Руткит без Ring 0: как атакующие прячутся прямо у вас под носом
Большинство аналитиков при слове «руткит» смотрят в ядро. А атакующий работает в Ring 3 — и ему этого хватает.
🎯 Userland-руткиты перехватывают вызовы до ядра — на уровне libc или ntdll.dll. Никаких LKM, Secure Boot и риска kernel panic. Просто подмена реальности для всех userland-инструментов.
Переменная
🔍 Слепые пятна:
В разборе — код для Linux и Windows, IAT/EAT hooking, DLL injection и детект каждой техники:
https://codeby.net/threads/userland-rootkit-tekhniki-sokrytiya-ld_preload-dll-injection-iat-eat-hooking-na-praktike.92638/
Большинство аналитиков при слове «руткит» смотрят в ядро. А атакующий работает в Ring 3 — и ему этого хватает.
🎯 Userland-руткиты перехватывают вызовы до ядра — на уровне libc или ntdll.dll. Никаких LKM, Secure Boot и риска kernel panic. Просто подмена реальности для всех userland-инструментов.
Переменная
LD_PRELOAD или запись в /etc/ld.so.preload заставляют каждый динамически слинкованный бинарь загружать вашу библиотеку. Перехватываешь readdir() — и ls, ps, netstat перестают видеть нужные файлы и процессы.🔍 Слепые пятна:
strace, сравнение /proc с сырыми syscall-данными, мониторинг /etc/ld.so.preload.В разборе — код для Linux и Windows, IAT/EAT hooking, DLL injection и детект каждой техники:
https://codeby.net/threads/userland-rootkit-tekhniki-sokrytiya-ld_preload-dll-injection-iat-eat-hooking-na-praktike.92638/
❤8👍3🔥3
NextRce
NextRce - инструмент для эксплуатации уязвимости RSC в Next.js (CVE-2025-55182).
📐 Особенности:
📉 Использует кодировку UTF-16LE для обхода обнаружения WAF, сохраняя при этом целостность полезной нагрузки на стороне сервера.
📉 Практический анализ DOM (поиск window.__next_f) для идентификации уязвимых целей App Router по сравнению с устаревшими сайтами Pages Router.
📉 Встроенный ThreadPoolExecutor позволяет сканировать тысячи доменов одновременно с минимальными затратами ресурсов.
📉 Автоматически извлекает допустимые URL-адреса из смешанных форматов входных данных (например, коды состояния, заголовки или необработанные журналы).
🖱 Выполняет команды и получает вывод непосредственно из дайджеста ответа сервера.
🔎 Технический анализ:
Next.js App Router использует собственный формат сериализации для компонентов React Server Components (RSC). Уязвимость заключается в логике десериализации заголовков Next-Action. Когда специально созданный объект (загрязняющий proto) отправляется на конечную точку серверного действия (например, /adfa), внутренний парсер может быть принудительно принудительно настроен на выполнение произвольного кода Node.js через child_process.
⬇️ Установка:
⛓️💥 Использование:
▶️ Режим обхода WAF (NextRCSWaff.py):
▶️ Сканирование одной цели:
▶️ Сканирование из файла:
#WAF #web #vuln #RCE
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
NextRce - инструмент для эксплуатации уязвимости RSC в Next.js (CVE-2025-55182).
NextRce — это высокопроизводительный многопоточный инструмент безопасности, предназначенный для обнаружения и эксплуатации уязвимости CVE-2025-55182. Он нацелен на реализацию React Server Components (RSC) в архитектуре App Router Next.js. Манипулируя процессом сериализации в Server Actions, NextRce внедряет специально созданную полезную нагрузку для достижения удаленного выполнения кода (RCE) на уязвимых экземплярах. Он оснащен интеллектуальным механизмом обнаружения, который автоматически различает уязвимые архитектуры App Router и безопасные устаревшие Pages Router, обеспечивая эффективность при массовом сканировании.
Next.js App Router использует собственный формат сериализации для компонентов React Server Components (RSC). Уязвимость заключается в логике десериализации заголовков Next-Action. Когда специально созданный объект (загрязняющий proto) отправляется на конечную точку серверного действия (например, /adfa), внутренний парсер может быть принудительно принудительно настроен на выполнение произвольного кода Node.js через child_process.
git clone https://github.com/ynsmroztas/NextRce.git
cd NextRce/
pip install requests
python3 NextRCSWaff.py -u [URL] -c "whoami" --bypass
python3 nextrce.py -u [URL] -c "cat /etc/passwd"
python3 nextrce.py -l [TXT] -c "whoami" -t 100
#WAF #web #vuln #RCE
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍5🔥4
Специалисты из Anthropic анонсировали модель, которая ищет уязвимости нулевого дня.
❗️ Mythos Preview уже обнаружила тысячи уязвимостей высокой степени опасности, в том числе в каждой крупной операционной системе и веб-браузере. Создаваемые ей эксплойты не просто заурядные эксплойты для переполнения стека. Так, например, в одном случае Mythos Preview написала эксплойт для веб-браузера, объединив в цепочку четыре уязвимости и создав сложный JIT-эксплойт для переполнения кучи, который обошел и рендерер, и песочницы ОС
Примеры обнаруженных уязвимостей
➡️ Уязвимость 27-летней давности в OpenBSD — одна из самых защищенных операционных систем в мире, которая используется для работы межсетевых экранов и другой критически важной инфраструктуры. Уязвимость позволяла злоумышленнику удаленно вывести из строя любой компьютер под управлением операционной системы, просто подключившись к нему;
➡️ 16-летняя уязвимость в FFmpeg — программное обеспечение, которое используется во множестве приложений для кодирования и декодирования видео, — в строке кода, которую инструменты автоматического тестирования запускали пять миллионов раз, но так и не выявили проблему;
🔎 Проект Glasswing
Кроме того Anthropic объявила о создании проекта Glasswing — новой инициативе, объединяющей представленные ниже компании для обеспечения безопасности ПО:
⏺️ Amazon Web Services,
⏺️ Anthropic, Apple, Broadcom,
⏺️ Cisco,
⏺️ CrowdStrike,
⏺️ Google,
⏺️ JPMorgan Chase,
⏺️ Linux Foundation,
⏺️ Microsoft,
⏺️ NVIDIA,
⏺️ Palo Alto Networks.
В рамках проекта Glasswing партнеры по запуску будут использовать Mythos Preview для поиска и устранения уязвимостей. Также к модели был предоставлен доступ группе из более чем 40 организаций, которые создают или поддерживают критически важную инфраструктуру программного обеспечения, чтобы они могли использовать эту модель для сканирования и защиты как собственных систем, так и систем с открытым исходным кодом.
#news #AI #vulnerabilities
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Claude Mythos Preview — это не выпущенная на рынок передовая модель общего назначения, которая демонстрирует поразительный факт: модели искусственного интеллекта достигли такого уровня в программировании, что могут превзойти всех, кроме самых опытных специалистов, в поиске и использовании уязвимостей в программном обеспечении.
Примеры обнаруженных уязвимостей
Кроме того Anthropic объявила о создании проекта Glasswing — новой инициативе, объединяющей представленные ниже компании для обеспечения безопасности ПО:
В рамках проекта Glasswing партнеры по запуску будут использовать Mythos Preview для поиска и устранения уязвимостей. Также к модели был предоставлен доступ группе из более чем 40 организаций, которые создают или поддерживают критически важную инфраструктуру программного обеспечения, чтобы они могли использовать эту модель для сканирования и защиты как собственных систем, так и систем с открытым исходным кодом.
#news #AI #vulnerabilities
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2😁2🔥1👀1
Первый хеш — быстрее, чем заваривается кофе
🎯 На каждом внутреннем пентесте сценарий один и тот же: подключился к VLAN, запустил Responder — и NTLMv2-хеш уже в терминале. Без харденинга AD путь до Domain Admin занимает пару часов.
Mandiant фиксирует: 9 из 10 кибератак эксплуатируют Active Directory. Три меры закрывают основные векторы первых часов атаки:
• Отключить LLMNR — пять минут в GPO, один вектор credential harvesting исчезает
• NBT-NS disable — есть грабли со скейлингом через NIC, разбираем правильный путь
• LAPS — без него один крекнутый хеш локального админа открывает всю подсеть через Pass the Hash
Внутри — GPO-пути, ключи реестра,
https://codeby.net/threads/khardening-active-directory-laps-llmnr-i-nbt-ns-tri-mery-protiv-80-vnutrennikh-atak.92656/
🎯 На каждом внутреннем пентесте сценарий один и тот же: подключился к VLAN, запустил Responder — и NTLMv2-хеш уже в терминале. Без харденинга AD путь до Domain Admin занимает пару часов.
Mandiant фиксирует: 9 из 10 кибератак эксплуатируют Active Directory. Три меры закрывают основные векторы первых часов атаки:
• Отключить LLMNR — пять минут в GPO, один вектор credential harvesting исчезает
• NBT-NS disable — есть грабли со скейлингом через NIC, разбираем правильный путь
• LAPS — без него один крекнутый хеш локального админа открывает всю подсеть через Pass the Hash
Внутри — GPO-пути, ключи реестра,
PowerShell-команды верификации и грабли из инфраструктур от 200 до 3000 машин.https://codeby.net/threads/khardening-active-directory-laps-llmnr-i-nbt-ns-tri-mery-protiv-80-vnutrennikh-atak.92656/
🔥5❤3👍2😁1
CrowdStrike поймал мой лоадер за 4 секунды. Не по сигнатуре — по поведению
Три дня на кастомный лоадер: шифрованный шеллкод, indirect syscalls через SysWhispers3, Early Bird APC injection в
🔍 Три вектора против EDR в 2026 году:
• Blinding — EDRSilencer через WFP блокирует телеметрию, но список процессов неполный — нужна доработка
• Blocking — BYOVD или Safe Mode Boot. Требует привилегий ядра, но ransomware-группы уже используют
• Hiding — LOLBins и DLL Side-Loading. По данным CrowdStrike, 82% атак обходятся без вредоносных бинарников
⚡️ Indirect syscalls vs direct: второй оставляет return address вне
Обход EDR — это про понимание цепочки: агент → SIEM → корреляция.
Подробнее: https://codeby.net/threads/red-team-vs-soc-kak-pentester-obkhodit-edr-i-siem-v-real-nykh-proyektakh.92651/
Три дня на кастомный лоадер: шифрованный шеллкод, indirect syscalls через SysWhispers3, Early Bird APC injection в
RuntimeBroker.exe. На стенде — тишина. На продакшене Falcon сработал через четыре секунды. Причина: поведенческий паттерн, а не бинарник.🔍 Три вектора против EDR в 2026 году:
• Blinding — EDRSilencer через WFP блокирует телеметрию, но список процессов неполный — нужна доработка
• Blocking — BYOVD или Safe Mode Boot. Требует привилегий ядра, но ransomware-группы уже используют
• Hiding — LOLBins и DLL Side-Loading. По данным CrowdStrike, 82% атак обходятся без вредоносных бинарников
⚡️ Indirect syscalls vs direct: второй оставляет return address вне
ntdll.dll — Falcon ловит именно это. HookChain показал 88% обхода на 26 EDR, но kernel callbacks продолжают работать.Обход EDR — это про понимание цепочки: агент → SIEM → корреляция.
Подробнее: https://codeby.net/threads/red-team-vs-soc-kak-pentester-obkhodit-edr-i-siem-v-real-nykh-proyektakh.92651/
😁7❤5👍5🔥3👏1
Сколько платят в кибербезопасности в 2025? Реальные цифры от рекрутера
💼 Человек, закрывший 120+ вакансий в ИБ, разложил рынок по полочкам. Спойлер: заголовки про «миллион в месяц» и реальность расходятся сильно.
📊 Медианные зарплаты по Москве:
• Junior / SOC L1 — 80–120 тыс. ₽
• Пентестер middle — 220 тыс. ₽
• CISO — от 500 тыс. ₽
Номинально зарплаты выросли на 31% с 2022 года. Но инфляция за тот же период — 30–35%. Реальный рост покупательной способности? Почти нулевой.
🎯 Рынок сменил логику: вместо трёх джунов компании берут одного senior. Конкуренция за стартовые позиции выросла, «просто пройти курс» уже не работает. Зато на хороших пентестеров — натуральная охота.
Полный разбор с таблицами по специализациям, требованиями работодателей и советами по резюме для junior:
https://codeby.net/threads/zarplata-v-kiberbezopasnosti-2025-real-nyye-tsifry-vostrebovannyye-spetsializatsii-i-rezyume-dlya-junior.92609/
💼 Человек, закрывший 120+ вакансий в ИБ, разложил рынок по полочкам. Спойлер: заголовки про «миллион в месяц» и реальность расходятся сильно.
📊 Медианные зарплаты по Москве:
• Junior / SOC L1 — 80–120 тыс. ₽
• Пентестер middle — 220 тыс. ₽
• CISO — от 500 тыс. ₽
Номинально зарплаты выросли на 31% с 2022 года. Но инфляция за тот же период — 30–35%. Реальный рост покупательной способности? Почти нулевой.
🎯 Рынок сменил логику: вместо трёх джунов компании берут одного senior. Конкуренция за стартовые позиции выросла, «просто пройти курс» уже не работает. Зато на хороших пентестеров — натуральная охота.
Полный разбор с таблицами по специализациям, требованиями работодателей и советами по резюме для junior:
https://codeby.net/threads/zarplata-v-kiberbezopasnosti-2025-real-nyye-tsifry-vostrebovannyye-spetsializatsii-i-rezyume-dlya-junior.92609/
😐11❤3🔥3👍2🥰1
Waymore: Инструмент для извлечения URL и контента из веб-архивов
↗️ Возможности
- Поддержка множества источников (Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, VirusTotal, GhostArchive)
- Два режима работы: получение только URL (U), загрузка только ответов (R) или оба режима (B)
- Гибкая фильтрация (по HTTP-статусам, MIME-типам, ключевым словам и регулярным выражениям)
- Фильтрация результатов по временному диапазону
- Настройка таймаутов, количества попыток и параллельных процессов
- Возобновление прерванных загрузок ответов
- Отправка уведомлений в Discord и Telegram по завершении
⬇️ Установка
Проверка
⏺️ Получение всех URL для домена
⏺️ Полный сбор данных для нового домена (режим В)
⏺️ Мониторинг новых URL с течением времени
⏺️ Поиск конфиденциальных файлов
⏺️ Анализ истории изменений (по месяцам)
⏺️ Быстрая проверка перед глубоким сканированием
⏺️ Конвейерная передача в другие инструменты
#Waymore #OSINT #tool #pentest
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Waymore — утилита с открытым исходным кодом для извлечения URL-адресов и загрузки архивных ответов из нескольких источников: Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, VirusTotal, GhostArchive. Инструмент предназначен для сбора данных о целевом домене, включая ссылки на ресурсы и сохраненные версии веб-страниц, что полезно для анализа поверхности атаки, поиска уязвимостей и OSINT-исследований.
- Поддержка множества источников (Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, VirusTotal, GhostArchive)
- Два режима работы: получение только URL (U), загрузка только ответов (R) или оба режима (B)
- Гибкая фильтрация (по HTTP-статусам, MIME-типам, ключевым словам и регулярным выражениям)
- Фильтрация результатов по временному диапазону
- Настройка таймаутов, количества попыток и параллельных процессов
- Возобновление прерванных загрузок ответов
- Отправка уведомлений в Discord и Telegram по завершении
pipх install waymore
Проверка
waymore -h
waymore -i example.com -mode U
waymore -i target.com -mode B -mc 200 -mt text/html,application/json -l 10000
#первый запуск
waymore -i target.com -mode U -oU urls.txt
#последующие запуски
waymore -i target.com -mode U -oU urls.txt -nlf
waymore -i target.com -ko '\.(env|config|json|xml|sql|log)($|\?)' -mode U
waymore -i target.com -mode R -ci m -mc 200
waymore -i target.com --check-only
waymore -i example.com -mode U | unfurl keys | sort -u
#Waymore #OSINT #tool #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥2