👌 Когда USB-флешка становится оружием массового поражения

Stuxnet — первое публично известное кибероружие, созданное государством для физического уничтожения инфраструктуры. Разработка обошлась в сотни миллионов долларов.

🔍 Как это работало:

• Цель — изолированные системы завода Натанз (без интернета, air-gapped)
• Заражение через USB-накопители сотрудников и подрядчиков
• 4 zero-day уязвимости Windows + украденные сертификаты Realtek и JMicron
• Перепрограммирование Siemens PLC-контроллеров центрифуг
• Червь незаметно ускорял и замедлял вращение — физический износ
• Операторам показывались нормальные данные

🔤 Последствия:

— ~1000 центрифуг уничтожено (20% от всех на заводе)
— Ядерная программа откатилась на 2+ года назад
— Первое доказательство: код может рушить реальные объекты
— Червь случайно распространился глобально — так его обнаружили

📌 Что интересно:

Официально никто не признал авторство, но эксперты указывают на совместную операцию США и Израиля (кодовое имя "Olympic Games"). Сложность на порядки выше любого криминального малвара — бюджет государственного уровня.

🔗 Вся история в документалке "Zero Days" и книге "Countdown to Zero Day" Ким Зеттер. Для быстрого погружения — Darknet Diaries, Episode 29.

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#zero_day_legends

🔍 Шпаргалка по фильтрам Wireshark для анализа сетевого трафика и поиска угроз

🔤 Что внутри:

• Capture Filters — для захвата трафика
• Display Filters — для отображения данных
• Готовые фильтры для HTTP, DNS, SMTP
• Детектирование worms и эксплойтов
• Практические примеры для реальных задач

🎯 Для кого:
Специалисты по ИБ, SOC-аналитики, сетевые инженеры, пентестеры

🐸 Библиотека хакера

#cheat_sheet

🔐 Главный инцидент начала декабря: React2Shell

В начале месяца индустрия столкнулась с одной из самых серьёзных уязвимостей года — React2Shell. Ошибка в серверных компонентах React (RSC) открывала возможность удалённого выполнения кода без аутентификации — фактически полный контроль над сервером приложения.

➕ Что затронуто:

Фреймворки и инструменты, использующие RSC:
• Next.js
• React Router
• Waku
• Vite RSC
• Parcel RSC
• кастомные RSC-решения

Уязвимые версии React: 19.0.0–19.2.0.
Степень угрозы: CVSS 10.0.

➕ Как реагировало сообщество:

— разработчики массово обновляли зависимости
— компании запускали сканирование продакшена
— вендоры публиковали технические рекомендации и патчи
— уязвимость включили в списки критических угроз, требующих немедленных мер

‼️ React2Shell стала ключевой темой безопасности, резко повлияв на процессы разработки и эксплуатацию современных фронтенд-фреймворков.

Почитать 🔜

🔗 Блог BI.ZONE
🔗 Блог React.dev

🐸 Библиотека хакера

#cve_bulletin

🆕 Telegram включил поддержку Passkey — без СМС и пароля

Теперь войти в аккаунт можно через криптографический ключ, который хранится в менеджере паролей и подтверждается биометрией — Face ID, Touch ID или код-паролем.

Новая опция появилась в Настройки → Конфиденциальность. Это очередной шаг мессенджера к снижению зависимости от СМС: недавно добавили вход по e-mail, а теперь — полноценные Passkey.

• На рынке продолжаются проблемы с доставкой регистрационных СМС.
• Операторам, по данным источников, предписали блокировать сообщения и звонки новым пользователям Telegram и WhatsApp.
• Ранее регулятор уже ограничивал звонки и работу мессенджеров, мотивируя это борьбой с мошенничеством.

🔢 Telegram отвечает усилением модерации и альтернативными способами входа.

🔗 Источник

🐸 Библиотека хакера

#patch_notes

📎 365-Stealer

Инструмент для безопасной симуляции Illicit Consent Grant Attack в Microsoft 365. Показывает, что произойдёт, если пользователь согласится на вредоносное OAuth-приложение.

🔤 Что умеет:

— Моделирует фишинговый запрос OAuth-разрешений.
— Демонстрирует, какие данные может получить злоумышленник (почта, файлы, контакты).
— Работает через Microsoft Graph и готовые профили разрешений.
— Сохраняет артефакты в удобной структуре (yourVictims/).
— Python-скрипт с минимальными зависимостями.

🔤 CLI:

python3 365-Stealer.py
python3 app_registration.py
ls ./yourVictims/

🔤 Где полезен:

— Проверка политики consent-grant.
— Тренировки для blue team и red team.
— Демонстрация рисков для руководства.
— Учебные лаборатории SOC.

📎 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week

💡 30 инструментов мониторинга Linux

Надёжный мониторинг Linux-сервера невозможен без точных инструментов. Этот гайд объединяет решения, позволяющие оценивать нагрузку, отслеживать состояние системы и своевременно выявлять отклонения в работе.

Внутри — полный спектр утилит:

✅ Встроенные команды: top, htop, vmstat, iostat, netstat
✅ Продвинутые утилиты: Nagios, Cacti, Glances, iotop
✅ Сетевой мониторинг: tcpdump, iftop, nethogs
✅ Системная диагностика: strace, atop, nmon

🔗 Читать полный гайд

🐸 Библиотека хакера

#resource_drop

👾 Кейс: утечка служебных файлов и техдокументации РЖД

В 2024–2025 годах обсуждался один из наиболее показательных российских инцидентов: в открытом доступе оказались фрагменты служебной документации и технических материалов, относящихся к инфраструктуре РЖД.
Речь шла не о доступе к системам, а о утечке файлов, хранившихся у подрядчиков и интеграторов.

📌 Что оказалось скомпрометировано:

— рабочая документация по внутренним сервисам и подсистемам;
— конфигурационные файлы и схемы взаимодействия;
— материалы проектных организаций;
— отдельные фрагменты корпоративной переписки.

Инцидент был официально признан, но без раскрытия деталей — стандартная практика для организаций, относящихся к критической инфраструктуре.

⚠️ Кейс подчёркивает системную проблему: безопасность крупнейших компаний зависит от дисциплины всего подрядного контура.

Ошибка вне периметра часто опаснее, чем уязвимость внутри.

🐸 Библиотека хакера

#breach_breakdown

👨‍💻 Учебный проект для отработки взлома веб-приложений

Vuln-Bank — демонстрационное банковское приложение, намеренно наполненное уязвимостями. Отличная площадка для тех, кто развивает навыки в пентесте, анализе безопасности и защищённой разработке.

🔤 Проект включает богатый набор проблем безопасности, среди них:

• SQLi, XSS, CSRF
 • BOLA/BOPLA, переприсвоение полей (Mass Assignment)
 • Манипуляции с JWT, SSRF, обход путей
 • Гонки при обработке транзакций
 • LLM-векторы атак: внедрение промптов, утечки через AI-помощника

Главная фишка — встроенный AI-чат-ассистент на DeepSeek API, что позволяет тестировать актуальные сценарии атак на ИИ-компоненты.

🔗 Ссылка на репозиторий

🐸 Библиотека хакера

#resource_drop

🎯 Как получить FLAG, не зная пароль admin?

👍 — Брутфорс
👾 — NoSQL Injection
🔥 — SQL Injection
❤️ — JWT bypass

🐸 Библиотека хакера

#ctf_challenge

🐸 Библиотека хакера

#hack_humor

🛡 Сценарии работы SOC: практическое руководство

4 реальных сценария инцидентов с пошаговыми действиями:

🔴 Атака программ-вымогателей
🔴 Сбой критического сервера
🔴 Обработка ложных срабатываний
🔴 Глобальная кибератака (RansomLock.AI)

Каждый сценарий включает: роли специалистов (L1/L2/L3), используемые инструменты (SIEM, EDR, IDS/IPS), конкретные действия на каждом этапе.

🈁 Для кого:

Аналитиков SOC, руководителей ИБ, начинающих специалистов, MSSP-провайдеров — всех, кто строит процессы реагирования на инциденты.

🐸 Библиотека хакера

#cheat_sheet

🔓 Разбор задачи

Ответ: 👾 NoSQL Injection

❗️ Уязвимость:

User.findOne({ username, password });

Поля из req.body напрямую попадают в фильтр MongoDB.
Mongoose без sanitizeFilter позволяет операторные ключи ($ne, $gt и т.п.).

❗️ Эксплойт:

{
  "username": "admin",
  "password": { "$ne": null }
}

❗️ Запрос превращается в:

{ username: "admin", password: { $ne: null } }

Пароль admin ≠ null → документ найден → FLAG получен.

🛡️ Как фиксить:

Коротко и по делу:

mongoose.set('sanitizeFilter', true);

или проверять типы:

if (typeof password !== 'string') return 400;

🐸 Библиотека хакера

#ctf_challenge

🔥 «Shitrix» — уязвимость Citrix ADC / NetScaler (CVE-2019-19781)

В конце 2019 года стала публичной критическая RCE-дыра в Citrix ADC/NetScaler — том самом устройстве, через которое компании по всему миру обеспечивали VPN и удалённый доступ.

Citrix подтвердила проблему в своём официальном advisory и выпустила временные меры по смягчению. Позже подробности эксплуатации появились в правительственном отчёте CISA.

🔤 Почему эта уязвимость стала легендой:

🔘 Эксплуатировалась ещё до выхода патча — эксплойты появились почти сразу после утечки деталей.

🔘 Ransomware-группы использовали её как точку входа, развивая доступ по сети практически без сопротивления.

🔘 Тысячи компаний обнаруживали компрометацию уже в январе–феврале, когда последствия всплывали постфактум.

🔘 Для корпоративных VPN это был жёсткий wake-up call: один баг на периметре = полный доступ к внутренним системам.

Shitrix до сих пор приводят как пример того, как задержка в патче на несколько дней может стоить всей инфраструктуры.

🐸 Библиотека хакера

#zero_day_legends

⚡️ Быстрый опрос для пентестеров

Bug Bounty vs Пентест-проекты:

❤️ — Только BB (свобода и азарт)
👍 — В основном BB, проекты редко
👾 — В основном проекты, BB для души
🔥 — Только проекты (стабильность решает)

Кто где зарабатывает?

🐸 Библиотека хакера

#tool_vs_tool

🐸 Библиотека хакера

#hack_humor