DNS-туннелирование

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о DNS-туннелировании — одной из самых опасных техник, используемых плохими парнями.

⏺Чуть истории: в первый раз о DNS-туннелировании стало известно еще в далеком 1998 году. Тогда Оскар Пирсон сделал открытие и раскрыл, как можно использовать DNS для скрытых атак. А в 2004 на конференции Black Hat это уже стало полноценным инструментом для хакеров. С тех пор этот метод активно используется для передачи данных, скрываясь в обычном трафике.

⏺Как работает DNS-туннелирование? Представим: есть условный злоумышленник, и он маскирует свои не очень то законные действия под обычный легитимный DNS-трафик. Такой своеобразный шпион в костюме офицера полиции — выглядит неприметно, но на самом деле замышляет что-то плохое.

1️⃣Злоумышленник начинает с того, что использует DNS для скрытия своих действий. И так как DNS-трафик почти всегда разрешен и не проверяется, он в такой среде может спокойно действовать.
2️⃣Далее он туннелирует другие протоколы, например, HTTP, через DNS.
3️⃣Затем передаётся IP-трафик и украденная инфа.
4️⃣После этого украденные данные преобразуются в удобный для восприятия вид.
5️⃣И, в конце концов, установленные туннели используются для передачи вредоносного ПО.

ZeroDay | #dnstunneling

Виды COPM

👋 Приветствую в мире цифровой безопасности!

Самое время рассмотреть виды COPM и чем каждый из них выделяется.

⏺СОРМ-1: это у нас старая школа слежки
Первая версия, созданная для прослушки телефонных разговоров. Фиксирует, кто кому звонил, когда и как долго. СОРМ-1 ставят на сетевые устройства операторов, но сейчас её использование сводится на нет. Ушла эпоха…

⏺СОРМ-2: тут уже идет более современная система, которая позволяет спецслужбам отслеживать интернет-трафик. Установленное на сети провайдеров оборудование фиксирует все действия подозреваемых юзеров в сети. Уникальность этой системы в том, что она перехватывает и анализирует только некоторые сетевые пакеты, не трогая тупо всех подряд.

⏺СОРМ-3: а вот и вершина кибершпионажа. Это система, которая объединяет данные как с телефонов, так и с интернета, сохраняя их на несколько лет вперед. Она собирает сведения обо ВСЕХ пользователях, от логинов до IP-адресов, что позволяет спецслужбам построить полный профиль каждого. И кстати, именно СОРМ-3 может работать с глубоким анализом трафика, фильтруя ненужную информацию.

ZeroDay | #COPM

Мониторинг файловой системы с помощью Tripwire

👋 Приветствую в мире цифровой безопасности!

Расскажу о защите файловых систем с помощью Tripwire.

⏺Что делает Tripwire: это система обнаружения вторжений (HIDS), которая внимательно следит за состоянием твоей файловой системы и может при любом непонятном движе сразу дать сигнал о проблеме.

⏺Установка Tripwire:
для начала нужно подключить репозиторий EPEL. Это легко сделать с помощью следующих команд:

wget https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm
rpm -ivh epel-release-7-9.noarch.rpm

Теперь, когда EPEL на месте, можно установить Tripwire:

sudo yum install tripwire

⏺Создание файла ключей: после установки, Tripwire предложит тебе сгенерировать файлы ключей. Просто выполни команду:

tripwire-setup-keyfiles

Введи сложный пароль для защиты ключей и не забудь его – эти ключи станут вроде охранников, защищающих твою файловую систему от несанкционированных изменений.

⏺Настройка и инициализация: файл конфигурации программы находится по адресу /etc/tripwire/twpol.txt. Не переживай, каждый параметр снабжен комментарием, так что настройка будет проще, чем кажется. Когда всё готово, запусти инициализацию:

tripwire --init

Эта процедура займёт немного времени, особенно если на сервере много данных.

⏺Мониторинг изменений: в любой момент можно проверить систему на изменения командой:

tripwire --check

Если что-то изменилось, Tripwire сразу сообщит тебе, и ты сможешь оценить, являются ли эти изменения нормальными или это результат вторжения.

⏺Чтобы максимально обезопасить систему, не забываем защитить важные файлы конфигурации – twpol.txt и twcfg.txt. Может помочь повысить уровень общей безопасности.

И наконец, если захочешь глубже разобраться в возможностях Tripwire, команда справки всегда под рукой:

man tripwire

ZeroDay | #безопасность

📖 Недолго песенка играла, недолго скамер кайфовал: кража 243 млн. $ в BTC и OSINT

Кейс о том, как завышенная самооценка, понты и нелепые ошибки выдали цифровой след и реальное местоположение OSINT-методами скамеров укравших 243 млн. $ у кредитора Genesis...

- также просьба, если понравился материал, поставь реакцию на Хабре 😎

↘️ habr.com/ru/users/stein_osint/

— После прочтения статьи советую также обратить внимание на подборку инструментов для анализа криптовалют.

#OSINT #Crime #Crypto #Blockchain | 😈 @secur_researcher

SSH-MITM: незаметный перехват SSH / SFTP сессий

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Это и в правду мощное средство для атак типа man-in-the-middle, которое в реальном времени перехватывает SSH и SFTP сессии. И при всем этом он остается абсолютно невидимым.

⏺А ещё SSH-MITM не просто наблюдает за процессом. Он берет и записывает каждую команду, каждое действие, и каждый переданный байт, давая вам полнейшую картину происходящего. Для тех же пентестеров это настоящий клад!

ZeroDay | #Инструмент

Атака Kirin

👋 Приветствую в мире цифровой безопасности!

Сегодня у нас новый тип атаки на BGP, который дает напрячься.

⏺Kirin — это когда злоумышленники берут и разом анонсируют тонны IPv6-маршрутов с такой скоростью и объёмом, что маршрутизаторы не выдерживают.

⏺Почему это так страшно? Да проблема в том, что даже топовые маршрутизаторы могут не справиться с таким шквалом. Kirin — это не обычная DDoS-атака. Это BGP-шторм, способный обрушить сети огромных облачных компаний и провайдеров, оставив всех без доступа к сети и данным. Причём таблицы маршрутизации так забиты, что понять, что пошло не так, невероятно сложно.

⏺И вот что ещё плохо: для этого не нужны никакие мощные суперкомпьютеры. Kirin можно провернуть с помощью самых обычных виртуальных серверов, раскиданных по всему миру. Хакеры могут заплатить сущие копейки, чтобы вызвать настоящий хаос. К тому же, атакуя через легальные IXP, они делают это незаметно.

Начинаем переживать? 🎧

ZeroDay | #атака

Утилиты для создания DNS-туннеля

👋 Приветствую в мире цифровой безопасности!

Расскажу о нескольких инструментах для тестирования вашей системы на устойчивость.

⏺ Iodine — такой универсальный боец в DNS-туннелировании. Iodine строит SSH-туннели через DNS-запросы, обходя любые файрволлы и NAT-системы, как ловкий ниндзя. Он особенно хорош там, где пропускная способность сети минимальна, а другие методы уже бессильны. Да, настройка может показаться непростой, но когда увидите результат — поймёте, что время потрачено не зря!

⏺ OzymanDNS — лёгкий, но хитрый инструмент. Он написан на Perl и тоже позволяет строить SSH-туннели через DNS-запросы, но делает это проще и быстрее. Хотите быстро протестировать свою сеть на уязвимости, не углубляясь в сложную настройку? В таком случае, OzymanDNS — ваш вариант.

⏺ DNSCat2 — это уже тяжёлая артиллерия. Инструмент не просто туннелирует данные — он создаёт зашифрованные каналы управления (C2), позволяя удалённо запускать команды, загружать и скачивать файлы, и даже взаимодействовать с cmd/powershell целевой системы. При этом все ваши операции будут скрыты за плотной завесой шифрования, что делает DNSCat2 идеальным для проведения глубоких тестов на проникновение.

ZeroDay | #dnstunneling

Настройка белого IP-адреса на сетевом интерфейсе виртуальной машины

👋 Приветствую в мире цифровой безопасности!

Давай расскажу, как можно несложно настроить белый IP-адрес на сетевом интерфейсе виртуальной машины и обеспечить её мониторинг и безопасность.

⏺Подготовка стенда: стартуем с создания нашей виртуальной лаборатории. Это можно сделать на разных ресурсах, а использовать можно ru пулы и прям минимальные доп. настройки.

⏺Сканирование портов: Теперь нам пора понять, какие порты открыты и уязвимы.

Устанавливаем сетевой сканер nmap на одном из серверов для анализа второго:

$ sudo apt install nmap -y

Выполняем полное сканирование всех портов на сервере:

$ sudo nmap -p 0-65535 <ip_srv>

В результате получаем информацию о состоянии портов:

PORT   STATE  SERVICE
22/tcp open   ssh
25/tcp filtered smtp

Как видим, наружу открыт порт 22 (SSH), а порт 25 фильтруется. Это значит, что наш сервер уже частично защищён.

⏺Установка Nginx:
сейчас добавим веб-сервер и посмотрим, как это изменит ситуацию.

На сервере с белым IP установим Nginx:

$ sudo apt install nginx

Повторяем сканирование:

$ sudo nmap -p 0-65535 <ip_srv>
Теперь видим:

PORT   STATE  SERVICE
22/tcp open   ssh
80/tcp open   http

Порт 80 (HTTP) открыт, и мы можем взаимодействовать с веб-сервисами.

⏺Мониторинг сетевой активности:
Хотите следить за трафиком? Для этого используем tcpdump:

$ sudo tcpdump -pni eth0 inbound

ZeroDay | #безопасность

Безопасность превыше всего 🫡

ZeroDay | #мем

Безопасное использование и хранение криптовалюты

Статью написал и скинул нам подписчик

⏺Статья объясняет, как безопасно покупать и хранить криптовалюту, выбирая между тёплыми и холодными кошельками. Она предупреждает о рисках фишинга, правильном обращении с секретными фразами и сохранении доступа к средствам, подкрепляя всё реальными примерами.

➡️https://teletype.in/@omens2/cryptosafe

ZeroDay | #Статья

Безопасный доступ к Docker-контейнерам через VNC

Если вы управляете кучей Docker-контейнеров с графическими приложениями, настройка удалённого доступа может попросту превратиться в настоящую головоломку. Подключение через VNC с ручной настройкой портов для каждого контейнера становится всё менее и менее удобным по мере роста проекта. Но не переживаем, есть способ, который упростит доступ и, что важно: повысит безопасность 😏

⏺В статье автор делится решением для организации безопасного доступа к Docker-контейнерам через VNC с использованием noVNC и websockify. Вместо выделения отдельных портов для каждого контейнера вы легко сможете подключаться через уникальные URL-адреса. А вся передача данных будет зашифрована с помощью SSL/TLS, что особенно важно, если работаете с конфиденциальной информацией.

ZeroDay | #Статья

Krakatau: незаменимое средство для декомпиляции

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Krakatau — мощнейший декомпилятор, способный на то, что другие инструменты не могут сделать до конца. К примеру, он легко разбирает код, написанный на сложных языках вроде Scala и Kotlin, преобразовывая его в понятный Java-код, что само по себе является редкостью.

⏺Особенно крутой фишкой является его точность. В отличие от JD-GUI и Luyten, которые порой дают неполные результаты или сталкиваются с ошибками, Krakatau восстанавливает код максимально полно. Это дает нам возможность не только увидеть логику приложения, но и полнее понять его структуру и работу

ZeroDay | #Инструмент

Управляем SELinux с помощью aureport

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как можно упростить работу с SELinux при помощи мощного инструмента — aureport.

⏺SELinux и aureport: SELinux — это, как вы помните, система принудительного контроля доступа, которая защищает вашу систему на уровне ядра. Часто бывает, что она отключена по умолчанию из-за сложности настройки. Но тут приходит на помощь утилита aureport, с помощью которой уже можно легко управлять отчётами о работе SELinux.

⏺Создание отчётов: aureport позволяет нам быстро собирать информацию из логов аудита. Например, можно вывести отчёт о всех действиях, связанных с контролем доступа (AVC):

aureport --avc

⏺Исполняемые файлы: Если нужно посмотреть список всех исполняемых файлов в системе, это тоже просто:

aureport -x

⏺Отчёты об аутентификации: хотите узнать, кто и как пытается аутентифицироваться в системе? Юзаем команду для создания полного отчёта об аутентификации:

aureport -au -i

⏺Успехи и провалы аутентификации: тут можно вывести сводку по неудачным или успешным попыткам аутентификации. Вот команды:

Неудачные попытки:

aureport -au --summary -i --failed

Успешные попытки:

aureport -au --summary -i --success

ZeroDay | #безопасность

Киберфизические атаки: что это и как работает?

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о киберфизических атаках и о том, как они появились и работают сейчас.

⏺Что, если условные злоумышленники получат в один день доступ к критическим физическим системам — от водоснабжения до энергетических сетей? Именно это происходит при киберфизических атаках, так как они нацелены на управление и манипуляцию устройствами, которые как-либо взаимодействуют с физическим миром устройств.

⏺Киберфизическая атака начинается с этапа разведки, где хакеры используют как открытые источники, так и иные инструменты. К примеру, сайты поставщиков ПО, объявления о вакансиях и установки компании могут раскрыть очень полезную для дела информацию. Иногда дополнительно применяются такие инструменты, как Shodan для поиска уязвимых устройств и Nmap для сканирования сети. Социальная инженерия, включая фишинг и dumpster diving, также помогает обходить технические защиты, получая доступ к системе через обычных юзеров.

⏺Вспомним случай с вирусом Stuxnet, когда в 2010 году он поразил иранские ядерные объекты, вызывая повреждение центрифуг. По сути это была первая известная киберфизическая атака, направленная на разрушение физической инфраструктуры.

ZeroDay | #атака