Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит
В этой статье бы хотел привести начальные методы и техники выявления вредоносного кода в файлах и в каких условиях стоит обследовать малварь.
Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это:
- Изолировать потенциально заражений ПК от других сетей
- Сделать дам оперативной памяти
- Снять образ диска
Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать на кодебай: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research
В этой статье бы хотел привести начальные методы и техники выявления вредоносного кода в файлах и в каких условиях стоит обследовать малварь.
Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это:
- Изолировать потенциально заражений ПК от других сетей
- Сделать дам оперативной памяти
- Снять образ диска
Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать на кодебай: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research
Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит
В этой статье бы хотел привести начальные методы и техники выявления вредоносного кода в файлах и в каких условиях стоит обследовать малварь.
Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это:
- Изолировать потенциально заражений ПК от других сетей
- Сделать дам оперативной памяти
- Снять образ диска
Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать на кодебай: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
В этой статье бы хотел привести начальные методы и техники выявления вредоносного кода в файлах и в каких условиях стоит обследовать малварь.
Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это:
- Изолировать потенциально заражений ПК от других сетей
- Сделать дам оперативной памяти
- Снять образ диска
Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать на кодебай: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research
————————————————
Фриланс Кодебай — сервис поиска удаленной работы и размещения заказов
👍1
Современные web-уязвимости (3.Username Enumeration – SSN)
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
Современные web-уязвимости (2.Host Header Injection)
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
Как обнаружить присутствие вредоносного кода в файле, если антивирус молчит
В статье описаны начальные методы и техники выявления вредоносного кода в файлах, и в каких условиях стоит обследовать малварь. Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это: изолировать потенциально зараженный ПК от других сетей, сделать дамп оперативной памяти, снять образ диска. Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research #analysis
В статье описаны начальные методы и техники выявления вредоносного кода в файлах, и в каких условиях стоит обследовать малварь. Первым делом что нам предстоит сделать, во избежание заражения инфраструктуры малварью это: изолировать потенциально зараженный ПК от других сетей, сделать дамп оперативной памяти, снять образ диска. Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Читать: https://codeby.net/threads/kak-obnaruzhit-prisutstvie-vredonosnogo-koda-v-fajle-esli-antivirus-molchit.70601/
#malware #research #analysis
👍1
Взломанные npm-пакеты распространяют вредоносное ПО
⏺️ Специалисты Sonatype Security Research обнаружили два скомпрометированных npm-пакета в экосистеме React Native, которые вместе набирают свыше 30 000 загрузок еженедельно и были изменены для доставки многоэтапного вредоносного ПО.
🧠 Исследователи StepSecure первыми зафиксировали этот случай, выявили вредоносные версии и сообщили создателю пакетов, который сразу же отказался от их поддержки. Анализ C2-инфраструктуры показал совпадение IP-адресов с теми, что ранее ассоциировались с кампанией Glassworm.
🕸 В рамках регулярного сканирования open source экосистем Sonatype наткнулась на вредоносные обновления этих двух React Native пакетов. Пакеты впоследствии удалили из npm, но из-за их широкой популярности в сообществе возникает беспокойство за безопасность dev-сред и CI/CD-пайплайнов.
Процесс извлечения полезной нагрузки осуществляется следующим образом:
1️⃣ Скрипт создает файл с именем init.json в домашнем каталоге пользователя, чтобы предотвратить его повторное выполнение в течение примерно двух дней.
2️⃣ Скрипт опрашивает RPC-терминалы Solana каждые 10 секунд на предмет транзакций, связанных с конкретным адресом кошелька.
3️⃣ При обнаружении транзакции, содержащей поле типа "memo", скрипт рассматривает это поле как контейнер команд.
4️⃣ Числовой префикс удаляется, а оставшееся содержимое анализируется как конфигурационные данные в формате JSON.
5️⃣ JSON-файл содержит закодированный в base64 URL-адрес, указывающий на полезную нагрузку второго этапа.
6️⃣ Скрипт декодирует URL-адрес и загружает полезную нагрузку, отправляя при этом операционную систему хоста в составе запроса.
7️⃣ Заголовки ответа содержат дополнительные параметры, такие как ivbase64 и secretkey .
8️⃣ Полезная нагрузка декодируется в формате base64 и выполняется непосредственно в памяти с помощью eval или виртуальной машины Node.js в изолированной среде на системах, отличных от macOS.
➡️ Встречали подобную атаку ранее?
#npm #malware #react #research
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Процесс извлечения полезной нагрузки осуществляется следующим образом:
#npm #malware #react #research
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤5🔥5🤯2
GitHub в опасности!
🧿 Исследователи обнаружили критическую уязвимость в GitHub.com и GitHub Enterprise Server, позволяющую аутентифицированному пользователю выполнить удалённый код (RCE) с помощью команды git push
🎯 Уязвимость CVE-2026-3854 (CVSS 8.7) — это инъекция команд через опции git push, которые не нормализовались перед включением в внутренний заголовок X-Stat. Разделитель (точка с запятой) из пользовательского ввода позволял получить дополнительные метаданные, обходя sandbox и хуки.
❗️ Компания Wiz, занимающаяся облачной безопасностью, принадлежащая Google, обнаружила проблему и сообщила о ней 4 марта 2026 года, после чего GitHub проверил и внедрил исправление на GitHub.com в течение двух часов.
Уязвимость также была устранена в версиях GitHub Enterprise Server 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0, или более поздних. Нет никаких свидетельств того, что проблема когда-либо использовалась злоумышленниками, но исключать её из внимания не стоит.
⬇️ При выполнении команды git push пользовательские значения опций push не подвергались должной очистке перед передачей во внутренние сервисные заголовки. Формат этих заголовков опирался на разделитель, который мог встречаться в обычном вводе пользователя, позволяя атакующему через специально подготовленные опции внедрять произвольные поля метаданных. Проблему выявили и сообщили через программу GitHub Bug Bounty
🧠 По данным GitHub, проблема затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с функцией Data Residency, GitHub Enterprise Cloud с функцией Enterprise Managed Users и GitHub Enterprise Server.
🕸 Несмотря на быстрое исправление уязвимости, будьте внимательны и обращайте на каждую деталь в инфраструктуре!
#github #cve #research
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Уязвимость также была устранена в версиях GitHub Enterprise Server 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0, или более поздних. Нет никаких свидетельств того, что проблема когда-либо использовалась злоумышленниками, но исключать её из внимания не стоит.
#github #cve #research
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍4🔥2😁2👀2