Hachoir: инструмент для анализа бинарных данных

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Hachoir — это что-то вроде Python-библиотеки, которая раскрывает внутренности бинарных потоков в виде удобного дерева полей. Хотите понять, из чего состоит файл или извлечь метаданные? С этим инструментом всё возможно даже без распаковки или предварительной обработки.

⏺Тут вам и поддержка множества форматов, готовые парсеры и гибкость в настройке.

⏺Ещё одна фишка: Hachoir позволяет не только анализировать, но и изменять содержимое файлов. Это мастхэв, если нужно быстро протестить изменения или найти какие-то слабые места в структуре данных.

ZeroDay | #Инструмент

Битовые операции в C и ASM

👋 Приветствую в мире цифровой безопасности!

Теперь покажу, как применять битовые операции на практике.

⏺Как извлечь конкретный бит: для этого нам нужно сдвигать биты и использовать операцию AND.

int value = 0b10101010;  // Число 170
int bit = (value >> 3) & 1;  // Извлекаем 3-й бит (счёт с нуля)
printf("Бит: %d\n", bit);  // Вывод: 1

И где это применимо: когда нужно проверить состояние флагов или просмотреть специфическую информацию в данных.

⏺Как установить или сбросить бит: если нужно установить или сбросить бит, используем OR для установки и AND с инверсией для сброса.

int value = 0b10101010;
value |= (1 << 2);  // Устанавливаем 2-й бит
value &= ~(1 << 5);  // Сбрасываем 5-й бит
printf("Новое значение: %d\n", value);  // Вывод: 0b10001010

Где это может помочь? Это частая операция при манипуляциях с конфигурационными флагами или состоянием системы.

⏺Простой пример шифрования с XOR:
XOR — это ваш лучший друг, когда дело касается простой защиты данных.

char data = 'A';  // Исходные данные
char key = 0x3F;  // Ключ
char encrypted = data ^ key;
char decrypted = encrypted ^ key;
printf("Шифрованный: %c, Расшифрованный: %c\n", encrypted, decrypted);

Где применяется?
Для базового шифрования, где важен быстрый и эффективный метод защиты.

⏺Как это выглядит в ASM: Заглянем в ассемблер для тех, кто хочет работать на самом низком уровне:

mov eax, 0b10101010  ; Загружаем значение
and eax, 0b00001111  ; Оставляем только младшие 4 бита
shr eax, 2           ; Сдвигаем вправо на 2

ZeroDay | #биты

Схема работы SSH

Если коротко, то начинается все с:

1️⃣Запуск соединения: тут клиент устанавливает TCP-соединение с сервером, создавая основу для защищенного канала.

2️⃣Согласование версии: Клиент и сервер договариваются, какую версию SSH юзать для совместимости.

3️⃣Обмен алгоритмами: Стороны выбирают методы шифрования, хэширования и компрессии данных для безопасной работы.

4️⃣Генерация ключей: Клиент делает пару ключей:
• Публичный ключ для передачи серверу.
• Приватный ключ для защиты данных клиента.

5️⃣Передача публичного ключа: Клиент отправляет серверу публичный ключ, который станет основой для безопасного обмена.

6️⃣Инициация входа: Клиент отправляет запрос на подключение, чтобы подтвердить свои права доступа.

7️⃣Проверка ключа сервером: Сервер сверяет ключ с доверенным списком (например, ~/.ssh/authorized_keys) и принимает решение.

8️⃣Шифрованный тест: Сервер генерирует рандомное число, шифрует его публичным ключом клиента и отправляет обратно.

9️⃣Ответ клиента: Клиент расшифровывает сообщение приватным ключом и возвращает результат.

1️⃣0️⃣ Установление туннеля: После успешной проверки создается защищенное соединение, через которое уже передаются команды и данные.

ZeroDay | #SSH

CA: что это?

👋 Приветствую в мире цифровой безопасности!

Обсудим, что такое CA и когда они нужны.

⏺Центры сертификации (CA), такие как GlobalSign или DigiCert, выпускают SSL/TLS сертификаты, подтверждающие подлинность веб-сайта. С их помощью браузеры проверяют сервер, используя асимметричное шифрование. Как это происходит? Все просто: сервер подписывает данные закрытым ключом, а браузеры сверяют их с открытым ключом из доверенного списка CA.

⏺Всё ок? Добро пожаловать на сайт по HTTPS. Если нет — получаете предупреждение.

⏺Для тестирования и разработки есть проще способ — самозаверяющие сертификаты. Это сертификаты, которые вы сами создаёте и подписываете. Они бесплатны, быстро генерируются и отлично подходят для проверки шифрования без затрат.

ZeroDay | #CA

3️⃣0️⃣ ноября - день защиты информации

Всех причастных с праздником 🫡

ZeroDay | #мем

Как победить киберугрозы по заветам Сунь-Цзы: стратегия кибербезопасности

В кибербезе, как и на войне, ключ к успеху — это, конечно, правильная стратегия. Как говорил Сунь-Цзы, "Если ты знаешь врага и знаешь себя, то не будешь в опасности ни в одном бою". Кибербезопасность — не исключение, и знание слабых мест в защите, а также умение использовать свои же ресурсы эффективно — вот основа победы

⏺В статье автор разбирает, как принципы великого китайского стратега применимы к современной киберзащите. Тут изучим стратегии выявления угроз, предотвращения атак и укрепления системы безопасности через призму философии Сунь-Цзы.

ZeroDay | #Статья

Intezer: инструмент для анализа бинарных файлов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Intezer Analyze — инструмент, который "копает" в бинарных файлах Windows, выявляя микрокодовые сходства с известными угрозами. Это не просто анализ, а поиск следов вредоносного ПО, даже если оно было как-либо модифицировано.

⏺Intezer использует уникальную технологию, позволяющую анализировать код на уровне "ДНК" угрозы. И что самое приятное — результат всегда будет понятен. Интерфейс Intezer прост и не требует долгого изучения.

ZeroDay | #Инструмент

Supply Chain атаки

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое атака Supply chain или же проще — атака на слабое звено.

⏺Как всё начинается: Представьте, что вы доверяете своему поставщику, потому что он предоставляет вам обновления безопасности и патчи. Вы спокойно устанавливаете новое обновление, не подозревая, что оно уже заражено. Хакеры могут внедрить вредоносный код в обновления, и когда вы их применяете — система заражается.

⏺Но это только начало: Другой способ — через заражённые библиотеки и пакеты. Например, в процессе разработки вы скачиваете популярную библиотеку для работы с данными. Она выглядит как обычный компонент, но в реальности туда был вставлен скрытый троян. Как только вы её подключаете, вирус оказывается внутри.

⏺А что насчёт сотрудников или партнеров по работе: хакеры могут юзать слабые места у ваших подрядчиков или партнёров, чтобы проникнуть в вашу сеть. Вы доверяете этим компаниям, предоставляете им доступ к своим данным или инфраструктуре, и на этом строится атака. Через них хакеры могут войти в вашу систему, используя уже имеющиеся уязвимости.

ZeroDay | #supplychain #атака

Три команды для защиты сетей

👋 Приветствую в мире цифровой безопасности!

Поговорим о трех хороших командах для защиты сетей.

⏺nft — современная альтернатива iptables. Если iptables — прошлое, то nftables — настоящее. Хотите мгновенно блокировать порт, не теряя в производительности? Выполняем это:

nft add rule ip filter input tcp dport 8080 drop  

Теперь порт 8080 закрыт для атакующих.

⏺ebtables — контроль на уровне Ethernet. А что если атака даже не дошла до IP-уровня? Тогда юзаем ebtables. Например, чтобы заблокировать устройство с подозрительным MAC-адресом:

ebtables -A INPUT -s 00:11:22:33:44:55 -j DROP  

⏺arptables — броня от ARP-спуфинга. ARP-атаки — это как вор, выдающий себя за соседа. Но тут и спасает arptables. Заблокируйте фальшивые ARP-запросы одной строкой:

arptables -A INPUT --source-mac 00:11:22:33:44:55 -j DROP  

Какая из команд заслуживает отдельного поста?

ZeroDay | #Network #безопасность

Как работает SIEM: поэтапно

1️⃣Сбор данных ото всюду: Серверы, рабочие станции, маршрутизаторы и облачные сервисы отправляют свои события в центральный узел SIEM.

2️⃣Нормализация данных: SIEM превращает разнородные данные из разных источников в единый формат, чтобы упростить их анализ.

3️⃣Умный анализ: Система ищет угрозы, используя корреляцию событий и встроенные правила. Она отслеживает:
• Странные входы в систему
• Непривычные перемещения данных
• Признаки атак (например, эскалация привилегий).

4️⃣Мгновенная реакция: При обнаружении угрозы SIEM формирует алерт, классифицируя его по уровню опасности. Самые критические угрозы поднимаются в приоритете.

5️⃣Автоматическое реагирование: Пока вы смотрите уведомление, SIEM уже начал работу: он блокирует IP, изолирует подозрительное устройство или временно отключает доступ хакеру.

6️⃣Отчет и анализ: Каждый инцидент фиксируется: подробный отчет помогает понять причину, устранить уязвимости и улучшить защиту.

ZeroDay | #SIEM

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только. В этот раз они будут англоязычные.

⏺ OWASP PodCast — название говорит само за себя — подкаст Open Web Application Security Project — разработчиков методологии оценки рисков и рейтинга основных угроз безопасности OWASP TOP-10.
⏺ SANS Stormcast — ежедневные пятиминутки с обзорами текущих событий, связанных с сетевой безопасностью.
⏺ Security Now — подкаст Стива Гибсона, человека, придумавшего термин "шпионское ПО" и создавшего первую антишпионскую программу, и Лео Лапорта, основателя и владельца фабрики подкастов.
⏺ Realtime Cyber — о кибербезопасности, национальной безопасности, криптовалюте, IoT и других технологиях.
⏺ The Hacks — дуэт хакеров рассказывает про кибербезопасность, DevSecOps, SecOps, DevOps, автоматизацию инфраструктуры, сетевую автоматизацию и открытый исходный код.

ZeroDay | #Подборка

Фильтрация трафика с командой nft

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, как фильтровать трафик с командой nft.

⏺Эта команда — современная альтернатива старому доброму iptables. С его помощью вы можете быстро и эффективно фильтровать трафик, не теряя в производительности.

⏺Как настроить nft для защиты сети?

• Блокировка порта: Чтобы закрыть порт 8080 для входящих соединений, используем команду:

nft add rule ip filter input tcp dport 8080 drop

• Разрешение трафика с конкретного IP: Если нужно разрешить доступ к серверу только с определённого IP, настройте правило:

nft add rule ip filter input ip saddr 192.168.1.100 accept

• Блокировка всех входящих подключений: Чтобы заблокировать все входящие соединения, кроме уже разрешённых, используем:

nft add rule ip filter input drop

• Настройка NAT для маскировки адреса: Чтобы скрыть ваш внутренний IP-адрес при выходе в интернет, используйте:

nft add rule ip nat postrouting oif "eth0" masquerade

• Фильтрация по MAC-адресу: Если вы хотите заблокировать доступ для устройства с конкретным MAC-адресом, выполните:

nft add rule arp filter input ether saddr 00:11:22:33:44:55 drop

ZeroDay | #nft

Не SPANом единым: о способах зеркалирования трафика

Когда доходит до создания копий трафика, SPAN часто выглядит как универсальный инструмент, но спустя время вскрываются все его недостатки. Да, он удобен - говорят все. Но стоит ли рисковать потерей до 25% пакетов, если можно делать это иначе?

⏺В статье рассказывается, почему SPAN подходит больше для диагностики, чем для постоянного мониторинга, а также объясняется, как TAP-устройства и пакетные брокеры могут стать лучшей альтернативой. Как собрать свой TAP, что делать с избыточным трафиком, и как избежать перегрузки сенсоров — автор предлагает конкретные схемы и решения.

ZeroDay | #Статья

Loki: простой сканер IOC и реагирования на инциденты

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Loki — настоящий слон в расследованиях. Он использует четыре разных метода, чтобы находить улики: от проверки хешей файлов и поиска угроз по сигнатурам Yara до выявления подозрительных соединений с C2-серверами. Не важно, насколько скрытной была атака — Loki найдет её следы 😎

⏺Что делает его крутым: он, плюсом ко всему, сканирует аномальные процессы, ищет скрытые бэкдоры, такие как DoublePulsar, и даже проверяет подозрительные файлы, которые не детектируются обычными антивирусами.

ZeroDay | #Инструмент

Как работает HTTPS-шифрование

1️⃣Запрос на безопасность: когда вы заходите на сайт, браузер отправляет запрос на установление защищенного HTTPS-соединения.

2️⃣Сервер дает ключ: в ответ сервер делится своим публичным ключом, готовясь к защищенному диалогу.

3️⃣Создаем общий секрет: браузер генерирует сеансовый ключ — уникальный код, который будет использован для шифрования всех данных.

4️⃣Ключ под защитой: сеансовый ключ шифруется публичным ключом сервера и отправляется обратно, чтобы его не смогли перехватить злоумышленники.

5️⃣Секрет раскрыт: сервер расшифровывает ключ с помощью своего приватного ключа. Теперь оба участника готовы общаться защищено.

6️⃣Симметричное шифрование берет верх: с этого момента все данные шифруются быстрым и надежным сеансовым ключом, чтобы их никто не смог “подслушать”.

ZeroDay | #шифрование

Kali Linux vs Parrot OS: что выбрать?

👋 Приветствую в мире цифровой безопасности!

Давайте разберемся, какой из дистрибутивов лучше и подойдет конкретно вам.

⏺Kali Linux — это база, о которой знает каждый безопасник. С более 600 инструментами для тестирования на проникновение, от Metasploit до Wireshark, Kali создан для профи. Но надо быть готовым: его настройка и требования к оборудованию могут быть сложными для новичков.

⏺Parrot OS — это уже легче и проще. С акцентом на конфиденциальность, с поддержкой Tor и I2P, он идеально подойдет тем, кто работает с анонимностью и безопасностью. Встроенные инструменты для защиты данных и анализа, но с меньшими требованиями к ресурсам и более дружелюбным интерфейсом для новичков.

⏺Основные отличия коротко:
• Kali — больше инструментов для тестирования и взлома, но и больше потребностей в ресурсах.
• Parrot — легкость, анонимность и минимальные требования к железу.

ZeroDay | #kalilinux #parrotos

Хэширование

👋 Приветствую в мире цифровой безопасности!

Расскажу, что это такое хэширование и какое оно бывает.

⏺Хэширование превращает данные в строку фиксированной длины с помощью хэш-функции — как уникальный "отпечаток", который помогает защитить пароли, проверять целостность файлов и ускорять поиск.

⏺Но хэширование не универсально: Для паролей подойдут алгоритмы Bcrypt или Argon2 с солью и итерациями, а для проверки целостности — SHA-256 или CRC32, которые обеспечат скорость и надежность.

⏺Вообще выбор хэша зависит от задачи: SHA-256 защитит данные, а MurmurHash будет идеален для хэш-таблиц.

ZeroDay | #хэширование