BPF Linker: Инструмент статической линковки для современных BPF-программ

BPF Linker (bpf-linker) — специализированное решение для статической линковки объектных файлов BPF-программ, разработанное в рамках экосистемы Aya. Инструмент ориентирован на упрощение сборки современных BPF-приложений при сохранении совместимости с устаревшими, более ограничивающими версиями ядра.

В отличие от традиционных линкеров, bpf-linker оперирует не машинным кодом, а LLVM-биткодом. Это позволяет выполнять оптимизацию на уровне промежуточного представления и генерировать эффективный байт-код для виртуальной машины BPF.
Инструмент принимает на вход:
▶️Файлы биткода (.bc)
LLVM IR (.ll)
▶️Объектные файлы со встроенным биткодом (.o)
▶️Статические библиотеки (.a)
▶️На выходе формируется готовый объектный файл BPF, который может быть загружен в ядро

⬇️Установка

sudo apt install bpf-linker

Проверка

bpf-linker -h

⏺️Оптимизация для устаревших ядер (v1/v2)

bpf-linker --cpu v2 --unroll-loops --ignore-inline-never -o legacy.o *.o

Объектный файл legacy.o, совместимый с ядрами 4.x–5.x. Принудительное встраивание функций и развертка циклов позволяют выполнять сложную логику там, где отсутствует поддержка вызовов функций и циклов.

⏺️Отладка и анализ

bpf-linker --dump-module ./final.ll --log-level debug --log-file ./link.log -o output.o input.o

Команда выполняет линковку входного файла input.o в output.o, сохраняя детальный лог в link.log и финальное LLVM-представление в final.ll. Флаг --log-level debug обеспечивает максимальную детализацию, --dump-module — анализ промежуточного кода. Позволяет диагностировать ошибки линковки, проверять корректность оптимизаций и исследовать генерируемый BPF-код.

⏺️Минимизация размера

bpf-linker -O z --disable-memory-builtins -o minimal.o *.o

Данная команда выполняет линковку всех объектных файлов с агрессивной оптимизацией по размеру (-O z) и отключением экспорта встроенных функций работы с памятью (--disable-memory-builtins). Результирующий файл minimal.o имеет минимально возможный размер. Критически важно для систем с жесткими лимитами на размер загружаемых BPF-программ.

👉Преимущества инструмента
- Полноценная статическая линковка для BPF-модулей
- Поддержка CO-RE через BTF-генерацию
- Обратная совместимость с ограничениями старых ядер

#bpflinker #tool #pentest #LLVM

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Сейчас антифрод — одно из самых устойчивых и растущих направлений в ИБ.
Но у большинства нет понимания:

— какие навыки реально требуются?
— как выглядит работа антифрод-аналитика?
— можно ли перейти в это направление без банковского опыта?

18 февраля мы разберём реальный кейс банковского мошенничества вместе с экспертами Codeby.

На практикуме вы увидите:

— как выявляется компрометация аккаунта
— по каким поведенческим сигналам система отличает клиента от злоумышленника
— как аналитик принимает решение при неполных данных

В конце практикума можно будет записаться на индивидуальный разбор с экспертом — чтобы понять, подходит ли вам это направление и какие шаги дают усиление вашей позиции.

⌛18.02 | 18:00 МСК | Бесплатно
Регистрация: @codebypracticum_bot

🚀Курс "Антифрод-аналитик":
узнать подробнее

Evil-WinRM-PY: Инструмент для удаленного администрирования Windows через WinRM

Evil-WinRM-PY — кроссплатформенная Python-реализация Evil-WinRM для удаленного выполнения команд на узлах Windows через WinRM. Предоставляет интерактивную оболочку с функциями передачи файлов, загрузки скриптов/DLL и выполнения EXE в памяти. Поддерживает NTLM, Pass-the-Hash, сертификаты и Kerberos. Инструмент разработан преимущественно для Linux, является стандартным решением в Kali Linux, устанавливается через pip и включает штатную поддержку Kerberos через пакеты libkrb5-dev.

👉Базовые операции
- Интерактивная командная оболочка с поддержкой истории команд
- Загрузка и выгрузка файлов с индикацией прогресса и проверкой MD5
- Автодополнение локальных и удаленных путей (включая пути с пробелами)

👉Расширенное взаимодействие с PowerShell
- Загрузка функций из локальных PS1-скриптов в сессию
- Выполнение локальных PowerShell-сценариев на удаленном узле
- Загрузка DLL-библиотек в память удаленного процесса PowerShell
- Выполнение EXE-файлов, загружаемых непосредственно в память

⬇️Установка

sudo apt install evil-winrm-py

Проверка

evil-winrm-py -h

Базовое подключение с аутентификацией по паролю

evil-winrm-py -i 192.168.1.100 -u Administrator -p P@ssw0rd



Подключение через SSL с использованием Pass-the-Hash

evil-winrm-py -i dc01.domain.local -u Administrator -H 8843f4f67bcc0c6e6b5c6d7e8f9a0b1c --ssl


Аутентификация с применением сертификатов

evil-winrm-py -i 10.10.10.50 -u user@domain.local --priv-key-pem ./key.pem --cert-pem ./cert.pem

Kerberos-аутентификация с кастомным SPN

evil-winrm-py -i srv02.domain.local -u user@DOMAIN.LOCAL -k --spn-prefix WSMAN --spn-hostname srv02.domain.local

Администрирование серверной инфраструктуры

evil-winrm-py -i srv01.corp.local -u CORP\admin -p P@ssw0rd --ssl

Обеспечивает безопасное удаленное управление серверами Windows с шифрованием трафика. Используется для выполнения регламентных задач, диагностики и мониторинга состояния систем.

Тестирование на проникновение (авторизованное)

evil-winrm-py -i 10.0.0.25 -u Administrator -H 8843f4f67bcc0c6e6b5c6d7e8f9a0b1c

Позволяет проверить устойчивость инфраструктуры к атакам Pass-the-Hash, оценить эффективность политик паролей и корректность конфигурации WinRM

🎇Ограничения и требования
- Необходимость явного разрешения на использование
- Требуется активированный WinRM на целевой системе
- Kerberos-аутентификация требует дополнительной настройки на стороне клиента
- SSL-сертификаты должны быть доверенными или принятыми вручную

#evilwinrmpy #tool #pentest #NTLM #PowerShell #Kerberous

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

17 февраля 2026 года слухи о возможной полной блокировке Telegram в России с 1 апреля 2026 года стали неожиданным продолжением политики регуляторов, которые последние полгода вели планомерную атаку на функционал иностранных мессенджеров.

👉Август 2025: Первые ограничения и «глушилки»
13 августа Роскомнадзор объявил о введении мер по частичному ограничению звонков в Telegram и WhatsApp*. В ведомстве объяснили это тем, что мессенджеры стали основными сервисами, используемыми для вымогательства и вовлечения граждан в террористическую деятельность.

РКН не стал уточнять, что означает термин «частичное ограничение». Однако генеральный директор Telecom Daily Денис Кусков пояснил «Ведомостям», что технически это будет проявляться в виде помех: пользователи столкнутся с «бульканьем, шипением и посторонними шумами» во время разговоров.

Примечательно, что проблемы у пользователей начались еще раньше. 11 августа СМИ, включая Forbes и «Коммерсантъ», зафиксировали массовые жалобы на то, что в мессенджерах не проходят звонки. Источники «Коммерсанта» сообщали, что операторы связи (МТС, «МегаФон», «Билайн» и T2) могли начать тестирование соответствующих блокировок еще 1 августа 2025 года.

В Минцифры положительно оценили решение РКН. В министерстве подчеркнули, что доступ к голосовым вызовам будет восстановлен только в случае выполнения мессенджерами требований российского законодательства.

В Telegram в ответ заявили, что принимают меры для предотвращения вредоносного использования платформы, напомнив, что именно они первыми внедрили детальные настройки конфиденциальности звонков.

Однако парламентариев эти аргументы не убедили. Член комитета Госдумы по информполитике Антон Немкин («Единая Россия») в беседе с РИА Новости привел статистику: доля атакованных мошенниками россиян в WhatsApp* с 2024 года выросла в 3,5 раза.

«Тысячи взломанных аккаунтов, подделка номеров и личностей сотрудников банков, фишинг, кража данных – все это стало неотъемлемой частью WhatsApp*», — заявил депутат.

Первый зампред IT-комитета Госдумы Антон Горелкин в своем Telegram-канале отметил, что единственный путь для восстановления звонков — это «приземление» сервисов (открытие юрлиц в РФ). При этом он указал на сложность кейса WhatsApp*:

«И если у Telegram есть возможность это сделать, то кейс WhatsApp* серьезно осложняется экстремистским статусом его материнской компании Meta», — написал Горелкин.

👉Февраль 2026: Слухи о тотальной блокировке
На фоне уже действующих ограничений звонков 17 февраля 2026 года Telegram-канал Baza сообщил со ссылкой на источники в профильных ведомствах, что Роскомнадзор готовится к новому этапу. По данным канала, с 1 апреля мессенджер могут начать ограничивать по аналогии с Instagram* и Facebook* — то есть тотально. Утверждалось, что приложение перестанет работать как через мобильные сети, так и через проводной интернет.

Роскомнадзор оперативно заявил, что ему «нечего добавить к ранее опубликованной информации». В Госдуме информацию восприняли скептически.

«Вокруг возможной полной блокировки Telegram с 1 апреля сейчас слишком много эмоций и слишком мало официальной конкретики. Сама дата 1 апреля вызывает вопросы — на данный момент не прозвучало ни юридических оснований, ни процессуальных разъяснений»,

—

заявил

РИА Новости депутат Антон Немкин.

Обеспокоенность пользователей понятна: речь идет о крупнейших платформах страны. По данным исследовательской компании Mediascope, на которые ссылаются «Ведомости», доля Telegram в апреле–июне 2025 года достигла 10% всего времени интернет-потребления россиян. Среднемесячный охват Telegram составляет 74% россиян старше 12 лет.

#Telegram #РНК #РИА #news

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Напоминаем, что вы также можете следить за нашими новостями и общаться в нашем сообществе Вконтакте и на YouTube!

🔎 xnLinkFinder

Инструмент, написанный на Python, который используется для поиска конечных точек, потенциальных параметров. При его создании в основу был взят инструмент LinkFinder с использованием регулярных выражений для поиска ссылок, но с дополнительными улучшениями, позволяющими находить еще больше ссылок.

➡️Установка
Можно установить инструмент в стандартную среду Python или в изолированную через pipx.

pip install xnLinkFinder
#or
pipx install git+https://github.com/xnl-h4ck3r/xnLinkFinder.git

В качестве входных параметров инструмент может принимать:
▶️домены / URL-адреса;
▶️файлы доменов / URL-адресов;
▶️имя каталога;
▶️местоположение XML-файла Burp, файла сообщения ZAP ASCII, CSV-файла Caido, файла HAR JSON;
▶️архивные файлы ответов из утилиты waymore (waymore.txt, waymore_index.txt).

Некоторые частые флаги и примеры использования
⏺️-sp (--scope-prefix) - все найденные ссылки, начинающиеся с /, будут дополнены префиксом с указанием доменов области видимости вместо исходной ссылки.
⏺️-sf (--scope-filter) - фильтрует выходные ссылки, включая их только в том случае, если домен находится в указанном диапазоне. Этот аргумент является обязательным, если в качестве входных данных указан домен/URL (или файл с доменами/URL), чтобы предотвратить сканирование сайтов, не входящих в диапазон.
⏺️-d (--depth) - уровень глубины поиска.
⏺️-i (--input) - указание цели (домены / URL-адреса и т.д.).
⏺️-ow (--output-overwrite) - указание файла для сохранения результатов с возможностью перезаписи.

1️⃣Поиск ссылок по определенному запросу.

xnLinkFinder -i target.com -sp target_prefix.txt -sf target_scope.txt -spo -inc -vv -H 'Authorization: Bearer XXXXXXXXXXXXXX' -c 'SessionId=MYSESSIONID' -u desktop mobile -d 10

Файлы cookie и пользовательские заголовки могут использовать, чтобы находить ссылки, доступные только авторизованным пользователям. При указании пользовательского агента (-u desktop mobile) сначала будет выполняться поиск по всем ссылкам с использованием пользовательских агентов для настольных компьютеров, а затем — для мобильных устройств.

2️⃣Поиск ссылок в XML-файле Burp.

xnLinkFinder -i target_burp.xml -o target_burp.txt -sp https://www.target.com -sf target.* -ow -spo -inc -vv

#tools #url #links

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

💻Smugglex - инструмент на языке Rust, направленный на выявление уязвимостей HTTP Request Smuggling (CL.TE, TE.CL, TE.TE, H2C, H2) в веб-приложениях.

❗️HTTP Request Smuggling
При десинхронизации HTTP-запросов используются различия в том, как серверы обрабатывают HTTP-запросы. Если внешний и внутренний серверы по-разному определяют границы запроса, злоумышленники могут незаметно передавать вредоносные запросы.

Уязвимость возникает, когда серверы по-разному интерпретируют заголовки:
➡️Content-Length — длина тела сообщения в байтах
➡️Transfer-Encoding — метод кодирования (например, по частям)

Если присутствуют оба заголовка или они скрыты, серверы могут расходиться во мнениях относительно границ запроса.

Успешная эксплуатация данной уязвимости может привести к обходу WAF, отравлению веб-кэша, перехвату сеанса, а также несанкционированному доступу к ресурсам.

🔗Установка
Установить инструмент можно, собрав его из исходного кода.

git clone https://github.com/hahwul/smugglex
cd smugglex
cargo install --path .

🎇Примеры использования
Распространенные варианты запуска:

# Verbose output
smugglex https://example.com/ -v

# Quick scan (exit on first vulnerability)
smugglex https://example.com/ -1

# Save results to JSON
smugglex https://example.com/ -o results.json

# Test specific attack types
smugglex https://example.com/ -c cl-te,te-cl

Пример вывода при обнаружении уязвимости:


Функция --exploit localhost-access использует обнаруженные уязвимости, связанные с подменой HTTP-запросов, для проверки на наличие атак, подобных SSRF, путем попытки заставить серверную часть получить доступ к локальному хосту (127.0.0.1) через различные порты.

После обнаружения уязвимости можно протестировать распространенные службы локального хоста:

smugglex https://target.com/ --exploit localhost-access

#tools #Smuggling #HTTP

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Notepad++ под атакой. 2 февраля разработчики Notepad++ опубликовали информацию о том, что их инфраструктура была скомпрометирована.

👉Последствия
Злоумышленники могли перехватывать и перенаправлять трафик обновлений, предназначенный для notepad-plus-plus.org. Трафик от определённых целевых пользователей выборочно перенаправлялся на вредоносные манифесты обновлений, контролируемые злоумышленниками.

Стоит отметить, что компрометация произошла на уровне хостинг-провайдера, а не из-за уязвимостей в самом коде Notepad++.

🎇Продолжительность атаки
По данным бывшего хостинг-провайдера, сервер виртуального хостинга был взломан с июня по сентябрь 2025 года. Однако после потери доступа к серверу злоумышленники смогли сохранить учётные данные для доступа к внутренним службам до 2 декабря 2025 года, что позволяло им продолжать перенаправлять трафик обновлений Notepad++ на вредоносные серверы.

🔎Цепочка заражения
Примечательно, что злоумышленники постоянно меняли адреса C2-серверов, а также использовали различные цепочки заражения. Ниже представлена одна из них.

1️⃣Загружается вредоносный файл update.exe, который запускался легитимным процессом обновления Notepad++, GUP.exe. При запуске он отправляет злоумышленникам сигнал, содержащий системную информацию.
2️⃣После отправки системной информации файл update.exe выполняет вредоносную нагрузку второго этапа. Для этого он размещает следующие файлы в каталоге %appdata%\ProShow:
ProShow.exe, defscr, if.dnt, proshow.crs, proshow.phd, proshow_e.bmp, load.
3️⃣Выполняется загруженный файл ProShow.exe. Шелл-код внутри файла расшифровывает вредоносную нагрузку: загрузчик Metasploit, который загружает Cobalt Strike Beacon и запускает его.

Снижение рисков
⏺️Веб-сайт Notepad++ был перенесён на нового более безопасного хостинг-провайдера.
⏺️В версии 8.8.9 была улучшена функция WinGup, которая теперь проверяет как сертификат, так и подпись загружаемого установщика.
⏺️XML-файл, возвращаемый сервером обновлений, теперь подписан (XMLDSig), а проверка сертификата и подписи будет обязательной начиная с версии 8.9.2, которая ожидается примерно через месяц.

#news #hackers #notepad++

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🔗Возникали ли у вас когда-либо вопросы на каких ресурсах можно безопасно тестировать различные инструменты, предназначенные для поиска уязвимостей в веб-приложениях?

В этой статье познакомимся с некоторыми известными и опенсорсными веб-приложениями, которые специально содержат уязвимостями и предназначены для обучения специалистов и тестирования инструментов безопасности.

➡️OWASP Juice Shop
Уязвимое веб-приложение от компании OWASP, реализованное на JavaScript и TypeScript. Juice Shop содержит более 100 различных уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг (XSS), межсайтовый скриптинг с использованием CSRF (Cross-Site Scripting), переполнение буфера и многое другое.

➡️Установка

docker pull bkimminich/juice-shop
docker run --rm -p 127.0.0.1:3000:3000 bkimminich/juice-shop

Далее приложение будет доступно по адресу http://localhost:3000. Рекомендуемые системные требования: 384 МБ ОЗУ, 800 МБ свободного места на диске.

➡️DVWA (Damn Vulnerable Web Application)
Веб-приложение на PHP/MariaDB, намеренно разработанное как уязвимое.

Цель DVWA — отработать некоторые из наиболее распространенных уязвимостей в веб-приложениях с разным уровнем сложности и простым и понятным интерфейсом. В этом программном обеспечении есть как задокументированные, так и незадокументированные уязвимости.

➡️Установка

git clone https://github.com/digininja/DVWA.git
cd DVWA
docker compose up -d

Далее приложение будет доступно по адресу http://localhost:4280.

➡️OWASP WebGoat
Еще одно намеренно небезопасное веб-приложение от OWASP для тестирования уязвимостей, часто встречающиеся в приложениях на Java.

➡️Установка

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Для некоторых уроков требуется, чтобы контейнер работал в том же часовом поясе. Это решается с помощью переменной среды TZ:

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=America/Boise webgoat/webgoat

Далее приложение будет доступно по адресу http://www.webgoat.local:8080/WebGoat/.

❗️ Стоит отметить, что во время работы описанных веб-приложений ваш компьютер становится крайне уязвим для атак. Поэтому во время использования программ рекомендуется ограничить доступ к интернету.

#tools #web #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🌐Виды мошенничества в интернете: как обезопасить себя?

Поговорим о мошенничестве в интернете. Согласно статистике Банка России, 34% россиян сталкивались с кибермошенничеством, а 9% из них реально лишились денег.

В статье разбираем основные схемы обмана: от взломов аккаунтов друзей и фейковых вакансий до дипфейков и мошенничества в Telegram.Разбираем, как работают социальная инженерия, скам при онлайн-знакомствах и новые виды фишинга.

Даём практические рекомендации, которые помогут вовремя распознать угрозу и защитить ваши данные.

➡️Читайте подробнее — в нашей статье.

#кибермошенничество #фишинг #правилабезопасности

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером