👾 Neshta.

• В далеком 2005 году был такой компьютерный вирус — Neshta, который был создан в Белорусии, где и имел наибольшее распространение. Cлово «Neshta» относится к белорусскому слову «нешта», что в переводе означает «нечто».

• Создан вирус был на языке программирования Delphi. При заражении компьютера вирус Neshta создавал в системной папке «Windows» файл svchost.com, а в реестре добавлялась следующая строка: [HKCR\exefile\shell\open\command] @="%WINDIR%\svchost.com \"%1\" %*». Это приводило к тому, что при запуске какого-либо файла с расширением .exe, вирус его заражал, а вместо него запускался svchost.com. Все инфицированные файлы увеличивались в размере на 41472 байта, за счет внедрения в них вредоносного кода.

• Жертвами вируса стало множество компаний, в том числе и белорусский банк «Технобанк», все компьютеры которого были заражены в 2007 году. Это привело к тому, что клиенты данного фин. учреждения не могли проводить денежные операции в течении нескольких дней.

• Вирус Neshta так сильно подпортил всем нервы, что правоохранительные органы Белоруссии обьявили охоту на его автора, но, прошло уже более 20 лет, а поиски создателя вируса остаются безрезультатными.

S.E. ▪️ infosec.work ▪️ VT

🔐 Безопасность в сети: S.E.Virus Detect v.3.1.

• В сети существует огромное кол-во сервисов и инструментов, которые позволяют нам найти максимум информации о URL-адресе. Одним из таких инструментов является Web-check, функционал которого позволяет нам получить следующее:

➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection, Screenshot и еще кучу всяких разных данных...

• Однако, данный сервис отличается от аналогичных решений тем, что имеет открытый исходных код и бесплатное api, это позволяет нам поднять сервис на своем сервере и интегрировать данное решение в собственные инструменты, что мы и сделали...

• Теперь в S.E. Virus Detect появился дополнительный функционал проверки URL-адреса, благодаря которому мы можем получить готовый отчет от сервиса Web-check и ознакомиться с результатами не выходя из Telegram. Работает все как и всегда: вы направляете ссылку боту - ссылка проверяется через VirusTotal - бот предоставляет вам результат анализа с последующим выбором, использовать web-chek или нет. Если вы нажали на соответствующую кнопку, то вы получите отчет, который содержит все необходимые данные.

• Что имеем в итоге?

➡Полноценный функционал VirusTotal в вашем кармане, который позволяет получить результат анализа файлов, ссылок и ip не выходя из telegram.
➡Дешифратор коротких ссылок. Бот предупредит вас, что ссылка сокращенная и покажет конечный домен, к которому она ведет.
➡Дешифратор QR-кодов: открываете камеру прямо в Telegram, фотографируете код, получаете результат анализа.
➡Функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
➡Формирование полноценного отчета по итогу анализа ссылки, который осуществляется через сервис Web-check.

• В общем и целом, S.E. Virus Detect - это как VirusTotal на стероидах, с дополнительным функционалом и различными фишками. Ну и еще совершенно бесплатный и без рекламы. Пользуйтесь!

S.E. ▪️ infosec.work ▪️ VT

😈 Network Pentesting Mindmap.

• По ссылке ниже можно найти очень объемную Mindmap, которая содержит информацию по всевозможным векторам атак на сети. Весь материал разбит по категориям и содержит примеры конфигов.

➡Traffic Hijacking;
➡MiTM Attacks;
➡Dynamic IGP Routing;
➡Configuration Exfiltration;
➡DoS;
➡NAC/802.1X Bypassing;
➡GRE Pivoting;
➡Cisco EEM for hiding user;
➡Authentication Cracking;
➡Information Gathering;
➡Cisco Passwords;
➡VLAN Bypassing.

➡ https://github.com/wearecaster/NetworkNightmare

• В дополнение: несколько хороших книг для изучения сетей, которые окажутся полезными для начинающих.

• P.S. Не забывайте по наш репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network/tree/main

S.E. ▪️ infosec.work ▪️ VT

📶 Mesh-сети.

• В начале 1990-х Чарльз Перкинс из Sun Microsystems и Чай Кеон То из Кембриджского университета, независимо друг от друга начали работу над новым типом компьютерных сетей, которые вместо привычной инфраструктуры интернета использовали бы прямое беспроводное соединение между участниками, а сами участники могли бы одновременно выполнять роль отправителя, адресата и маршрутизатора данных.

• Если в сети всего два узла, они просто обменивались данными друг с другом. Когда появлялся третий участник, который находился в зоне доступности только одного из двух других узлов, сеть автоматически перестраивалась так, чтобы все узлы могли получить доступ друг к другу, используя один из узлов как маршрутизатор. В дальнейшем могли появиться другие узлы, связи между ними становились сложнее, маршруты удлинялись, появлялись альтернативные маршруты, сеть росла географически, покрывая все большие пространства.

• В 2004 году на свет появилась беспроводная mesh-сеть guifi.net, развернутая на территории Каталонии, входящей в состав Испании. Сегодня guifi.net состоит из 37690+ узлов и покрывает территорию в 73 тысячу километров, а подключение к ней не стоит абсолютно ничего, за исключением цены Wi-Fi-роутера с модифицированной прошивкой DD-WRT.

• Роутеры объединяются в сеть и образуют так называемый остров, все узлы в котором обмениваются данными друг с другом. Острова объединяются с помощью суперузлов (supernode), которые могут быть соединены между собой с помощью проводных и беспроводных технологий. Таким же образом организован выход в интернет.

• Идея mesh-сетей, которые бы не требовали специального оборудования для подключения друг к другу, появилась почти сразу после начала распространения оснащенных Wi-Fi ноутбуков. Однако, как и в случае с экспериментами начала девяностых, такие сети не вышли за границы исследовательских лабораторий и военных полигонов, а обычные пользователи начали обозначать термином ad hoc всего лишь прямое соединение двух ноутбуков, один из которых играл роль точки доступа и обеспечивал выход в интернет.

• То же самое произошло и со смартфонами. Все мы знаем, насколько легко превратить смартфон на Android в точку доступа и знаем как связать множество смартфонов в самоорганизующуюся сеть.

• Какие преимущества у Mesh-Сети?

➡Трафик и узлы нельзя контролировать, так как нет единого центра для получения IP-адресов (DHCP), все маршруты распределенные и динамические, и DNS также может быть децентрализован;
➡Mesh-сеть опционально анонимна и приватна. Весь трафик шифруется по умолчанию. Нет централизованных логов сессий пользователей и активности узлов.
➡Трафик невозможно приоритезировать. Network Neutrality — закон, который прописан в коде.
➡Сеть невозможно заблокировать или закрыть, потому что она соединяется по принципу «каждый с каждым», что создает большое количество связей. Обрыв одного или нескольких соединений не нарушит функционирование сети в целом.
➡Если произошло стихийное бедствие, то с помощью Меш-сети можно быстро построить сеть на месте происшествия для связи.

• Какие недостатки у Mesh-Сети?

➡Первоначальный запуск Mesh-сети очень сложен;
➡Эффективная работа достигается когда в сети много участников;
➡Из-за отсутствия привычных пользователям ресурсов Mesh сеть может отпугивать новичков;
➡Негарантированная ширина канала;
➡Негарантированное качество связи.

• Если вы дочитали до этого момента, то наверняка поняли, что из себя представляет Mesh-сеть. Однако, я предлагаю вам прочитать статью с форума ХSS, где автор подробно описывает вариант создания такой сети, но с одни нюансом - мы будем строить Mesh сеть для контроля машин. Но не классическую, с C&C сервером, а децентрализованную - команды будут передаваться от узла к узлу, как эстафета.

➡ Скачать весь материал можно в нашем облаке.

‼ Статья предназначена для специалистов ИБ и представлена в ознакомительных целях.

S.E. ▪️ infosec.work ▪️ VT

😈 Phishing.

• Данный материал написан в соавторстве с @mycroftintel

• Фишинг — это не просто письмо от «службы безопасности банка», это целая театральная постановка, где вместо Оскара — доступ к вашим данным. Причём сценарии в основном одни и те же: подделка логина, «важное уведомление», срочная проверка аккаунта. Актёры разные, но играют одинаково плохо. Иногда даже шрифт еле читается, но поверьте — это не повод расслабляться. Как только вы увидели подозрительный домен, начинается игра в детектива: кто? зачем? на кого работает?

• В такие моменты очень выручает PhishTank [VPN] — народный каталог фишинга, куда можно как пожаловаться, так и покопаться. Там тебе и IP, и хостинг, и метки, и главное — кто ещё это видел. Проверяешь подозрительный домен — а он уже горит красным как ёлка на новый год. Или наоборот, тихо лежит, ждёт своей очереди, и ты становишься первым, кто ткнёт в улей палкой. Очень приятно быть первым, особенно когда ловишь не просто очередной шлак, а грамотно замаскированную фальшивку.

• Анализ фишинга — это больше, чем просто распознать fake-login.html. Это поведенческий шаблон, сессионные куки, переадресация, иногда даже внедрённые скрипты для фильтрации трафика по гео. Больше всего забавляют "интеллектуальные" фишинговые страницы, которые ведут себя как живые: адаптируются под устройство, локаль, браузер. Но при этом автор не потрудился купить нормальный домен, и ты читаешь что-то вроде paypal-login-helpdesk-vercel.app

• Если копнуть глубже, часто находишь цепочку — один домен ссылается на другой, который грузит скрипт с третьего. У всех разные регистраторы, но IP — один и тот же. Иногда всё это счастье висит на бесплатном хостинге, а иногда на взломанном сервере школы бальных танцев. И тут уже не смешно, потому что за фасадом криворукого фишера может скрываться вполне серьёзная группировка. Главное — сохранять спокойствие, логи и чувство юмора. Остальное — дело техники.

➡ Дополнительную информацию можно найти в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

😟 Black Hat ASIA 2025.

• C 1 по 4 апреля в Сингапуре проходила одна из крупнейших международных конференций в мире по информационной безопасности — Black Hat ASIA 2025. Она является частью серии конференций Black Hat, которые проводятся также в США и Европе. В этом году на конфе было представлено большое количество интересных докладов и уникальной информации.

• Официальный YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:

➡ https://github.com/onhexgroup/Conferences/BlackHat

• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:

➡Видео Black Hat Europe 2024;
➡Видео Black Hat Asia 2024;
➡Видео Black Hat USA 2024.

➡Видео Black Hat Europe 2023;
➡Видео Black Hat USA 2023;
➡Видео Black Hat Asia 2023.

➡Видео Black Hat Europe 2022;
➡Видео Black Hat USA 2022;
➡Видео Black Hat Asia 2022.

➡Black hat Europe 2024;
➡Презентации Black Hat USA 2024;
➡Презентации Black Hat Asia 2024.

➡Презентации Black Hat Europe 2023;
➡Презентации Black Hat USA 2023;
➡Презентации Black Hat Asia 2023.

➡Презентации Black Hat Europe 2022;
➡Презентации Black Hat USA 2022;
➡Презентации Black Hat Asia 2022.

S.E. ▪️ infosec.work ▪️ VT

📈 CVE Trends v.2.

• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/

• Дополнительные ресурсы:

➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.

S.E. ▪️ infosec.work ▪️ VT

🌍 GEOINT, Mr.Robot & RAINBOLT.

• Поиск точного местоположения объекта — весьма увлекательный и сложный процесс. Тут важна каждая деталь, абсолютно любая мелочь может стать подсказкой и привести нас к цели, будь то дорожный знак, светофор, рельеф гор, разметка на дороге, вывески, линии электропередач и т.д. Прокачаться в данной теме можно с помощью игры GeoGuessr, о которой я уже неоднократно упоминал в этом канале.

• Так вот, недавно RAINBOLT (лучший в мире игрок в GeoGuessr) опубликовал видео, в котором принял учатие Рами Малек, сыгравший главную роль в сериале Mr.Robot. Кейс, который они вместе разбирали, получился достаточно интересным. Поэтому если интересуетесь GEOINT, то однозначно рекомендую к просмотру:

➡️ https://youtu.be/WQ46WTFsO8I

S.E. ▪️ infosec.work ▪️ VT

👣 Миссия выполнима: MITM-атака на протокол Wiegand.

• Проникновение на объект организации, или физический пентест — очень деликатная тема. О нем редко говорят и еще реже делятся советами и рекомендациями. Однако, в очередной годной статье от ребят из Бастион, была затронута очень интересная тема взлома СКУД.

• Дело в том, что в сердце множества СКУД скрывается протокол, разработанный в 70-х годах прошлого века без шифрования и защиты от перехвата данных. В этой статье авторы рассказывают, как они спаяли крохотную плату, которая наглядно показывает уязвимость Wiegand. Такой имплант легко перехватывает данные из СКУД, копирует карты доступа и эмулирует их, когда это необходимо:

➡ Читать статью [9 min].

S.E. ▪️ infosec.work ▪️ VT

📶 Прямой и обратный прокси: специфические особенности и проблемы безопасности.

• Как думаете, в чем заключается разница между прямым прокси и обратным? Представьте, что вы планируете проверить своё здоровье в многопрофильном медицинском центре, который регулярно посещаете. Но по какой‑то причине вы не желаете напрямую взаимодействовать с персоналом медучреждения. У вас есть личный помощник, который от вашего имени решает подобного рода задачи. По этой же причине медицинский персонал никогда не взаимодействует с вами напрямую, только с вашим помощником. В этом сценарии вас можно ассоциировать с ноутбуком, через который ищет информацию в интернете, а ваш личный помощник — это прокси‑сервер, который действует как посредник между вашей частной сетью, к которой подключён ноутбук, и общедоступным интернетом, куда отправляются ваши запросы. Прокси‑сервер защищает ноутбук, фильтруя трафик и блокируя вредоносные веб‑сайты и скрипты, прежде чем ответ будет перенаправлен обратно. Это аналогия с прямым прокси.

• Теперь давайте проведем аналогию с обратным прокси. Представим, что Ваш личный помощник записал вас на проверку здоровья и вы приходите в клинику в назначенное время. Теперь вместо того, чтобы самостоятельно в огромном здании искать нужный кабинет, вы подходите к стойке регистрации. Администратор вас регистрирует, затем приглашает следовать за ним и приводит в нужный кабинет. В этой ситуации администратор — это тоже прокси, но на этот раз на принимающей запрос стороне. Сидит он в клинике в окружении всевозможных кабинетов (в нашем случае серверов) и управляет пациентами (входящими запросами), распределяя их по нужным врачам, этажам и кабинетам, проверяя загруженность и имея обзор всего внутреннего потока.

• Ну а теперь, когда мы выяснили разницу между прямым и обратным прокси, предлагаю ознакомиться с очень полезным репозиторием, который можно использовать в качестве шпаргалки для специалистов в области #ИБ. Суть - изучить скрытые проблемы безопасности данных технологий и понять их специфические особенности для поиска и эксплуатации слабых мест.

➡Nginx;
➡Apache;
➡Haproxy/Nuster;
➡Varnish;
➡Traefik;
➡Envoy;
➡Caddy;
➡AWS;
➡Cloudflare;
➡Stackpath;
➡Fastly.

• Дополнительно (книги, статьи, презентации, тестовые лаборатории):

➡️ https://github.com/M4dSec/weird_proxies

S.E. ▪️ infosec.work ▪️ VT

📦 Все по песочницам!!!

• Данный материал написан в соавторстве с @mycroftintel

• Если бы у меня был рубль каждый раз, когда мне скидывали подозрительный файл со словами «ну просто открой посмотри, там вроде ничего страшного» — я бы уже давно купил себе костюм с отливом и махнул бы в Ялту. Потому что мы, в отличие от некоторых, файлы просто так не открываем. Мы их сначала в песочницу. Не в ту, где детишки делают куличики, а в ту, где виртуальные машины делают грязную работу с осознанием бренности собственного бытия — типа ANY.RUN.

• ANY.RUN — это как если бы ваш компьютер научился смотреть на .exe-файлы с таким же подозрением, как вы смотрите на рекламу «увеличение DLL без регистрации и смс». Сервис позволяет запускать подозрительные штуки в изолированной среде и в реальном времени наблюдать, как они носятся по системе, лезут в реестр, открывают соединения на 185.244.25.12:4444 и радостно шлют куда подальше ваш фаервол. И всё это — с графиками, логами, API и даже с возможностью нажимать кнопки в запущенной сессии. То есть хочешь — сам кликай по фейковым обновлениям Windows, будто ты обычный пользователь из бухгалтерии.

• А главное — всё красиво. ANY.RUN напоминает, что анализ вредоносного кода может быть не только полезным, но и эстетически приятным. Это как смотреть Discovery Channel, только вместо тигров — трояны, а вместо Николая Дроздова — ты сам, в халате, с кофе и лёгким ощущением превосходства. Особенно приятно, когда очередной лоадер палится с первого тычка и начинает тянуть payload с домена типа secure-update-gov-tech-cdn.best

• Так что, если ты до сих пор открываешь .scr-файлы на основной машине, потому что «у меня антивирус хороший», то знай — ты герой не нашего времени. А вот песочница — наш верный друг, защитник и немой свидетель цифровых преступлений. Пользуйтесь ANY.RUN, берегите нервы и не забывайте: каждый раз, когда вы запускаете файл без проверки, где-то плачет один аналитик.

➡ Дополнительную информацию можно найти в группе @mycroftintel

S.E. ▪️ infosec.work ▪️ VT

🔎 Все знают, где ты находишься. Часть 2.

• Вероятно, что вы уже читали первую часть данной статьи. Если нет, то ознакомьтесь. Материал содержит информацию о том, что более двух тысяч приложений из AppStore и Google Play тайно собирают геолокационные данные пользователей без их согласия. Удивительно (нет).

• Так вот, автор преисполнился и выкатил вторую часть своего "расследования", где повторно проверяет свои наблюдения и пытается оптимизировать процесс анализа трафика приложений. По итогу было написано небольшое руководство и реализован инструмент с отрытым исходным кодом, которое позволяет любому пользователю работать с трафиком мобильных приложений и находить в нём интересное.

➡ Читать статью. Часть 1 [10 min];
➡ Читать статью. Часть 2 [7 min].

➡ Оригинал.

S.E. ▪️ infosec.work ▪️ VT

🐺 От Buhtrap до Watch Wolf.

• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.

• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.

• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.

• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.

➡ Скачать можно отсюда: https://bi.zone/upload/Buhtrap

S.E. ▪️ infosec.work ▪️ VT

👾 Уязвимости online.

• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/

• Дополнительные ресурсы:

➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.

S.E. ▪️ infosec.work ▪️ VT

👾 Первой эпидемии компьютерных вирусов для IBM PC исполнилось 39 лет.

• 39 лет назад два брата из Пакистана создали программу "Brain". Братьев звали Амджатом и Базитом Алви, и саму программу они создали для борьбы с пиратами, которые воровали ПО у их компании. Братья в то время создавали медицинское программное обеспечение, которое использовалось в кардиологических устройствах (отец братьев был врачом). В ПО были указаны данные братьев, включая имена, адрес и телефон. Обратившись к братьям, «пират» мог бы получить лекарство от их защитной программы. По иронии судьбы, программное обеспечение, призванное бороться со злоумышленниками, само стало злом.

• Brain поражал IBM PC, и стал первым вирусом, вышедшим не только за стены кабинета разработчиков, но и попавшим в другие страны, преодолев границы страны, в которой был создан. Распространялось ПО на дискетах и если вы попробовали бы стать пиратом, запустив (нелегально) копию программы братьев, то получили бы такое сообщение:

«Welcome to the Dungeon © 1986 Basie & Amends (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today – Thanks GOODNESS!!! BEWARE OF THE er..VIRUS: this program is catching program follows after these messages….$#@%$@!».

• Поражал вирус загрузочный сектор 5-дюймовых дискет объемом в 350 КБ. После заражения проходило некоторое время, и вирус заполнял все место на дискете, замедляя дисковод. С течением времени дискету становилось невозможно использовать. По словам братьев, программа не удаляла данные.

• Интересно, что этот вирус скрывал сам себя, стараясь маскировать инфицированное пространство на дискете. А если зараженный сектор пытались считать, то ПО подставляло незараженный участок. Вирус не только идентифицировал каждую свою копию, но и подсчитывал количество копий.

• Проблема программы оказалась в том, что она распространялась и по обычным дискетам, без копии медицинского ПО создателей Brain. В 1988 году программа уничтожила записи корреспондента одного из известных изданий, которые тот вел в течение нескольких месяцев.

• Вирус стал весьма известным уже в 1987 году, когда братья стали получать огромное количество звонков от озлобленных пользователей, чьи данные были уничтожены. После того, как вирус стал заражать уже не сотни, а тысячи ПК, братья поменяли телефоны и место работы.

• Сейчас они — владельцы крупнейшего интернет-провайдера в Пакистане. Штаб-квартира компании Brain Net расположена по тому адресу, что и был указан в первой версии вируса.

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Python для сетевых инженеров.

• Python уверенно лидирует в рейтингах популярности языков программирования, и не зря — на этом языке можно решать самые разные задачи и при этом сильно экономить время. Я нашел очень полезную книгу, в которой рассматриваются основы Python с примерами и заданиями построенными на сетевой тематике. Надеюсь, что многим из Вас пригодится данный материал и поможет приступить к изучению этого языка программирования.

• Книгу можно читать в онлайне (по ссылкам ниже), либо скачать в удобном формате:

• Основы Python:
➡Подготовка к работе;
➡Использование Git и GitHub;
➡Начало работы с Python;
➡Типы данных в Python;
➡Создание базовых скриптов;
➡Контроль хода программы;
➡Работа с файлами;
➡Полезные возможности и инструменты.

• Повторное использование кода:
➡Функции;
➡Полезные функции;
➡Модули;
➡Полезные модули;
➡Итераторы, итерируемые объекты и генераторы.

• Регулярные выражения:
➡Синтаксис регулярных выражений;
➡Модуль re.

• Запись и передача данных:
➡Unicode;
➡Работа с файлами в формате CSV, JSON, YAML.

• Работа с сетевым оборудованием:
➡Подключение к оборудованию;
➡Одновременное подключение к нескольким устройствам;
➡Шаблоны конфигураций с Jinja2;
➡Обработка вывода команд TextFSM.

• Основы объектно-ориентированного программирования:
➡Основы ООП;
➡Специальные методы;
➡Наследование.

• Работа с базами данных:
➡Работа с базами данных.

• Дополнительная информация:
➡Модуль argparse;
➡Форматирование строк с оператором %;
➡Соглашение об именах;
➡Подчеркивание в именах;
➡Отличия Python 2.7 и Python 3.6;
➡Проверка заданий с помощью утилиты pyneng;
➡Проверка заданий с помощью pytest;
➡Написание скриптов для автоматизации рабочих процессов;
➡Python для автоматизации работы с сетевым оборудованием;
➡Python без привязки к сетевому оборудованию.

S.E. ▪️ infosec.work ▪️ VT

👩‍💻 Изучаем Linux.

• Добавляем в нашу коллекцию ресурсов для изучения #Linux еще один сервис, который содержит информацию по определенным темам для начинающих. Фишка в том, что материал представлен в виде мини-курсов, которые включают в себя уроки с практическими заданиями. Если приступаете к решению задач, то сервис проверит ваши ответы автоматически. Доступно множество тем для изучения:

➡Командная строка;
➡Работа с текстом;
➡Управление пользователями;
➡Управление процессами;
➡Файловая система;
➡Ядро Linux;
➡Логирование;
➡Сети и многое другое...

➡ https://linuxjourney.com

• Добавляйте в избранное, изучайте, и не забывайте про дополнительный материал.

S.E. ▪️ infosec.work ▪️ VT

🔒 Опасный QR-код: история вектора атаки.

• В мае 2013 года специалисты компании Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Когда Google узнали о данной уязвимости, то её закрыли буквально за несколько недель. К счастью, исправить успели до того, как уязвимость можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.

• В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплойт, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.

• Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов. Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button");, но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI! По итогу, уведомление появлялось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).

• Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Внутри QR был зашит MMI-код для сброса до заводских настроек: *2767*3855#, а также префикс tel: для совершения USSD-запроса.

• Самое опасное здесь то, что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности!

S.E. ▪️ infosec.work ▪️ VT

🔓 Интерактивный курс по веб-уязвимостям.

• Весьма интересный ресурс, который содержит информацию об основных веб-уязвимостях. Особенность данной платформы в том, что каждый из перечисленных методов можно выполнить самостоятельно, следуя подсказкам и примерам. А еще каждый пример является интерактивным, поэтому вам будет легче воспринимать материал и практиковаться. Содержание следующее:

➡SQL Injection;
➡Cross-Site Scripting;
➡Command Execution;
➡Clickjacking;
➡Cross-Site Request Forgery;
➡Directory Traversal;
➡Reflected XSS;
➡DOM-based XSS;
➡File Upload Vulnerabilities;
➡Broken Access Control;
➡Open Redirects;
➡Unencrypted Communication;
➡User Enumeration;
➡Information Leakage;
➡Password Mismanagement;
➡Privilege Escalation;
➡Session Fixation;
➡Weak Session IDs;
➡XML Bombs;
➡XML External Entities;
➡Denial of Service Attacks;
➡Email Spoofing;
➡Malvertising;
➡Lax Security Settings;
➡Toxic Dependencies;
➡Logging and Monitoring;
➡Buffer Overflows;
➡Server-Side Request Forgery;
➡Host Header Poisoning;
➡Insecure Design;
➡Mass Assignment;
➡Prototype Pollution;
➡Regex Injection;
➡Remote Code Execution;
➡Cross-Site Script Inclusion;
➡Downgrade Attacks;
➡DNS Poisoning;
➡SSL Stripping;
➡Subdomain Squatting.

➡ https://www.hacksplaining.com/lessons

S.E. ▪️ infosec.work ▪️ VT

🔓 Взлом зашифрованных архивов rar, zip, 7z.

• Совсем недавно на хабре был опубликован интересный материал, в котором описаны методы и примеры кракинга зашифрованных паролями pdf-файлов и архивов. Статья примитивная, но новичкам должно быть интересно. Материал больше напоминает некий чек-лист, нежели руководство. Приведены примеры работы с инструментами pdfcrack, rarcrack и John the Ripper. Поэтому берите на заметку.

➡ Читать статью [4 min];

• Дополнительно:

➡Знакомство и установка John the Ripper;
➡Утилиты для извлечения хешей;
➡Как запустить взлом паролей в John the Ripper (как указать маски, словари, хеши, форматы, режимы);
➡Практика и примеры использования John the Ripper;
➡Атака на основе правил;
➡Брут-форс нестандартных хешей;
➡Johnny — графический интерфейс для John the Ripper.

• Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности. Всегда думайте головой и не нарушайте закон. Всем добра ❤

S.E. ▪️ infosec.work ▪️ VT