• На хабре опубликовали хорошу статью по созданию лаборатории для исследования малвари, инструментов и процедур (PoC) в виртуальной среде для Linux-платформ.

• Материал пригодиться для понимания работы ВПО, написания митигации и детекции против них, а так же поиска паттернов в вашей инфраструктуре! На выходе мы получим список из артефактов, которые сможем использовать в работе.

• Ожидается, что мы сможем дампить сетевой трафик, а так же рассматривать открытый и закрытый исходный код сэмпла в поисках подозрительных паттернов.

• Преимущества такой лаборатории следующие:
➡Существует мало современных SandBox решений, которые могут предоставить детализированный сырой лог сетевой и системной активности для Linux-платформ;
➡Обычно SandBox очень легко обходят, уводя в сон вредонос, проверяя локации, раскладки и прочие атрибуты. В данном решении вы сможете увидеть, спит ли сэмпл, а так же использовать свои ресурсы, чтобы увеличить время трассировки в отличии от стандартных 500 секунд песка.
➡User execution очень органичен в стандартных решениях, необходимо использовать скрипты для выполнения дополнительных задач. В данном, ваша лаба полностью управляема вами.
➡Возможность имитировать ифнраструктуру вокруг сэмпла, часто может пригодиться для исследования инструментов.

• Все круто, но не без недостатков:
➡Остается возможность прикрутить движки для вывода вердиктов, но лаба предназначена для ручного анализа;
➡Нужна другая архитектура для тестирования атак на пространство ядра, так как здесь ядро ОС общее;
➡Использование собственных ресурсов, вместо сервисных;

• Архитектура представляет контур в рамках узла, где основные инструменты исследования будут развернуты в качестве драйвера pcap, бинарного файла strings, механизма eBPF и нормализатора на Python, а сэмпл будет воспроизводиться в контейнере.

• Для изоляции двух сред будем использовать возможности Podman, который создаст нам виртуальное пространство с новыми namespace. Они должны ограничить возможность коммуникации, с другими обьектами. Seccomp запретит заражение пространства ядра, ограничив bpf, pivot_root, unshare, setns. Чтобы процесс не мог выйти из своего namespace или создать новый. Сgroup позволит выдать нужное количество ресурсов, а iptables разграничит по сети.

➡ Читать статью [15 min].

#Malware #SOC #Песочница

🌈 Вирус Gayfemboy атаковал устройства по всему миру!

😐 Это не рофл, Gayfemboy — реально существующий вирусняк, который уже разлетелся по всему миру.

🏭 Название хоть и странное, а по факту — он ставит на колени даже промышленные сети. Под ударом всё, что лезет в интернет: домашние роутеры, камеры, «умные» дома, устройства IoT и даже заводские системы.

🍺 Главная фича Gayfemboy в том, что он маскируется так, что обычный пользователь даже не поймёт. Он устраивает массовые DDoS-атаки, запускает майнеры и даже убивает другие вирусы, чтобы на твоём устройстве остался только он.

🌍 Заражения уже зафиксированы в десятках стран. Пострадали телекоммуникационные компании, производство, целые предприятия и даже простые работяги с «умными» домами.

🛡 Защитить себя от такого кибер-**дараса можно, обновив прошивки на всех устройствах и выключив всё ненужное вроде Telnet и UPnP.

@overbafer1

🕵️ В сети форсят необычный сервис Strix — набор ИИ-агентов, который берёт и хакает твой код, пока это не сделали настоящие хацкеры.

🤖 ИИ агенты Strix напичканы инструментами реальных пентестеров:

— Находят все дыры в твоём проекте,
— Более того, закрывают их сами автоматически, а тебе вываливают отчёт со всеми логами и фикcами.

🤖 По сути, это как иметь личного белого хацкера, который работает 24/7 и помогает тебе настроить защиту.

Главная фича — поддержка LiteLLM.
Это значит, что можно запускать проверку на любой модели: от GPT до локальных.

Не проверишь свой код сам — его проверят за тебя, и тебе это явно не понравится. 😏

@overlamer1

👁‍🗨 Защита IP-камер от взлома

Содержание статьи:
1. Защита IP-камеры;
⏺Обновление прошивки камеры;
⏺Поиск уязвимостей IP-камеры;
⏺Держите свои камеры в локальной сети;
⏺Защита IP-камер паролем;
⏺Пароль и логин по умолчанию;
⏺Включите шифрование WPA2;
⏺Установка IP-камеры.

— В сегодняшней статье рассмотрим несколько практических советов, которые помогут вам защитить IP-камеры от взлома

О количестве подключенных к сети и незащищенных IP-камер вы можете узнать используя хакерский поисковик Shodan

С помощью Shodan вы также можете проверить вашу сеть и подключенные к ней устройства

⏺ spy-soft.net

#Surveillance #IP #Camera // ❓ cyber in network security

🖥 Репозиторий: WhPhisher — один из лучших мультитулов для фишинга

WhPhisher — фишинговый инструмент с открытым исходным кодом, позволяющий пользователям моделировать фишинговые атаки и тестировать уязвимости в сетях и системах.

Некоторые возможности WhPhisher:
1. настраиваемые шаблоны фишинга;
2. автоматизированные фишинговые атаки;
3. поддержка нескольких протоколов (HTTP, HTTPS, FTP и другие);
4. возможность собирать учётные данные и чувствительную информацию.
 
— Он предлагает шаблоны для разных сценариев фишинга, включая Facebook, Google, Instagram, LinkedIn и другие.

⏺ Ссылка на GitHub

#Phishing #WhPhisher #OpenSource

👨‍💻 Active Directory Attack. 2025.

• В этой статье мы рассмотрим популярные способы атак на AD, рассмотрим актуальные инструменты, рекомендации и ознакомимся с другими полезными ресурсами, которые актуальны в 2025 году.

➡ https://cybersecuritynews.com/active-directory-checklist/

#AD #Пентест #ИБ

🤒 Учёные обошли защиту DDR5 | Aтака Phoenix даёт root за 2 минуты

Исследователи из группы COMSEC Цюрихского университета ETH совместно с Google представили новый вариант атаки Rowhammer, который успешно обходит защитные механизмы DDR5-памяти от SK Hynix.

— Rowhammer-атаки работают за счёт многократного «долбления» по одним и тем же строкам памяти, что вызывает помехи и приводит к изменению соседних битов.

В результате злоумышленник может повредить данные, повысить привилегии или даже запустить вредоносный код.

↘️ Anti-Malware

☑️ Записки Безопасника

😟 Скрытая операционная система.

• VeraCrypt продолжает меня удивлять. Вот я вроде бы уже все знаю про эту софтину, ан-нет, находится что-то, о чем я не подозревал. И мне. Черт возьми, это очень нравится. Это значит, что эта программка очень глубокая и качественно проработанная.

• Теперь к делу. Когда вы выполнили полнодисковое шифрование, вам ни один бармалей не будет страшен, потому что вскрыть AES-256 практически невозможно. Ну только если фаза Луны наложится на ретроградный Меркурий. А так нет. Соответственно, нет доступа к системе – нет возможности для злоумышленника ознакомится с логами вашей активности и всеми остальными вкусными вещами.

• Но есть еще один слой обеспечения безопасности. Скорее психологического, а не технического характера. Когда вы только загружаете систему, она просит вас ввести пароль, а затем PIM (если он, конечно, у вас есть). Собственно, уже на этом экране становится понятно, что система зашифрована. А это исход не самый желательный. И тут мы с вами встаем на путь хитрости.

• Вместо просьбы ввести пароль мы можем вывести на экран набор случайных символов, или сообщение об ошибке с предложением перезагрузить компьютер. Вариантов может быть масса: их ограничивает только ваша смекалка и чувство юмора. Установить все можно в разделе Система – Установки – Правка конфигурации загрузчика. Но будьте осторожны, там можно легко напортачить, да так, что система после вообще не загрузится.

• Ну и напоследок, если данная тема для вас действительно интересна, то обязательно изучите этот материал:

➡Скрытый том;
➡Скрытая операционная система;
➡Правдоподобное отрицание наличия шифрования.

• И не забывайте про документацию VeraCrypt, которая переведена на русский язык. Тут очень много нужной и полезной информации:

➡ https://veracrypt.eu/ru/Documentation.html

S.E. ▪️ infosec.work ▪️ VT

PaddleOCR

PaddleOCR — это продвинутый движок OCR и ИИ для обработки документов, предлагающий инструменты для извлечения текста и интеллектуального понимания.

Программа предлагает многоязычного распознавания текста, анализ сложных документов с сохранением их структуры и извлечение важной информации.

Возможно развертывание на Windows и Linux.

https://github.com/PaddlePaddle/PaddleOCR
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links

🖥 Репозиторий: Semgrep — инструмент статического анализа кода

Semgrep — это мощный инструмент для статического анализа кода, который позволяет находить уязвимости и ошибки в приложениях на различных языках программирования.

— Данный инструмент поддерживает множество языков и фреймворков, которые помогают автоматизировать процессы анализа и выявлять потенциальные проблемы на ранних стадиях разработки.

Он предоставляет пользователям простую в использовании синтаксическую проверку и анализ, позволяя легко описывать шаблоны для поиска определённых паттернов в коде.

⏺ Ссылка на GitHub

#StaticAnalysis #Code #Vulnerability #OpenSource #Semgrep