• Очень содержательная и актуальная статья по эксплуатации протокола NTLM в 2025 году. В этой статье рассматриваются NTLM Relay, пересылка учетных данных и другие способы эксплуатации уязвимостей в NTLM, а также атаки на NTLM, выявленные в этом году. Содержание следующее:
• Как работает NTLM-аутентификация;
• NTLM: стар, но все еще жив;
• Постоянные угрозы для сред с NTLM-аутентификацией:
• Эксплуатация NTLM в 2025 году:
• Методы защиты и рекомендации.
#AD #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
14🔥22👍7❤4😁2
This media is not supported in your browser
VIEW IN TELEGRAM
• Очень полезная тулза для ситуаций, когда не хочется запоминать длинные команды - просто записываете их, дополняете (при необходимости) определенными параметрами, а когда нужно, то просто находите нужную команду и выполняете. Демонстрация выше. Подробное описание есть на github:
#Tools #CLI
Please open Telegram to view this post
VIEW IN TELEGRAM
4🔥27👍7⚡3❤1
🩼 "Временные" костыли...
• Нет ничего более постоянного, чем временное решение. Любой ИТ специалист хоть раз лепил костыль на скорую руку - потом перепишем, потом сделаем нормально. Но "потом" обычно не наступает, и в итоге времянка живёт в продакшене годами, переживает релизы и смену команд, а иногда становится частью продукта.
• В 90-е многие приложения определяли версию ОС предельно примитивно: например, искали в строке "9" и считали, что перед ними Windows 95 или 98. Соответственно, если бы Microsoft выпустила "Windows 9", такие программы легко приняли бы её за Windows 95/98, и последствия предсказать было бы сложно.
• Microsoft всегда трепетно относилась к обратной совместимости, поэтому версия про "костыльный" код звучала правдоподобно. Официально в компании объясняли пропуск "девятки" маркетингом и желанием подчеркнуть разрыв поколений. Но факты подтверждали миф: в открытых репозиториях реально находили куски кода на Java, где проверка шла именно по названию ОС, а не по номеру версии. То есть такие костыли действительно существовали. Ирония в том, что из-за них у нас нет Windows 9, а "десятка" стала новой точкой отсчёта для всей планеты.
• Другой из классических примеров "вечного костыля" - история с високосным 1900 годом в Microsoft Excel. Если ввести в таблицу дату 29 февраля 1900-го, программа примет её как корректную, хотя в календаре такого дня никогда не существовало (если что, 1900-й год не был високосным).
• И это не случайный баг, а вполне осознанное решение разработчиков. Дело в совместимости с легендарным табличным процессором Lotus 1-2-3. Когда-то его создатели решили считать 1900-й високосным, чтобы не усложнять расчёт дат. Microsoft, создавая Excel, пошла на хитрость - скопировала логику Lotus вместе с ошибками. Так Excel стал считать 1900 год високосным, чтобы пользователи без проблем импортировали таблицы из Lotus, даже если даты там изначально были неправильными.
• Разумеется, со временем костыль обернулся проблемами. Формально в Excel появилось смещение. Microsoft знает об этом и прямо говорит, что исправлять баг слишком дорого. Любая попытка "починить" приведёт к тому, что миллионы старых файлов окажутся сдвинутыми на один день, формулы перестанут работать, а совместимость разрушится.
• В итоге компания оставила всё как есть. Пострадала только одна функция - вычисление дня недели для дат до 1 марта 1900 года. Но такие экзотические значения почти никто не использует, поэтому аномалия живёт по сей день, а фантомный 29 февраля 1900-го превратился в мем. Такие вот костыли...
#Разное
• Нет ничего более постоянного, чем временное решение. Любой ИТ специалист хоть раз лепил костыль на скорую руку - потом перепишем, потом сделаем нормально. Но "потом" обычно не наступает, и в итоге времянка живёт в продакшене годами, переживает релизы и смену команд, а иногда становится частью продукта.
• В 90-е многие приложения определяли версию ОС предельно примитивно: например, искали в строке "9" и считали, что перед ними Windows 95 или 98. Соответственно, если бы Microsoft выпустила "Windows 9", такие программы легко приняли бы её за Windows 95/98, и последствия предсказать было бы сложно.
• Microsoft всегда трепетно относилась к обратной совместимости, поэтому версия про "костыльный" код звучала правдоподобно. Официально в компании объясняли пропуск "девятки" маркетингом и желанием подчеркнуть разрыв поколений. Но факты подтверждали миф: в открытых репозиториях реально находили куски кода на Java, где проверка шла именно по названию ОС, а не по номеру версии. То есть такие костыли действительно существовали. Ирония в том, что из-за них у нас нет Windows 9, а "десятка" стала новой точкой отсчёта для всей планеты.
• Другой из классических примеров "вечного костыля" - история с високосным 1900 годом в Microsoft Excel. Если ввести в таблицу дату 29 февраля 1900-го, программа примет её как корректную, хотя в календаре такого дня никогда не существовало (если что, 1900-й год не был високосным).
• И это не случайный баг, а вполне осознанное решение разработчиков. Дело в совместимости с легендарным табличным процессором Lotus 1-2-3. Когда-то его создатели решили считать 1900-й високосным, чтобы не усложнять расчёт дат. Microsoft, создавая Excel, пошла на хитрость - скопировала логику Lotus вместе с ошибками. Так Excel стал считать 1900 год високосным, чтобы пользователи без проблем импортировали таблицы из Lotus, даже если даты там изначально были неправильными.
• Разумеется, со временем костыль обернулся проблемами. Формально в Excel появилось смещение. Microsoft знает об этом и прямо говорит, что исправлять баг слишком дорого. Любая попытка "починить" приведёт к тому, что миллионы старых файлов окажутся сдвинутыми на один день, формулы перестанут работать, а совместимость разрушится.
• В итоге компания оставила всё как есть. Пострадала только одна функция - вычисление дня недели для дат до 1 марта 1900 года. Но такие экзотические значения почти никто не использует, поэтому аномалия живёт по сей день, а фантомный 29 февраля 1900-го превратился в мем. Такие вот костыли...
#Разное
5👍48🔥18❤12😁7
infosec
• Сегодня в продаже появилась новая книга "Windows глазами хакера", которая охватывает множество тем, включая пентест Active Directory, обход современных средств защиты, эксплуатацию уязвимостей в сетях Windows и многое другое. • По нашей хорошей традиции…
1. Ambassador (@Corney_forever)
2. Андриана (@AndrianaPS)
3. Александр (@Aleksandr_Bed)
4. . (@fio_22)
5. Владислав (@CPUvsRAM)
Please open Telegram to view this post
VIEW IN TELEGRAM
👏32
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤🔥102🔥41
• Ну что, сегодня тридцать седьмой по счету Международный день информационной безопасности. История этого праздника началась в далеком 1988 году, когда червь Морриса заразил 6 тыс. компьютеров (на тот момент это составляло около 10% всей сети). Это была первая успешная массовая кибератака, которая выявила главную проблему - люди используют простые пароли. Стало ясно, что уровень осведомленности по вопросам ИБ нужно поднимать. Потому и был предложен новый международный праздник по теме информационной безопасности! С праздником!
#ИБ #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
52🎉96🔥21❤12👍5🫡1
• Очередное исследование, в рамках которого было найдено более 17 тыс. секретов (API ключей, токенов, паролей и т.д.) в GitLab репозиториях. Люк Маршал просканировал 5,6 млн. публичных репозиториев GitLab Cloud с помощью опенсорс-утилиты TruffleHog и выявил 17430 секретов в более чем 2800 доменах.
• Плотность секретов в GitLab оказалась на 35% выше, чем в Bitbucket, который Люк исследовал ранее (6212 секретов в 2,6 миллиона репозиториев). Большинство утечек новее 2018 года, но есть и старые — с 2009 года. Лидерами стали учётные данные Google Cloud Platform (более 5200), за ними следуют ключи MongoDB, токены Telegram-ботов и OpenAI.
• В рамках ответственного раскрытия Маршалл автоматизировал уведомления владельцам доменов с помощью Claude Sonnet 3.7 и Python-скриптов. Поиск секретов принёс ему $900 вознаграждения. Отмечается, что многие организации отозвали конфиденциальные данные, но часть по-прежнему доступна.
➡️ Источник.
#Новости #Исследование
• Плотность секретов в GitLab оказалась на 35% выше, чем в Bitbucket, который Люк исследовал ранее (6212 секретов в 2,6 миллиона репозиториев). Большинство утечек новее 2018 года, но есть и старые — с 2009 года. Лидерами стали учётные данные Google Cloud Platform (более 5200), за ними следуют ключи MongoDB, токены Telegram-ботов и OpenAI.
• В рамках ответственного раскрытия Маршалл автоматизировал уведомления владельцам доменов с помощью Claude Sonnet 3.7 и Python-скриптов. Поиск секретов принёс ему $900 вознаграждения. Отмечается, что многие организации отозвали конфиденциальные данные, но часть по-прежнему доступна.
#Новости #Исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
4🥰24👍11❤6
• На хабре опубликовали короткую, но очень полезную статью, которая содержит информацию по точечной фильтрации шума в Wireshark. Материал можно использовать как CheatSheet!
➡️ https://habr.com/ru/articles/971792/
• В качестве дополнения:
➡ Лабораторные работы для получения практического опыта работы с Wireshark.
➡ Бесплатный курс: Компьютерные сети 2025;
➡ Руководство: Анализ трафика сети посредством Wireshark;
➡ Полный список фильтров Wireshark.
➡ Статья: Wireshark. Лайфхаки на каждый день;
➡ Статья: Практические приёмы работы в Wireshark;
➡ Mindmap: Wireshark.
#Wireshark
• При анализе сетевого дампа (PCAP-файла) с активного сегмента сети специалисты неизбежно сталкиваются с проблемой избыточности данных. Как правило, до 90% трафика составляет фоновая служебная активность, которая затрудняет выявление инцидентов и аномалий:
- Постоянные ARP-запросы (широковещательные запросы на разрешение адресов).
- Анонсы служб mDNS/SSDP (самообнаружение устройств).
- Системная телеметрия и фоновые запросы ОС.
• Наша цель - не просматривать весь массив пакетов, а использовать точные фильтры отображения (Display Filters) для немедленного выделения целевой активности, такой как подозрительные HTTP-запросы или попытки сканирования.
• В качестве дополнения:
#Wireshark
Please open Telegram to view this post
VIEW IN TELEGRAM
7👍30🔥9❤7
• 82 года назад, 1 декабря 1943 года, в Великобритании был введен секретный компьютер Colossus (на фото), который был предназначен для вскрытия немецкой переписки. Долгое время существование машины хранилось в тайне и помимо разработчиков о ней знала лишь небольшая группа людей.
• Всё началось в 1940 году, когда британская спецслужба занимались поиском шпионов на территории страны и во время прослушивания радиоэфира им удалось перехватить шифрованную немецкую радиопередачу. Вместо привычного кода Морзе, сообщения были зашифрованы с помощью телеграфного кода Бодо. Материал отправили на анализ в Правительственную школу кодов и шифров в Блечли-Парк. Новый шифр стали называть "Tunny" (тунец)!
• Для детального изучения выявленного шифра в Блечли-Парк создали специальное подразделение, которое занималось сугубо анализом "Tunny". Процесс расшифровки продвигался крайне медленно до 1941 года, когда один из немецких шифровальщиков допустил серьезную ошибку. Он среагировал на просьбу повторно передать сообщение длинною около 4500 знаков на том же ключе, но во второй раз немного сократил исходный текст. Англичане перехватили обе радиограммы, что позволило им не только дешифровать телеграмму, но и получить длинную шифрующую последовательность.
• На основе полученной информации можно было вручную расшифровывать некоторые сообщения "Tunny". Молодой математик Уильям Томас Тат занялся взломом кода машины. Благодаря его работе исследователям из Блетчли-парка удалось восстановить логическую структуру шифровальной машины. Переписку подобного рода можно было вскрывать и читать. Но этот процесс занимал слишком много времени, требовал трудоемких вычислений и казался малоэффективным. На обработку одной телеграммы уходило до нескольких недель ручного труда. Для быстрой расшифровки требовалось построить соответствующее устройство.
• В 1943 году Макс Ньюман и Томми Флауэрс спроектировали дешифровальную машину, которая получила название Colossus.
• С 1944 года с помощью Colossus полным ходом проводилось дешифрование и вскрытие переписки германского военного командования. Благодаря быстродействию Colossus время расшифровки сообщений с нескольких недель сократилось всего до 2-3 часов. Colossus являлся самым большим компьютером того времени, он использовал мощность 1500 электронных ламп и позволял обрабатывать 5000 знаков в секунду. Из-за особенности работы электрических ламп, однажды запущенные в работу компьютеры, не выключались до окончания Второй Мировой. Устройство обладало очень ограниченной памятью, поэтому лента сообщения читалась по кругу, чтобы обеспечить непрерывный цифровой поток данных.
• Но все же, Colossus нельзя назвать полноценным компьютером. В этом секретном устройстве имелись электронные схемы, выполнявшие цифровые функции, но не было электронной памяти. Данные хранились на замкнутой перфоленте, которая двигалась со скоростью 80 км/час.
• Использование Colossus помогло расшифровать в общей сложности свыше 63 миллионов знаков перехваченных телеграмм немецкого верховного командования.
• В 1945 году успех компьютеров Colossus начал постепенно угасать. Столь крупные машины по 2-3 м высотой и суммарной длиной около 5,5 м, представляющие комплекс из 8 крупных двухсторонних монтажных стоек разной ширины, были специализированы под определенные задачи и не отличались универсальностью. Кроме того высшее британское руководство всячески старалось скрыть от СССР свои мощные дешифровальные возможности. В следствии чего, по личному указанию Уинстона Черчилля, Colossus разобрали по частям и скрыли под печатью "секретно". За 1945 год полностью демонтировали восемь из десяти машин.
• Две оставшиеся модели отправили сперва в Лондон, а затем в город Челтнем. Они перешли в пользование к криптографической спецслужбе Великобритании. Компьютеры тайно использовались еще полтора десятка лет для тренировочных и вспомогательных криптографических задач. Но до 60-х годов разобрали и две последние модели. Помимо этого были уничтожены схемы-чертежи компьютеров Colossus, а сам проект содержался в строжайшей тайне еще долгие годы...
#Разное
• Всё началось в 1940 году, когда британская спецслужба занимались поиском шпионов на территории страны и во время прослушивания радиоэфира им удалось перехватить шифрованную немецкую радиопередачу. Вместо привычного кода Морзе, сообщения были зашифрованы с помощью телеграфного кода Бодо. Материал отправили на анализ в Правительственную школу кодов и шифров в Блечли-Парк. Новый шифр стали называть "Tunny" (тунец)!
• Для детального изучения выявленного шифра в Блечли-Парк создали специальное подразделение, которое занималось сугубо анализом "Tunny". Процесс расшифровки продвигался крайне медленно до 1941 года, когда один из немецких шифровальщиков допустил серьезную ошибку. Он среагировал на просьбу повторно передать сообщение длинною около 4500 знаков на том же ключе, но во второй раз немного сократил исходный текст. Англичане перехватили обе радиограммы, что позволило им не только дешифровать телеграмму, но и получить длинную шифрующую последовательность.
• На основе полученной информации можно было вручную расшифровывать некоторые сообщения "Tunny". Молодой математик Уильям Томас Тат занялся взломом кода машины. Благодаря его работе исследователям из Блетчли-парка удалось восстановить логическую структуру шифровальной машины. Переписку подобного рода можно было вскрывать и читать. Но этот процесс занимал слишком много времени, требовал трудоемких вычислений и казался малоэффективным. На обработку одной телеграммы уходило до нескольких недель ручного труда. Для быстрой расшифровки требовалось построить соответствующее устройство.
• В 1943 году Макс Ньюман и Томми Флауэрс спроектировали дешифровальную машину, которая получила название Colossus.
• С 1944 года с помощью Colossus полным ходом проводилось дешифрование и вскрытие переписки германского военного командования. Благодаря быстродействию Colossus время расшифровки сообщений с нескольких недель сократилось всего до 2-3 часов. Colossus являлся самым большим компьютером того времени, он использовал мощность 1500 электронных ламп и позволял обрабатывать 5000 знаков в секунду. Из-за особенности работы электрических ламп, однажды запущенные в работу компьютеры, не выключались до окончания Второй Мировой. Устройство обладало очень ограниченной памятью, поэтому лента сообщения читалась по кругу, чтобы обеспечить непрерывный цифровой поток данных.
• Но все же, Colossus нельзя назвать полноценным компьютером. В этом секретном устройстве имелись электронные схемы, выполнявшие цифровые функции, но не было электронной памяти. Данные хранились на замкнутой перфоленте, которая двигалась со скоростью 80 км/час.
• Использование Colossus помогло расшифровать в общей сложности свыше 63 миллионов знаков перехваченных телеграмм немецкого верховного командования.
• В 1945 году успех компьютеров Colossus начал постепенно угасать. Столь крупные машины по 2-3 м высотой и суммарной длиной около 5,5 м, представляющие комплекс из 8 крупных двухсторонних монтажных стоек разной ширины, были специализированы под определенные задачи и не отличались универсальностью. Кроме того высшее британское руководство всячески старалось скрыть от СССР свои мощные дешифровальные возможности. В следствии чего, по личному указанию Уинстона Черчилля, Colossus разобрали по частям и скрыли под печатью "секретно". За 1945 год полностью демонтировали восемь из десяти машин.
• Две оставшиеся модели отправили сперва в Лондон, а затем в город Челтнем. Они перешли в пользование к криптографической спецслужбе Великобритании. Компьютеры тайно использовались еще полтора десятка лет для тренировочных и вспомогательных криптографических задач. Но до 60-х годов разобрали и две последние модели. Помимо этого были уничтожены схемы-чертежи компьютеров Colossus, а сам проект содержался в строжайшей тайне еще долгие годы...
#Разное
8👍52🔥18❤10
• Оказывается, что существует отдельный дистрибутив для надежного и бесследного удаления всего содержимого с жестких дисков. Дистрибутив называется ShredOS, а ее основным и единственным функционалом является использование тулзы nwipe, благодаря которой и происходит вся магия удаления данных.
• Подробно описывать ShredOS нет смысла, так как в описании репозитория есть максимально объемный гайд. Если вам потребуется реализовать Live USB с таким функционалом, то вы в любом случае его прочитаете. Из основного могу отметить, что nwipe предлагает нам достаточное кол-во методов зачистки: заполнение нулями, единицами, RCMP TSSIT OPS-II, DoD Short, DoD 5220.22M, Gutmann Wipe, PRNG Stream, HMG IS5 Enhanced.
➡️ ShredOS.
➡️ nwipe.
#Security
• Подробно описывать ShredOS нет смысла, так как в описании репозитория есть максимально объемный гайд. Если вам потребуется реализовать Live USB с таким функционалом, то вы в любом случае его прочитаете. Из основного могу отметить, что nwipe предлагает нам достаточное кол-во методов зачистки: заполнение нулями, единицами, RCMP TSSIT OPS-II, DoD Short, DoD 5220.22M, Gutmann Wipe, PRNG Stream, HMG IS5 Enhanced.
#Security
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥41👍22❤8
infosec
• Оказывается, что существует отдельный дистрибутив для надежного и бесследного удаления всего содержимого с жестких дисков. Дистрибутив называется ShredOS, а ее основным и единственным функционалом является использование тулзы nwipe, благодаря которой и…
• Ну а я в свою очередь напоминаю, как надежно и "бесследно" уничтожить информацию на диске ))
#Разное
#Разное
5