S.E.Book

• Андрей Созыкин завершил основной раздел своего курса по компьютерным сетям и приступил к следующей части, которая будет посвящена теме защищенных сетевых протоколов. В новом разделе будут рассмотрены следующие протоколы: ➡TLS – Transport Layer Security; ➡HTTPS – HTTP Secure; ➡DNS-over-TLS, DNS-over-HTTPS; ➡DNSSEC – DNS Security Extensions. • Отмечу, что лично я считаю данный курс одним из лучших и понятных в части изучения сетей. А еще курс полностью бесплатный и опубликован на YouTube, что делает его доступным для всех желающих! Напомню, что Андрей начал актуализировать свой курс еще год назад и сейчас можно посмотреть более 38 уроков: ➡Введение в курс; ➡Организация компьютерных сетей; ➡Терминология сетей; ➡Модель ISO OSI; ➡Модель и стек TCP/IP; ➡Стандартизация сетей; ➡Организация сетей TCP/IP; ➡Анализатор сети Wireshark; ➡Прикладной уровень; ➡Протокол HTTP; ➡HTTP в текстовом режиме; ➡Кэширование в HTTP; ➡HTTP в Wireshark; ➡HTTP API; ➡Практика по HTTP API; ➡HTTP API в Postman; ➡HTTP API в curl; ➡Система доменных имен DNS; ➡Протокол DNS; ➡Протокол DNS в Wireshark; ➡Типы записей DNS; ➡Типы записей DNS в Wireshark; ➡Утилиты DNS host и dig; ➡Итеративный и рекурсивный режимы DNS; ➡Транспортный уровень; ➡Протокол UDP; ➡Протокол UDP в Wireshark; ➡Протокол TCP; ➡Протокол TCP: скользящее окно; ➡Протокол TCP: установка соединения; ➡Утилиты TCPView, netstat и ss; ➡Протокол TCP: формат заголовка; ➡Протокол TCP в Wireshark; ➡Протокол TCP: управление потоком; ➡Протокол TCP: управление перегрузкой; ➡Интерфейс сокетов; ➡Практика по сокетам; ➡Протоколы, интерфейсы и сервисы. • Когда будет завершен раздел с описанием защищенных сетевых протоколов, то я обязательно опубликую эту информацию в канале. Либо можете самостоятельно отслеживать выход нового материала в этом плейлисте: https://www.youtube.com/playlist/seti • P.S. Не забывайте про мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network #Сети

Исследователи раскрыли подробности о новом бэкдоре для Linux под названием PamDOORa, который активно рекламируется в киберподполье по цене за 1600 долл. неким darkworm. Бэкдор разработан как набор инструментов для постэксплуатации на основе подключаемого модуля аутентификации (PAM), обеспечивающий постоянный доступ по SSH с помощью «волшебного» пароля и определенной комбинации TCP-портов. Он также способен собирать учетные данные всех легитимных пользователей, прошедших аутентификацию в скомпрометированной системе. Как отмечают в Flare.io, PamDOORa - это новый бэкдор на основе PAM, предназначенный для постэксплуатационного использования, позволяя аутентифицироваться на серверах через OpenSSH. Предположительно, он будет сохраняться в системах Linux (x86_64). Вообще, PamDOORa - это второй бэкдор для Linux, нацеленный на стек PAM, после Plague. PAM представляет собой систему безопасности в Unix/Linux, которая реализует возможность внедрять несколько механизмов аутентификации или обновлять их (например, переходить от паролей к биометрии) в существующую систему с помощью подключаемых модулей без необходимости переписывать существующие приложения. Поскольку модули PAM обычно работают с правами root, скомпрометированный, неправильно настроенный или вредоносный модуль может представлять значительные риски для безопасности и открыть путь для сбора учетных данных и несанкционированного доступа. Исследователи Group-IB в 2024 году сообщали, что несмотря на свои преимущества, модульная структура подключаемого PAM создает риски, поскольку вредоносные модификации модулей могут создавать бэкдоры или красть учетные данные пользователей, особенно учитывая, что PAM не хранит пароли, а передает значения в открытом виде. Модуль pam_exec, позволяющий выполнять внешние команды, может быть использован злоумышленниками для получения несанкционированного доступа или установления постоянного контроля путем внедрения вредоносных скриптов в конфигурационные файлы PAM. Group-IB также подробно описала, как можно манипулировать конфигурацией PAM для аутентификации SSH, чтобы выполнять скрипт через pam_exec, что фактически позволяет злоумышленнику получить привилегированную оболочку на хосте и обеспечить скрытое закрепление в системе. Последние данные Flare показывают, что PamDOORa, помимо возможности кражи учетных данных, включает в себя средства защиты от криминалистического анализа, позволяющие методично изменять журналы аутентификации для удаления следов вредоносной активности. Пока нет достоверных доказательств того, что вредоносное ПО использовалось в реальных атаках, цепочки заражения, распространяющие вредоносное ПО, скорее всего, включают в себя сначала получение злоумышленником корневого доступа к хосту каким-либо другим способом, а затем развертывание модуля PamDOORa PAM для перехвата учетных данных и установления постоянного доступа по SSH. К настоящему времени изначальная цена в 1600 долл. снижена до 900 (по состоянию на 9 апреля), что указывает либо на отсутствие интереса со стороны покупателей, либо на намерение ускорить продажу. В целом, исследователи заключили, что PamDOORa представляет собой эволюцию существующих бэкдоров PAM с открытым исходным кодом. Безусловно, отдельные методы (перехват PAM, захват учетных данных, подделка логов) хорошо документированы, однако интеграция в целостный, модульный имплант с защитой от отладки, сетевыми триггерами и конвейером сборки приближает его к полноценному инструменту операторского уровня.

• Очень хороший материал по изучению Docker для начинающих. Как обычно: все бесплатно, без регистрации и смс. Читаем и практикуем. 1️⃣ Docker с нуля: как работают контейнеры и зачем они нужны. • Эта подборка из шести статей - ваш гид в мир контейнеризации. Вы узнаете, что такое Docker, как запускать контейнеры, собирать образы и использовать Docker Compose, а еще разберетесь, чем эта технология отличается от Kubernetes. Все материалы подкреплены практическими примерами и будут понятны начинающим. На полное изучение уйдет менее двух часов. Материалы курса: ➡Docker: что это такое и как работать с контейнерами; ➡Установка Docker Desktop на Windows, настройка WSL и Hyper-V; ➡Запуск контейнера Docker и команда docker run; ➡Docker Compose и основы работы с контейнерами; ➡Создание своего Docker-репозитория; ➡Kubernetes vs Docker: в чем различия. 2️⃣ Основы безопасности в Docker-контейнерах. • Если вы прочитали предыдущую подборку и почувствовали в себе силы начать работу с контейнерами, не спешите. Изоляция, которую они обеспечивают, может вызывать ложное чувство безопасности. Чтобы вы могли погрузиться в вопросы защиты своего Docker, есть еще одна мини-подборка из трех исчерпывающих материалов. Изучение — чуть больше часа, а эффект — бесценен. Материалы: ➡Безопасность в Docker: от правильной настройки хоста до демона ➡Исчерпывающее пособие по безопасной сборке Docker-образов ➡Профилактика в работе с Docker-контейнерами #Docker #Security

• Нашел очень полезный сервис, благодаря которому можно создать зашифрованные HTML странички, расшифровка которых происходит с помощью ввода пароля в браузере на стороне клиента. • Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Но что делать, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решает тулза StatiCrypt. • StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг. Страница будет расшифрована в браузере пользователя, когда тот введёт известный ему пароль. В принципе, эту систему можно использовать для шифрования личных заметок, если вы хотите выложить их на общедоступный сервер, чтобы всегда иметь к ним доступ, но при этом надёжно защитить от посторонних глаз. • Расшифровка происходит на обычном JavaScript, то есть со стороны клиента не требуется скачивание и установка дополнительных инструментов, кроме стандартного браузера. Ни хостинг-провайдер, ни интернет-провайдер не получают доступ к этой информации в процессе расшифровки её расшировки в браузере. • Консольная утилита StatiCrypt доступна для скачивания на Github и в виде пакета NPM. А еще существует готовый шаблон для создания и хостинга одностраничного зашифрованного сайта на GitHub Pages. • Страница шифруется с помощью AES-256 в режиме CBC, который в контексте StatiCrypt лишён характерных для него уязвимостей. Пароль хешируется с помощью функции PBKDF2: 599 тыс. операций хеширования SHA-256 и 1000 операций SHA-1 (для легаси). По сути, генерируется новая веб-страница (зашифрованная), которая вмещает содержимое старой. • Утилита также умеет генерировать ссылку, которая уже содержит хешированный пароль, для доступа к странице без ввода пароля непосредственно в веб-форме браузера. Такую ссылку можно передавать доверенным лицам или использовать самому, а контент при этом хранится на сервере в зашифрованном виде, недоступном для просмотра ни хостером, ни третьим лицам. ➡️ https://github.com/robinmoisson/staticrypt #Tools

#Юмор

Исследователи Лаборатории Касперского предупреждают, что программное обеспечение DAEMON Tools заражено в результате широкомасштабной атаки на цепочку поставок. Как отмечают исследователи, основываясь на многолетнем опыте анализа атак через цепочку поставок, злоумышленники организовали взлом DAEMON Tools весьма искусно. В начале мая 2026 года в ЛК обнаружили, что установщики DAEMON Tools (в версиях с 12.5.0.2421 до 12.5.0.2434) для монтирования образов дисков заражены вредоносным кодом. Анализ показал, что троянизированные версии распространяются с 8 апреля 2026 года. С разработчиками DAEMON Tools из компании AVB Disc Soft оперативно связались для принятия дальнейших мер по устранению последствий атаки. Однако выявленная атака на цепочку поставок все еще продолжается. В обнаруженных вредоносных имплантах нашлись артефакты, указывающие на то, что злоумышленник, стоящий за этой атакой, говорит по-китайски. Согласно телеметрии ЛК, с начала апреля произошло несколько тысяч попыток заражения через DAEMON Tools, затронувших частных лиц и организации более чем в 100 странах: большинство - в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Однако дальнейшее развертывание вредоносной нагрузки наблюдалось лишь на десятке зараженных машин, принадлежащих организациям из сферы торговли, науки, госуправления и производства, что указывает на целенаправленный характер атаки. Злоумышленникам удалось скомпрометировать DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe, которые находятся в каталоге, где установлено ПО DAEMON Tools. Примечательно, что все они имеют цифровую подпись AVB Disc Soft. Бинарные файлы запускаются при старте компьютера и каждый раз активируется бэкдор, который встроен в код автозапуска, отвечающий за инициализацию среды CRT. Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на сервер злоумышленника. Вредоносный сервер использует адрес, созданный 27 марта за неделю до начала атаки при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc, используемого для загрузки DAEMON Tools. В ответ на отправленные запросы сервер может возвращать команду оболочки для выполнения через процесс cmd.exe. Данные shell-команды используются для загрузки и запуска исполняемой вредоносной нагрузки. В целом, обнаружено несколько типов таких нагрузок. Первая нагрузка, которую развертывают злоумышленники, - это сборщик информации (Information collector), представляющий собой исполняемый файл .NET, используемый для сбора расширенной системной информации и профилирования зараженных машин. Злоумышленники пытались также доставить другую вредоносную нагрузку на небольшое количество машин (около десятка) - минималистичный бэкдор. Его функциональность включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Изучив способы использования минималистичного бэкдора злоумышленниками, в ЛК выяснили, что он применялся для развертывания более сложного импланта, который исследователи назвали QUIC RAT.  Он написан на C++, обфусцирован с помощью техники control flow flattening и статически линкован с библиотекой WolfSSL. Также в его секции data содержится тело легитимной библиотеки msquic.dll. Поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Его анализ всё ещё продолжается, однако в ЛК установили, что QUIC RAT способен внедрять вредоносные нагрузки в процессы notepad.exe и conhost.exe. Все дополнительные подробности - в отчете.

• Немного занимательного оффтопа: я уже рассказывал вам про Рэймонда Чена, инженера из Microsoft, который более трёх десятилетий участвует в развитии Windows! В его блоге вышла интересная статья, в которой описано, почему WinHelp в Windows 3.0 называли «онлайн-справкой», хотя она работала офлайн. • Скажу честно, я иногда действительно задавался этим вопросом, особенно когда случайно нажимал на эту кнопку, но не до такой степени, чтобы гуглить ответ. Однако, несколько дней назад, в блоге Рэймонда появилась информация, которая как раз и раскрывает причину такого названия: • Дело в том, что «онлайн-справка» в Windows 3.0 появилась раньше, чем интернет стал общедоступным, и работала, даже если компьютер не был подключён к какой-либо другой сети. • Термин «онлайн» сперва означал «доступный на компьютере в данный момент». Таким образом, «онлайн»-файлами считались все, к которым можно получить доступ прямо сейчас, а «офлайн»-файлы — это те, которые были заархивированы на ленте, и для доступа к которым потребовалось бы некоторое время. Термин «онлайн-справка» означает, что файлы справки находятся в свободном доступе на компьютере пользователя. • Тем временем компьютер, к которому можно было подключиться через сеть или другое удалённое соединение, обычно называли «включённым» и «доступным в автономном режиме». Второй термин поначалу может показаться непонятным, но он описывает состояние компьютера по отношению к другим системам в сети и указывает на то, что он доступен для запросов на подключение от других ПК. Это объясняет парадокс фразы «онлайн-справка доступна офлайн» — термины «онлайн» и «офлайн» относятся к разным вещам. Во фразе «онлайн-справка» речь идёт о файлах, к которым легко получить доступ на компьютере, а фраза «доступно офлайн» относится к самому компьютеру. Буквально это означает «компьютер не подключен к сети (по отношению к другим компьютерам), а служба поддержки доступна (на компьютере пользователя)». • Теперь, когда многие системы перенесли файлы справки на веб-сайты, у пользователей есть онлайн-справка, которая недоступна в автономном режиме. Такие вот дела... ➡️ https://devblogs.microsoft.com/WinHelp #Оффтоп #Разное #Windows

• А вы знали, что домен .ai приносит небольшому карибскому острову Ангилья около 30 млн. баксов в год? Это примерно четверть годового дохода, что весьма круто. • Всё началось с Искусственного Интеллекта, когда число сайтов с доменом .ai выросло в 10 раз за последние 5 лет. Кстати, самым дорогим адресом является you.ai - его выкупили за 700 тыс. баксов. Да что уж там говорить, сотни крупных компаний (Google, Notion и д.р.) платят очень большие деньги острову за доменные имена. Поэтому со временем доход острова будет только расти. ➡️ Источник. #Разное

Подкатили новые подробности с атаками, нацеленными на недавно исправленную 0-day обхода аутентификации в cPanel & WebHost Manager (WHM), CVE-2026-41940, обеспечивающую административный доступ. По всей видимости, более 40 000 серверов были скомпрометированы в рамках масштабной кампании, как сообщает Shadowserver Foundation. Раскрытая 28 апреля уязвимость предоставляет неавторизованным злоумышленникам административный доступ к cPanel, позволяя захватить контроль над хост-системой и скомпрометировать все конфигурации, базы данных и сайты, которыми управляет платформа. Уязвимость может быть использована с помощью специальных символов в заголовках авторизации для записи параметров в файл сессии, а затем для запуска перезагрузки файла сессии с целью аутентификации с использованием внедренных административных учетных данных. Причем CVE-2026-41940, вероятно, использовалась злоумышленниками в качестве 0-day еще с конца февраля, при этом активность резко возросла после публичного раскрытия информации и того, как компания WatchTowr опубликовала технические подробности. На прошлой неделе Rapid7 предупредила, что в интернете доступно около 1,5 млн. экземпляров cPanel, а в пятницу Shadowserver Foundation выявила  десятки тысяч потенциально скомпрометированных систем. В частности, в ходе продолжающихся атак были скомпрометированы как минимум 44 000 IP, на которых работает cPanel. По данным Shadowserver Foundation, по состоянию на 3 мая это число значительно сократилось. Большинство затронутых систем находятся в США, а Франция и Нидерланды замыкают тройку лидеров. При этом сообщается, что хакеры используют уязвимость cPanel с четверга для взлома серверов и развертывания основанного на Go Linux шифратора для программы-вымогателя Sorry (VirusTotal). Зафиксировано множество сообщений от пострадавших, где одна из жертв поделилась образцами зашифрованных файлов и содержимым записки с требованием выкупа. Программа-вымогатель использует потоковый шифр ChaCha20 для шифрования файлов, при этом ключ шифрования защищен с помощью встроенного открытого ключа RSA-2048. В каждой папке создается записка с требованием выкупа под названием README.md, в которой жертве предлагается связаться с злоумышленником в Tox для обсуждения суммы выкупа. Поскольку все версии cPanel, начиная с 11.40, уязвимы, пользователям рекомендуется как можно скорее обновить систему до версии с исправлением и следовать инструкциям cPanel по выявлению и устранению потенциальных угроз. Согласно обновленному уведомлению cPanel, исправления содержатся в версиях cPanel & WHM 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 и 11.136.0.5, а также в версии WP Squared 136.1.7. Исследователи полагают, что в ближайшие дни и недели будет наблюдаться лишь усиление эксплуатации уязвимости. Но будем посмотреть.