12 из 20 новичков пришли с BlackArch — и это была ошибка
На одном воркшопе для начинающих пентестеров случилась показательная история. Большинство участников принесли флешки с BlackArch — логика простая: «там же больше всего инструментов». Первый час группа воевала с
Эта ситуация отлично иллюстрирует главное заблуждение: лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать.
🔍 Вот что реально отличает три главных дистрибутива 2026 года:
• Kali Linux — Debian Testing, пакетный менеджер
• Parrot OS — тоже Debian, но с MATE и заметно меньшим аппетитом: 400–700 МБ в idle. Из коробки идут AnonSurf для маршрутизации через Tor, встроенное шифрование, и есть Home Edition — полноценная повседневная ОС без пентест-арсенала.
• BlackArch — репозитории поверх Arch Linux,
⚡ Практический момент, который мало кто проговаривает. Разница между
💡 Конкретный кейс с железом: ThinkPad X230, 4 ГБ RAM, HDD. Parrot не тормозил при одновременном Burp Suite и Firefox с десятком вкладок. Kali на том же железе ощутимо задумывался при переключении между приложениями. Если у вас старый ноутбук — Parrot объективно комфортнее.
И ещё важный маркер. Половина дистрибутивов из «топ-10 для хакинга» — мертвы. Cyborg Linux, DEFT, Bugtraq — всё это не обновлялось годами. Если в обзоре 2026 года вы видите эти названия — перед вами копипаста из 2019-го.
В полной статье — decision tree для выбора, детальные системные требования и разбор инструментов по категориям. Читайте и выбирайте осознанно.
https://codeby.net/threads/luchshii-distributiv-dlya-pentesta-kali-linux-vs-parrot-os-vs-blackarch-chestnoye-sravneniye-2026.93771/
На одном воркшопе для начинающих пентестеров случилась показательная история. Большинство участников принесли флешки с BlackArch — логика простая: «там же больше всего инструментов». Первый час группа воевала с
pacman и отсутствием графического окружения, пока остальные с Kali уже сканировали учебные цели через nmap. К обеду трое переставили систему, двое ушли. А один человек с Parrot OS тихо работал весь день без единой проблемы.Эта ситуация отлично иллюстрирует главное заблуждение: лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать.
🔍 Вот что реально отличает три главных дистрибутива 2026 года:
• Kali Linux — Debian Testing, пакетный менеджер
apt, курированный набор из 600+ инструментов. Offensive Security тестирует каждый пакет перед включением. Xfce по умолчанию, потребление в idle — 800–1200 МБ RAM.• Parrot OS — тоже Debian, но с MATE и заметно меньшим аппетитом: 400–700 МБ в idle. Из коробки идут AnonSurf для маршрутизации через Tor, встроенное шифрование, и есть Home Edition — полноценная повседневная ОС без пентест-арсенала.
• BlackArch — репозитории поверх Arch Linux,
pacman, rolling release. Тысячи пакетов, но конфликты зависимостей — полностью ваша головная боль. GUI из коробки может вообще отсутствовать.⚡ Практический момент, который мало кто проговаривает. Разница между
apt и pacman — не синтаксис. Это разные последствия ошибок. Когда в три ночи на внешнем пентесте hashcat отказывается запускаться после обновления, в Kali вы откатите пакет за минуту. В BlackArch придётся разбираться с цепочкой зависимостей от пяти минут до часа. В три ночи час — это очень много.💡 Конкретный кейс с железом: ThinkPad X230, 4 ГБ RAM, HDD. Parrot не тормозил при одновременном Burp Suite и Firefox с десятком вкладок. Kali на том же железе ощутимо задумывался при переключении между приложениями. Если у вас старый ноутбук — Parrot объективно комфортнее.
И ещё важный маркер. Половина дистрибутивов из «топ-10 для хакинга» — мертвы. Cyborg Linux, DEFT, Bugtraq — всё это не обновлялось годами. Если в обзоре 2026 года вы видите эти названия — перед вами копипаста из 2019-го.
В полной статье — decision tree для выбора, детальные системные требования и разбор инструментов по категориям. Читайте и выбирайте осознанно.
https://codeby.net/threads/luchshii-distributiv-dlya-pentesta-kali-linux-vs-parrot-os-vs-blackarch-chestnoye-sravneniye-2026.93771/
🔥18❤8👍6
Hetty
📐 Характеристики:
📉 Hetty является бесплатным аналогом, написаным на GO, что делает его более оптимизированым, чем проприетарный Burp Suite написаный на Java.
📉 HTTP Proxy и MITM
📉 Request sender (Repeater в Burp). Также можно редактировать запрос и смотреть на реакцию сервера.
🖱 Использование SQLite для сохранения прогресса.
⬇️ Установка:
0️⃣ Клонируем репозиторий и переходим в рабочую директорию:
1️⃣ Устанавливаем необходимые утилиты и пакетный менеджер:
2️⃣ Собираем проект:
⛓️💥 Запуск:
#web #wapt #burpsuite #http
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Hetty — это набор инструментов HTTP для исследований в области безопасности. Его цель — стать альтернативой с открытым исходным кодом коммерческому программному обеспечению, такому как Burp Suite Pro, с мощными функциями, адаптированными к потребностям сообщества специалистов по информационной безопасности и программ поиска уязвимостей.
git clone https://github.com/dstotijn/hetty.git
cd hetty/
sudo apt install nodejs npm -y
sudo npm install --global yarn
make build
./hetty
#web #wapt #burpsuite #http
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍17❤13🔥6🤔1
Три радиопротокола — три незакрытых вектора: почему Wi-Fi — лишь верхушка айсберга
На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты
Но самое интересное началось дальше.
🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.
И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.
📡 Почему PMKID-атака — главный вектор через Wi-Fi
Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.
Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.
🔑 На что обращать внимание при разведке
• WPA3 Transition Mode в
• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения
• WPS включён — проверяйте через
📱 BLE и ZigBee — забытый фронт
BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.
ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования.
Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.
https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/
На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты
hcxdumptool без единого deauth-фрейма, 40 минут hashcat с правилами — и PSK подобран. К обеду пентестер уже сидел в корпоративном VLAN.Но самое интересное началось дальше.
🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.
И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.
📡 Почему PMKID-атака — главный вектор через Wi-Fi
Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.
Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.
🔑 На что обращать внимание при разведке
• WPA3 Transition Mode в
airodump-ng отображается как WPA2 WPA3 в колонке ENC. Если видите это — WPA2-часть атакуема стандартными методами• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения
• WPS включён — проверяйте через
wash -i wlan0mon -C. Иногда Pixie Dust — самый быстрый путь внутрь📱 BLE и ZigBee — забытый фронт
BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.
ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования.
zbstumbler из KillerBee покажет PAN ID и координаторы, а дальше — перехват и replay.Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.
https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/
❤10👍5🔥5
Ваши средства защиты вообще работают? Как проверить — и не обмануть себя
Восьмизначный бюджет на NGFW, EDR, SIEM, WAF — а реальной атакой всё это никто не проверял. Знакомо? По данным Picus Red Report 2026, объём атак с шифрованием упал на 38% за год. Атакующие больше не ломятся напролом — они тихо выкачивают данные через легитимные облачные API и доверенные протоколы. Ваш файрвол даже не моргнёт.
Именно поэтому в 2026 году ключевое слово — валидация безопасности. Не «настроено ли по стандарту?», а «остановит ли это реальную атаку прямо сейчас?». Можно пройти аудит, повесить сертификат на стену — и при этом пропустить Kerberoasting в Active Directory без единого алерта. Compliance и реальная защищённость — это два разных мира.
🔍 Сегодня существуют три ключевых метода валидации, и каждый закрывает свой участок:
• BAS (Breach and Attack Simulation) — платформа непрерывно прогоняет сотни известных техник по MITRE ATT&CK через ваши контроли. Работает 24/7, безопасна для прода (эмулирует, но не эксплуатирует). Отвечает на вопрос: «Видит ли SIEM эту технику? Блокирует ли EDR?». Стоимость — от $30K в год.
• Автоматизированный пентест — не просто сканер, а инструмент, который строит полные цепочки атак. Нашёл уязвимость → проэксплуатировал → двинулся дальше по сети. Показывает, как далеко пройдёт атакующий. Запускается периодически — раз в неделю или месяц.
• Ручное тестирование — живой Red Team, который находит то, что автоматизация в принципе не увидит: уязвимости бизнес-логики, социальную инженерию, нестандартные цепочки через доверенные отношения между системами. Самый глубокий, но и самый дорогой метод.
⚡ Главный инсайт: ни один из этих методов не работает в одиночку. BAS покажет, что SIEM-правило не срабатывает на конкретную технику. Автоматизированный пентест покажет, что через эту дыру можно дойти до контроллера домена. А ручной тестировщик найдёт путь, о котором ни одна автоматика даже не подозревала — например, через скомпрометированную сервисную учётку, которая выглядит абсолютно легитимно.
📊 Что касается бюджета: BAS стартует от $30K/год, автоматизированный пентест — от $40K, ручной проект — от $20K за разовый engagement. Зрелые команды комбинируют все три и добавляют Purple Team — совместные учения атакующих и защитников, где каждый найденный gap закрывается в реальном времени.
Разобрали все методы, платформы и decision tree для построения программы с нуля — в полном руководстве.
https://codeby.net/threads/validatsiya-bezopasnosti-v-2026-godu-bas-avtomatizirovannyi-pentest-i-ruchnoye-testirovaniye-polnoye-rukovodstvo.93720/
Восьмизначный бюджет на NGFW, EDR, SIEM, WAF — а реальной атакой всё это никто не проверял. Знакомо? По данным Picus Red Report 2026, объём атак с шифрованием упал на 38% за год. Атакующие больше не ломятся напролом — они тихо выкачивают данные через легитимные облачные API и доверенные протоколы. Ваш файрвол даже не моргнёт.
Именно поэтому в 2026 году ключевое слово — валидация безопасности. Не «настроено ли по стандарту?», а «остановит ли это реальную атаку прямо сейчас?». Можно пройти аудит, повесить сертификат на стену — и при этом пропустить Kerberoasting в Active Directory без единого алерта. Compliance и реальная защищённость — это два разных мира.
🔍 Сегодня существуют три ключевых метода валидации, и каждый закрывает свой участок:
• BAS (Breach and Attack Simulation) — платформа непрерывно прогоняет сотни известных техник по MITRE ATT&CK через ваши контроли. Работает 24/7, безопасна для прода (эмулирует, но не эксплуатирует). Отвечает на вопрос: «Видит ли SIEM эту технику? Блокирует ли EDR?». Стоимость — от $30K в год.
• Автоматизированный пентест — не просто сканер, а инструмент, который строит полные цепочки атак. Нашёл уязвимость → проэксплуатировал → двинулся дальше по сети. Показывает, как далеко пройдёт атакующий. Запускается периодически — раз в неделю или месяц.
• Ручное тестирование — живой Red Team, который находит то, что автоматизация в принципе не увидит: уязвимости бизнес-логики, социальную инженерию, нестандартные цепочки через доверенные отношения между системами. Самый глубокий, но и самый дорогой метод.
⚡ Главный инсайт: ни один из этих методов не работает в одиночку. BAS покажет, что SIEM-правило не срабатывает на конкретную технику. Автоматизированный пентест покажет, что через эту дыру можно дойти до контроллера домена. А ручной тестировщик найдёт путь, о котором ни одна автоматика даже не подозревала — например, через скомпрометированную сервисную учётку, которая выглядит абсолютно легитимно.
📊 Что касается бюджета: BAS стартует от $30K/год, автоматизированный пентест — от $40K, ручной проект — от $20K за разовый engagement. Зрелые команды комбинируют все три и добавляют Purple Team — совместные учения атакующих и защитников, где каждый найденный gap закрывается в реальном времени.
Разобрали все методы, платформы и decision tree для построения программы с нуля — в полном руководстве.
https://codeby.net/threads/validatsiya-bezopasnosti-v-2026-godu-bas-avtomatizirovannyi-pentest-i-ruchnoye-testirovaniye-polnoye-rukovodstvo.93720/
❤7👍4🔥3
Watcher — мониторинг изменений веб-ресурсов для OSINT и Threat Intelligence
Основные возможности
↗️ Мониторинг изменений веб-страниц и документов
↗️ Поддержка сайтов, RSS, PDF и других источников
↗️ Поиск новых IOC, доменов, IP и артефактов
↗️ Уведомления о найденных изменениях
↗️ История изменений и diff-анализ
↗️ Удобный web-интерфейс для расследований
Примеры использования
0️⃣ Инициализация окружения:
1️⃣ Запуск платформы:
2️⃣ Первичная настройка базы:
3️⃣ После запуска web-интерфейс будет доступен по адресу:
Watcher умеет:
🔎 Следить за множеством источников одновременно
HTML-страницы, PDF-документы, RSS/Atom-ленты, API endpoints и другие web-ресурсы.
💻 Автоматически извлекать и индексировать контент
Каждый собранный артефакт сохраняется в базе и становится доступен для поиска, фильтрации и анализа.
🕸 Хранить историю изменений
Watcher сохраняет предыдущие версии контента и показывает diff между изменениями, что удобно для расследований.
🎯 Организовывать мониторинг пакетами (batches)
Источники можно группировать по кампаниям, threat actors, вендорам или направлениям расследования.
🎇 Работает в фоне 24/7
После развёртывания Watcher самостоятельно собирает, индексирует и обновляет данные без ручного вмешательства.
#osint #threatintel #dfir #threathunting #blueteam #monitoring #cybersecurity #infosec #opensource
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Watcher — open-source инструмент от Thales CERT для автоматического отслеживания изменений на сайтах, документах, RSS-лентах и других источниках. Он помогает находить новые IOC, изменённые advisories, утечки и другие артефакты для OSINT, Threat Intelligence и DFIR.
Основные возможности
Примеры использования
git clone https://github.com/thalesgroup-cert/watcher.git
cd watcher/deployment
make init
make up
make migrate
make superuser
make populate-db
http://localhost:9002
Watcher умеет:
HTML-страницы, PDF-документы, RSS/Atom-ленты, API endpoints и другие web-ресурсы.
Каждый собранный артефакт сохраняется в базе и становится доступен для поиска, фильтрации и анализа.
Watcher сохраняет предыдущие версии контента и показывает diff между изменениями, что удобно для расследований.
Источники можно группировать по кампаниям, threat actors, вендорам или направлениям расследования.
После развёртывания Watcher самостоятельно собирает, индексирует и обновляет данные без ручного вмешательства.
#osint #threatintel #dfir #threathunting #blueteam #monitoring #cybersecurity #infosec #opensource
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍5🔥4
Пять секунд CSS — и лучший ML-детектор фишинга слепнет полностью
Представьте: вы построили систему обнаружения фишинга на нейросетях. Она показывает 100% accuracy на бенчмарках. Публикуете статью, получаете признание. А потом кто-то добавляет на фишинговую страницу пятисекундную задержку отрисовки логотипа — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.
Именно это продемонстрировали исследователи в работе, принятой на IEEE European Symposium on Security and Privacy. Целевая жертва — PhishIntention, один из самых продвинутых визуальных антифишинговых pipeline.
🔍 Как работают визуальные ML-детекторы? Схема простая:
1. Headless-браузер открывает подозрительную страницу и через фиксированный интервал делает скриншот
2. Нейросеть ищет на скриншоте логотипы и формы ввода, сравнивает с базой из 277 известных брендов
3. Если нашла совпадение с брендом, а домен не тот — фишинг
Вся конструкция держится на одном допущении: скриншот корректно отражает содержимое страницы. И именно это допущение оказалось ложным.
⏱ PhishIntention делает снимок через 2 секунды после начала загрузки. Среднее время полной загрузки веб-страницы — 7.2 секунды. Разница в 5.2 секунды — это timing gap, окно, в которое атакующий может спрятать всё самое важное.
Атака выглядит так: логотип и брендинг загружаются в DOM сразу, но визуально скрыты через
🎯 Что делает эту атаку особенно опасной:
• Не нужно знать архитектуру детектора — работает в black-box режиме
• Не нужна серверная логика — хватает пары строк CSS и JS
• Не нужны adversarial perturbations — никаких модификаций пикселей
• Пользователь ничего не замечает — страница выглядит нормально
Самое интересное: систематический обзор литературы показал, что ни одна предыдущая работа по adversarial robustness фишинг-детекторов не рассматривала timing-вектор. Все исследователи предполагали, что скриншот захватывается корректно. Никто просто не подумал, что атакующий может сыграть на секундомере.
Фикс кажется очевидным — увеличить время ожидания перед снимком. Но это создаёт новую проблему: при массовом сканировании тысяч URL каждая лишняя секунда ожидания превращается в часы простоя pipeline.
Полный разбор обеих стратегий отложенного рендеринга и возможных контрмер — в статье на форуме.
https://codeby.net/threads/obkhod-ml-detektorov-fishinga-cherez-otlozhennyi-rendering-ot-100-k-0-detektsii.93724/
Представьте: вы построили систему обнаружения фишинга на нейросетях. Она показывает 100% accuracy на бенчмарках. Публикуете статью, получаете признание. А потом кто-то добавляет на фишинговую страницу пятисекундную задержку отрисовки логотипа — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.
Именно это продемонстрировали исследователи в работе, принятой на IEEE European Symposium on Security and Privacy. Целевая жертва — PhishIntention, один из самых продвинутых визуальных антифишинговых pipeline.
🔍 Как работают визуальные ML-детекторы? Схема простая:
1. Headless-браузер открывает подозрительную страницу и через фиксированный интервал делает скриншот
2. Нейросеть ищет на скриншоте логотипы и формы ввода, сравнивает с базой из 277 известных брендов
3. Если нашла совпадение с брендом, а домен не тот — фишинг
Вся конструкция держится на одном допущении: скриншот корректно отражает содержимое страницы. И именно это допущение оказалось ложным.
⏱ PhishIntention делает снимок через 2 секунды после начала загрузки. Среднее время полной загрузки веб-страницы — 7.2 секунды. Разница в 5.2 секунды — это timing gap, окно, в которое атакующий может спрятать всё самое важное.
Атака выглядит так: логотип и брендинг загружаются в DOM сразу, но визуально скрыты через
clip-path с нулевой видимой областью. Через 5+ секунд setTimeout запускает плавное раскрытие. Детектор к этому моменту уже сделал снимок пустой страницы, не нашёл совпадений с брендами и пометил её как безопасную. А реальный пользователь видит полноценный клон PayPal или Google и спокойно вводит пароль.🎯 Что делает эту атаку особенно опасной:
• Не нужно знать архитектуру детектора — работает в black-box режиме
• Не нужна серверная логика — хватает пары строк CSS и JS
• Не нужны adversarial perturbations — никаких модификаций пикселей
• Пользователь ничего не замечает — страница выглядит нормально
Самое интересное: систематический обзор литературы показал, что ни одна предыдущая работа по adversarial robustness фишинг-детекторов не рассматривала timing-вектор. Все исследователи предполагали, что скриншот захватывается корректно. Никто просто не подумал, что атакующий может сыграть на секундомере.
Фикс кажется очевидным — увеличить время ожидания перед снимком. Но это создаёт новую проблему: при массовом сканировании тысяч URL каждая лишняя секунда ожидания превращается в часы простоя pipeline.
Полный разбор обеих стратегий отложенного рендеринга и возможных контрмер — в статье на форуме.
https://codeby.net/threads/obkhod-ml-detektorov-fishinga-cherez-otlozhennyi-rendering-ot-100-k-0-detektsii.93724/
🔥7❤4👍4
Кто защищает данные во всем мире?
👮 Интерпол и Европол — ключевые международные организации в сфере правоохранительной деятельности, но с разным географическим охватом и специализацией. Интерпол фокусируется на глобальном сотрудничестве полиции, а Европол — на координации внутри ЕС. В кибербезопасности они активно борются с транснациональными угрозами через обмен данными и аналитику.
🕸 Интерпол (Международная организация уголовной полиции, штаб-квартира в Лионе) объединяет 196 стран для координации борьбы с общеуголовной преступностью, включая киберугрозы. В информационной безопасности основной функционал — выпуск цветных уведомлений (например, серебряное для киберпреступлений), координация розыска хакеров и обмен данными о кибератаках через защищённую систему I-24/7.
☁️ Европол (штаб-квартира в Гааге) — агентство ЕС для 27 стран, специализируется на трансграничной организованной преступности без полномочий на аресты или расследования. В кибербезопасности ключевые функции: анализ данных о ransomware и фишинге, координация операций (например, через EC3 — Центр киберпреступлений), оперативный обмен информацией и поддержка национальных служб в расследованиях хакерских групп.
🧿 Операции Интерпола и Европола с участием России (через НЦБ при МВД РФ) фокусируются на трансграничной преступности: фальсификаты, наркотики, кибермошенничество. РФ координирует межведомственные штабы (МВД, ФСБ), проводит обыски и аресты; с 2020-х геополитика ограничивает кооперацию, но участие продолжается в нейтральных темах.
❗️ Одно из самых громких расследований Интерпола с участием РФ: PANGEA
💵 PANGEA XVII (май 2025) — рекордная операция Интерпола и Всемирной таможенной организации против онлайн-торговли фальсификатами лекарств, наркосодержащими препаратами и опасными БАДами. Проходила с декабря 2024 по май 2025 в 90 странах: изъято 50,4 млн доз на $65 млн, арестовано 769 человек, ликвидировано 123 ОПГ, заблокировано тысячи сайтов. Россия — один из лидеров по активности: НЦБ Интерпола при МВД возглавили межведомственный штаб (МВД, ФСБ, ФТС, Росздравнадзор).
🇷🇺 Благодаря России было:
📉 Проведено 13 800+ проверок и мониторинг 8400+ сайтов.
📉 Осмотрено 940 международных почтовых отправлений.
📉 Выявлено/пресечено 698 нарушений.
📉 Изъято контрафакта на 405+ млн руб. (Саксенда, Кселода, средства для ЭД).
🖱 Возбуждено 177 уголовных дел, задержано 100 человек, 495 протоколов об АП, заблокировано 3400+ сайтов
🧠 А какие интересные факты об Интерполе и Европоле вы знаете?
#interpol #europol #russia #ransomware #darknet #pangea
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
🇷🇺 Благодаря России было:
#interpol #europol #russia #ransomware #darknet #pangea
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍5🔥5👎1
Dsniff: Набор инструментов для сетевого анализа
☁️ Функциональность
- Перехват паролей и сессионных данных в открытом виде (FTP, Telnet, HTTP, POP, IMAP, SMTP, SNMP, LDAP, NFS, и другие)
- Извлечение cookies, HTTP-заголовков и URL
- Определение протоколов независимо от порта благодаря Deep Packet Inspection (-m)
⬇️ Установка
Проверка
⏺️ Базовый перехват на интерфейсе eth0
⏺️ Глубокий анализ пакетов (определение протоколов на любых портах)
⏺️ Исключение HTTPS-трафика из перехвата
🧿 Инструмент необходим для:
- Аудита безопасности локальных сетей
- Обнаружения передачи паролей в открытом виде
- Анализа HTTP-трафика и cookie-сессий
- Демонстрации уязвимостей сетевых протоколов
#dsniff #sniffer #mitm #pentest #tool
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Dsniff — набор инструментов для перехвата и анализа сетевого трафика. Инструментарий позволяет перехватывать пароли, сессионные cookie, анализировать протоколы прикладного уровня и выполнять различные атаки типа «man-in-the-middle» (MITM) в локальных сетях.
- Перехват паролей и сессионных данных в открытом виде (FTP, Telnet, HTTP, POP, IMAP, SMTP, SNMP, LDAP, NFS, и другие)
- Извлечение cookies, HTTP-заголовков и URL
- Определение протоколов независимо от порта благодаря Deep Packet Inspection (-m)
sudo apt install dsniff
Проверка
dsniff -h
sudo dsniff -i eth0
sudo dsniff -i eth0 -m
sudo dsniff -i eth0 -m "not port 443"
- Аудита безопасности локальных сетей
- Обнаружения передачи паролей в открытом виде
- Анализа HTTP-трафика и cookie-сессий
- Демонстрации уязвимостей сетевых протоколов
#dsniff #sniffer #mitm #pentest #tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤6👍6
Почему ядро Android не понимает, что делают приложения — и как eBPF решает это без патчей
Представьте: приложение отправляет SMS с вашего телефона. Ядро Linux в этот момент видит только
Это и есть семантический разрыв — фундаментальная проблема аудита Android, над которой бьются больше десяти лет. В отличие от десктопного Linux, где
🔍 Существующие решения делятся на два лагеря, и оба проигрывают:
• Модификация ОС (ClearScope и аналоги) — хуки внедряются прямо в Binder-драйвер и framework. Устойчиво к обходу, но каждое обновление Android требует ручного переноса патчей. Архитектурный тупик для реальных деплоев.
• User-space инструментация (BPFroid, Frida) — не трогает ядро, но обходится. Приложение с native-кодом может дёрнуть
Исследователи из TU Darmstadt и Athens University разорвали эту дихотомию проектом WOOTdroid. Идея: eBPF-программы загружаются в ядро без его пересборки, цепляются к стабильным tracepoints и перехватывают Binder-транзакции на уровне драйвера. Но в отличие от сырой трассировки, WOOTdroid ещё и декодирует содержимое — имена методов, типизированные аргументы, целевые сервисы.
📊 Цифры с Pixel 9 на Android 16 впечатляют: eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. При этом overhead по Geekbench — не выше 3.6%. Никаких патчей к ядру, никакой пересборки AOSP, никаких инъекций в процесс приложения.
Почему это важно на практике? Потому что малварь всё чаще использует native-код для обхода user-space мониторинга. Формирует Parcel вручную, вызывает
⚡ Отдельно интересен контринтуитивный момент: eBPF-программы работают в sandbox внутри ядра, проходят верификацию перед загрузкой и не могут уронить систему. По сути — kernel-level аудит с user-space безопасностью деплоя.
Полный разбор архитектуры, механики Binder-декодирования и результатов бенчмарков — в развёрнутой статье на форуме.
https://codeby.net/threads/wootdroid-audit-android-binder-ipc-bez-semanticheskogo-razryva.93727/
Представьте: приложение отправляет SMS с вашего телефона. Ядро Linux в этот момент видит только
ioctl(fd, BINDER_WRITE_READ, &bwr). Тот же самый вызов, что и при запросе версии ОС. Или при чтении контактов. Или при получении GPS-координат. Для ядра всё это — одинаковые байты в Binder-транзакции.Это и есть семантический разрыв — фундаментальная проблема аудита Android, над которой бьются больше десяти лет. В отличие от десктопного Linux, где
sendto() прямо говорит аудитору «тут отправка данных», на Android всё проходит через цепочку: приложение → libbinder.so → ioctl → Binder-драйвер → system_server. И на уровне системных вызовов любое действие выглядит одинаково.🔍 Существующие решения делятся на два лагеря, и оба проигрывают:
• Модификация ОС (ClearScope и аналоги) — хуки внедряются прямо в Binder-драйвер и framework. Устойчиво к обходу, но каждое обновление Android требует ручного переноса патчей. Архитектурный тупик для реальных деплоев.
• User-space инструментация (BPFroid, Frida) — не трогает ядро, но обходится. Приложение с native-кодом может дёрнуть
ioctl() на /dev/binder напрямую, минуя все хуки. Малварь так и делает.Исследователи из TU Darmstadt и Athens University разорвали эту дихотомию проектом WOOTdroid. Идея: eBPF-программы загружаются в ядро без его пересборки, цепляются к стабильным tracepoints и перехватывают Binder-транзакции на уровне драйвера. Но в отличие от сырой трассировки, WOOTdroid ещё и декодирует содержимое — имена методов, типизированные аргументы, целевые сервисы.
📊 Цифры с Pixel 9 на Android 16 впечатляют: eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. При этом overhead по Geekbench — не выше 3.6%. Никаких патчей к ядру, никакой пересборки AOSP, никаких инъекций в процесс приложения.
Почему это важно на практике? Потому что малварь всё чаще использует native-код для обхода user-space мониторинга. Формирует Parcel вручную, вызывает
ioctl() напрямую — и Frida, и BPFroid пропускают транзакцию полностью. WOOTdroid сидит в ядре и видит всё, независимо от того, как именно приложение сформировало вызов.⚡ Отдельно интересен контринтуитивный момент: eBPF-программы работают в sandbox внутри ядра, проходят верификацию перед загрузкой и не могут уронить систему. По сути — kernel-level аудит с user-space безопасностью деплоя.
Полный разбор архитектуры, механики Binder-декодирования и результатов бенчмарков — в развёрнутой статье на форуме.
https://codeby.net/threads/wootdroid-audit-android-binder-ipc-bez-semanticheskogo-razryva.93727/
🔥9👍6❤4🤯1
🔬 Шпион внутри корпуса: как один чиплет крадёт секреты другого
Представьте: атакующему больше не нужен физический доступ к устройству. Ему не нужен EM-пробник, осциллограф или тепловизор. Потому что он уже внутри микросхемы — в буквальном смысле.
Исследователи экспериментально доказали: RF-чиплет, встроенный в гетерогенную 2.5D-упаковку, способен захватывать электромагнитный сигнал, коррелированный с криптографической активностью соседнего вычислительного кристалла. Без единого пробника на поверхности корпуса. Это принципиально новая модель угроз, которой в русскоязычном пространстве пока не посвящено ни одного материала.
⚡ Почему это работает?
В 2.5D-архитектурах несколько кристаллов размещены горизонтально на общем кремниевом интерпозере. И вот ключевой момент: этот интерпозер — не инертная подложка, а полупроводниковая среда с конечным сопротивлением и паразитными ёмкостями. Когда вычислительный die выполняет раунд AES, токи потребления создают падение напряжения на паразитных элементах PDN. Эти колебания распространяются по общей подложке и наводят напряжения на проводниках соседнего чиплета.
Инженеры по signal integrity десятилетиями боролись с этим эффектом — substrate coupling — ради целостности сигналов. Теперь тот же механизм работает на атакующего.
В 3D-стеках ситуация ещё острее. Кристаллы уложены вертикально и соединены через
🎯 Три канала утечки, которых нет в монолитных SoC
• Substrate coupling — через общую подложку интерпозера (ёмкостная и резистивная связь)
• TSV coupling — через взаимную индуктивность вертикальных переходников в 3D-стеках
• RF/EM coupling — через ближнее электромагнитное поле при наличии антенного элемента на одном из чиплетов
Самое тревожное — модель угроз. Современные чиплетные системы собираются из компонентов разных вендоров. Вычислительный die от одного производителя, память от другого, коммуникационный чиплет от третьего. Достаточно скомпрометировать один элемент в supply chain — и вредоносный чиплет становится внутренним сенсором, который снимает side-channel трассы с расстояния в сотни микрон. Это на порядки ближе, чем любой внешний пробник.
🛡️ UCIe-интерконнект между чиплетами тоже под ударом: сигналы физически покидают кристалл, проходят через интерпозер и имеют значительно бо́льшую амплитуду, чем внутренние on-chip сигналы. Каждый такой переход — наблюдаемая поверхность атаки.
В полной статье разобрали физику утечек, формальную модель угроз и практический workflow корреляционного анализа трасс.
https://codeby.net/threads/side-channel-ataki-na-chiplety-novaya-fizicheskaya-poverkhnost-ataki-v-2-5d-3d-sistemakh.93732/
Представьте: атакующему больше не нужен физический доступ к устройству. Ему не нужен EM-пробник, осциллограф или тепловизор. Потому что он уже внутри микросхемы — в буквальном смысле.
Исследователи экспериментально доказали: RF-чиплет, встроенный в гетерогенную 2.5D-упаковку, способен захватывать электромагнитный сигнал, коррелированный с криптографической активностью соседнего вычислительного кристалла. Без единого пробника на поверхности корпуса. Это принципиально новая модель угроз, которой в русскоязычном пространстве пока не посвящено ни одного материала.
⚡ Почему это работает?
В 2.5D-архитектурах несколько кристаллов размещены горизонтально на общем кремниевом интерпозере. И вот ключевой момент: этот интерпозер — не инертная подложка, а полупроводниковая среда с конечным сопротивлением и паразитными ёмкостями. Когда вычислительный die выполняет раунд AES, токи потребления создают падение напряжения на паразитных элементах PDN. Эти колебания распространяются по общей подложке и наводят напряжения на проводниках соседнего чиплета.
Инженеры по signal integrity десятилетиями боролись с этим эффектом — substrate coupling — ради целостности сигналов. Теперь тот же механизм работает на атакующего.
В 3D-стеках ситуация ещё острее. Кристаллы уложены вертикально и соединены через
TSV — медные столбы диаметром 5–10 мкм, пронизывающие кремний. При расстояниях между слоями порядка 50 мкм паразитная ёмкостная связь достигает единиц фемтофарад — на частотах сотен мегагерц этого хватает для наблюдаемой утечки.🎯 Три канала утечки, которых нет в монолитных SoC
• Substrate coupling — через общую подложку интерпозера (ёмкостная и резистивная связь)
• TSV coupling — через взаимную индуктивность вертикальных переходников в 3D-стеках
• RF/EM coupling — через ближнее электромагнитное поле при наличии антенного элемента на одном из чиплетов
Самое тревожное — модель угроз. Современные чиплетные системы собираются из компонентов разных вендоров. Вычислительный die от одного производителя, память от другого, коммуникационный чиплет от третьего. Достаточно скомпрометировать один элемент в supply chain — и вредоносный чиплет становится внутренним сенсором, который снимает side-channel трассы с расстояния в сотни микрон. Это на порядки ближе, чем любой внешний пробник.
🛡️ UCIe-интерконнект между чиплетами тоже под ударом: сигналы физически покидают кристалл, проходят через интерпозер и имеют значительно бо́льшую амплитуду, чем внутренние on-chip сигналы. Каждый такой переход — наблюдаемая поверхность атаки.
В полной статье разобрали физику утечек, формальную модель угроз и практический workflow корреляционного анализа трасс.
https://codeby.net/threads/side-channel-ataki-na-chiplety-novaya-fizicheskaya-poverkhnost-ataki-v-2-5d-3d-sistemakh.93732/
🔥9❤7👍4
ANY.RUN
🎇 ANY.RUN — это облачная интерактивная песочница для динамического анализа вредоносного ПО, URL и подозрительных файлов в реальном времени. Она позволяет исследователям вручную управлять виртуальной машиной, имитируя действия пользователя для выявления скрытых угроз.
💻 Платформа поддерживает Windows, Linux и Android: загружаете файл/URL, выбираете ОС, язык, доступ к сети и запускаете анализ (бесплатно до 60 сек, премиум — дольше). В режиме реального времени отслеживаются процессы, сетевые соединения (TCP/UDP/DNS), изменения файлов, реестра, автозагрузки; вердикт по MITRE ATT&CK с IOC.
Живая панель мониторинга в реальном времени:
📉 Processes (дерево с аргументами, PE-импортами)
📉 Network (streams, HTTP/HTTPS payloads, DNS/C2)
📉 Files (heatmaps изменений, downloads)
🖱 Registry/Services/Mutexes/DLLs, Behavior (MITRE ATT&CK mapping с TTPs)
Преимущества:
➡️ Быстрая детонация (15 сек медиана)
➡️ Обход анти-сандбокс техник через интерактив (клики, ввод).
➡️ Приятный и отзывчивый интерфейс
🧿 Используете ли ANY.RUN в своих расследованиях?
#anyrun #ioc #ti #sandbox
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Живая панель мониторинга в реальном времени:
Преимущества:
#anyrun #ioc #ti #sandbox
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍5🔥3
80% времени на подготовку, 20% — на сами уязвимости: почему мобильный пентест так устроен
Знакомая ситуация: вы запускаете Frida-скрипт с CodeShare, ждёте трафик в Burp Suite — а там пусто. Приложение использует
Именно так начался один из пентестов e-commerce маркетплейса. Четыре часа ушло на декомпиляцию в jadx, поиск конкретного класса с пиннингом и написание точечного хука. После этого IDOR в платёжном API нашёлся за 15 минут. Вся суть мобильного пентеста в одном примере.
🔧 Вот что ломается чаще всего на старте:
• Версия frida-server не совпадает с frida-tools — причина ошибки «Failed to spawn» в каждом втором обращении на форумах. Проверяйте через
• Образ эмулятора с надписью «Google Play» — production-сборка, root недоступен в принципе. Нужен образ с Google APIs, но без Google Play. Классическая ловушка, в которую попадают все хотя бы раз.
• На Android 7+ пользовательские CA-сертификаты не доверяются приложениями по умолчанию. Даже без SSL pinning трафик не пойдёт через Burp, пока сертификат не окажется в системном хранилище
📱 Отдельная боль — эмулятор-детекция. Приложение проверяет
Лайфхак с Magisk: вместо десяти команд для установки сертификата Burp в системный раздел — поставьте модуль MagiskTrustUserCerts. Устанавливаете сертификат штатно через настройки безопасности, модуль перемещает его в системное хранилище при перезагрузке. Три клика вместо десяти команд.
🎯 Главное, что стоит помнить: APK — это обёртка, цель — серверное API. Root-detection, anti-tampering, SSL pinning — всё это клиентские защиты категорий MASVS-RESILIENCE и MASVS-NETWORK. Они усложняют тестирование, но серверные уязвимости никуда не деваются. Сервер остаётся дырявым вне зависимости от того, проверяет ли клиент наличие
В полной статье — пошаговая настройка окружения, конкретные команды для каждого этапа и разбор случаев, когда стандартный tooling молча ломается. Всё, что нужно, чтобы дойти от чистого эмулятора до перехваченного трафика.
https://codeby.net/threads/pentest-android-prilozhenii-ot-nastroiki-okruzheniya-do-obkhoda-root-detection-i-ssl-pinning.93723/
Знакомая ситуация: вы запускаете Frida-скрипт с CodeShare, ждёте трафик в Burp Suite — а там пусто. Приложение использует
OkHttp3 с CertificatePinner, плюс кастомную проверку целостности APK при старте. Стандартный скрипт молча отваливается, а вы даже не понимаете почему.Именно так начался один из пентестов e-commerce маркетплейса. Четыре часа ушло на декомпиляцию в jadx, поиск конкретного класса с пиннингом и написание точечного хука. После этого IDOR в платёжном API нашёлся за 15 минут. Вся суть мобильного пентеста в одном примере.
🔧 Вот что ломается чаще всего на старте:
• Версия frida-server не совпадает с frida-tools — причина ошибки «Failed to spawn» в каждом втором обращении на форумах. Проверяйте через
frida --version и качайте сервер строго той же версии.• Образ эмулятора с надписью «Google Play» — production-сборка, root недоступен в принципе. Нужен образ с Google APIs, но без Google Play. Классическая ловушка, в которую попадают все хотя бы раз.
• На Android 7+ пользовательские CA-сертификаты не доверяются приложениями по умолчанию. Даже без SSL pinning трафик не пойдёт через Burp, пока сертификат не окажется в системном хранилище
/system/etc/security/cacerts/.📱 Отдельная боль — эмулятор-детекция. Приложение проверяет
ro.hardware, ro.product.model, ищет QEMU-артефакты и отказывается работать. Решение — физический Pixel с unlocked bootloader и Magisk. На практике удобно держать оба варианта: эмулятор для статического анализа, физическое устройство — когда эмулятор не проходит проверки.Лайфхак с Magisk: вместо десяти команд для установки сертификата Burp в системный раздел — поставьте модуль MagiskTrustUserCerts. Устанавливаете сертификат штатно через настройки безопасности, модуль перемещает его в системное хранилище при перезагрузке. Три клика вместо десяти команд.
🎯 Главное, что стоит помнить: APK — это обёртка, цель — серверное API. Root-detection, anti-tampering, SSL pinning — всё это клиентские защиты категорий MASVS-RESILIENCE и MASVS-NETWORK. Они усложняют тестирование, но серверные уязвимости никуда не деваются. Сервер остаётся дырявым вне зависимости от того, проверяет ли клиент наличие
su-бинаря.В полной статье — пошаговая настройка окружения, конкретные команды для каждого этапа и разбор случаев, когда стандартный tooling молча ломается. Всё, что нужно, чтобы дойти от чистого эмулятора до перехваченного трафика.
https://codeby.net/threads/pentest-android-prilozhenii-ot-nastroiki-okruzheniya-do-obkhoda-root-detection-i-ssl-pinning.93723/
🔥8👍5❤4
43% MCP-серверов уязвимы к инъекциям команд. А ваш разработчик только что поставил ещё один
За последние полгода MCP-серверы стали стандартной частью рабочего окружения разработчиков. Cursor, Claude Desktop, кастомные прокси к внутренним API — всё это подключается за минуту и получает прямой доступ к файловой системе, переменным окружения и сетевым ресурсам хоста. Проблема в том, что эти серверы почти никогда не проходят security review.
🔍 По данным Equixly, картина такая: 43% протестированных MCP-серверов содержат command injection, 30% — SSRF, 22% — path traversal. И это не экзотика — это серверы, которые разработчики ставят добровольно и используют каждый день.
Почему это опасно? MCP-сервер по сути — неаутентифицированный API с доступом к shell-командам. Спецификация предлагает OAuth 2.0, но на практике большинство серверов запускаются без авторизации вообще. Валидация параметров — на совести разработчика. А главное: MCP-сервер можно вызвать напрямую, минуя LLM. Кто добрался до эндпоинта — шлёт JSON-RPC-запросы к инструментам без какого-либо контроля.
⚡ Свежий пример — три CVE в официальном
Каждая уязвимость по отдельности — CVSS 6.3–6.5, средний уровень. Но в цепочке с prompt injection импакт возрастает кратно: вредоносная инструкция в README репозитория заставляет LLM вызвать уязвимый инструмент, а разработчик жмёт «Разрешить» на автопилоте — десятки раз в день.
🎯 С точки зрения kill chain MCP-серверы закрывают сразу несколько этапов:
• Initial Access — удалённый сервер на Streamable HTTP без аутентификации
• Execution — command injection через tool-параметры
• Credential Access — чтение
• Collection — path traversal к исходникам и конфигам CI/CD
Самый реалистичный сценарий — внутренний пентест или red team с доступом к сегменту разработки. Машина разработчика с MCP-сервером — это одновременно точка входа, источник креденшалов и плацдарм для lateral movement.
Полный разбор с конкретными PoC, цепочками атак и рекомендациями по защите — в статье на форуме.
https://codeby.net/threads/uyazvimosti-mcp-serverov-rce-ssrf-i-in-yektsii-cherez-odin-post-zapros.93746/
За последние полгода MCP-серверы стали стандартной частью рабочего окружения разработчиков. Cursor, Claude Desktop, кастомные прокси к внутренним API — всё это подключается за минуту и получает прямой доступ к файловой системе, переменным окружения и сетевым ресурсам хоста. Проблема в том, что эти серверы почти никогда не проходят security review.
🔍 По данным Equixly, картина такая: 43% протестированных MCP-серверов содержат command injection, 30% — SSRF, 22% — path traversal. И это не экзотика — это серверы, которые разработчики ставят добровольно и используют каждый день.
Почему это опасно? MCP-сервер по сути — неаутентифицированный API с доступом к shell-командам. Спецификация предлагает OAuth 2.0, но на практике большинство серверов запускаются без авторизации вообще. Валидация параметров — на совести разработчика. А главное: MCP-сервер можно вызвать напрямую, минуя LLM. Кто добрался до эндпоинта — шлёт JSON-RPC-запросы к инструментам без какого-либо контроля.
⚡ Свежий пример — три CVE в официальном
mcp-server-git. Одна из них (CVE-2025-68143) позволяла через инструмент git_init превратить любую директорию в git-репозиторий, а затем читать из неё файлы через git show. Решение от мейнтейнеров? Полностью удалили инструмент из кодовой базы. Другая (CVE-2025-68144) — argument injection: параметры git_diff и git_checkout передавались в CLI без санитизации. Значение вроде --output=/etc/passwd интерпретировалось как опция командной строки.Каждая уязвимость по отдельности — CVSS 6.3–6.5, средний уровень. Но в цепочке с prompt injection импакт возрастает кратно: вредоносная инструкция в README репозитория заставляет LLM вызвать уязвимый инструмент, а разработчик жмёт «Разрешить» на автопилоте — десятки раз в день.
🎯 С точки зрения kill chain MCP-серверы закрывают сразу несколько этапов:
• Initial Access — удалённый сервер на Streamable HTTP без аутентификации
• Execution — command injection через tool-параметры
• Credential Access — чтение
.env, SSH-ключей, API-токенов• Collection — path traversal к исходникам и конфигам CI/CD
Самый реалистичный сценарий — внутренний пентест или red team с доступом к сегменту разработки. Машина разработчика с MCP-сервером — это одновременно точка входа, источник креденшалов и плацдарм для lateral movement.
Полный разбор с конкретными PoC, цепочками атак и рекомендациями по защите — в статье на форуме.
https://codeby.net/threads/uyazvimosti-mcp-serverov-rce-ssrf-i-in-yektsii-cherez-odin-post-zapros.93746/
❤8👍4🔥4👎3😁1
$28.50 за компрометацию Active Directory — но сколько стоят галлюцинации?
LLM-агент Excalibur ломает четыре из пяти хостов в AD-лаборатории за $28.50 в API-кредитах. RapidPen получает shell за 200–400 секунд при стоимости меньше доллара. Впечатляющие цифры из бенчмарков 2026 года. Но вот что происходит, когда ту же модель просят разобрать реальную функцию парсинга на C: она уверенно диагностирует use-after-free в коде, который вообще не работает с динамической памятью.
🎯 Между рекламными бенчмарками и реальным аудитом кода — пропасть из галлюцинаций, потери контекста и ложных срабатываний. Вопрос не в том, работают ли LLM для поиска уязвимостей, а в том, где именно в цепочке аудита их ставить и как не утонуть в шуме.
Ключевой инсайт: LLM — не замена SAST-сканеру и не замена ручному разбору. Это прослойка между ними. Статический анализатор отработал, нашёл подозрительные паттерны, а вы ещё не начали вручную раскручивать call chain'ы. Вот тут модель реально полезна.
⚡ Практический workflow выглядит так:
• Прогоняете
• Строите граф зависимостей через
• Выделяете attack surface — HTTP-хендлеры, парсеры, десериализаторы идут первыми
• Скармливаете LLM конкретные файлы с контекстом вызовов и типов, а не весь репозиторий
Скармливать модели весь codebase — антипаттерн. Даже 128K токенов — это порядка 300–400 страниц кода. Средний open-source проект сильно больше. Модель подавится и выдаст generic-ответ из учебника.
🔑 Ещё одна ловушка — промпты. «Найди уязвимости в этом коде» — прямой путь к мусору на выходе. Рабочий промпт строится по блокам: роль и ограничение, конкретный контекст проекта, тип уязвимости, который ищете, формат ответа и требование обосновать каждый вердикт ссылкой на строку кода. Без структуры модель галлюцинирует.
Где LLM реально хорош: внутренний пентест с доступом к исходникам и bug bounty по open-source целям. Публичный код плюс история коммитов дают модели максимум контекста. Где плохо: аудит бинарей без исходников — декомпилированный код теряет семантику, и модель плывёт.
🛡️ Важный момент для NDA-проектов: код, отправленный в облачный API, покидает ваш контур. Для таких задач — только локальные модели через
В полной статье — детальный разбор каждого шага workflow, готовые шаблоны промптов и конкретные примеры с реальным кодом.
https://codeby.net/threads/llm-dlya-poiska-uyazvimostei-v-kode-prakticheskii-workflow-ot-sast-do-poc.93750/
LLM-агент Excalibur ломает четыре из пяти хостов в AD-лаборатории за $28.50 в API-кредитах. RapidPen получает shell за 200–400 секунд при стоимости меньше доллара. Впечатляющие цифры из бенчмарков 2026 года. Но вот что происходит, когда ту же модель просят разобрать реальную функцию парсинга на C: она уверенно диагностирует use-after-free в коде, который вообще не работает с динамической памятью.
🎯 Между рекламными бенчмарками и реальным аудитом кода — пропасть из галлюцинаций, потери контекста и ложных срабатываний. Вопрос не в том, работают ли LLM для поиска уязвимостей, а в том, где именно в цепочке аудита их ставить и как не утонуть в шуме.
Ключевой инсайт: LLM — не замена SAST-сканеру и не замена ручному разбору. Это прослойка между ними. Статический анализатор отработал, нашёл подозрительные паттерны, а вы ещё не начали вручную раскручивать call chain'ы. Вот тут модель реально полезна.
⚡ Практический workflow выглядит так:
• Прогоняете
semgrep с правилами p/security-audit и p/owasp-top-ten — получаете JSON с координатами подозрительных мест• Строите граф зависимостей через
tree-sitter или cscope, чтобы понять, какие файлы связаны с находками• Выделяете attack surface — HTTP-хендлеры, парсеры, десериализаторы идут первыми
• Скармливаете LLM конкретные файлы с контекстом вызовов и типов, а не весь репозиторий
Скармливать модели весь codebase — антипаттерн. Даже 128K токенов — это порядка 300–400 страниц кода. Средний open-source проект сильно больше. Модель подавится и выдаст generic-ответ из учебника.
🔑 Ещё одна ловушка — промпты. «Найди уязвимости в этом коде» — прямой путь к мусору на выходе. Рабочий промпт строится по блокам: роль и ограничение, конкретный контекст проекта, тип уязвимости, который ищете, формат ответа и требование обосновать каждый вердикт ссылкой на строку кода. Без структуры модель галлюцинирует.
Где LLM реально хорош: внутренний пентест с доступом к исходникам и bug bounty по open-source целям. Публичный код плюс история коммитов дают модели максимум контекста. Где плохо: аудит бинарей без исходников — декомпилированный код теряет семантику, и модель плывёт.
🛡️ Важный момент для NDA-проектов: код, отправленный в облачный API, покидает ваш контур. Для таких задач — только локальные модели через
Ollama с DeepSeek Coder или CodeLlama.В полной статье — детальный разбор каждого шага workflow, готовые шаблоны промптов и конкретные примеры с реальным кодом.
https://codeby.net/threads/llm-dlya-poiska-uyazvimostei-v-kode-prakticheskii-workflow-ot-sast-do-poc.93750/
❤8👍6🔥5
$5,9 млн за одну утечку — почему банки проигрывают хакерам ещё до первого алерта
Вот что меня цепляет в статистике IBM по финансовому сектору. Не сама сумма — а то, как банки узнают о взломе. Большинство — не из алертов собственного SOC, а из звонка регулятора или поста в Telegram. Между моментом, когда атакующий зашёл в сеть, и моментом, когда об этом кто-то догадался, проходят недели. Иногда — месяцы.
За это время группировки вроде Cobalt и Silence успевают пройти полный kill chain — от фишингового письма до управления SWIFT-терминалом.
🔍 Как это выглядит на практике? Четыре фазы, каждая из которых — окно для обнаружения. И каждая — провал большинства защитных команд.
Фаза 1 — точка входа. Целевой фишинг или эксплуатация публичного сервиса. По данным ФинЦЕРТ за 2024 год, фишинг — около 8–9% зарегистрированных атак на финсектор. Кажется мало? Но в red team-проектах поддельное письмо «от Центробанка» остаётся самым результативным вектором. Люди верят бланкам.
Фаза 2 — сбор учёток и перемещение. Дамп
Фаза 3 — цель. SWIFT-терминал, процессинг, АБС (Diasoft, ЦФТ), HSM. К этому моменту у атакующего уже привилегии доменного администратора.
💸 Фаза 4 — вывод денег. Формирование платёжных поручений, манипуляция лимитами, переводы через скомпрометированные АРМ-ы КБР. Именно здесь большинство банков впервые замечают проблему. Когда деньги уже ушли.
И это только kill chain. А ведь есть ещё атаки на банковские API, jackpotting банкоматов, обход антифрод-систем, трояны вроде Casbaneiro, уязвимости мобильного банкинга. Каждый вектор — отдельная дисциплина со своими техниками и слепыми зонами защиты.
⚡ Что объединяет все эти направления? Три вещи:
• Сегментация сети, которая существует на бумаге, но не в реальности
• SOC, который мониторит периметр, но слеп внутри критичных сегментов
• Регуляторный комплаенс (ГОСТ Р 57580, PCI DSS), который выполняется формально, а не по сути
Мы собрали всё это в одну карту — 11 направлений с детальными разборами: от конкретных команд пентеста до SIEM-правил и IOC. Полный гайд ждёт в статье на форуме.
https://codeby.net/threads/kiberbezopasnost-bankov-vektory-atak-tekhniki-pentesta-i-zashchita-bankovskoi-infrastruktury.93756/
Вот что меня цепляет в статистике IBM по финансовому сектору. Не сама сумма — а то, как банки узнают о взломе. Большинство — не из алертов собственного SOC, а из звонка регулятора или поста в Telegram. Между моментом, когда атакующий зашёл в сеть, и моментом, когда об этом кто-то догадался, проходят недели. Иногда — месяцы.
За это время группировки вроде Cobalt и Silence успевают пройти полный kill chain — от фишингового письма до управления SWIFT-терминалом.
🔍 Как это выглядит на практике? Четыре фазы, каждая из которых — окно для обнаружения. И каждая — провал большинства защитных команд.
Фаза 1 — точка входа. Целевой фишинг или эксплуатация публичного сервиса. По данным ФинЦЕРТ за 2024 год, фишинг — около 8–9% зарегистрированных атак на финсектор. Кажется мало? Но в red team-проектах поддельное письмо «от Центробанка» остаётся самым результативным вектором. Люди верят бланкам.
Фаза 2 — сбор учёток и перемещение. Дамп
LSASS, брутфорс сервисных аккаунтов, кейлоггеры. Дальше — Pass the Hash, легитимные учётные записи. Самое болезненное: горизонтальное перемещение часто идёт через сегменты, которые формально изолированы. Но на практике маршрут через management-VLAN существует. Формально — нельзя. Фактически — пожалуйста.Фаза 3 — цель. SWIFT-терминал, процессинг, АБС (Diasoft, ЦФТ), HSM. К этому моменту у атакующего уже привилегии доменного администратора.
💸 Фаза 4 — вывод денег. Формирование платёжных поручений, манипуляция лимитами, переводы через скомпрометированные АРМ-ы КБР. Именно здесь большинство банков впервые замечают проблему. Когда деньги уже ушли.
И это только kill chain. А ведь есть ещё атаки на банковские API, jackpotting банкоматов, обход антифрод-систем, трояны вроде Casbaneiro, уязвимости мобильного банкинга. Каждый вектор — отдельная дисциплина со своими техниками и слепыми зонами защиты.
⚡ Что объединяет все эти направления? Три вещи:
• Сегментация сети, которая существует на бумаге, но не в реальности
• SOC, который мониторит периметр, но слеп внутри критичных сегментов
• Регуляторный комплаенс (ГОСТ Р 57580, PCI DSS), который выполняется формально, а не по сути
Мы собрали всё это в одну карту — 11 направлений с детальными разборами: от конкретных команд пентеста до SIEM-правил и IOC. Полный гайд ждёт в статье на форуме.
https://codeby.net/threads/kiberbezopasnost-bankov-vektory-atak-tekhniki-pentesta-i-zashchita-bankovskoi-infrastruktury.93756/
👍7❤3🔥3
Forwarded from Hacker Lab
☀️ Скидка 20% на подписку HackerLab!
Летом наконец есть время порешать задачки в удовольствие - полный доступ к заданиям, курсам и про-лабораториям.
Промокод:
Только до 14 июня — не упусти
👉 https://hackerlab.pro/subscription
Летом наконец есть время порешать задачки в удовольствие - полный доступ к заданиям, курсам и про-лабораториям.
Промокод:
Summer2026Только до 14 июня — не упусти
👉 https://hackerlab.pro/subscription
❤8🔥6👍3🤝2
Но есть условие: вы должны выбрать один главный приоритет, а двумя другими пожертвовать.
Исходные данные:
⏺️
Скорость — пайплайн проходит за 3 минуты, разработчик не ждёт
⏺️
Надёжность — ложные срабатывания случаются раз в месяц, а не раз в день
⏺️
Глубина проверок — security scan, уязвимости зависимостей, интеграционные тесты, линтеры, форматтеры, мутационные тесты
Выберите одно, чем вы готовы пожертвовать (варианты указаны на картинке)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥6👍4👎1
Anonymous Poll
82%
А. Жертвую скоростью
7%
Б. Жертвую надежностью
11%
В. Жертвую глубиной проверок
🔥6❤4🤝4
Forwarded from Hacker Lab
Открытие летнего сезона и новые задания на платформе HackerLab!
Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне. Не упустите шанс провести лето с пользой, прокачать свои навыки и стать лучшим!
📆 Сезон завершается 31 августа
——————————————
Новые задания:
👩💻 Категория Pentest Machines — Графический PDF
Приятного хакинга!
Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне. Не упустите шанс провести лето с пользой, прокачать свои навыки и стать лучшим!
Призы:
🥇 1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай + эксклюзивный бейдж на платформе
🥈 2 место — 1 месяц PRO + 20% скидка + эксклюзивный бейдж
🥉 3 место — 1 месяц PRO + 10% скидка + эксклюзивный бейдж
🏅 4–10 место — 1 месяц PLUS + 5% скидка + эксклюзивный бейдж
——————————————
Новые задания:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤6🔥6
Forwarded from Блог Сергея Попова
🔧 Обсуждай задачи и переписывайся прямо в HackerLab
Встроили форум-виджет Codeby прямо на страницы тасков — теперь обсуждение, подсказки и личка живут там же, где само задание.
Что умеет виджет:
— Тред с обсуждением рядом с задачей
— Скриншоты, файлы, реакции, онлайн-статусы
— Автообновление без перезагрузки страницы
Личные сообщения внутри виджета:
— Пишешь напрямую, не уходя с платформы
— Бейдж непрочитанных, поиск по имени, редактирование
Авторизация через Codeby ID. Работает на мобильном.
CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее 🚀
Попробуйте и расскажите, чего не хватает 👇
🔗 https://codeby.net/threads/obsuzhdai-zadachi-i-perepisyvaisya-pryamo-v-hackerlab-vstroili-forum-i-lichnyye-soobshcheniya.93938/
Встроили форум-виджет Codeby прямо на страницы тасков — теперь обсуждение, подсказки и личка живут там же, где само задание.
Что умеет виджет:
— Тред с обсуждением рядом с задачей
— Скриншоты, файлы, реакции, онлайн-статусы
— Автообновление без перезагрузки страницы
Личные сообщения внутри виджета:
— Пишешь напрямую, не уходя с платформы
— Бейдж непрочитанных, поиск по имени, редактирование
Авторизация через Codeby ID. Работает на мобильном.
CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее 🚀
Попробуйте и расскажите, чего не хватает 👇
🔗 https://codeby.net/threads/obsuzhdai-zadachi-i-perepisyvaisya-pryamo-v-hackerlab-vstroili-forum-i-lichnyye-soobshcheniya.93938/
👍5❤4🔥3