
- noext: только URL без расширений;
- keepcontent: оставляет написанные человеком контент;
- keepslash: оставляет завершающую косую черту в URL;
- vuln: только вывод URL с уязвимыми параметрами (например id).
01.05.202509:04
С Днём труда, бойцы киберфронта! 😎
Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.
Сегодня тот редкий день, когда даже сканеры портов отдыхают,
а терминалы тихо мигают в ожидании следующей атаки. Даже у багов сегодня выходной… ну почти.
29.04.202515:42
Атакующие используют популярный ресурс для хостинга проектов и обмена программным обеспечением SourceForge для распространения майнеров и трояна ClipBanker под видом приложений Microsoft Office. С данной активностью уже столкнулось порядка 5000 российских пользователей.
🔗 Цепочка заражения
Злоумышленники создали проект на одном из доменов SourceForge (sourceforge.io), предлагая бесплатно скачать популярные приложения Microsoft. На странице отображался список офисных программ, но вместо них по ссылке загружался вредоносный архив.
В архиве находились два файла:
⏺️Запароленный архив;
⏺️Текстовый документ с паролем.
После распаковки защищённого архива на компьютер жертвы проникали две вредоносные программы:
⏺️Майнер, использующий ресурсы ПК для добычи криптовалюты в пользу злоумышленников;
⏺️ClipBanker — троян, подменяющий адреса криптокошельков для кражи средств.
Внутри вложенного архива находился файл размером 700 МБ вероятно для убеждения жертвы в подлинности файла, но реальный вредоносный код занимал всего 7 МБ. Остальной объём был заполнен «мусором». Данная техника получила название File Pumping.
❗️Несмотря на то что в данный момент атака направлена на криптовалюту, в будущем злоумышленники могут продавать доступ к заражённым устройствам или использовать их для других атак.
👀 Как обманули SourceForge?
1️⃣Атакующие воспользовались особенностью платформы: проекты на sourceforge.net автоматически получают дополнительный домен на sourceforge.io.
2️⃣На основном сайте они разместили безвредное ПО, а на дополнительном — описание «офисных программ» с вредоносной ссылкой.
В качестве мер предосторожности можно посоветовать пользователем подходить к загрузке программного обеспечения более осмысленно и скачивать программы только из официальных источников.
🔗 Цепочка заражения
Злоумышленники создали проект на одном из доменов SourceForge (sourceforge.io), предлагая бесплатно скачать популярные приложения Microsoft. На странице отображался список офисных программ, но вместо них по ссылке загружался вредоносный архив.
В архиве находились два файла:
⏺️Запароленный архив;
⏺️Текстовый документ с паролем.
После распаковки защищённого архива на компьютер жертвы проникали две вредоносные программы:
⏺️Майнер, использующий ресурсы ПК для добычи криптовалюты в пользу злоумышленников;
⏺️ClipBanker — троян, подменяющий адреса криптокошельков для кражи средств.
Внутри вложенного архива находился файл размером 700 МБ вероятно для убеждения жертвы в подлинности файла, но реальный вредоносный код занимал всего 7 МБ. Остальной объём был заполнен «мусором». Данная техника получила название File Pumping.
❗️Несмотря на то что в данный момент атака направлена на криптовалюту, в будущем злоумышленники могут продавать доступ к заражённым устройствам или использовать их для других атак.
👀 Как обманули SourceForge?
1️⃣Атакующие воспользовались особенностью платформы: проекты на sourceforge.net автоматически получают дополнительный домен на sourceforge.io.
2️⃣На основном сайте они разместили безвредное ПО, а на дополнительном — описание «офисных программ» с вредоносной ссылкой.
В качестве мер предосторожности можно посоветовать пользователем подходить к загрузке программного обеспечения более осмысленно и скачивать программы только из официальных источников.
23.04.202507:01
SQLsus
sqlsus — это инструмент для внедрения и захвата MySQL с открытым исходным кодом, написанный на Perl. С помощью интерфейса командной строки вы можете извлекать структуру базы данных, внедрять собственные запросы SQL (даже сложные), загружать файлы с веб-сервера, сканировать веб-сайт на наличие доступных для записи каталогов, загружать и контролировать бэкдор, клонировать базу данных и многое другое... В соответствующих случаях sqlsus будет имитировать вывод консоли MySQL.
📌Установка:
а также устанавливаем модуль
Или скачать из исходников
📎Запуск:
⏺️Сгенерировать конфигурационный файл для сканирования:
⏺️Далее в конфигурационном файле который мы сгенерировали мы ищем переменную $url_start и вставляем туда URL.
sqlsus — это инструмент для внедрения и захвата MySQL с открытым исходным кодом, написанный на Perl. С помощью интерфейса командной строки вы можете извлекать структуру базы данных, внедрять собственные запросы SQL (даже сложные), загружать файлы с веб-сервера, сканировать веб-сайт на наличие доступных для записи каталогов, загружать и контролировать бэкдор, клонировать базу данных и многое другое... В соответствующих случаях sqlsus будет имитировать вывод консоли MySQL.
📌Установка:
sudo apt-get install sqlsusа также устанавливаем модуль
Switch для с помощью CPANsudo cpan SwitchИли скачать из исходников
git clone https://gitlab.com/kalilinux/packages/sqlsus.gitcd sqlsus📎Запуск:
⏺️Сгенерировать конфигурационный файл для сканирования:
sqlsus -g [ПУТЬ]
⏺️Далее в конфигурационном файле который мы сгенерировали мы ищем переменную $url_start и вставляем туда URL.
07.05.202509:38
Друзья, напоминаем, на каких курсах начинается обучение в мае ⤵️
▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»: 14 мая в 19:00 (МСК) 🔴Регистрация
Старт 12 мая:
🌟Курс «OSINT: технология боевой разведки» — обновленный курс по лучшим практикам OSINT с Екатериной Тьюринг.
🌟Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин.
🌟Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках.
Старт 19 мая:
🌟Курс «Основы Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes.
Старт 29 мая:
🌟Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directory в лаборатории на 30+ виртуальных машин.
🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!
▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»: 14 мая в 19:00 (МСК) 🔴Регистрация
Старт 12 мая:
🌟Курс «OSINT: технология боевой разведки» — обновленный курс по лучшим практикам OSINT с Екатериной Тьюринг.
🌟Курс «Реверсивный инжиниринг ПО под ОС Windows» — освоим техники по поиску уязвимости и рассмотрим методы заражения машин.
🌟Курс «Введение в Реверс инжиниринг» — научимся взламывать программы и файлы без наличия исходного кода на компилируемых языках.
Старт 19 мая:
🌟Курс «Основы Linux» — познакомимся с Linux и смежным ПО: от основ командной строки до развертывания Kubernetes.
Старт 29 мая:
🌟Курс «Пентест Active Directory» — изучаем техники и методики атак на инфраструктуру Active Directory в лаборатории на 30+ виртуальных машин.
🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!
06.05.202507:00
🖥 Вакансия: Контент-мейкер / Редактор сообщества
Ищем человека, который будет запускать и поддерживать производство качественного контента на тему информационной безопасности — как самостоятельно, так и с привлечением авторов.
Что делать:
🟢Привлекать авторов, формулировать задачи, помогать с фокусом.
🟢Искать интересные инфоповоды и превращать их в полезный контент.
🟢Писать статьи, запускать опросы и конкурсы.
🟢Следить за качеством всего выпускаемого контента.
Будет большим плюсом:
🟠Понимание тематики ИБ / технический бэкграунд
🟠Умение объяснять сложное простым языком.
🟠Опыт редактуры и взаимодействия с авторами.
🟠Самостоятельность в ведении контент-проектов.
🔴Подробнее о вакансии
🚀 Отправьте резюме и портфолио @The_Codeby
Ищем человека, который будет запускать и поддерживать производство качественного контента на тему информационной безопасности — как самостоятельно, так и с привлечением авторов.
Что делать:
🟢Привлекать авторов, формулировать задачи, помогать с фокусом.
🟢Искать интересные инфоповоды и превращать их в полезный контент.
🟢Писать статьи, запускать опросы и конкурсы.
🟢Следить за качеством всего выпускаемого контента.
Будет большим плюсом:
🟠Понимание тематики ИБ / технический бэкграунд
🟠Умение объяснять сложное простым языком.
🟠Опыт редактуры и взаимодействия с авторами.
🟠Самостоятельность в ведении контент-проектов.
🔴Подробнее о вакансии
🚀 Отправьте резюме и портфолио @The_Codeby
03.05.202514:02
Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего
Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь
😁 Как работал бэкдор?
Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.
Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.
📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.
🔍 Атрибуция и технические детали
Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.
Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):
Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.
2. Обход цифровой подписи обновлений:
Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.
Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь
😁 Как работал бэкдор?
Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.
Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.
📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.
🔍 Атрибуция и технические детали
Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.
Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):
Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.
2. Обход цифровой подписи обновлений:
Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.
Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
30.04.202515:14
Clipboard Hijacking через фейковую CAPTCHA. Данная техника появилась в прошлом году, но в этом стала очень популярной в арсенале злоумышленников.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥 Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
Исследователи Unit 42 обнаружили цепочку кибератак "KongTuke", нацеленную на ничего не подозревающих интернет-пользователей через взломанные легитимные веб-сайты. В данной цепочке используются вредоносные скрипты и поддельные страницы с CAPTCHA для захвата буфера обмена жертв и потенциальной установки ВПО.
🔥 Цепочка атаки
1️⃣ Атака начинается с внедрения вредоносного скрипта на легитимные, но уязвимые веб-сайты. Один из таких примеров, приведённый в отчёте hxxps://lancasternh[.]com/6t7y.js, который перенаправляет пользователей на дополнительный скрипт hxxps://lancasternh[.]com/js.php. Скрипт собирает подробную информацию об устройстве жертвы, включая IP-адрес, тип браузера, закодированную в формате base64.
2️⃣ Далее пользователя перенаправляют на мошенническую страницу с просьбой подтвердить, что он человек, имитирующую CAPTCHA — распространённую функцию безопасности, предназначенную для отличия людей от ботов. Вместо проверки личности страница использует метод clipboard hijacking.
Она незаметно внедряет вредоносный скрипт PowerShell в буфер обмена жертвы, сопровождая его инструкциями, призывающими пользователя вставить и выполнить его через окно Run в Windows.
3️⃣ После запуска скрипт инициирует серию GET и POST запросов на один и тот же IP-адрес, за которыми следуют подключения к таким доменам, как ecduutcykpvkbim[.]top и bfidmcjejlilflg[.]top.
Эти домены, размещенные по адресу 185.250.151[.]155:80 вероятно служат промежуточными пунктами для дальнейшего заражения.
4️⃣ После заражения скомпрометированная система устанавливает командно-контрольную связь с 8qvihxy8x5nyixj[.]top поверх трафика TLSv1.0 HTTPS через 173.232.146[.]62:25658.
❗️ Будьте бдительны и всегда проверяйте легитимность ресурсов, на которые переходите.
29.04.202512:44
DMitry: Всё, что вы хотели знать о своем целевом хосте
🪄 Основные функции
- Whois-запросы - информация о домене (
- Сканирование портов - выявление открытых портов (
- Поиск поддоменов - идентификация связанных поддоменов (
- Сбор email-адресов - поиск адресов, связанных с доменом (
- Информация от Netcraft - извлечение данных о хосте (
🪄 Установка DMitry
DMitry обычно предустановлен в Kali Linux. Если его нет, установите с помощью команды:
🪄 Примеры использования
1. Сканирование всех доступных данных и сохранение в файл:
Команда делает whois-запросы для домена и IP, собирает данные с Netcraft, ищет поддомены и email-адреса, а потом сохраняет все результаты в файл "результат.txt".
2. Сканирование портов с отображением фильтрованных портов и баннеров:
Команда сканирует TCP-порты, показывает фильтрованные порты и собирает баннеры.
✨ Возможности и лайфхаки
- Время ожидания (TTL) - опция
- Комбинирование опций - DMitry поддерживает использование нескольких параметров одновременно. Например, команда
- Сохранение результатов - параметр
🔮 DMitry (Deepmagic Information Gathering Tool) — это удобный инструмент для Linux/UNIX, который помогает собирать разные данные о целевом хосте. С его помощью можно узнать о поддоменах, найти email-адреса, проверить время работы сервера, просканировать порты, сделать whois-запросы и многое другое.
🪄 Основные функции
- Whois-запросы - информация о домене (
-w) и IP (-i). - Сканирование портов - выявление открытых портов (
-p), фильтрованных (-f), сбор баннеров (-b). - Поиск поддоменов - идентификация связанных поддоменов (
-s). - Сбор email-адресов - поиск адресов, связанных с доменом (
-e). - Информация от Netcraft - извлечение данных о хосте (
-n). 🪄 Установка DMitry
DMitry обычно предустановлен в Kali Linux. Если его нет, установите с помощью команды:
sudo apt install dmitry🪄 Примеры использования
1. Сканирование всех доступных данных и сохранение в файл:
dmitry -winseo результат.txt example.comКоманда делает whois-запросы для домена и IP, собирает данные с Netcraft, ищет поддомены и email-адреса, а потом сохраняет все результаты в файл "результат.txt".
2. Сканирование портов с отображением фильтрованных портов и баннеров:
dmitry -pfb example.comКоманда сканирует TCP-порты, показывает фильтрованные порты и собирает баннеры.
✨ Возможности и лайфхаки
- Время ожидания (TTL) - опция
-t задает время ожидания при сканировании портов. Например, -t 5 устанавливает TTL в 5 секунд. - Комбинирование опций - DMitry поддерживает использование нескольких параметров одновременно. Например, команда
dmitry -winsep example.com выполнит полный анализ: whois-запросы, поиск поддоменов, email-адресов и сканирование портов. - Сохранение результатов - параметр
-o позволяет сохранить результаты в файл для дальнейшего изучения.
22.04.202515:45
🫡 Gitleak: Инструмент для защиты репозиториев Git
Основные возможности
1️⃣ Сканирование репозиториев: Анализирует файлы и историю коммитов на наличие утечек.
2️⃣ Настраиваемые правила: Позволяет создавать кастомные шаблоны для поиска.
3️⃣ Интеграция с CI/CD: Автоматизирует проверки безопасности в процессе разработки.
4️⃣ Детализированные отчёты: Предоставляет информацию об обнаруженных уязвимостях.
5️⃣ Поддержка безопасности: Легко интегрируется с другими инструментами.
⬇️ Как начать?
➡️ Установите утилиту:
➡️ Проверьте репозиторий:
➡️ Настройте правила для поиска специфичных утечек.
Пример конфигурации кастомного файла
➡️ Запуск утилиты с использованием кастомного файла
Gitleak — это инструмент с открытым исходным кодом, предназначенный для обнаружения утечек конфиденциальных данных в репозиториях Git. Он помогает выявлять ключи API, пароли, токены доступа и другую чувствительную информацию, которая могла быть случайно добавлена в код.
Основные возможности
1️⃣ Сканирование репозиториев: Анализирует файлы и историю коммитов на наличие утечек.
2️⃣ Настраиваемые правила: Позволяет создавать кастомные шаблоны для поиска.
3️⃣ Интеграция с CI/CD: Автоматизирует проверки безопасности в процессе разработки.
4️⃣ Детализированные отчёты: Предоставляет информацию об обнаруженных уязвимостях.
5️⃣ Поддержка безопасности: Легко интегрируется с другими инструментами.
⬇️ Как начать?
➡️ Установите утилиту:
git clone https://github.com/gitleaks/gitleaks➡️ Проверьте репозиторий:
gitleaks detect --source=<путь_к_репозиторию>➡️ Настройте правила для поиска специфичных утечек.
Пример конфигурации кастомного файла
custom-rules.json с правилами сканирования{➡️ Запуск утилиты с использованием кастомного файла
gitleaks detect --source=<путь_к_репозиторию> --config=custom-rules.json07.05.202507:02
Foremost
Foremost — это консольная утилита для восстановления удалённых файлов, основанная на анализе заголовков и структуры данных. Она используется в криминалистике и для восстановления данных с дисков и флеш-накопителей, позволяя извлекать файлы даже из повреждённых или недоступных разделов.
💡Возможности:
⏺️Восстановление файлов
⏺️Поддержка форматов
⏺️Криминалистический анализ
📎Установка:
или из источника:
📌Использование:
⏺️Восстановление данных с устройства:
⏺️Фильтрация по типу файлов:
Foremost — это консольная утилита для восстановления удалённых файлов, основанная на анализе заголовков и структуры данных. Она используется в криминалистике и для восстановления данных с дисков и флеш-накопителей, позволяя извлекать файлы даже из повреждённых или недоступных разделов.
💡Возможности:
⏺️Восстановление файлов
⏺️Поддержка форматов
⏺️Криминалистический анализ
📎Установка:
sudo apt-get install foremostили из источника:
git clone https://salsa.debian.org/rul/foremost.gitcd foremost
📌Использование:
⏺️Восстановление данных с устройства:
foremost -i [/dev/sda0] -o [OUTPUT]⏺️Фильтрация по типу файлов:
foremost -i [/dev/sda0] -o [OUTPUT] -t jpg,png
05.05.202517:38
⚠️ Предупреждение ⚠️
У Kali появился новый ключ подписи! 🔑
(Требуется ручное действие! 🫣)
Если вы получаете:
который необходим для проверки подписи.
Вам нужно загрузить и установить новый ключ вручную, вот однострочник:
Запись в блоге: Новый ключ подписи архива Kali Linux ~ https://www.kali.org/blog/new-kali-archive-signing-key/
У Kali появился новый ключ подписи! 🔑
(Требуется ручное действие! 🫣)
Если вы получаете:
Отсутствует ключ 827C8569F2518CC677FECA1AED65462EC8D5E4C5
который необходим для проверки подписи.
Вам нужно загрузить и установить новый ключ вручную, вот однострочник:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpgЗапись в блоге: Новый ключ подписи архива Kali Linux ~ https://www.kali.org/blog/new-kali-archive-signing-key/
03.05.202509:02
🚩 Новые задания на платформе HackerLab!
🌍 Категория Веб — Звездный сейф
🔎 Категория OSINT — Пасхалка
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠Веб - Старая версия
🟠Стеганография - Н.Н.
🟠Разное - Старый боец
Приятного хакинга!
🌍 Категория Веб — Звездный сейф
🔎 Категория OSINT — Пасхалка
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠Веб - Старая версия
🟠Стеганография - Н.Н.
🟠Разное - Старый боец
Приятного хакинга!
30.04.202509:06
AD-лабы на этом курсе сложнее, чем 90% CTF? Проверим вместе уже 29 мая!
Более 30 виртуальных машин, которые не взломает 80% участников CTF:
🔸AD-сети с миксом Windows/Linux
🔸Задачи на эскалацию привилегий, persistence, stealth
🔸Разбор решений от победителей the Standoff
Бросаем вызов с 29 мая 😎
🔴Регистрация
Более 30 виртуальных машин, которые не взломает 80% участников CTF:
🔸AD-сети с миксом Windows/Linux
🔸Задачи на эскалацию привилегий, persistence, stealth
🔸Разбор решений от победителей the Standoff
Бросаем вызов с 29 мая 😎
🔴Регистрация
29.04.202507:03
Crunch
Crunch — это генератор списков слов, в котором вы можете указать стандартный набор символов или любой набор символов, который будет использоваться при создании списков слов. Списки слов создаются путем комбинирования и перестановки набора символов. Вы можете определить количество символов и размер списка.
💡Возможности:
⏺️Генерация словарей
⏺️Настройка кодировки
⏺️Интеграция с другими инструментами
⏺️Вывод в различных форматах
📌Установка:
Инструмент уже установлен в Kali Linux, но...
Можно также скачать из исходников:
📎Запуск:
crunch -h
⏺️Создание словаря паролей длиной от 1 до 3 символов, используя только строчные буквы:
⏺️Создание словаря паролей длиной от 1 до 3 символов, используя цифры и строчные буквы:
⏺️Создание словаря паролей длиной от 1 до 3 символов, используя символы, цифры и строчные буквы:
⏺️Генерация словаря с использованием ключевых слов и добавлением чисел
Crunch — это генератор списков слов, в котором вы можете указать стандартный набор символов или любой набор символов, который будет использоваться при создании списков слов. Списки слов создаются путем комбинирования и перестановки набора символов. Вы можете определить количество символов и размер списка.
💡Возможности:
⏺️Генерация словарей
⏺️Настройка кодировки
⏺️Интеграция с другими инструментами
⏺️Вывод в различных форматах
📌Установка:
Инструмент уже установлен в Kali Linux, но...
Можно также скачать из исходников:
git clone https://salsa.debian.org/debian/crunch.gitcd crunch📎Запуск:
crunch -h
⏺️Создание словаря паролей длиной от 1 до 3 символов, используя только строчные буквы:
crunch 1 3 abcdefghijklmnopqrstuvwxyz -o [PATH]⏺️Создание словаря паролей длиной от 1 до 3 символов, используя цифры и строчные буквы:
crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789 -o [PATH]⏺️Создание словаря паролей длиной от 1 до 3 символов, используя символы, цифры и строчные буквы:
crunch 1 3 abcdefghijklmnopqrstuvwxyz0123456789!"№;%:?*()-= -o [PATH]⏺️Генерация словаря с использованием ключевых слов и добавлением чисел
crunch 1 6 -o [PATH] -t password%% -t admin%% -t user%%где %% - заменит на случайные числа
22.04.202509:03
Кибератака на SolarWinds в 2020 году потрясла мир ИБ, показав уязвимость даже самых защищённых систем.
Но угрозы для Active Directory не исчезли — в 2025 году обнаружена новая критическая уязвимость CVE-2025-21293, позволяющая злоумышленникам получать права SYSTEM.
В статье разбираем:
🔸Как хакеры использовали Zerologon в атаке SolarWinds
🔸Технический анализ новой уязвимости CVE-2025-21293
🔸Почему стандартные меры защиты уже не работают
🔸4 ключевых принципа защиты AD в 2025 году
Особенно актуально для:
✅ ИБ-специалистов
✅ Администраторов Active Directory
✅ Руководителей ИТ-инфраструктуры
🔗 Читать полный разбор
➡️ Хотите научиться защищать AD на практике? Специально для профессионалов — интенсивный курс с лабораторией из 30+ виртуальных машин. Подробнее
Но угрозы для Active Directory не исчезли — в 2025 году обнаружена новая критическая уязвимость CVE-2025-21293, позволяющая злоумышленникам получать права SYSTEM.
В статье разбираем:
🔸Как хакеры использовали Zerologon в атаке SolarWinds
🔸Технический анализ новой уязвимости CVE-2025-21293
🔸Почему стандартные меры защиты уже не работают
🔸4 ключевых принципа защиты AD в 2025 году
Особенно актуально для:
✅ ИБ-специалистов
✅ Администраторов Active Directory
✅ Руководителей ИТ-инфраструктуры
🔗 Читать полный разбор
➡️ Хотите научиться защищать AD на практике? Специально для профессионалов — интенсивный курс с лабораторией из 30+ виртуальных машин. Подробнее
Shown 1 - 24 of 158
Log in to unlock more functionality.