Codeby

CrowdStrike поймал мой лоадер за 4 секунды. Не по сигнатуре — по поведению

Три дня на кастомный лоадер: шифрованный шеллкод, indirect syscalls через SysWhispers3, Early Bird APC injection в RuntimeBroker.exe. На стенде — тишина. На продакшене Falcon сработал через четыре секунды. Причина: поведенческий паттерн, а не бинарник.

🔍 Три вектора против EDR в 2026 году:

• Blinding — EDRSilencer через WFP блокирует телеметрию, но список процессов неполный — нужна доработка
• Blocking — BYOVD или Safe Mode Boot. Требует привилегий ядра, но ransomware-группы уже используют
• Hiding — LOLBins и DLL Side-Loading. По данным CrowdStrike, 82% атак обходятся без вредоносных бинарников

⚡️ Indirect syscalls vs direct: второй оставляет return address вне ntdll.dll — Falcon ловит именно это. HookChain показал 88% обхода на 26 EDR, но kernel callbacks продолжают работать.

Обход EDR — это про понимание цепочки: агент → SIEM → корреляция.

Подробнее: https://codeby.net/threads/red-team-vs-soc-kak-pentester-obkhodit-edr-i-siem-v-real-nykh-proyektakh.92651/

Специалисты из Anthropic анонсировали модель, которая ищет уязвимости нулевого дня.

Claude Mythos Preview — это не выпущенная на рынок передовая модель общего назначения, которая демонстрирует поразительный факт: модели искусственного интеллекта достигли такого уровня в программировании, что могут превзойти всех, кроме самых опытных специалистов, в поиске и использовании уязвимостей в программном обеспечении.

❗️Mythos Preview уже обнаружила тысячи уязвимостей высокой степени опасности, в том числе в каждой крупной операционной системе и веб-браузере. Создаваемые ей эксплойты не просто заурядные эксплойты для переполнения стека. Так, например, в одном случае Mythos Preview написала эксплойт для веб-браузера, объединив в цепочку четыре уязвимости и создав сложный JIT-эксплойт для переполнения кучи, который обошел и рендерер, и песочницы ОС

Примеры обнаруженных уязвимостей
➡️Уязвимость 27-летней давности в OpenBSD — одна из самых защищенных операционных систем в мире, которая используется для работы межсетевых экранов и другой критически важной инфраструктуры. Уязвимость позволяла злоумышленнику удаленно вывести из строя любой компьютер под управлением операционной системы, просто подключившись к нему;

➡️16-летняя уязвимость в FFmpeg — программное обеспечение, которое используется во множестве приложений для кодирования и декодирования видео, — в строке кода, которую инструменты автоматического тестирования запускали пять миллионов раз, но так и не выявили проблему;

🔎Проект Glasswing
Кроме того Anthropic объявила о создании проекта Glasswing — новой инициативе, объединяющей представленные ниже компании для обеспечения безопасности ПО:
⏺️Amazon Web Services,
⏺️Anthropic, Apple, Broadcom,
⏺️Cisco,
⏺️CrowdStrike,
⏺️Google,
⏺️JPMorgan Chase,
⏺️Linux Foundation,
⏺️Microsoft,
⏺️NVIDIA,
⏺️Palo Alto Networks.

В рамках проекта Glasswing партнеры по запуску будут использовать Mythos Preview для поиска и устранения уязвимостей. Также к модели был предоставлен доступ группе из более чем 40 организаций, которые создают или поддерживают критически важную инфраструктуру программного обеспечения, чтобы они могли использовать эту модель для сканирования и защиты как собственных систем, так и систем с открытым исходным кодом.

#news #AI #vulnerabilities

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Первый хеш — быстрее, чем заваривается кофе

🎯 На каждом внутреннем пентесте сценарий один и тот же: подключился к VLAN, запустил Responder — и NTLMv2-хеш уже в терминале. Без харденинга AD путь до Domain Admin занимает пару часов.

Mandiant фиксирует: 9 из 10 кибератак эксплуатируют Active Directory. Три меры закрывают основные векторы первых часов атаки:

• Отключить LLMNR — пять минут в GPO, один вектор credential harvesting исчезает
• NBT-NS disable — есть грабли со скейлингом через NIC, разбираем правильный путь
• LAPS — без него один крекнутый хеш локального админа открывает всю подсеть через Pass the Hash

Внутри — GPO-пути, ключи реестра, PowerShell-команды верификации и грабли из инфраструктур от 200 до 3000 машин.

https://codeby.net/threads/khardening-active-directory-laps-llmnr-i-nbt-ns-tri-mery-protiv-80-vnutrennikh-atak.92656/

NextRce

NextRce - инструмент для эксплуатации уязвимости RSC в Next.js (CVE-2025-55182).

NextRce — это высокопроизводительный многопоточный инструмент безопасности, предназначенный для обнаружения и эксплуатации уязвимости CVE-2025-55182. Он нацелен на реализацию React Server Components (RSC) в архитектуре App Router Next.js. Манипулируя процессом сериализации в Server Actions, NextRce внедряет специально созданную полезную нагрузку для достижения удаленного выполнения кода (RCE) на уязвимых экземплярах. Он оснащен интеллектуальным механизмом обнаружения, который автоматически различает уязвимые архитектуры App Router и безопасные устаревшие Pages Router, обеспечивая эффективность при массовом сканировании.

📐Особенности:
📉Использует кодировку UTF-16LE для обхода обнаружения WAF, сохраняя при этом целостность полезной нагрузки на стороне сервера.
📉Практический анализ DOM (поиск window.__next_f) для идентификации уязвимых целей App Router по сравнению с устаревшими сайтами Pages Router.
📉Встроенный ThreadPoolExecutor позволяет сканировать тысячи доменов одновременно с минимальными затратами ресурсов.
📉Автоматически извлекает допустимые URL-адреса из смешанных форматов входных данных (например, коды состояния, заголовки или необработанные журналы).
🖱Выполняет команды и получает вывод непосредственно из дайджеста ответа сервера.

🔎Технический анализ:
Next.js App Router использует собственный формат сериализации для компонентов React Server Components (RSC). Уязвимость заключается в логике десериализации заголовков Next-Action. Когда специально созданный объект (загрязняющий proto) отправляется на конечную точку серверного действия (например, /adfa), внутренний парсер может быть принудительно принудительно настроен на выполнение произвольного кода Node.js через child_process.

⬇️Установка:

git clone https://github.com/ynsmroztas/NextRce.git

cd NextRce/

pip install requests

⛓️‍💥Использование:
▶️Режим обхода WAF (NextRCSWaff.py):

python3 NextRCSWaff.py -u [URL] -c "whoami" --bypass

▶️Сканирование одной цели:

python3 nextrce.py -u [URL] -c "cat /etc/passwd"

▶️Сканирование из файла:

python3 nextrce.py -l [TXT] -c "whoami" -t 100

#WAF #web #vuln #RCE

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Руткит без Ring 0: как атакующие прячутся прямо у вас под носом

Большинство аналитиков при слове «руткит» смотрят в ядро. А атакующий работает в Ring 3 — и ему этого хватает.

🎯 Userland-руткиты перехватывают вызовы до ядра — на уровне libc или ntdll.dll. Никаких LKM, Secure Boot и риска kernel panic. Просто подмена реальности для всех userland-инструментов.

Переменная LD_PRELOAD или запись в /etc/ld.so.preload заставляют каждый динамически слинкованный бинарь загружать вашу библиотеку. Перехватываешь readdir() — и ls, ps, netstat перестают видеть нужные файлы и процессы.

🔍 Слепые пятна: strace, сравнение /proc с сырыми syscall-данными, мониторинг /etc/ld.so.preload.

В разборе — код для Linux и Windows, IAT/EAT hooking, DLL injection и детект каждой техники:

https://codeby.net/threads/userland-rootkit-tekhniki-sokrytiya-ld_preload-dll-injection-iat-eat-hooking-na-praktike.92638/

Обновили профили на форуме: теперь видно, кто есть кто

Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.

А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.

Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.

Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.

Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/

Пять минут или пять часов — вот цена незнания системы

Ты получил shell. Курсор мигает от имени www-data. До root — один шаг. Но насколько быстро ты его сделаешь?

🔍 Ручная разведка решает больше, чем кажется. Одна команда id может закрыть вопрос сразу: если пользователь в группе docker или lxd — root достижим без единого эксплойта.

⚡ Дальше в ход идёт LinPEAS: он находит то, что глаз пропускает — capabilities на бинарях, writable PATH-директории, токены в переменных окружения. Плюс разбор LinEnum и ручные техники: SUID-биты, cron-задачи, sudo -l с GTFOBins.

🎯 Весь путь от первой команды после foothold до полного root-доступа — с конкретными командами и объяснением, почему каждая мисконфигурация опасна.

Полный разбор:

https://codeby.net/threads/povysheniye-privilegii-linux-ot-pervichnoi-razvedki-do-root-cherez-linpeas-linenum-i-ruchnyye-tekhniki.92611/

DNSDiag: Набор инструментов для измерения, диагностики и аудита безопасности DNS

DNSDiag — это набор утилит с открытым исходным кодом для измерения производительности DNS-серверов, диагностики проблем с резолвингом и аудита безопасности DNS-трафика. Инструментарий включает три основных компонента: dnsping для измерения задержек и надежности DNS-серверов, dnstraceroute для трассировки пути DNS-запросов и dnseval для сравнительного анализа множества резолверов.

🔎Возможности
- Мониторинг производительности DNS (измерение времени ответа, джиттера и потери пакетов)
- Поддержка современных протоколов (UDP, TCP, DNS-over-TLS, DNS-over-HTTPS, DNS-over-QUIC, DNS-over-HTTP/3)
- Обнаружение возможного перенаправления или перехвата DNS-трафика
- Проверка поддержки DNSSEC и отображение флагов аутентификации
- Поддержка EDNS Client Subnet, DNS Cookies, NSID
- Одновременное тестирование множества DNS-серверов с детальной статистикой

⬇️Установка

pipх install dnsdiag

Проверка

dnsdiag -h

1️⃣Инструмент dnsping - позволяет отправлять произвольные DNS-запросы к указанному серверу и измерять время ответа, аналогично утилите ping
⏺️Базовый ping DNS-сервера

dnsping -c 5 -s 8.8.8.8 google.com

⏺️Ping с DNSSEC и отображением флагов

dnsping -c 3 --dnssec --flags -s 8.8.8.8 cloudflare.com

⏺️Тихий режим (только статистика)

dnsping -c 10 -q -s 1.1.1.1 github.com

2️⃣Инструмент dnstraceroute - трассирует путь DNS-запроса до целевого сервера, позволяя выявить возможный перехват или перенаправление трафика
⏺️Базовая трассировка

dnstraceroute -s 8.8.8.8 google.com

⏺️Трассировка с ASN информацией

dnstraceroute --asn -s 1.1.1.1 cloudflare.com

3️⃣Инструмент dnseval - выполняет сравнительный анализ множества DNS-серверов, отправляя запросы к каждому и собирая статистику производительности
⏺️Оценка публичных DNS-серверов

dnseval -f public-servers.txt -c 10 github.com

⏺️Сравнение с DNSSEC

dnseval --dnssec -c 10 -f public-servers.txt ripe.net

⏺️Анализ результатов через jq

cat results.jsonl | jq -r 'select(.data.r_lost_percent == 0) | .data.resolver'

#DNSDiag #DNSSEC #DNS #tool #pentest #DoQ

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

LLM генерирует рабочие эксплойты — и это уже не фантастика

5 моделей: GPT-4o, Claude, Gemini, Copilot, DeepSeek. 10 CVE. Итог — 100% покрытие: для каждой уязвимости хотя бы одна модель выдала рабочий PoC за 3–4 раунда промптинга. 🎯

Секрет — методология RSA: модели назначают роль («senior security researcher, authorized pentest»), создают легитимный сценарий и последовательно наращивают глубину запросов. Социальная инженерия, только цель — LLM.

LLM встраивается в каждую фазу kill chain:

• Разведка — коррелирует вывод Nmap/subfinder, приоритизирует поверхность атаки
• Анализ кода — ищет паттерны уязвимостей быстрее ручного ревью
• Генерация PoC — работает на типовых CVE, галлюцинирует на нетривиальных chain-эксплойтах

Полный разбор с промптами и кодом:

https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/

Каждый третий сотрудник отдаёт пароль. Добровольно.

🎭 Компании тратят миллионы на файрволы и SIEM — и ломаются на одном звонке от «IT-поддержки». Не потому что сотрудники глупые. Потому что атака бьёт по психике, а не по софту.

Автор статьи проводит легальные red team-проекты: рассылает фишинг, звонит под видом техподдержки, проходит через проходные с поддельным бейджем. Вот что он видит изнутри:

• 34% сотрудников без тренингов кликают на фишинговые письма — каждый третий
• Срочность и страх отключают критическое мышление быстрее любого эксплойта
• Флешка с надписью «Зарплаты руководства» на парковке — и кто-то обязательно воткнёт её в рабочий ПК

🔍 Атака проходит 4 фазы: разведка → контакт → эксплуатация → выход. Если вас торопят с решением или «прощупывают» вопросами о компании — вы уже внутри сценария.

Полный разбор методов и защиты — в статье:

https://codeby.net/threads/sotsial-naya-inzheneriya-metody-atak-i-prakticheskaya-zashchita.92632/