• Malware-Traffic-Analysis.net — широко известный в узких кругах ресурс, который позиционирует себя как хранилище заданий и викторин по анализу трафика. Есть задачки, которые размещены как на собственном сайте, так и на других ресурсах (задания-викторины, трафик на которые вообще лежит на гитхабе).

• На каждое задание представлен некоторый сценарий и описание того, что должно быть в отчёте: краткое описание, что произошло в ходе инцидента, сведения о жертве и индикаторы компрометации, такие, как IP-адреса, домены и URL-адреса, связанные с заражением, двоичные файлы вредоносного ПО. Есть много актуального материала за 2025 год:

➡️ https://www.malware-traffic-analysis.net/2025/index.html

#ИБ #Malware

• Web-check - судя по названию этого инструмента, вы наверняка догадались, что речь пойдет о сервисе для анализа веб-сайтов. Функционал достаточно богатый и позволяет получить следующую информацию о URL-адресе:

➡IP Info;
➡SSL Chain;
➡DNS Records;
➡Cookies;
➡Crawl Rules;
➡Headers;
➡Quality Metrics;
➡Server Location;
➡Associated Hosts;
➡Redirect Chain;
➡TXT Records;
➡Server Status;
➡Open Ports;
➡Traceroute;
➡Carbon Footprint;
➡Server Info;
➡Whois Lookup;
➡Domain Info;
➡DNS Security Extensions;
➡Site Features;
➡HTTP Strict Transport Security;
➡DNS Server;
➡Tech Stack;
➡Listed Pages;
➡Security.txt;
➡Linked Pages;
➡Social Tags;
➡Email Configuration;
➡Firewall Detection;
➡HTTP Security Features;
➡Archive History;
➡Global Ranking;
➡Block Detection;
➡Malware & Phishing Detection;
➡TLS Cipher Suites;
➡TLS Security Config;
➡TLS Handshake Simulation;
➡Screenshot.

• С одной стороны, такие сервисов в сети великое множество. С другой стороны, в отличии аналогов, мы можем развернуть сервис на собственном сервере, так как исходники доступны на GitHub. А еще сервис предоставляет бесплатный api, чем я и воспользовался...

• В ближайшем обновлении в S.E. Virus Detect появится дополнительный функционал проверки URL-адреса, который будет обращаться по API к сервису Web-check и отдавать вам готовый отчет, содержащий все перечисленные выше данные. Ну и будет гораздо удобнее пользоваться сервисом, так как вам не придется открывать браузер, переходить на сайт и т.д., всё можно сделать не выходя из Telegram.

• Ну а если хотите развернуть сервис на своем сервере или воспользоваться API, то вот тут есть вся необходимая информация: https://github.com/lissy93/web-check

#ИБ #OSINT #VT

👾 Разбор CVE-2025-24071.

• Речь пойдет про уязвимость CVE-2025-24071, которая позволяет атакующим получить NetNTLMv2 - хеш суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer.

• Суть заключается в том, что при распаковке файла из RAR-/ZIP-архива Windows Explorer из-за доверия к файлам .library-ms автоматически анализирует их. Если в теге <url> указана ссылка на SMB-шару атакующего, то происходит автоматическая попытка NTLM-аутентификации с вытекающей из этого кражей NetNTLMv2-хешей учетной записи жертвы. Как было замечено исследователями, уязвимость также эксплуатируется при обычном сохранении вложения письма в файловую систему. Также было выявлено, что аутентификация на удаленной SMB-шаре будет необходима при любой работе с файлом .library-ms, включая его создание, удаление или перемещение по диску.

• В данной статье автор продемонстрировал процесс эксплуатации CVE-2025-24071, описал суть уязвимости, генерируемые при активности события, а также предложения по детектированию. Стоит отметить, что, хотя, по версии Microsoft, уязвимость не будет популярна в публичной эксплуатации, она может быть крайне популярна в фишинговых кампаниях из-за широкой применимости в новейших ОС, а также из-за простоты эксплуатации.

➡ Читать статью [7 min].

• К слову, данная уязвимость продавалась в даркнете до выхода патча от Microsoft. Цена начиналась от 200к баксов (на фото).

#ИБ

• Нашел очень крутой агрегатор новостей для ИБ специалистов, который парсит соответствующие ресурсы и формирует список в зависимости от категорий:

➡Application Security;
➡Cloud Security;
➡Cryptography;
➡Exploit Development;
➡Computer Forensics;
➡Industrial Control Systems;
➡Network Security;
➡Reverse Engineering;
➡Social Engineering;
➡Operating System;
➡Malware Analysis.

• Судя по описанию, сервис использует ИИ от OpenAI, имеет интеграцию с Shodan и базой NVD, а еще там есть открытое api.

➡️ Сервис доступен по этой ссылке: https://talkback.sh
➡️ Подробное описание можно найти тут: https://www.elttam.com/blog/talkback-intro

#ИБ

📶 Защита SSH-сервера и клиента. Усиление конфигурации.

• Стоит отметить, что многие ОС по умолчанию настроены на удобство работы, а не на безопасность. Поэтому в большинстве случае настройки нуждаются в усилении!

• ssh-audit — инструмент для аудита конфигурации ssh-сервера и клиента.

➡Поддержка серверов протоколов SSH1 и SSH2;
➡Анализ конфигурации SSH-клиента;
➡Распознавание устройства, программного обеспечения и операционной системы, определение компрессии;
➡Сборка обмена ключами, ключей хостов, шифрования и кодов аутентификации сообщений;
➡Вывод информации об алгоритме (с какого времени доступен, удалён/отключён, небезопасен/слаб/устарел и т. д.);
➡Вывод рекомендаций по алгоритмам (добавлять или удалять в зависимости от версии распознанного ПО);
➡Вывод информации о безопасности (связанные проблемы, список CVE и т. д.);
➡Анализ совместимости версий SSH на основе информации об алгоритмах;
➡Историческая информация из OpenSSH, Dropbear SSH и libssh;
➡Сканирование политик для обеспечения усиленной/стандартной конфигурации;
➡Работает под Linux и Windows;
➡Поддерживает Python 3.8−3.12;
➡Отсутствие зависимостей.

• Кроме утилиты командной строки, для удобства реализован веб-интерфейс, через который она запускается: https://www.ssh-audit.com. Этот сервис чем-то похож на SSL Server Test для быстрого аудита конфигурации SSL. Вместе с программой распространяются советы по улучшению конфигурации с целью повышения безопасности SSH для разных дистрибутивов Linux. Ну и в качестве дополнения не забывайте про подсказки по командам SSH (cheat sheet).

• А еще есть полезная статья с практическими примерами использования туннелей SSH. Например, там приводятся примеры удалённого выполнения команд, удалённого перехвата пакетов, копирования файлов, туннелирования SSH-трафика через сеть Tor, передачи потокового видео по SSH с помощью VLC и SFTP и др.

#SSH #ИБ

💣 Zip-бомбы для защиты сервера.

• Вы ведь знаете, что такое Zip-бомбы? Если коротко, то термин «Zip-бомба» был придуман более 20 лет назад, равно как и сами ZIP-бомбы. Принцип работы заключается в следующем: представьте файл в сжатом виде, который никаким образом не вызывает подозрений, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя. К примеру, файл в сжатом виде занимающий всего 42 килобайта, при распаковки может занимать в памяти более 4,5 петабайт.

• Дело в том, что основной объём трафика в вебе возникает из-за ботов (читалки RSS-фидов, поисковые движки, выполняющие краулинг контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM), но помимо всего прочего есть и зловредные боты, которые находят уязвимости и могут встроить в наш сервер зловредный скрипт, а затем превратить машину в ботнет, используемый для DDOS. Таких ботов создают спамеры, скрейперы контента и хакеры.

• В общем и целом, автор этого материала описывает методы, где боту в ответ на запрос страницы передаётся сжатое содержимое, размер которого при распаковке многократно превышает размер переданных по сети данных.

• Происходит следующее: боты получают файл и считывают заголовок, сообщающий им, что файл сжат. Они пытаются распаковать файл размером 1 МБ, чтобы найти в нём тот контент, который ищут. Но файл продолжает распаковываться снова, и снова, и снова, пока у них не заканчивается память и на их сервере не происходит сбой. Файл на 1 МБ распаковывается в 1 ГБ. Этого более, чем достаточно для того, чтобы поломать большинство ботов. Однако для тех надоедливых скриптов, которые не останавливаются, можно использовать файл на 10 МБ. Он распаковывается в 10 ГБ и мгновенно убивает скрипт.

• Если интересно почитать, то статью можно найти вот тут: https://idiallo.com/blog/zipbomb-protection. Либо почитать перевод этого материала на хабре.

#ИБ #Web

• Нашел очень крутой ресурс с бесплатными лабораторными работами и туториалами для ИБ специалистов. Единственный минус - не вся информация переведена на русский язык. Никаких видео — только полностью интерактивные лаборатории, разработанные для более быстрого и эффективного обучения. Даже есть ИИ помощник, если возникнут трудности с выполнением заданий...

➡️ https://labex.io/ru

• LEARNING PATH:
➡Learn Linux;
➡Learn DevOps;
➡Learn Cybersecurity;
➡Learn Database;
➡Learn Python;
➡Learn Docker;
➡Learn Java;
➡Learn Jenkins;
➡Learn Machine Learning;
➡Learn Kali Linux.

• PROJECTS & TUTORIALS:
➡All Interactive Tutorials;
➡Linux Projects;
➡Python Projects;
➡Java Projects;
➡Numpy Projects;
➡Linux Tutorial;
➡Docker Tutorial;
➡Cybersecurity tutorial;
➡Free Labs;
➡Linux Commands Cheat Sheet.

• PLAYGROUNDS:
➡Online Linux Terminal;
➡Online Docker Playground;
➡Online Python Playground;
➡Online Golang Playground;
➡Online C++ Playground;
➡Online Java Playground;
➡Online Rust Playground;
➡Online MySQL Playground;
➡Online Ansible Playground;
➡Online Jenkins Playground.

• LATEST TUTORIALS:
➡Python Itertools Combinations;
➡Docker Compose with Host Network;
➡Systemctl daemon-reload in Linux;
➡Match Patterns with Bash Regex;
➡DevOps Free Labs;
➡Find Key with Max Value in Python Dictionary;
➡Linux Free Labs;
➡Bash Function Return Values;
➡Area and Circumference of a Circle in C;
➡Cybersecurity Free Labs.

#Linux #DevOps #ИБ