💥 REcollapse

Представляет собой вспомогательный инструмент для фаззинга регулярных выражений методом чёрного ящика, который позволяет обходить проверки и обнаруживать нормализации в веб-приложениях. Также может быть полезен для обхода WAF и слабых механизмов защиты от уязвимостей.

Цель этого инструмента — генерация полезных нагрузок (payloads) для тестирования. Фактическое фаззинг-тестирование должно проводиться с помощью других инструментов, таких как Burp, Caido, ffuf и др.

Установить можно через python или docker следующими командами.

git clone https://github.com/0xacb/recollapse.git
cd recollapse
#Python 3
python3 setup.py install 
#Docker
docker build -t recollapse . 

⁉️ Объяснение параметров
Режимы работы
Предположим, что входная строка — this_is.an_example.
⏺️Вставка полезной нагрузки в начало строки: $this_is.an_example
⏺️Вставка байтов до/после символов-разделителей: this$_$is$.$an$_$example
⏺️Подстановка всех возможных байтов в соответствии с таблицей нормализаций.
⏺️Добавление нагрузки в конец строки: this_is.an_example$
⏺️Замена допустимых символов на регулярные метасимволы: .^$*+-?()[]{}\|
⏺️Замена символов на их нижний/верхний регистр или эквиваленты по таблице соответствий.
⏺️Замена символов на байты, вызывающие усечение строки при обработке.

Кодирование
⏺️URL-кодирование (используется в application/x-www-form-urlencoded, параметрах GET/POST): %22this_is.an_example
⏺️Unicode-кодировка (используется в application/json): \u0022this_is.an_example
⏺️Raw-формат (используется в multipart/form-data): "this_is.an_example
⏺️Двойное URL-кодирование: %2522this_is.an_example

Диапазон
Диапазон байтов для фаззинга: -r 1-127 позволит исключить буквенно-цифровые символы, если не указана опция -an (буквенно-цифровые символы).

Размер
Размер фаззинга для режимов 1, 2 и 4. По умолчанию выполняется фаззинг всех возможных значений для одного байта. Увеличение размера потребует больше ресурсов и приведет к созданию большего количества входных данных, но это может помочь найти новые обходные пути.

Таблицы
Используйте -nt параметр, чтобы отобразить таблицу нормализации, -ct параметр, чтобы отобразить таблицу регистров, и -tt параметр, чтобы отобразить таблицу усечения. Также можно использовать --html параметр для вывода таблиц в формате HTML.

recollapse -nt --html > normalization_table.html
recollapse -tt --html > truncation_table.html
recollapse -ct --html > case_table.html

👨‍💻 Примеры использования

recollapse -e 1 -m 1,2,4 -r 10-11 https://legit.example.com

echo "[email protected]" | recollapse 

echo "<svg/onload=alert(1)>" | recollapse | ffuf -w - -u "https://example.com/?param=FUZZ" -mc 200,403,500

У всех, кто сейчас работает в ИБ, тоже был первый шаг. Вот твой.

👢 Новинка от Codeby — курс «Основы кибербезопасности»

Старт потока: 24 ноября 2025 года
🔺Сразу к обучению

🔺Кибербезопасность — это больше, чем просто защита данных. Курс даст фундамент, с которого начинают карьеру в ИБ. Linux, сети, атаки, защита — всё, без чего не попасть в профессию.

Что вас ждёт:
🔺32 практических занятия с разбором реальных кейсов.
🔺Наставник, который помогает весь путь — не только по технике, но и по карьерным вопросам.
🔺 5,5 месяцев интенсивного обучения с фокусом на практику.

Вы научитесь:
• работать в Linux и Windows с прицелом на ИБ, строить и атаковать сети,
• понимать PowerShell, Wireshark, Kali Linux,
• проводить первые pentest-атаки, разбираться в SOC, SIEM и логах.

Курс подойдёт, если вы:
🔺 новичок в ИБ и не знаете, с чего начать,
🔺 IT-специалист, которому нужно усилить компетенции,
🔺 студент, тестировщик или системный админ — и хотите расти.

«Вы получите мышление безопасника. И это имеет ценность в 2025 году» — автор курса.

Готовы стать частью команды, которая 5 раз выиграла The Standoff?

Программа, наставник, скидки 🔺 Хочу узнать всё
✈️ @CodebyManagerBot

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Солдат

👩‍💻 Категория Pentest Machines — DreamSanity
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - 4chat
🟠Разное - Текст на клавишах

Приятного хакинга!

🫥 SharpUp — Автоматизированное выявление ошибок конфигурации и привилегий в Windows

SharpUp — это инструмент для поиска уязвимостей в Windows, связанных с повышением привилегий. Данный проект написан на языке C# и является портом наиболее распространённых проверок из PowerUp, но уже без использования PowerShell. Это делает его удобным в условиях, когда использование PowerShell ограничено или контролируется системами безопасности.

Основная цель SharpUp — аудит. Утилита выполняет набор проверок, которые помогают определить возможные пути локального повышения привилегий. При этом в SharpUp отсутствует функционал эксплуатации найденных уязвимостей — инструмент только сообщает о потенциальных точках атаки.

❓ Что умеет SharpUp:
➡️ Анализирует конфигурацию системы Windows для поиска уязвимых настроек.
➡️ Проверяет наличие небезопасных сервисов, заданий планировщика и путей.
➡️ Выявляет проблемы в реестре и конфигурационных файлах, которые могут быть использованы злоумышленником.
➡️ Показывает учетные данные, которые могли сохраниться в системе (например, автологины или пароли в групповых политиках).

Примеры задач, которые может выявить SharpUp:
➡️ AlwaysInstallElevated — установка MSI пакетов с правами администратора.
➡️ UnquotedServicePath — небезопасные пути к бинарным файлам сервисов.
➡️ HijackablePaths — возможность подмены библиотек или бинарников в путях.
➡️ ModifiableServices — сервисы, которые могут быть изменены пользователем.
➡️ CachedGPPPassword и DomainGPPPassword — пароли, сохранённые в объектах групповой политики.
➡️ ProcessDLLHijack — потенциальная подмена DLL библиотек.

Для запуска используется простой синтаксис командной строки. Можно проверить всю систему командой:

SharpUp.exe audit

Или запустить конкретную проверку, например:

SharpUp.exe HijackablePaths

SharpUp не распространяется в готовом виде — его необходимо собрать самостоятельно. Для этого достаточно открыть проект в Visual Studio, выбрать конфигурацию Release и выполнить сборку. Инструмент поддерживает работу на .NET Framework 3.5, что делает его совместимым с большинством версий Windows.

SharpUp входит в набор GhostPack — коллекцию инструментов на C#, созданных для проведения аудита и атаковых сценариев без PowerShell. В неё входят такие проекты, как Rubeus, Seatbelt, SharpDPAPI, SharpDump и другие, о которых мы расскажем дальше

Друзья, напоминаем, на каких курсах начинается обучение в сентябре ⬇️

Запись до 11 сентября:
🔵Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.

Старт 8 сентября:
🔵Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.

Старт 15 сентября:
🔵Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.
🔵Курс «Python для Пентестера» — научимся писать софт на Python под собственные нужды и редактировать чужой код.

Старт 22 сентября:
🔵Курс «Профессия Пентестер» — учимся эксплуатировать онлайн-уязвимости и обходить антивирусы. Изучаем инструменты: сканеры, Bash-скрипты, пентест AD.
🔵Курс «SQL-Injection Master» — освоим начальные навыки работы с SQL-запросами к базам данных. Успейте записаться на последний поток курса!

Старт 29 сентября:
🔵Курс «Введение в Информационную Безопасность» — изучаем принципы веб-разработки, виртуализации, уязвимостей веб-приложений, CTF и др. Финальный запуск курса!

✏️ @Codeby_Academy

⚠️ В устройствах Cisco обнаружена уязвимость с оценкой CVSS 10,0

👨‍💻 Уязвимость с идентификатором CVE-2025-20265 затрагивает реализацию подсистемы RADIUSб, что позволяет не аутентифицированному удаленному пользователю внедрять произвольные команды оболочки, которые выполняются устройством.

«Успешная эксплойт может позволить злоумышленнику выполнять команды с высоким уровнем привилегий», — говорится в сообщении Cisco.
«Для эксплуатации этой уязвимости программное обеспечение Cisco Secure FMC должно быть настроено на аутентификацию RADIUS для веб-интерфейса управления, управления SSH или обоих».

❗️ Уязвимость затрагивает версии Cisco Secure FMC Software 7.0.7 и 7.7.0, если в них включена аутентификация RADIUS. Обходных путей, кроме применения исправлений, предоставляемых компанией, не существует.

💠 Компания Cisco выпустила обновления безопасности, устраняющие уязвимость в программном обеспечении Secure Firewall Management Center (FMC), а также ряд других серьезных ошибок.

🟢 Хотя ни одна из уязвимостей не подвергалась активной эксплуатации в реальных условиях, а сетевые устройства неоднократно попадали в поле зрения злоумышленников, крайне важно, чтобы пользователи оперативно обновляли свои экземпляры до последней версии.

👨‍💻 SharpDPAPI — C#-утилита для работы с Windows DPAPI-данными

SharpDPAPI — это инструмент, разработанный на языке C# и представленный в рамках проекта GhostPack. Он является портом некоторых функций Mimikatz, связанных с DPAPI (Data Protection API) — встроенного механизма Windows для защиты данных. SharpDPAPI позволяет выполнять аудиторские операции и форензическую работу с DPAPI-ключами и зашифрованными данными без использования PowerShell.

⚡️ Основные возможности SharpDPAPI:
⏺️ Извлечение ключей резервного копирования домена (backup key): утилита позволяет получить DPAPI backup key с контроллера домена с помощью API в стиле Mimikatz. Необходимы права Domain Admin (или эквивалентные) для получения этого ключа.
⏺️ Триаж (masterkeys): поиск файлов пользовательских masterkey и их расшифровка, включая генерацию сопоставления GUID:SHA1. Возможна дешифровка с помощью предоставленного backup key или пароля.
⏺️ Поиск DPAPI-данных: команда search позволяет искать DPAPI-блобы в реестре, файлах, папках или base64-строках по сигнатурам заголовка DPAPI.
⏺️ Работа с браузерными данными: модуль SharpChrome внутри SharpDPAPI позволяет извлекать и расшифровывать cookie-файлы и логины из Chromium-браузеров (Chrome, Edge, Brave, Slack). Доступны параметры управления форматом вывода, фильтром по URL или файлу состояния.

🖥 Примеры использования:
⏺️ Получение backup key:

SharpDPAPI.exe backupkey

(или с указанием контроллера /server:имя_доменного_контроллера и выводом в файл /file:key.pvk)

⏺️ Триаж masterkey:

SharpDPAPI.exe masterkeys /pvk:key.pvk

— формирует список GUID:SHA1, соответствующих найденным masterkey-файлам.

⏺️ Поиск DPAPI-блобов:

SharpDPAPI.exe search /type:folder /path:C:\Users\…\

— ищет DPAPI-структуры внутри файлов папки или реестра.

⏺️ Доступ к браузерным данным:

SharpDPAPI.exe logins /format:json /browser:edge
SharpDPAPI.exe cookies /url:example.com /format:table

— извлекает и расшифровывает логины и cookie-файлы (включая фильтрацию).

Сборка и особенности запуска:
➡️ SharpDPAPI требует ручной сборки: откройте .sln в Visual Studio (поддерживается .NET Framework 3.5 по умолчанию, возможно изменение целевой версии) и соберите в конфигурации Release.
➡️ Возможна работа в памяти через PowerShell-обёртку: можно загрузить .exe как base64-строку и вызвать Main() или MainString() для интеграции с PSRemoting.

Как автоматизировать подбор учетных данных на основе результатов Nmap? Используйте Brutespray!

Brutespray — это скрипт на Python, который парсит вывод nmap (особенно в формате –oX или –oG), идентифицирует найденные службы (SSH, FTP, RDP, MySQL и т.д.) и автоматически запускает для них соответствующие инструменты для подбора паролей, такие как: hydra, medusa или patator.

Его главная задача — автоматизировать рутину. Вы не просто видите, что на хосте 192.168.1.10 открыт порт 22 (SSH). Brutespray сразу же возьмет этот IP и порт, подставит их в команду для проведения проверки.

🟧 Ключевые особенности
- анализирует nmap и сам решает, какой протокол тестировать
- работает с Hydra, Medusa и Patator «из коробки»
- позволяет проводить проверки нескольких служб и хостов одновременно, что значительно ускоряет процесс оценки
- весь функционал умещается в паре команд

🟧Устанавливаем
Клонируем репозиторий с GitHub и устанавливаем зависимости

git clone https://github.com/x90skysn3k/brutespray.git

cd brutespray

python3 -m pip install -r requirements.txt

🟧Проверяем

brutespray -h

🟧Сканируем цели с Nmap
Сначала нам нужно получить данные для Brutespray (для это подходит быстрое сканирование с определением версий служб).

nmap -sV 192.168.1.0/24 -oX nmap_scan.xml

-sV определяет версии служб, что критически важно для Brutespray
-oX сохраняет вывод в XML-формате, который идеально парсится

🟧Запускаем Brutespray
Теперь скормим наш XML-файл программе

python3 brutespray.py --file nmap_scan.xml

Brutespray проанализирует файл, найдет, например, FTP на порту 21, SSH на 22, Telnet на 23 и для каждого запустит свою команду hydra.

🟧Анализируем результаты
Brutespray выводит результаты в реальном времени в консоль. Все успешные подборы сохраняются в файл brutespray-output/<protocol>-success.txt.

Например, если был подобран пароль для FTP, вы найдете файл ftp-success.txt с содержимым вида:
[+] Хост: 192.168.1.15 - Протокол: ftp - Учетные данные: admin:password123

⚠️ iPhone и MacBook в опасности из-за WhatsApp*

📱 В WhatsApp обнаружена уязвимость Zero-Click, нацеленная на iOS и macOS, которая могла быть эксплуатирована в неконтролируемых масштабах совместно с недавно обнаруженной уязвимостью Apple.

😡 CVE-2025-55177 (CVSS: 8,0) связана с недостаточной авторизацией сообщений о синхронизации связанных устройств. Компания заявила, что проблема могла позволить постороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве.

Версии, которые затронуты:
🔺 WhatsApp for iOS до версии 2.25.21.73
🔺 WhatsApp Business for iOS версии 2.25.21.78
🔺 WhatsApp for Mac версии 2.25.21.78

❗️ Также данная уязвимость связанна с CVE-2025-43300, затрагивающей устройства Apple, которую использовали в своих атаках APT-группировки.

🔺 В связи с этим WhatsApp выпускает экстренное обновление, закрывающее найденную уязвимость.

................................
* принадлежит компании Meta, запрещена в России как экстремистская

У нас уже есть сотни студентов, готовых учиться у практиков, и сильная база по ключевым направлениям информационной безопасности. Сейчас мы расширяем линейку курсов и приглашаем экспертов для разработки новых программ:
🟧 Пентест мобильных приложений
🟧 Тестирование безопасности облачной инфраструктуры
🟧 AppSec-инженер

Что мы ждём:
— практический опыт и реальные кейсы;
— умение превращать свой опыт в структурированный учебный материал;
— желание развивать сообщество ИБ и делиться знаниями.

Что предлагаем:
— готовую платформу и лояльную аудиторию;
— поддержку методистов и редакторов, которые помогут оформить знания в востребованный продукт;
— достойное вознаграждение за ваш вклад.

Если хотите стать автором программы, по которой будут учиться сотни специалистов, пишите ✈️ @maria_ezhi

Вы просили — мы сделали! Актуальный список CVE ⬇️
Часть 1

WhatsApp самый опасный мессенджер в мире!
Корпорация зла Meta*, мало-того, требует для регистрации ваш номер телефона и доступ к контактам, так и таит в себе кучу уязвимостей, которые могут нарушить вашу конфиденциальность и приватность!!!
Сегодня мы рассмотрим все CVE для данного мессенджера до 2020 года включительно, и даже учитывая факт их исправности, мы не рекомендуем пользоваться данным мессенджером.

Начнём с 2025 года:
CVE-2025-55177 (Август)

Неполная авторизация сообщений синхронизации связанных устройств в WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS версии 2.25.21.78 и WhatsApp для Mac версии 2.25.21.78 могла позволить стороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве. Мы считаем, что эта уязвимость в сочетании с уязвимостью на уровне ОС на платформах Apple (CVE-2025-43300) могла быть использована для сложной атаки на конкретных целевых пользователей.

CVE-2025-30401 (Апрель)

Проблема спуфинга в WhatsApp для Windows до версии 2.2450.6 приводила к отображению вложений в соответствии с их MIME-типом, но выбор обработчика открытия файлов осуществлялся на основе расширения имени файла. Вредоносное несоответствие могло привести к тому, что получатель непреднамеренно выполнил произвольный код вместо просмотра вложения при ручном открытии в WhatsApp.

2023 год:
CVE-2023-38538

Состояние гонки в подсистеме событий привело к проблеме использования кучи после освобождения в установленных аудио-/видеовызовах, что с очень малой вероятностью могло привести к завершению работы приложения или непредвиденному потоку управления.

CVE-2023-38537

Состояние гонки в сетевой транспортной подсистеме привело к проблеме использования кучи после освобождения в установленных или неотключенных входящих аудио-/видеовызовах, что с очень малой вероятностью могло привести к завершению работы приложения или неожиданному потоку управления.

2022 год:
CVE-2022-36934 (Сентябрь)

Целочисленное переполнение в WhatsApp для Android до версии 2.22.16.12, Business для Android до версии 2.22.16.12, iOS до версии 2.22.16.12, Business для iOS до версии 2.22.16.12 может привести к удаленному выполнению кода во время установленного видеозвонка.

CVE-2022-27492 (Сентябрь)

Целочисленное переполнение в WhatsApp для Android до версии 2.22.16.2 и WhatsApp для iOS версии 2.22.15.9 могло привести к удаленному выполнению кода при получении созданного видеофайла.

CVE-2021-24043 (Февраль)

Отсутствующая проверка границ в коде анализа флага RTCP до версий WhatsApp для Android v2.21.23.2, WhatsApp Business для Android v2.21.23.2, WhatsApp для iOS v2.21.230.6, WhatsApp Business для iOS 2.21.230.7 и WhatsApp Desktop v2.2145.0 могла привести к чтению кучи за пределами допустимого диапазона, если пользователь отправлял некорректный пакет RTCP во время установленного вызова.

CVE-2021-24042 (Январь)

Логика вызовов WhatsApp для Android до версии 2.21.23, WhatsApp Business для Android до версии 2.21.23, WhatsApp для iOS до версии 2.21.230, WhatsApp Business для iOS до версии 2.21.230, WhatsApp для KaiOS до версии 2.2143, WhatsApp Desktop до версии 2.2146 могла допустить запись за пределами допустимого диапазона, если пользователь совершал звонок 1:1 злоумышленнику.

2021 год:
CVE-2021-24041 (Декабрь)

Отсутствие проверки границ в коде размытия изображений до версий WhatsApp для Android 2.21.22.7 и WhatsApp Business для Android 2.21.22.7 могло привести к записи данных за пределами допустимого диапазона, если пользователь отправлял вредоносное изображение.

CVE-2021-24035 (Июнь)

Отсутствие проверки имени файла при распаковке архивов до версий WhatsApp для Android 2.21.8.13 и WhatsApp Business для Android 2.21.8.13 могло привести к атакам обхода пути, которые перезаписывают файлы WhatsApp.

CVE-2021-24027 (Апрель)

*Корпорация зла Meta признана экстремисской организацией на територии Российской Федерации

Продолжение списка уязвимостей во второй части⬇️

О нас написали. Большая статья — и большая благодарность

Недавно вышел мощный текст от одного из выпускников нашего курса по пентесту веб-приложений (WAPT) — и это больше, чем просто отзыв.

Это — подробный разбор, что именно работает в курсе, как устроено обучение изнутри, и почему даже опытные айтишники рекомендуют нас тем, кто хочет настоящую боевую практику, а не очередные «видео с теорией».

Тот случай, когда за курс не стыдно. Обучение построено так, чтобы ты действительно понял, как работает эксплуатация, а не просто кликал по скриптам. Важно: тебя ведут, но не решают за тебя. Это сразу задаёт уровень.

Автор подробно описал:

🟧 какие темы мы покрываем: от SQLi и XSS до SSRF, SSTI, CMDi, LFI и цепочек до RCE
🟧 как устроена обратная связь и почему настоящий диалог с кураторами — ключ к росту
🟧 почему наш PDF-гайд, песочница и формат менторства — это не «добавка», а ядро курса
🟧 за что особенно хвалят финальный модуль с ручным поиском уязвимостей
🟧 и почему даже “9/10” в оценке курса — это честно, а не маркетинг.

Полный текст — здесь.
(рекомендуем прочитать, если вы всерьёз думаете войти в пентест через практику, а не “просто посмотреть”).

Такие разборы и благодарности — лучшая оценка нашей работы. Мы делаем курс нацеленным на результат. Если вы хотите получить навык и уверенность — добро пожаловать.

Новый поток стартует в октябре. Программа курса, скидка 5% и кураторы — здесь.
✈️ @CodebyManagerBot

"Знаю о тебе почти всё, а мы ведь даже не знакомы"

BlackBird

Blackbird — мощный инструмент OSINT, сочетающий быстрый поиск по имени пользователя и адресу электронной почты на более чем 600 платформах с бесплатным профилированием на базе искусственного интеллекта. Благодаря использованию проектов, поддерживаемых сообществом, таких как WhatsMyName, он обеспечивает низкий уровень ложных срабатываний и высокое качество результатов.
Blackbird интегрирует движок искусственного интеллекта, который анализирует сайты, на которых найдено имя пользователя или адрес электронной почты, и возвращает поведенческий и технический профиль пользователя, помогая вам понять больше с меньшими усилиями.

📕 Характеристики:
➖Интеллектуальные фильтры
➖Оптимизированный экспорт в PDF/CSV
➖Полностью автоматизированный анализ

💻 Установка:

git clone https://github.com/p1ngul1n0/blackbird.git

cd blackbird

pip3 install -r requirements.txt --break-system-packages

📌 Использование:

python3 blackbird.py --username [НИК]

python3 blackbird.py --email [ПОЧТА]

🚀 Включение нейросети в утилиту:
➖Генерируем API ключ:

python blackbird.py --setup-ai

📌Используем с ключём --ai:

python3 blackbird.py --username [НИК] --ai

python3 blackbird.py --email [ПОЧТА] --ai

☁️ CloudSploit: Ваш сканер уязвимостей в облаке

CloudSploit — это сканер безопасности для публичных облаков (AWS, Azure, Google Cloud, Oracle Cloud, GitHub). Его задача — автоматически проходить по всем уголкам вашей облачной среды и сверять их с обширным списком лучших практик безопасности (CIS Benchmarks) и известных уязвимостей.

🔺Принцип работы
Вы даёте CloudSploit ключи доступа (с минимально необходимыми привилегиями только на чтение), он подключается к API вашего облачного провайдера, сканирует все доступные сервисы (виртуальные машины, базы данных, бакеты хранилищ, правила сетевого доступа и т.д.), а затем генерирует детальный отчёт о найденных проблемах.

🔺Почему он нужен?
- защита от «человеческого фактора» (CloudSploit ловит ошибки: публичный S3 bucket, SSH-порт 22, открытый всему миру (0.0.0.0/0), невключенное шифрование дисков, неиспользуемые ключи доступа).
- инструмент помогает обеспечить compliance с такими стандартами, как: PCI DSS, HIPAA, GDPR, автоматически проверяя необходимые требования.
- облако — динамическая среда. То, что было безопасно вчера, сегодня может оказаться уязвимым после очередного обновления конфигурации. CloudSploit можно запускать по расписанию, обеспечивая непрерывный контроль.
- вы не можете защитить то, о чём не знаете. CloudSploit показывает полную картину вашей облачной безопасности, часто обнаруживая забытые и неиспользуемые ресурсы, которые несут в себе риски.

🔺Настраиваем и запускаем
🔺Подготовка учётных данных AWS
Первое и самое важное — создаём в AWS IAM-пользователя с правами только на чтение.

P.S. Никогда не используйте ключи root-пользователя или ключи с правами на запись!

1. Зайдите в AWS IAM Console.
2. Создайте нового пользователя.
3. Назначьте ему готовую политику SecurityAudit (или создайте кастомную политику с минимально необходимыми разрешениями на чтение).
4. Сгенерируйте для него Access Key ID и Secret Access Key (сохраните их в надёжное место).

🔺 Запуск через Docker
У вас должен быть установлен Docker. Далее всё просто:

docker run -it --rm -e AWS_ACCESS_KEY_ID=YOUR_ACCESS_KEY \
                     -e AWS_SECRET_ACCESS_KEY=YOUR_SECRET_KEY \
                     aquasec/cloudsploit:latest

Замените YOUR_ACCESS_KEY и YOUR_SECRET_KEY на полученные ранее значения.

🔺 Анализ результатов
После запуска инструмент начнёт сканирование (это может занять несколько минут).
Результаты будут выведены прямо в консоль и окрашены в три цвета:
- красный (HIGH) - критические проблемы (открытый доступ к базе данных. Требуют немедленного внимания).
- жёлтый (MEDIUM) - серьёзные проблемы (устаревшие SSL-сертификаты. Требуют скорейшего исправления).
- зелёный (LOW/OK) - информационные предупреждения или успешные проверки.
Пример вывода:

[cloudtrailEnabled] [MEDIUM] CloudTrail is not enabled on all regions globally.
[ec2OpenPorts] [HIGH] Security Group "default" allows all traffic on port 22 (ssh) from 0.0.0.0/0.
[s3BucketPublicRead] [HIGH] Bucket "my-public-bucket-123" allows public read access.

🔺Получив отчёт, вы можете перейти в соответствующую консоль AWS (например, EC2 для правил Security Groups или S3 для настроек бакета) и устранить найденные недочёты.

🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.

Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее

Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).