🎩 Белые хакеры в РФ - В С Ё!

🛡 Минцифры предоставили второй пакет мер по борьбе с кибермошенниками, в котором присутствует наложение запрет на распространение "информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин".

💻 Данная поправка может серьезно повлиять на деятельность "белых хакеров", "багхантеров" и других специалистов, которые пользуются публичными отчетами в своей деятельности и сами распространяют подобную информацию для развития российского ИБ-сообщества. Также на данный момент не понятно, что будет с TI и IR отчетами, которые также предоставляют различные способы кибератаках, которые были ранее замечены.

📋 Минцифры заявляют, что запрет не коснется деятельность "белых хакеров", а затронет лишь распространение информации о способах кибератак.

🉐 Еще этим летом госдума отклонила законопроект о легализации "белых хакеров", в котором не учитывались нормы безопасности КИИ и гостайны, а сегодня запрещает делиться отчетами о кибератаках.

🔺 Что будет дальше?

Hayabusa: Утилита для быстрого анализа журналов событий Windows

Hayabusa — это инструмент для быстрого анализа журналов событий Windows, ориентированный на создание временных шкал. Данная утилита использует правила Sigma для обнаружения атак и предоставляет удобные средства для анализа данных.

⚡️ Быстрый старт с Hayabusa

1️⃣ Установка утилиты
Скачайте последнюю версию Hayabusa с официальной страницы релизов на GitHub:

https://github.com/Yamato-Security/hayabusa/releases

2️⃣ Запуск утилиты
После загрузки и распаковки архива выполните команду для запуска утилиты:

hayabusa.exe

3️⃣ Основные команды
⏺️ csv-timeline: Создает временную шкалу событий в формате CSV.

hayabusa.exe csv-timeline -f eventlog.evtx

⏺️ json-timeline: Создает временную шкалу событий в формате JSON или JSONL.

hayabusa.exe json-timeline -f eventlog.evtx

⏺️ logon-summary: Выводит сводку по событиям входа в систему.

hayabusa.exe logon-summary -f eventlog.evtx

⏺️ search: Выполняет поиск по ключевым словам или регулярным выражениям в событиях.

hayabusa.exe search -f eventlog.evtx -k "mimikatz"

4️⃣ Пример запуска анализа
Для создания временной шкалы событий из файла eventlog.evtx в формате CSV выполните команду:

hayabusa.exe csv-timeline -f eventlog.evtx -o timeline.csv

🔍 Возможности анализа
• Фильтрация по времени: Укажите диапазон дат для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx --timeline-start "2025-01-01 00:00:00" --timeline-end "2025-01-31 23:59:59"

• Использование профилей: Выберите профиль для настройки уровня детализации.

hayabusa.exe csv-timeline -f eventlog.evtx -p verbose

• Включение фильтра по Event ID: Ускоряет анализ, но может пропустить некоторые предупреждения.

hayabusa.exe csv-timeline -f eventlog.evtx -E

• Запуск только встроенных правил: Используйте встроенные правила для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx -r rules/builtin

Очередной громкий взлом в мире децентрализованных финансов всколыхнул криптосообщество. На этот раз под удар хакеров попал Nemo Protocol, а сумма ущерба оценивается в $2,4 миллиона. Это происшествие вновь заставляет задуматься о безопасности DeFi-платформ, особенно тех, что построены на молодом блокчейне Sui.

💛Хронология инцидента
Ирония ситуации в том, что всего за день до инцидента, в воскресенье, команда Nemo успокаивала пользователей, сообщая о плановом техническом обслуживании на 8-9 сентября и заверяя, что все активы «остаются в полной безопасности». Однако уже в понедельнике ведущие компании по аудиту безопасности, PeckShield и CertiK, подняли тревогу, обнаружив подозрительную активность и масштабный отток средств из протокола. Команда Nemo была вынуждена подтвердить факт «инцидента с безопасностью», затронувшего рыночный пул.

💛Что известно о взломе?
- Официально Nemo цифры не назвала, но эксперты из CertiK и PeckShield единодушно оценивают потерю в ~$2,4 млн в различных токенах.
- По предварительным данным CertiK, атака, вероятно, была направлена на манипулирование ценами в кредитном протоколе Nemo. Это сложный вид атаки, при котором хакер искусственно меняет стоимость актива, чтобы обналичить средства пула.
- Все операции со смарт-контрактами были немедленно приостановлены. Команда заявила, что активы в основном хранилище не пострадали, и пообещала предоставить подробный отчет по итогам расследования.

💛Sui под прицелом
Это не первый инцидент на блокчейне Sui. Всего несколько месяцев назад, в мае 2025 года, другой протокол на Sui, Cetus (CETU), был взломан на колоссальные $223 млн. Тот случай вызвал жаркие споры о децентрализации, когда выяснилось, что сеть Sui технически может заморозить средства «по требованию», что противоречит одному из ключевых принципов DeFi.

Повторная крупная атака на протокол в той же экосистеме задает тревожный тренд и бросает тень на безопасность nascent-блокчейнов.

💛Пока команда Nemo разбирается с последствиями взлома, другая DeFi-платформа, Venus Protocol, показала пример эффективного реагирования. Им удалось вернуть $11,4 млн пользователю, ставшему жертвой фишинговой атаки 2 сентября.
Как выяснилось, злоумышленники через вредоносную версию Zoom получили доступ к компьютеру жертвы и смогли обманным путем заставить ее подписать транзакцию, которая назначила хакера делегатом ее счета. Это позволило преступнику брать займы и выводить средства от ее имени. Однако команда Venus среагировала молниеносно и вернула активы в течение 13 часов.

AdminDirectoryFinder

📕Admin Directory Finder — это инструмент, предназначенный для сканирования и идентификации каталогов в папках администратора, таких как admin/dashboard.php. Идеально подходит для новичков-специалистов по тестированию на проникновение и разработчиков, обеспечивая надлежащий контроль доступа и меры безопасности. Подходит для быстрого анализа.

💻Установка:

git clone https://github.com/tausifzaman/AdminDirectoryFinder.git

cd AdminDirectoryFinder

pipx install rich

📌Запуск:

python3 main.py

То, что вы стеснялись спросить про ИБ — новая рубрика в Codeby!

А правда, что пентестеры просто сидят и тыкают "sqlmap"?

Я купил курс, но ничего не понял. Это нормально?

Обязательно ли быть интровертом, чтобы работать в ИБ?

Сколько должно быть чёрного в чёрном худи, чтобы меня приняли в Red Team?

С чего начать карьеру в ИБ, если у меня гуманитарное образование?

Есть вопрос по кибербезу, обучению или нашим курсам, но не хочется писать в чате или кому-то лично?

Иногда не хочется светиться. Поэтому мы запустили анонимную форму: можете задать любой вопрос — глупый, странный или слишком конкретный. Мы выберем интересные и раз в неделю будем отвечать.

👋 Задать вопрос анонимно:
https://t.iss.one/anonaskbot?start=AskCodeby

🥇 @codeby_sec

VHostScan: Целевой поиск виртуальных хостов для профессионалов безопасности

В процессе разведки (Reconnaissance) критически важно обнаружить всю поверхность атаки. Часто на одном IP-адресе размещены десятки веб-приложений, использующих технологию виртуальных хостов (VHosts). Многие из них не числятся в DNS и остаются «скрытыми» — это могут быть тестовые, промежуточные (staging) среды или административные панели, которые зачастую более уязвимы.

Виртуальный хостинг — это метод, позволяющий запускать несколько веб-сайтов (например, site1.com и site2.com) на одном физическом сервере и одном IP-адресе. Веб-сервер (например, Apache или Nginx) определяет, какой именно сайт запрашивает пользователь, анализируя заголовок Host: в HTTP-запросе.

🟧 Стандартные сканеры, работающие только с DNS, такие хосты пропускают. VHostScan — это не просто сканер, а высокоспециализированный инструмент, использующий три различных метода для точного и массового обнаружения виртуальных хостов:
🟧Перебор по словарю - инструмент использует заданный список поддоменов (например, dev, api, test), отправляя запрос для каждого имени HTTP-запрос с соответствующим заголовком Host.
🟧Анализ ответов (Фингерпринтинг) - это основное преимущество утилиты. VHostScan не ограничивается анализом кода ответа. Он сравнивает ответы сервера на валидные и невалидные запросы, анализируя: размер страницы, заголовки ответа, код состояния, хеш содержимого.

Такой подход позволяет reliably обнаруживать хосты, возвращающие кастомные страницы ошибок или перенаправления.

🟧Поддержка современных технологий - инструмент полноценно работает с HTTPS через механизм SNI (Server Name Indication), что обеспечивает корректное сканирование защищённых сайтов. Кроме того, он поддерживает массовую обработку targets и легко интегрируется в автоматизированные пайплайны разведки с такими инструментами, как amass и subfinder.

🟧 Установка и использование

git clone https://github.com/codingo/VHostScan

cd VHostScan

pip3 install -r requirements.txt

🟧 Проверка

VHostScan -h

🟧 Примеры использования
- Простое сканирование (использование базового списка слов)

python3 vhostscan.py -t example.com -w wordlist.txt

- Целевое сканирование с фингерпринтингом. Сначала инструменту нужно узнать, как сервер отвечает на невалидные запросы (создается «отпечаток»), а затем искать аномалии.

python3 vhostscan.py -t example.com -w wordlist.txt --fingerprints

- Массовое сканирование списка целей

python3 vhostscan.py -T targets.txt -w wordlist.txt -o results.json --json-output

Thermoptic — стелс-прокси для маскировки HTTP-запросов

Thermoptic — это HTTP-прокси, который делает ваши запросы неотличимыми от настоящего браузера Chrome. В отличие от имитации заголовков или TLS-фингерпринтов, инструмент использует сам браузер через Chrome Debugging Protocol, полностью воспроизводя поведение реального клиента.

Почему Thermoptic эффективнее альтернатив
➡️ Большинство решений пытаются имитировать браузерные фингерпринты на уровне TLS, HTTP или TCP. Эти подходы легко выявить из-за малейших расхождений.
➡️ Thermoptic использует сам браузер для выполнения всех слоев — TCP, TLS, HTTP, JavaScript — делая запрос неотличимым от настоящего .
➡️ А любые изменения в поведении браузера автоматически учитываются, достаточно обновить контролируемую версию Chrome.

1️⃣ Склонируйте репозиторий:

git clone https://github.com/mandatoryprogrammer/thermoptic.git

2️⃣ Запустите контейнер:

docker compose up --build

3️⃣ Использование
Отправьте запрос через прокси:

curl --proxy https://changeme:[email protected]:1234 --insecure https://ja4db.com/id/ja4h/

Для корректного SSL используйте CA-сертификат ssl/rootCA.crt.

4️⃣ Пример работы

curl --proxy https://user:[email protected]:1234 https://target.com

🔍 Возможности
• Полное совпадение JA4-фингерпринтов (TLS, HTTP, TCP, X509).
• Поддержка cookies и хуков (ON_START, BEFORE_REQUEST, AFTER_REQUEST).
• Реальные браузерные заголовки и сетевое поведение.

🇨🇳 Китайская группировка атакует сетевые устройства

🐲 Китайская APT-группировка Salt Typhon использует уязвимости в сетевых устройствах и взломал 600 организаций по всему миру.

🌎 Данная группировка продолжает свои атаки, нацеленные на сети по всему миру, включая организации в сфере телекоммуникаций, государственного управления, транспорта, гостиничного бизнеса и военной инфраструктуры.

🏢 В бюллетене , предоставленном властями 13 стран, говорится, что вредоносная деятельность связана с тремя китайскими организациями: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. и Sichuan Zhixin Ruijie Network Technology Co., Ltd.

👩‍💻 Salt Typhoon был замечен при получении начального доступа путем эксплуатации уязвимых сетевых периферийных устройств от Cisco ( CVE-2018-0171 , CVE-2023-20198 и CVE-2023-20273 ), Ivanti ( CVE-2023-46805 и CVE-2024-21887 ) и Palo Alto Networks ( CVE-2024-3400 ).

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Лиса

🌍 Категория Веб — Тихая касса

Приятного хакинга!

🧙‍♀️ Caido

Кроссплатформенный инструмент для аудита безопасности веб-приложений, ориентированный на простоту использования и гибкость. Предоставляет собой мощный набор функций для перехвата, анализа и модификации HTTP(S)-трафика в реальном времени, что делает его полезным среди специалистов по информационной безопасности и разработчиков (бесплатный аналог Burp Suite Pro).

🖥 Построен на основе клиент-серверной архитектуры. Может быть представлен в двух вариантах: CLI и Desktop. При использовании CLI необходимо обращаться к интерфейсу Caido через браузер. Приложение Desktop, в свою очередь, имеет ряд преимуществ перед CLI:
⏺️поддержка записи нескольких экземпляров Caido в одном месте.
⏺️запуск предварительно настроенных проектов.

Основные возможности Caido
🌟Sitemap — представление контента, к которому обращается пользователь через домены и поддомены при проксировании трафика через Caido, в виде иерархической древовидной структуры.
🌟Intercept — управление проксируемым трафиком, проверяя, изменяя, перенаправляя и отбрасывая запросы и ответы по мере их передачи между клиентом и сервером.
🌟Replay — создание, замена и отправка отдельных запросов. Каждый отправленный запрос и соответствующий ему ответ записываются, что позволяет сравнивать и определять, как конкретные изменения влияют на ответы.
🌟Automate — отправка множественных запросов программным способом (брутфорс, фаззинг).
🌟Match & Replace — создание правил, которые автоматически добавляют, удаляют или заменяют определённые значения в запросах и ответах при их прохождении через Caido.
🌟Workflows — создание многоэтапных процессов для выполнения определенных действий или преобразований, что позволяет автоматизировать задачи на постоянной или повторяющейся основе.

Кроме того, в инструменте присутствует быстрый и простой способ фильтрации запросов с помощью HTTPQL. Также программа поддерживает установку различных плагинов и пакетов, которые расширяют функциональные возможности Caido, обеспечивая высокую степень персонализации.