S.E.Book

💸 Как мы взломали цепочку поставок и получили 50 тысяч долларов. • История о том, как 2 специалиста обнаружили баг в цепочке поставок, который позволяет обеспечить RCE у разработчиков в конвейерах и на продакшен-серверах. За эту уязвимость ребята смогли получить 50 тыс. баксов. Вот как это было: https://habr.com/ru/post/885950/ #BB

Как настроить резервное копирование в облаке? 5 августа | 12:00 Если вы уже поняли важность бэкапов и ищите способ упростить их создание, приходите на бесплатный вебинар от Selectel и Хайтекс Акура. Эксперты покажут на практике, как настроить резервное копирование виртуальных машин и облаков, создать интеграцию S3-хранилища с другими сервисами и автоматизировать бэкапы. Регистрируйтесь на вебинар: https://slc.tl/n2cs2 Чтобы не пропустить трансляцию и узнавать о других мероприятиях, воркшопах и бесплатных курсах Selectel, подписывайтесь на @selectel_events Реклама. АО «Селектел», ИНН 7810962785, ERID: 2VtzqwJQjsn

• Нашел интересный ресурс, который содержит информацию об основных веб-уязвимостях. Особенность данной платформы в том, что каждый из перечисленных методов можно выполнить самостоятельно, следуя подсказкам и примерам. А еще каждый пример является интерактивным, поэтому вам будет легче воспринимать материал и практиковаться. Содержание следующее: ➡SQL Injection; ➡Cross-Site Scripting; ➡Command Execution; ➡Clickjacking; ➡Cross-Site Request Forgery; ➡Directory Traversal; ➡Reflected XSS; ➡DOM-based XSS; ➡File Upload Vulnerabilities; ➡Broken Access Control; ➡Open Redirects; ➡Unencrypted Communication; ➡User Enumeration; ➡Information Leakage; ➡Password Mismanagement; ➡Privilege Escalation; ➡Session Fixation; ➡Weak Session IDs; ➡XML Bombs; ➡XML External Entities; ➡Denial of Service Attacks; ➡Email Spoofing; ➡Malvertising; ➡Lax Security Settings; ➡Toxic Dependencies; ➡Logging and Monitoring; ➡Buffer Overflows; ➡Server-Side Request Forgery; ➡Host Header Poisoning; ➡Insecure Design; ➡Mass Assignment; ➡Prototype Pollution; ➡Regex Injection; ➡Remote Code Execution; ➡Cross-Site Script Inclusion; ➡Downgrade Attacks; ➡DNS Poisoning; ➡SSL Stripping; ➡Subdomain Squatting. ➡️ https://www.hacksplaining.com/lessons #web

📊 Process Memory Map. • Нашел интересный софт, который очень похож на решение от Марка Руссиновича VMMap, но с некоторыми отличиями. Задача Process Memory Map проанализировать сторонний процесс и вытащить из него максимум данных, о которых она знает. • Отображает следующие данные: ➡Данные по нитям, как то: стек, TEB, SEH фреймы и CallStack; ➡Информация по подгруженным PE файлам с разбивкой на секции, точки входа в каждый загруженный образ, их структуры; ➡Данные из PEB; ➡Данные из KUSER_SHARED_DATA; ➡Встроенный x86/x64 дизассемблер (на базе DiStorm). • Предоставляет возможность: ➡Анализа памяти на предмет установленных перехватчиков в таблицах импорта/экспорта/отложенного импорта; ➡Анализа установленных перехватчиков в экспортируемых функциях, точках входа и TLS калбэках; ➡Анализа блоков памяти на основе их контрольных сумм (например отображение изменений во взломанном ПО); ➡Поиска в памяти процесса. • Из дополнительных возможностей: ➡Выводит список экспортируемых функций; ➡Поддерживает отладочные MAP файлы. (влияет на список распознанных функций и выхлоп дизассемблера); ➡Отображает изменения в выделенных блоках памяти (alloc/realloc/free); ➡Быстрая подсказка по известным блокам памяти. ➡️ Вот тут более подробно: https://github.com/AlexanderBagel/ProcessMemoryMap #ИБ #RE

• А что, так можно было что ли!? Компания Clorox является крупнейшим мировым производителем бытовой химии, которому больше 100 лет. Сегодня компания оценивается примерно в 16 миллиардов баксов. И сейчас они судятся со своей IT-фирмой из-за того, что пару лет назад их систему взломали самым тупым способом... • Хакер просто позвонил в службу поддержки, представился сотрудником Clorox, попросил сбросить пароль и отключить MFA в системах Okta и Microsoft. В тех. поддержке не стали проверять личность — не запросили ни ID, ни имя менеджера, вообще ничего. Просто выдали доступ. Ущерб от этой «хакерской атаки» составил 380 миллионов долларов. Такие вот дела... ➡️ https://arstechnica.com/Clorox #Новости

Каждую пятницу... 🫠 #Юмор

⚡️Хаос с зависимостями может стать угрозой безопасности вашего проекта. Присоединяйтесь к открытому уроку «Страх и ненависть при работе с зависимостями (SCA)» 29 июля в 20:00 МСК и научитесь контролировать зависимости без уязвимостей. Вы узнаете: - Какие зависимости проходят проверки и как это влияет на инфраструктуру. - Как правильно хранить, обновлять и обогащать список компонентов. - Методы контроля целостности и версионности зависимостей. Урок станет отличной подготовкой к курсу «Внедрение и работа в DevSecOps», все участники получат скидку на обучение. Научитесь управлять зависимостями эффективно и безопасно. 👉Записывайтесь на вебинар, получайте скидку и готовьтесь к углубленному изучению DevSecOps с OTUS: https://otus.pw/AjBl/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств. Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA. Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке. Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов.  UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе. Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода. В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу.  Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения. Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA. Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях. Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва. Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами.  Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов. Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73. Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача. Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения. Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.

Узнайте, как защитить бизнес от простоев с помощью готового решения 29 июля в 11:00 мск beeline cloud проводит бесплатный вебинар «Как обеспечить непрерывность бизнеса и избежать миллионных убытков». В программе: — Цена простоя ИТ: как бизнес теряет миллионы за часы — DR и MetroCluster: как работают и чем различаются — Архитектура Cloud Compute MetroCluster от beeline cloud — Преимущества, возможности, технические детали — Ответы на вопросы участников Не упустите шанс узнать, как минимизировать риски и гарантировать непрерывность бизнес-критичных сервисов. Регистрируйтесь тут #реклама О рекламодателе

🔒 Опасный QR-код: история вектора атаки. • В мае 2013 года специалисты компании Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Когда Google узнали о данной уязвимости, то её закрыли буквально за несколько недель. К счастью, исправить успели до того, как уязвимость можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам. • В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплойт, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR. • Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов. Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert("You have won 1000 dollars! Just Click The Open Browser Button");, но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI! Более наглядно на фото выше. • Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»). • Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Внутри QR был зашит MMI-код для сброса до заводских настроек: *2767*3855#, а также префикс tel: для совершения USSD-запроса. • Самое опасное здесь то, что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности! #Разное

По запросу французской прокуратуры на Украине был арестован один из администраторов действующего с 2013 года русскоязычного хакерского форума XSS. Ресурс широко известен как один из крупнейших в киберподполье: на нем зарегистрировано более 50 000 пользователей. Как заявляют французские власти, официальное расследование было начато 02 июля 2021 года отделом по борьбе с киберпреступностью прокуратуры Парижа при поддержке местного подразделения по борьбе с киберпреступностью полиции префектуры. Основные усилия словаков были направлены на документирование киберпреступлений, прежде всего, связанных с ransomware, даже несмотря на то, что в мае 2021 года форум публично запретил все темы по вымогательству. Согласно сообщениям полиции, основные успехи операции обусловлены тем, что правоохранителям удалось установить контроль за коммуникациями в Jabber. Полицейским удалось взломать сервер «thesecure.biz» и отслеживать сообщения пользователей платформы. Перехваченные сообщения позволил выявить многочисленные эпизоды киберпреступлений и атаки с использованием программ-вымогателей, которые принесли руководству платформы не менее 7 млн. долл. в качестве прибыли. Дальнейший контроль технических каналов связи позволил установить личность предполагаемого администратора форума, оперативная разработка которого, начиная с сентября 2024 года, проводилась уже непосредственно на месте. Подозреваемый был арестован вчера украинской полицией с участием французских офицеров и при содействии представителей Европола. Учитывая, что на момент всех публикаций XSS продолжал оставаться в сети, участники форума могут не сомневаться, что среди его админов вполне могли появиться люди в погонах, причем задолго до выхода официальных сообщений. По всей видимости, XSS может ожидать схема, которую провернули с BreachForum. Но будем посмотреть.

• Мы реализовали функционал обнаружения и дешифровки QR-кодов в нашем боте S.E. Virus Detect. Теперь вы можете направить боту файл с QR-кодом и получить его содержание (текст, ссылка, другая информация). Если QR-код содержит ссылку, то вы сразу сможете осуществить проверку домена на наличие угроз (на фото). Данный функционал работает только в личных сообщениях. В публичных чатах этот функционал недоступен. • Еще была доработана функция по сканированию ip адреса. Теперь при сканировании ip появляется кнопка "Геолокация", где вы можете получить все необходимые данные и даже точку на карте через Google Maps (фото 2). • Весь функционал полностью бесплатный и реализован на полном энтузиазме. Надеемся, что S.E. Virus Detect поможет вам обезопасить себя и ваших близких ❤️ #VT

💸 Каждый простой — это убытки. Зависла система учёта, не открылась клиентская база, сервер не поднялся после сбоя — и вот уже минус в кассе, нервные звонки и потеря времени, которое стоило денег. А ведь большинство сбоев можно предсказать и предотвратить заранее. ADV-T — системный интегратор, в штате инженеры с опытом 20+ лет в HPE, DELL, Cisco и российских системных проектах.Проводим точный ИТ-аудит: выявляем риски, просчёты и слабые места в инфраструктуре МСБ. 🎯 В нашем Telegram-канале — бесплатный чек-лист:  20 ключевых вопросов для экспресс-оценки ИТ-состояния вашего бизнеса в 2025 году. Проверьте, где вы рискуете потерять деньги. Забирайте чек-лист и смотрите кейсы: @advtonline Подписаться

Недавно исправленные критические RCE-уязвимости в Cisco Identity Services Engine (ISE), о которых мы сообщали, теперь активно используются в реальных атаках. Соответствующий бюллетень команда Cisco PSIRT соответствующим образом обновила, но не представила каких-либо подробностей. Ошибки максимальной степени серьезности были впервые раскрыты поставщиком 25 июня 2025 г. (CVE-2025-20281 и CVE-2025-20282) и 16 июля 2025 г. (CVE-2025-20337): - CVE-2025-20281: RCE без аутентификации в Cisco Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Злоумышленник может отправлять специально созданные API-запросы для выполнения произвольных команд с правами root в базовой ОС без аутентификации. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2). - CVE-2025-20282: связана с неаутентифицированной произвольной загрузкой и выполнением файлов в Cisco ISE и ISE-PIC версии 3.4. Отсутствие проверки файлов позволяет злоумышленникам загружать вредоносные файлы в привилегированные каталоги и выполнять их с правами root. Исправлена в ISE 3.4 (патч 2). - CVE-2025-20337: RCE без аутентификации в Cisco ISE и ISE-PIC. Эксплуатация возможна через специально созданные запросы API из-за недостаточной проверки входных данных, что позволяет получить root-доступ без учётных данных. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2). Все три уязвимости имеют максимальную степень серьезности (CVSS: 10,0) и могут эксплуатироваться удаленно без необходимости аутентификации. Cisco выпустила два отдельных патча для трёх уязвимостей в виду разницы во времени их обнаружения. Для одновременного устранения всех уязвимостей администраторам рекомендуется: пользователям ISE 3.3 - обновиться до патча 7, а для 3.4 - до патча 2. Пользователям ISE 3.2 или более ранних версий не нужно предпринимать никаких действий. Обходные пути для уязвимостей отсутствуют. В связи с активным использованием уязвимостей крайне важно как можно скорее перейти на исправленную версию ПО для устранения возникающих рисков.

• Автор этого материала описывает процесс создания хакерского приложения, с помощью встроенного языка программирования Linux, и собирает базу данных участников западной "Национальной Киберлиги". • Рассмотрим основы работы с сURL, научимся обходить базовые ограничения веб-приложений и поработаем с PDF-документами из командной строки. Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется автоматизацией процессов в Linux. ➡️ https://habr.com/ru/post/879850/ #ИБ #Linux

Кто вы в зоопарке DevOps-тулзов? Каждый день вы приручаете зверей CI/CD, но вместо управляемой экосистемы — дикий хаос? Пора превратить ваш зоопарк в отлаженный механизм. ➡️ Kubernetes — альфа-хищник среди DevOps-инструментов. K8s способен объединить вашу стаю — пайплайны, деплои, мониторинг и хранение — в единую, логичную и управляемую экосистему. На курсе «Kubernetes Мега» от Слёрма вы этому научитесь, а также получите: 🔸 Перенос продукта на K8s без боли 🔸 Настройку отказоустойчивых кластеров 🔸 Мгновенный траблшутинг и уверенное устранение инцидентов 🔸 Повышение стабильности и безопасности приложений 🔸 Автоматизация: ротация сертификатов, автодеплой, безопасное хранение секретов Старт уже 28 июля Осталось всего 10 мест Не дайте своим DevOps-зверям вырваться из-под контроля! Программа и регистрация ➡️ по ссылке Реклама ООО «Слёрм» ИНН 3652901451

🚀 Fly me to the moon. • Знаете какой вчера был день? Прошло 56 лет с момента посадки человека на Луну! • 20 июля 1969 года, в 20:17:39 по Гринвичу, лунный модуль миссии «Аполлон-11» совершил первую в истории человечества пилотируемую посадку на другое небесное тело. Событие огромной значимости, как в плане науки, так и в плане идеологическом, стало возможным благодаря самоотверженной работе сотен людей — техников, контролёров, специалистов по связи. И, конечно, программистов, одной из которых была Маргарет Гамильтон (на фото). • Однако посадка могла не состояться, если бы не гениальность Маргарет, которая разработала бортовое программное обеспечение для программы Apollo. • Все коды писались, а потом печатались вручную, затем объединяясь в программы. Этот вид памяти назвали «LOL memory». Дословно его можно перевести как «память маленьких старых леди» («little old lаdies»). Ведь печатали коды в основном женщины. • Когда Нил Армстронг и Эдвин Олдрин были уже почти у Луны, система внезапно дала сбой. На приоритетном дисплее компьютера появились предупреждения о чрезвычайной ситуации. Как выяснилось позднее, переключатель радара (который нужен был уже для обратного полёта) оказался в неправильном положении. Это привело к запросу на выполнение компьютером большего числа операций, чем он был способен обработать. Тут-то и сработала защита. В данном конкретном случае реакцией ПО было приостановить работу низкоприоритетных задач и перезапустить наиболее важные. Итог всем известен — полёт продолжился в штатном режиме, Аполлон приземлился. И всё это стало возможно благодаря усилиям и таланту одного человека - Маргарет Гамильтон. А ведь всё могло закончится совсем по другому... • Кстати, на фото выше Маргарет запечатлена с распечаткой кода, который использовали для осуществления полета на Луну в 1969 году. • Сейчас Маргарет 88 лет! Она возглавляет компанию Hamilton Technologies, а за всю жизнь смогла опубликовать более 130 научных работ, трудов и отчетов по 60 проектам и шести крупным программам, в которых она принимала участие. Так то... #Разное

• Напоминание о том, что ИТ специалистам, которые работают во фрилансе, нужно быть предельно внимательными и бдительными! Суть заключается в следующем: злоумышленники пишут своим жертвам от имени HR специалистов и под видом тестового задания отправляют им вредоносное ПО для видеоконференций, которое просят установить. Такое ПО выполняет роль кейлоггера и инфостилера, а также передает атакующим удаленное управление устройством жертвы. Основная цель такой схемы — получение доступа к криптовалютному кошельку жертвы. По словам ESET, такие атаки длятся как минимум с 2023 года и уже затронули пользователей по всему миру, от России и Индии до Европы и США. #Разное

🚨 Хотите стать экспертом в области кибербезопасности? ❗️Пройдите вступительное тестирование и получите возможность обучаться на курсе «Аналитик SOC» от OTUS по специальной цене! Что вы получите на курсе: - Практические навыки работы с инструментами SOC. - Знания для реагирования на киберугрозы в реальном времени. - Умение анализировать сетевой трафик и журналы событий. - Понимание процессов работы в центре мониторинга безопасности. ⚡️После тестирования вам будет предложена специальная цена на обучение, и вы сможете начать развивать свою карьеру в одной из самых востребованных областей! Подробности уточняйте у менеджера. Не упустите шанс прокачать свои навыки и стать экспертом в SOC! 🚀 👉 Пройти тест: https://otus.pw/PX0N/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🚪 Аппаратный БЭКДОР. • В этой статье описана реализация аппартаного бекдора в виде Raspberry Pi. Суть заключается в том, что вы подключаете usb-модем с заряженой симкой к ноутбуку, малинке или чему-то еше, и раземещаете устройство во внутреннюю сети заказчика. Далее настраиваете маршруты, чтобы трафик который будет идти наружу проходил через usb-модем, а трафик который будет проходить внутрь - шел через eth (по проводу). • Данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности, которые проводят тестирование в рамках контракта. ➡️ https://teletype.in/@r00t_owl/Ova5zkh3MUW #Пенстет #ИБ