⏺️10 ноября 1983 года (рождение вируса)
Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.

⏺️Как был устроен первый вирус
Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип.

Принцип был элегантен:
▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений
▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки
▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов

Результаты пяти экспериментов оказались шокирующими даже для самого Коэна:
▶️минимальное время получения полного контроля над системой — менее 5 минут
▶️среднее время — менее 30 минут
▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится

«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало.

⏺️«Если бы мы знали…»
После демонстрации к Коэну подошёл представитель АНБ США:

«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу.

⏺️Двойная жизнь: подозреваемый и ценный кадр
Власти инициировали наблюдение за Коэном:
▶️задержания на границе
▶️отслеживание передвижений
▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним)

Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры.

⏺️1984
В научной работе того года Коэн сформулировал два фундаментальных тезиса:
▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует
▶️Универсальный антивирус невозможен в принципе

«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.

⏺️1988. Первая массовая атака (червь Морриса)
Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.

«Я просто хотел показать уязвимости», — утверждал он.

Результаты:
▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета
▶️многократное самовоспроизведение червя приводило к полной остановке систем
▶️первая зафиксированная DDoS-атака в истории
Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление.

⏺️Главная уязвимость — человек
На основе анализа инцидента Коэн сформулировал ключевой тезис:

«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак.

⏺️Последующие атаки подтвердили правоту Коэна:
▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов
▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг
▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов

#ФредКоэн #Моррис #virus #DDoS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Plaso

☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях.

🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами

Основные свойства:
➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты.
➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение).
➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования.
➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy.
➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM).
➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang.

⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso  
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

«Кто это сделал?»
— фраза, с которой в командах начинается половина расследований.

Ответ на такой вопрос даёт сервис аудитных логов.
Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях.

В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.

🔎pretender

Инструмент, предназначенный для MitM-атак, таких как захват DNS через DHCPv6, а также подмена mDNS, LLMNR и NetBIOS-NS. Ранее для перехвата DNS-запросов DHCPv6 использовался инструмент mitm6, а для подмены локальных имен Responder. Однако pretender во многом отличается от этих проектов, предоставляя специалистам дополнительные возможности.

🎯Отличия инструмента
➡️позволяет шаг за шагом отображать этапы цепочки атак вместе с соответствующими инструментами, что упрощает составление отчётов и демонстрацию в реальном времени;

➡️можно скомпилировать для различных архитектур и операционных систем (Linux, Windows, macOS и др.);

➡️не требует специальных привилегий в Windows, если необходимые порты не используются другим процессом и не заблокированы брандмауэром;

➡️возможность изменения значений флагов конфигурации командной строки во время компиляции для создания предварительно сконфигурированного двоичного файла под особые случаи использования.

⬇️Установка

git clone https://github.com/RedTeamPentesting/pretender.git
cd pretender
go build

⛓️‍💥Использование
1️⃣Чтобы оценить ситуацию в локальной сети, pretender можно запустить в --dry режиме, в котором он регистрирует только входящие запросы и не отвечает на них.

pretender -i eth0 --dry
pretender -i eth0 --dry --no-ra # без router advertisements (RA)

2️⃣Чтобы подменить локальное разрешение имен с помощью mDNS, LLMNR и NetBIOS-NS, а также перехватить управление DNS по протоколу DHCPv6 с помощью объявлений маршрутизатора, просто запустите pretender следующим образом:

pretender -i eth0

Также можно отключить некоторые атаки с помощью --no-dhcp-dns (отключение DHCPv6, DNS), --no-lnr, --no-mdns, --no-llmnr, --no-netbios (отключение mDNS, LLMNR и NetBIOS-NS).

3️⃣Pretender можно настроить так, чтобы он отвечал только на запросы для определенных доменов (или для всех кроме определенных доменов) и выполнял спуфинг-атаки только для определенных хостов (или для всех кроме определенных хостов). При обращении к хостам по имени хоста используется разрешение имени хоста, на котором запущен pretender.

pretender -i eth0 --spoof "example.com" --dont-spoof-for "10.0.0.3,host1.corp,fe80::f" --ignore-nofqdn

#mitm #tools #AD #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Cadaver: Клиент командной строки для работы с WebDAV

Cadaver — это консольный клиент для работы с протоколом WebDAV (Web-based Distributed Authoring and Versioning), который предоставляет управлять файлами на удаленных серверах через командную строку.

▶️Передача файлов в обоих направлениях между клиентом и сервером
▶️Просмотр содержимого директорий на удаленном сервере (аналогично команде ls)
▶️Создание, удаление, копирование и перемещение коллекций и файлов
▶️Просмотр и изменение пользовательских свойств для WebDAV-ресурсов
▶️Предотвращение конфликтов при одновременном редактировании
▶️Возможность редактирования файлов удаленно с использованием стандартных редакторов

⬇️Установка

sudo apt install cadaver

Проверка

cadaver -h

⏺️Подключение с использованием прокси

cadaver -p proxy.example.com:8080 https://webdav.example.com/

⏺️Автоматизация через файл сценария
- Создадим файл script.cmd

cd /backups/
put backup.tar.gz
quit

- Запуск с использованием файла сценария

cadaver -r script.cmd https://webdav.example.com/

⏺️Получение файлов без интерактивного режима (через pipe)

echo "get report.pdf\nquit" | cadaver https://webdav.example.com/

🧠Рекомендации
- Предпочтительно использовать защищенное соединение через HTTPS для предотвращения перехвата учетных данных
- При необходимости хранения учетных данных используйте защищенные механизмы хранения или переменные окружения
- При работе в корпоративной сети может потребоваться настройка прокси-сервера через опцию -p или переменные окружения http_proxy / https_proxy

#cadaver #webdav #cli #pentest #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Sigma Rule Converter

🎇 Sigma Rule Converter — это инструмент для преобразования универсальных правил детекции Sigma (в формате YAML) в синтаксис конкретных SIEM-систем или платформ мониторинга, таких как Splunk, Elastic, QRadar

☁️ Он позволяет писать правило один раз в стандартизированном виде Sigma, а затем конвертировать его под нужную среду — от простых запросов до сложных корреляций логов, экономя время SOC L3.

Ключевые возможности:
➡️ Поддержка форматов: Более 50 бэкендов — Splunk SPL, Elasticsearch DSL/QQL, QRadar AQL, ArcSight EPL, KQL (для KUMA, Defender), Sysmon, Timesketch и даже JSON/CSV для ручной доработки.
➡️ Валидация и обработка: Проверяет синтаксис правила, обрабатывает множественные документы YAML (rule collections), AND/OR-логику через списки/словари, модификаторы (all, base64offset) и исключения.
➡️ Опции конвертации: Флаги для трансформаций (e.g., --target для бэкенда, --config для маппинга полей, --flatten-xpath для XML), генерация action-документов для глобальных настроек.

🔑 Структура:
Конвертер парсит разделы Sigma: title/id/status (метаданные), detection (selection + condition), fields/logsource (фильтры). Затем генерирует запрос, адаптируя под бэкенд — например, поле EventID в Windows Event Logs → event_id в ELK. Поддерживает теги (attack.tactic) для MITRE ATT&CK и уровни (low/medium/high).

🧿 А как вы используете Sigma правила?

#sigma #converter #soc #rule

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🧠 Cisco Model Provenance Kit: “ДНК-анализ” для AI-моделей

Недавно команда AI Defense из Cisco представила Model Provenance Kit — open-source инструмент для анализа происхождения ML-моделей.
Проект помогает ответить на важный вопрос: действительно ли модель была обучена “с нуля”, или она является производной от другой модели?

❓ Что такое Model Provenance
Model provenance — это установление происхождения модели на уровне ее обученных весов.
Проще говоря, инструмент позволяет определить:
⏺️ была ли модель fine-tuned версией другой модели
⏺️ использовался ли distillation
⏺️ является ли checkpoint переименованной копией
⏺️ происходят ли две модели из общего базового источника

Cisco сравнивает этот процесс с ДНК-анализом моделей.

🎇 Как работает инструмент
Model Provenance Kit использует двухэтапный анализ.

1️⃣ Быстрая архитектурная проверка
На первом этапе анализируются:
▶️ конфигурация модели
▶️ структура слоев
▶️ tokenizer
▶️ metadata

Если архитектура явно совпадает — система может сделать вывод без загрузки весов.

2️⃣ Анализ весов модели
Если метаданных недостаточно, запускается глубокий анализ весов:
▶️ embedding geometry;
▶️ normalization layers;
▶️ energy profiles;
▶️ прямое сравнение параметров;
▶️ корреляционные сигналы.

На основе этих признаков рассчитывается итоговый similarity score.

⬇️ Установка

git clone https://github.com/cisco-ai-defense/model-provenance-kit.git
cd model-provenance-kit
uv sync

Для работы достаточно CPU — GPU не требуется. Cisco отмечает, что архитектурные проверки выполняются за миллисекунды, а извлеченные признаки кешируются для повторного использования.

🎯 Пример использования

🧿 Сканирование модели по базе известных fingerprints

provenancekit scan bigscience/bloom-560m

Инструмент:
⏺️извлекает fingerprint модели;
⏺️запускает 3-stage lookup;
⏺️возвращает наиболее вероятные совпадения.

🪧 Сравнение двух моделей

provenancekit compare gpt2 distilgpt2

Результат включает:
➡️ metadata score;
➡️ tokenizer similarity;
➡️ weight-level similarity;
➡️ итоговый pipeline score.

#ai #llm #mlsecurity #cisco #supplychain #opensource

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Друзья, напоминаем, на каких курсах начинается обучение в июне🚗

Старт 1 июня:
⏺️Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь.

Старт 8 июня:
⏺️Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин
⏺️Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.

Старт 15 июня:
⏺️Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
⏺️Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.

➡️Запишитесь у нашего менеджера @CodebyAcademyBot 🚀или узнайте подробности на сайте!

📜Четыре панели. Ни одного слова. Это одна атака. Как она называется?

Делитесь своими догадками в комментариях!💫

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Капсула времени

Приятного хакинга!