Охота на LockBit — короля вымогательского ПО с Dark Web

👋 Приветствую в мире цифровой безопасности!

Расскажу о LockBit — самой влиятельной группе киберпреступников, создавшей настоящую империю в мире вымогательского ПО.

⏺В 2019 году LockBit впервые предложили ransomware-as-a-service, что означало, что они не только запускали атаки, но и продавали своё ПО другим преступникам. Эти партнёры использовали их инструменты для заражения компаний и требовали выкуп, а взамен LockBit получали целых 20% от прибыли. Такая модель принесла миллионы и сделала группу одной из самых прибыльных.

⏺Но не фортануло. В 2020 году один из партнёров подал на LockBit иск за неработающее ПО, что поставило репутацию группы под угрозу. Но они быстро все пофиксили и выпустили обновлённую версию — LockBit 2.0, которая стала ещё более мощной и эффективной.

⏺Их самая известная атака произошла в мае 2021 года, когда Colonial Pipelines, крупнейший поставщик топлива на восточном побережье США, стал жертвой вымогателей. После этого события компания заплатила выкуп в размере $4,4 млн в биткойнах, что привлекло к ним внимание всего мира.

⏺Несмотря на попытки спецслужб, LockBit продолжают атаковать крупные корпорации и, возможно, уже начали разрабатывать новые версии ПО для ещё более эффективных атак.

ZeroDay | #разное

Думайте 🤔

ZeroDay | #мем

Защищаем SSH простыми методами

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу об ограничении компиляторов на сервере — полезной настройке для усиления защиты.

⏺Зачем SSH, когда нет необходимости: чем меньше открытых доступов к вашему серверу, тем меньше риск для системы. Если вам не требуется SSH, отключите его на CentOS/RHEL:

chkconfig sshd off
yum erase openssh-server

⏺Файлы .rhosts: Файл .rhosts может легко стать уязвимостью: он позволяет юзерам подключаться к системе без пароля, если их комбинация хоста и имени найдена в этом файле. Это, как понимаете, сильно ослабляет защиту, поэтому стоит отключить эту возможность. Добавьте в конфигурацию:

IgnoreRhosts yes

⏺Доступ к 22 порту — только изнутри: защищаем самый популярный SSH-порт — 22-й — делая его доступным только из внутренней сети. Настраиваем правила фаервола (например, Iptables) так, чтобы подключиться к нему можно было только с локальной сети (LAN):

-A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

ZeroDay | #безопасность

VSCode — идеальный инструмент для хакера

VSCode — это не тупо удобный редактор для прогеров, но и вполне себе инструмент для хакеров. В последней версии даже появилась возможность туннелирования, с помощью которой плохие парни могут скрытно управлять удалёнными хостами через серверы Microsoft.

⏺В статье подробно рассказывается, как хакеры могут использовать эту лазейку для обхода безопасности и получения несанкционированного доступа. Также рассмотрены способы обнаружения таких атак с помощью R-Vision SIEM и поделимся советами по усилению защиты, включая блокировку вредоносных доменов и настройку эффективных политик безопасности.

ZeroDay | #Статья

Iodine: инструмент для обхода фаерволов через DNS

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Iodine — как тайный агент для данных. Он превращает DNS-запросы в скрытые туннели, позволяя передавать информацию даже в самых-самых ограниченных сетях. Если фаервол блокирует вообще всё, кроме DNS, Iodine же использует этот шанс, чтобы прокрасться сквозь фильтры. Те же пентестеры могут использовать его, чтобы обходить все виды сетевых барьеров и оставаться незамеченным.

⏺Как это работает: Iodine создаёт виртуальный интерфейс, который маскирует пакеты данных под обычные DNS-запросы, как будто это просто невидимая информация. Это позволяет передавать данные через фаерволы и фильтры, которые не смогут отличить их от обычного трафика.

ZeroDay | #Инструмент

PAT: что это?

👋 Приветствую в мире цифровой безопасности!

Сегодня разбираемся с Port Address Translation (PAT).

⏺Суть PAT в том, что фаервол берет все запросы от устройств во внутренней сети, меняет их IP-адреса на один внешний и добавляет уникальный порт. Таким образом, внутренние устройства могут выходить в интернет, но внешним сервисам трудно понять, что на самом деле скрывается за этим одним IP.

⏺Как это работает: представим, что ваш компьютер с IP 192.168.0.44 отправляет запрос в интернет. Фаервол меняет его IP на внешний 208.104.33.225 и присваивает уникальный порт, например, 1188. Для внешнего мира запрос будет выглядеть как исходящий от 208.104.33.225:1188, и никто не узнает, что это конкретно устройство с адресом 192.168.0.44.

ZeroDay | #PAT

Арсенал Безопасника — Лучшие инструменты для хакинга и OSINT

🔵Бесплатные видеоуроки
🔵Редкие книги и курсы
🔵Инструменты взлома
🔵Уроки по анонимности

Вступай пока доступ открыт — https://t.iss.one/+Wlcyc5JEZ7YzNjIy

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых бесплатных курсов по этичному хакингу на YouTube.

⏺ Этичный хакинг: что это?
⏺ Курс по этичному хакингу на 30 уроков
⏺ Этичный хакинг за 12 часов
⏺ Белый хакинг: с нуля до первого пентеста
⏺ Этичный хакинг курс

ZeroDay | #Подборка

Типы киберфизических атак

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о типах киберфизических атаках.

⏺Глушение связи: к примеру, вы решили поговорить по телефону, но вам мешает некий шум. В киберфизическом мире это глушение сигнала. Злоумышленник может заблокировать связь, что приведет к сбоям в критически важных процессах — например, отключит управление дронов.

⏺Подача команд: а что если кто-то подделает вашу команду? Хакер может внедрить команды в систему. Это как если бы кто-то дал неправомерные приказы вашему компьютеру, и он начал выполнять их без вашего ведома.

⏺Ввод ложных данных: в моменте ваши датчики начинают передавать ложную информацию. В атаке ложных данных хакеры подменяют реальные показания, что может привести к неисправностям оборудования или его ложной активации.

⏺Атака посредника: как если бы кто-то сидел между вами и вашим собеседником и менял сообщения. Злоумышленник может перехватывать и манипулировать данными, нарушая безопасность и целостность передачи.

Делаем вторую часть?

ZeroDay | #атака

Скрипты VS Коробка. Как эффективно маскировать данные

Маскировка данных с помощью скриптов — это как временная пломба: она то поможет, но временно. Когда данные становятся больше и больше, скрипты перестают справляться с задачей, а поддержка превращается в боль.

⏺В статье автор рассказывает, как автоматизация процесса обезличивания позволяет не только упростить работу, но и снизить риски. Автоматические инструменты сохраняют структуру данных и защищают данные вообще на всех этапах: от разработки до тестирования.

ZeroDay | #Статья

Wazuh: универсальный инструмент XDR для защиты и мониторинга

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Wazuh — целая экосистема, которая защищает ваши данные в любой среде: локальной, виртуальной, облачной или контейнерной. Она и собирает логи, и даже превращает их в полноценную картину безопасности окружения.

⏺Но вдруг вам нужно больше, чем просто мониторинг логов? Инструмент дает полноценный SIEM-функционал: мощный поиск, индексацию данных и интуитивно понятный веб-интерфейс.

⏺И что важно: Ничего платить не нужно, сам инструмент открыт для всех 😎

ZeroDay | #Инструмент

Иммутабельные файлы

👋 Приветствую в мире цифровой безопасности!

Сегодня разберу простой, но неплохой метод защиты — иммутабельность файлов

⏺Иммутвбельные файлы - это те, которые невозможно ни изменить, ни удалить, даже если у вас права root. Звучит неплохо, да? Этот способ помогает защитить самые важные конфигурационные файлы, критические скрипты или данные от случайных ошибок или от взлома.

⏺Вот как это работает: Ставим защиту на файл:

chattr +i /path/to/file  

Теперь файл стал "неприкосновенным".

Проверяем статус:

lsattr /path/to/file  

Если у файла стоит атрибут i, все в порядке — он под защитой.

⏺Хотите снять защиту?

chattr -i /path/to/file  

Защищаем сразу папку:

chattr -R +i /path/to/directory  

⏺Только помним: если вы заблокируете системные файлы, обновить их можно будет только после снятия защиты.

ZeroDay | #безопасность

Типы киберфизических атак. Часть 2

👋 Приветствую в мире цифровой безопасности!

Продолжим говорить о типах киберфизических атак.

⏺Replay Attack (Повторная атака): представьте, что ваш сервер получает важное сообщение, и кто-то решает "повторить" его в рандомный момент. На практике это может быть критический сигнал в промышленной системе, который хакер воспроизводит, чтобы вызвать сбой.

⏺Code Injection (Внедрение кода): хакеры могут внедрять вредоносный код в систему, что вызывает серьезные сбои. Пример — SQL-инъекция, где при помощи специального кода атакующие могут проникнуть в базу данных, получить доступ к конфиденциальной информации и вызвать сбои в работе системы.

⏺Malware (Заражение вирусами): вредоносы, такие как вирусы и черви, способны разрушать системы, красть данные или выводить из строя оборудование. Один из базовых примеров — Stuxnet, вирус, который был создан для целенаправленной атаки на ядерное оборудование, разрушая его физически, не привлекая внимания.

ZeroDay | #атака

Битовые операции

👋 Приветствую в мире цифровой безопасности!

Расскажу, как работать с данными на уровне битов

⏺Что это: битовые операции — это способ работы с числами, где мы манипулируем каждым отдельным битом. Вот, например, несколько основных операций:

• AND (&): Сравнивает два бита, устанавливает 1, если оба бита равны 1.
• OR (|): Устанавливает 1, если хотя бы один из битов равен 1.
• XOR (^): Устанавливает 1, если биты разные.
• NOT (~): Инвертирует каждый бит (меняет 1 на 0 и наоборот).
• Сдвиг влево (<<) / вправо (>>): Сдвигает биты влево или вправо, увеличивая или уменьшая число в 2 раза.

⏺Примеры на практике:
AND: Простой пример — операция AND оставит нам только те биты, которые в обоих числах равны 1.

int a = 0b10101010;
int b = 0b11110000;
int result = a & b;  // 0b10100000 (160)

OR: Операция OR включит все биты, где хотя бы в одном числе был 1.

int a = 0b10101010;
int b = 0b11110000;
int result = a | b;  // 0b11111010 (250)

XOR: А вот XOR работает только тогда, когда биты разные.

int a = 0b10101010;
int b = 0b11110000;
int result = a ^ b;  // 0b01011010 (90)

⏺Зачем всё это: битовые операции дают нам контроль над низким уровнем. Их зачастую используют для:

• Сжатия данных, с оптимизированными алгоритмами.
• Криптографии — шифрования и защиты данных.
• Ну и встраивания на аппаратном уровне.

ZeroDay | #биты

Что делать, если WAF не позволяет создать кастомное правило для JSON: готовое решение

Когда WAF не справляется с JSON, защита приложения - это будто сдерживание наводнения с помощью дырявого ведра 😐 PT Application Firewall PRO — отличный инструмент, но в версии 4.1.5 нет поддержки кастомных правил для работы с JSON. Это достаточно серьезное ограничение.

⏺В статье рассказывается, как обойти эти ограничения и с помощью внешнего агента и регулярных выражений настроить собственные фильтры, которые надежно закроют уязвимости.

ZeroDay | #Статья