• Доброе утро...🫠

#Понедельник

Почему 80% атак на компании остаются незамеченными в первые часы?

Потому что наличие средств защиты ≠ наличие специалистов, которые умеют видеть и интерпретировать происходящее в инфраструктуре.

Антивирусы, EDR, фаерволы — это инструменты.
Но без SOC-аналитика они не обнаруживают атаки, а лишь фиксируют события.

Именно поэтому сегодня рынок перегрет спросом на blue team специалистов.

По данным рынка:
⏺️ SOC-аналитики уровня Junior зарабатывают от 80 000 – 120 000 ₽
⏺️ Middle — 150 000 – 250 000 ₽
⏺️ Senior — от 300 000 ₽ и выше

И это одна из немногих ролей в ИБ, куда можно зайти без глубокой технической базы,
если есть понимание процессов и практика работы с инцидентами.

Мы запускаем новый курс: «Профессия SOC-аналитик» — погружение с нуля!

❗️ работа с логами и событиями
❗️ анализ и корреляция инцидентов
❗️ разбор атак и сценариев поведения злоумышленников
❗️ формирование мышления blue team

Стартуем 6 апреля!

👉👉👉 Узнать подробнее

• Сканер уязвимостей Trivy, который используют разработчики и DevOps-команды по всему миру, был повторно скомпрометирован в результате атаки на цепочку поставок.

• Группа TeamPCP (DeadCatx3, PCPcat, PersyPCP и ShellForce) "угнала" процесс сборки проекта на GitHub, встроила бэкдор в версию 0.69.4 и принудительно обновила 75 из 76 тегов версий в репозитории trivy-action. Любой рабочий процесс CI/CD, ссылающийся на эти теги, инсталлировал жертвам инфостилер.

• По данным исследователей, зловред прочёсывал CI/CD-пайплайны, машины разработчиков и окружение в поисках GitHub-токенов, облачных учётных данных, SSH-ключей, Kubernetes-токенов и других секретов. Всё найденное стиллер архивировал, шифровал и отправлял на сервер, контролируемый атакующими.

• О проблеме публично сообщил мейнтейнер Trivy Итай Шакури. По его словам, если есть хоть малейшее подозрение, что в пайплайне запускалась скомпрометированная версия, все секреты нужно считать утёкшими и срочно ротировать.

➡️ https://www.bleepingcomputer.com/trivy

#Новости

📚 Effective Shell - неплохой учебник по работе в командной строке Linux. От базовых операций, до мультиплексера, git'а, и vim'а.

➡ Доступно бесплатно на сайте автора: https://effective-shell.com/introduction/

#Книга #Linux

• Доброе утро...🫠

#Юмор

👩‍💻 Kubernetes The Hard Way.

• Год назад делился с вами очень крутым материалом, автор которого потратил огромное кол-во времени и пересобрал сотни кластеров k8s, что помогло реализовать полноценный гайд по ручному развертыванию Kubernetes без использования автоматизированных инструментов, таких как kubeadm.

• Так вот, совсем недавно автор опубликовал новый материал из этой серии. Статья получилась небольшой, но полезной - поможет освежить в памяти хорошо забытое старое и, возможно, узнать что-то новое.

• Напомню, что в первой статье мы собрали control plane вручную: выпустили сертификаты, подготовили конфигурации и запустили управляющие компоненты. API-сервер уже отвечает, но кластер пока остается без рабочих узлов.

• Пока в кластере нет worker-нод, запускать прикладные поды просто негде. Во второй части мы добавим Worker-ноду и разберем весь путь от чистой VM до зарегистрированного узла в Kubernetes.

Kubernetes The Hard Wa. Часть 1:
➡Введение;
➡Почему «The Hard Way»;
➡Архитектура развертывания;
➡Создание инфраструктуры;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Проверка готовности компонентов;
➡Работа с сертификатами;
➡Создание корневых сертификатов;
➡Создание сертификатов приложений;
➡Создание ключа подписи ServiceAccount;
➡Создание всех сертификатов;
➡Создание конфигураций kubeconfig;
➡Создание всех kubeconfig;
➡Проверка блока сертификатов;
➡Создание static pod-ов управляющего контура;
➡Создание всех static pod-ов управляющего контура;
➡Создание static pod-ов ETCD кластера;
➡Запуск службы Kubelet;
➡Проверка состояния кластера;
➡Настройка ролевой модели;
➡Загрузка конфигурации в кластер;
➡Загрузка корневых сертификатов в кластер;
➡Маркировка и ограничение узлов.

Kubernetes The Hard Wa. Часть 2:
➡Инфраструктура;
➡Базовая настройка узлов;
➡Загрузка модулей ядра;
➡Настройка параметров sysctl;
➡Установка компонентов;
➡Настройка компонентов;
➡Аутентификация;
➡Запуск Kubelet;
➡Проверка;
➡Вывод.

#Kubernetes

• Нашел очень крутую книгу, которая распространяется совершенно бесплатно. Это, своего рода, практический курс по Linux (на основе Debian) для тех, кто только начинает путь в IT. Если вы работали только в Windows, никогда не открывали командную строку и не настраивали серверы - вы именно тот, для которого был написан данный материал.

• Вы пройдете путь от первого подключения к серверу по SSH до развёртывания веб-сайта в контейнерах Docker с автоматическим деплоем. Через все главы проходит сквозной проект - настоящий сайт на nginx + PHP-FPM + WordPress, который вы соберёте своими руками: сначала вручную, потом в контейнерах, потом с автоматизацией через CI/CD.

• Курс охватывает три части:

• Часть I.
➡Первое знакомство: что такое Linux, подключение по SSH;
➡Файловая система: навигация, работа с файлами и каталогами;
➡Права доступа и владение файлами;
➡Текстовые редакторы: nano, основы vim;
➡Coreutils и конвейеры: обработка текста;
➡Основы bash-скриптов.

• Часть II.
➡Управление пакетами (apt), репозитории;
➡Пользователи, группы, sudo;
➡Процессы и сервисы (systemd);
➡Сеть: ip, ss, firewall, основы DNS;
➡Установка и настройка nginx + PHP-FPM + WordPress;
➡Логирование и мониторинг.

• Часть III.
➡Git: основы контроля версий;
➡Docker: контейнеризация проекта;
➡Docker Compose: оркестрация в контейнерах;
➡Базовый CI/CD (GitLab CI).

• Учитывайте, что каждая глава опирается на предыдущие, поэтому читайте последовательно.

➡️ Читать онлайн.
➡️ Скачать в формате PDF.

#Linux

🖥 Самый ранний вариант DOS атаки - SYN Flood.

• Рассмотрим эпизод из карьеры знаменитого хакера Кевина Митника, который пытался получить несанкционированный доступ к машине своего давнего оппонента Цутому Симомуры. Для этого он хакнул машинку в лабораторной сети и постарался представиться логин-сервером, с которого был доверенный логин на искомый терминал.

• Проблема в том, что если спуфить подключение, представляясь чужой машиной, нужно как-то вывести настоящую машину из обращения, чтобы она не смогла ничего сказать. Для этого Митник использовал генерацию большого количества SYN-пакетов со взломанной машинки, отправил их с указанием чужого валидного, но не используемого спуфленного IP-адреса из этой локалки.

• Server.login честно принял все пакеты в очередь полуоткрытых соединений, забил очередь до потолка и отослал все SYN-ACK несуществующей машине. Так что, когда Митник успешно спуфил соединение, представляясь логин-сервером, тот не мог ничего сказать терминалу, который слал SYN-ACK пакет, так как логин-сервер был уже плотно занят. В итоге Митник установил TCP-соединение, получил shell, посадил туда бэкдор, закрыл соединение и отправил reset на логин-сервер. Вся атака, если верить логам, длилась 16 секунд.

• Атака Митника - это правильный пример SYN Flood - одного из самых старых, по крайней мере, описанных в летописной истории, вариантов DoS-атаки. Тогда это была ещё не распределённая атака, а Denial of Service с одной машины. Но после этого появился подробный разбор этой ситуации с логами и прочим в mailing-листах: сначала вышла книжка Cимомуры, потом - Митника. Таким образом, люди, которые интересуются интернетом и технологиями, узнали, что так, оказывается, было можно.

Продолжение: ⬇️

👨‍💻 Краткий справочник по «всем-всем» командам Linux.

• Вероятно, что вы уже видели этот "краткий" справочник на хабре. Он был опубликован еще в 2022 году, но постоянно дополнялся автором и актуализировался.

• Так вот, месяц назад автор этого справочника добавил в коллекцию еще 70 новых команд и сделал их краткое описание. Это отличный повод напомнить вам, что тут вы можете найти команды на все случаи жизни - сейчас их более 1330!

➡️ https://habr.com/ru/post/683638

#Linux

📶 IPv6...

• IPv6 больше четверти века обещает избавить интернет от тесноты IPv4-адресов. Его называли будущим сети и грозили цифровым апокалипсисом IPv4… Но на дворе уже 2026 год, а IPv4 всё ещё живее всех живых. Почему за 30 лет мы так и не перешли на IPv6?

• В начале 90-х стало ясно, что 4,3 млрд адресов IPv4 - это очень мало для растущего интернета. Спустя несколько лет инженерная рабочая группа IETF начала разрабатывать новый протокол IPv6, который она представила в качестве долгосрочного решения проблемы ограниченного адресного пространства. Его базовая спецификация - RFC 1883 - была опубликована в декабре 1995 года. А после, в 1998 году, была обновлена до RFC 2460.

• Новый протокол IPv6 получил адреса длиной 128 бит (против 32 бит у IPv4) - то есть примерно 340 ундециллионов адресов. Про дефицит адресов в этом случае можно забыть навсегда.

• Казалось, что светлое будущее у интернета будет только благодаря IPv6. Поэтому в конце 90-х появились первые реализации нового протокола в ОС (в Linux — в 1996 году, в Windows — с 2000 года).

• Многие ожидали, что переход на IPv6 произойдёт чуть ли не в середине нулевых, ещё до наступления спрогнозированного адресного коллапса IPv4. Однако реальность скорректировала планы, потому что инженеры придумали, как оттянуть "конец" IPv4.

• До появления IPv6 индустрия внедрила бесклассовую адресацию (CIDR), переменную длину маски (VLSM) и, главное, NAT (Network Address Translation). Всё это делалось ради того, чтобы IPv4 жил.

• Благодаря NAT десятки устройств смогли скрываться за одним публичным IPv4-адресом, и миру этого хватило на годы вперёд. Появились даже приватные подсети (10.0.0.0/8, 192.168.0.0/16 и др.) для устройств, которые не требуют глобальных адресов (это про умные кофеварки и пылесосы).
"Эликсиры молодости" для IPv4 настолько хорошо сработали, что переход на IPv6 обесценился. Между тем свободные IPv4-адреса формально закончились.

• В 2011 году IANA (координирует распределение уникальных идентификаторов в интернете) выдала последние крупные блоки региональным регистраторам, а к 2020 году исчерпались и региональные пулы. Например, Европа объявила об опустевшем фонде IPv4 осенью 2019 года.
Но интернет не рухнул. Провайдеры ещё раз сжали IPv4-адреса в NAT, и появились CGNAT (Carrier-Grade NAT) на уровне операторов связи.

• Но что с IPv6? Его официально "запускали" несколько раз. World IPv6 Day в июне 2011 года позволил тысячам сайтов целые сутки тестировать работу по IPv6. Годом позже, 6 июня 2012 года, состоялся World IPv6 Launch — провайдеры и компании торжественно объявили о постоянном включении IPv6. Казалось, вот он, переломный момент, но прошёл 2012-й, 2013-й… начался 2026-й, а картина практически не изменилась.

• Главная проблема нового протокола кроется в его дизайне. IPv6 не совместим с IPv4 - это фактически отдельная сеть. Устройство или сайт с IPv6 не сможет напрямую "общаться" с узлом, у которого только IPv4.

• В итоге любая компания, решившая "прикрутить" IPv6, сталкивается с тем, что полностью отключить IPv4 не получится. Приходится поддерживать обе адресации, удваивая часть инфраструктуры.

• Получается довольно мрачная картина. Однако это не значит, что IPv6 он был ошибкой или совсем никому не нужен. Наоборот, IPv6 - это будущее, которое наступает постепенно.

• Большие игроки (Google и Amazon) давно работают по IPv6, им это по силам и выгодно, так как масштабы большие. Мобильные операторы, особенно в Азии и Европе, за последние годы резко подняли долю IPv6, ведь смартфонам не нужен статический IPv4. А новые проекты и стартапы уже стараются закладывать поддержку IPv6 "с нуля".

• Но массового отключения IPv4 в ближайшее время ждать не стоит (особенно в России). Эксперты полагают, что как минимум до конца десятилетия IPv4 будет сосуществовать с IPv6, а возможно, и ещё дольше.

• Пока нам всем приходится жить на двух протоколах сразу, лавируя между старым и новым. Кто знает, может, через десять лет мы оглянемся и удивимся, как долго жили в эпоху IPv4.

#Разное

• 19 марта была осуществлена целенаправленная и эффективная атака на цепочку поставок через Trivy, инструмент для сканирования уязвимостей с открытым исходным кодом, который используют разработчики и DevOps-команды по всему миру. Хакерам из TeamPCP удалось внедрить вредоносное ПО в официальные рабочие процессы GitHub Actions и образы Docker, относящиеся к Trivy.

• В результате каждый автоматизированный скан конвейера запускал вредоносное ПО, осуществляющее кражу ключей SSH, облачных токенов доступа, криптовалютных кошельков и других ценных данных из пораженных систем. Учитывая критический характер инцидента, ему был присвоен идентификатор CVE-2026-33634 с почти максимальным баллом: CVSS4B 9.4.

• В тот же день команда Trivy зафиксировала факт компрометации и удалила вредоносные артефакты из каналов распространения, остановив эту фазу атаки. Но злоумышленники уже получили доступ к средам многих пользователей Trivy.

• 23 марта была обнаружена аналогичная компрометация в другом инструменте безопасности приложений: GitHub Action для Checkmarx KICS, а также Checkmarx AST. Три часа спустя вредоносный код был удален и здесь. Также TeamPCP смогли скомпрометировать расширения Open VSX, поддерживаемые Checkmarx: cx-dev-assist 1.7.0 и ast-results.

• 24 марта был скомпрометирован популярный проект, использующий сканирование кода от Trivy - универсальная библиотека для вызова ИИ-систем LiteLLM (многофункционального шлюза, который используется в множестве ИИ-агентов). Злоумышленники опубликовали в PyPI вредоносные версии LiteLLM - 1.82.7 и 1.82.8. Версия 1.82.8 распространяла малварь через .pth - файл, и вредоносный код выполнялся при каждом запуске Python-интерпретатора. В настоящее время вредоносные версии уже удалены, и последней "чистой" версией является 1.82.6.

• Вредоносные скрипты, которые попали в версии LiteLLM опасны не только тем, что крадут файлы с конфиденциальными данными, но и тем, что охватывают сразу несколько критических элементов инфраструктуры: локальную систему, облачные runtime-секреты, Kubernetes-кластер и даже криптографические ключи. Такой широкий профиль сбора позволяет атакующему быстро перейти от компрометации одной системы и Python-среды к захвату сервисных аккаунтов, секретов и целых инфраструктур.

• Если вам интересна данная тема, то по ссылке ниже можно найти технический анализ и подробный разбор этой атаки.

➡Компрометация репозитория;
➡Технический анализ;
➡OpenVSX-версия зловреда;
➡Жертвы;
➡Заключение.

➡️ https://securelist.ru/litellm-supply-chain-attack

#Security

Можете ли вы прямо сейчас найти:
▪️ Скрытые аккаунты героя вашего расследования?
▪️ Его настоящий адрес, если в декларации указан фейковый?
▪️ Все удаленные твиты за последние 10 лет?

Запись до 30 апреля. Дарим доступ к 50+ заданиям по Osint на hackerlab.pro на 3 месяца!
🔴Присоединиться

Узнайте о новых инструментах для вашей работы:
⚪️ Поиск через авиабилеты/банковские транзакции
⚪️ Анализ геолокаций из фото
⚪️ Работа с базами данных и госреестрами
⚪️ Методы социальной инженерии

✅ Кейс: Как мы раскрыли сеть аферистов через фейковое завещание 🔴читать
🔴 Узнать о курсе

🚀 По всем вопросам @CodebyAcademyBot

• Хорошая книга, хоть и на английском, которая посвящена анализу пакетов в Wireshark - самом популярном в мире сетевом анализаторе.

• Начиная с основ организации сетей и описания протоколов, в этой книге поясняются методики выявления и устранения различных проблем, возникающих в сетях, включая потерю связи, анализ веб-содержимого и пакетов.

➡️ Скачать можно с GitHub.

• В качестве дополнения:

➡Лабораторные работы для получения практического опыта работы с Wireshark;
➡Бесплатный курс: Компьютерные сети 2025;
➡Руководство: Анализ трафика сети посредством Wireshark;
➡Полный список фильтров Wireshark;
➡Статья: Wireshark. Лайфхаки на каждый день;
➡Статья: Практические приёмы работы в Wireshark;
➡Mindmap: Wireshark;
➡Не забывайте по наш репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network

#Wireshark #Сети