ZeroDay | Кибербезопасность

Как работают DPI и ТСПУ: как провайдеры фильтруют трафик в реальном времени. Часть 2 👋 Приветствую в мире цифровой безопасности! Если раньше мы разобрали блокировки по SNI и DNS, теперь - что происходит, когда домен скрыт и трафик формально «чистый». ⏺IP и подсети как первый рубеж: При недоступности SNI (например, при ECH) фильтрация смещается на уровень IP и ASN. В блок-листы попадают целые диапазоны, хостинги или инфраструктура конкретного провайдера. Метод грубый, но быстрый - вместе с целью могут пострадать и сторонние сервисы на том же адресе. ⏺Fingerprint TLS: Даже без расшифровки видны параметры рукопожатия: версии, порядок cipher suites, расширения. Эти данные формируют отпечаток клиента (JA3/JA4). Если он совпадает с известным VPN или прокси, соединение может быть помечено как подозрительное. ⏺Active probing: При обнаружении характерного handshake DPI может инициировать проверку - самостоятельно подключиться к серверу и попытаться воспроизвести протокол туннеля. Если подтверждается VPN-сервис, IP оперативно блокируется. ⏺Поведенческий анализ: Когда сигнатур недостаточно, анализируются метрики сессии: размер стартовых пакетов, тайминги, симметрия потоков, длительность соединения. VPN и туннели часто имеют стабильный и долгоживущий профиль, который отличается от обычного веб-трафика. ⏺Активное вмешательство: Блокировка - это не всегда drop. Часто применяются: ➡️инъекция TCP RST ➡️принудительный обрыв handshake ➡️подмена ответа заглушкой Соединение выглядит так, будто его завершила удалённая сторона. ⏺Централизация через ТСПУ: ТСПУ агрегирует телеметрию со всех узлов DPI и обновляет политики фильтрации централизованно. Новые сигнатуры, IP и модели поведения распространяются по сети в режиме почти реального времени. ZeroDay | Серверная Админа | #DPI

В России запустили межбанковский обмен риск-индикаторами для борьбы с мошенничеством На полях Уральского форума «Кибербезопасность в финансах» Сбер совместно с НСПК запустили механизм защиты переводов через СБП с помощью ИИ в реальном времени. Зампред правления Сбербанка Станислав Кузнецов заявляет, что это позволит обезопасить периметр российской финсистемы и защитить деньги граждан от мошенников. ⏺ Банки делятся сценарной логикой — признаками операций, которые с высокой вероятностью указывают на мошенничество. Риски видны в момент проведения платежа. ⏺Обмен происходит без передачи персональных данных клиентов — используется строго определённый технический набор информации для предотвращения противоправных действий. ⏺ Механизм уже реализован на стороне НСПК. Сбер начал пилот ещё до массового запуска и сейчас прорабатывает расширение перечня риск-индикаторов. К проекту уже подключился банк-партнёр, интегрировавший подход в свои антифрод-процессы. ⏺В перспективе сервис может стать отраслевым стандартом. Банкам предлагают закреплять эффективные методики в протоколах и активнее подключаться к обмену индикаторами подозрительных операций (ИПО). ZeroDay |#Безопасность

Как работает Tor: луковая маршрутизация и разделённое доверие 👋 Приветствую в мире цифровой безопасности! Разберёмся, как устроена сеть TOR Project и что на самом деле происходит, когда трафик идёт через Tor. ⏺В чём идея вообще: Tor построен на принципе «луковой маршрутизации» (onion routing). Клиент не отправляет трафик напрямую к сайту. Он заранее выбирает цепочку из трёх узлов: entry (guard), middle relay и exit. Каждый из них знает только своего соседа, но не всю цепочку целиком. ⏺С чего всё начинается: при старте клиент обращается к directory authorities - специальным доверенным серверам, которые публикуют список доступных реле. На основе этого списка формируется маршрут. ⏺Как выбирается путь: обычно это три узла - ➡️entry node (видит ваш реальный IP, но не знает конечную цель), middle relay (транзитный слой), ➡️exit node (видит конечный сайт, но не знает, кто был изначальным отправителем). Ни один узел не обладает полной картиной. ⏺Где появляется «лук»: перед отправкой данные шифруются в несколько слоёв - по одному на каждый узел цепочки. Снаружи - слой для entry, внутри же для middle, ещё глубже - для exit. Каждый узел снимает только свой слой шифрования и передаёт дальше. ⏺Что на выходе: exit-узел расшифровывает последний слой Tor-шифрования и отправляет трафик в обычный интернет. Если используется HTTPS, дальше работает уже TLS. Если нет - трафик после exit может быть прочитан. ZeroDay | Серверная Админа | #безопасность

⚡️ Экономьте до 30% бюджета на хранении данных Выбирайте класс хранилища под задачу в Selectel S3 от 0,81 ₽/мес за 1 ГБ: 📊 для востребованных данных — стандартное хранилище, 🗄 для резервных копий — холодное, 📦 для логов, бэкапов и архивов — ледяное — без обязательного срока хранения данных. Переносите данные в S3 Selectel по акции «миграционные каникулы»: первый месяц хранение и входящие запросы будут бесплатными. Создавайте заявку и переносите данные без лишних расходов → https://slc.tl/xwel2 Реклама. АО "Селектел". erid:2W5zFGE6ZGd

Уже 70% кибератак автономно отбивает ИИ В день старта Уральского форума «Кибербезопасность в финансах» вышло интервью Сергея Лебедя «Ведомостям». Вице-президент Сбера рассказал о трендах киберландшафта и о том, как компании предотвращают современные инциденты. ⏺Злоумышленники всё чаще пытаются взломать гигантов через «дочки» или контрагентов. В мире число таких атак выросло вдвое, поэтому Сбер активно подтягивает уровень киберзрелости всей своей группы. ⏺В SOC Сбера работает мультиагентная система, которая самостоятельно закрывает 70% инцидентов без участия человека. Она сама анализирует угрозы, строит план действий и блокирует атаки, сократив время анализа в 20 раз. ⏺ Чтобы опережать хакеров, банк использует мультиагентную атакующую ИИ-систему, которая постоянно сканирует периметр и ищет слабые места на всех цифровых поверхностях, а затем «учится» их защищать. Прямо как цифровой иммунитет ⏺Платформа киберразведки X Threat Intelligence от Сбера доступна бесплатно для всех российских компаний. К ней уже подключено более 500 организаций, от финтеха до сырьевого сектора. ZeroDay |#Безопасность

AI как прокси для C2: Copilot и Grok в цепочке управления атакой 👋 Приветствую в мире цифровой безопасности! Исследователи показали новую технику - AI as a C2 proxy. В рамках PoC в качестве промежуточного узла управления использовались Microsoft Copilot и Grok. ⏺Смена роли AI: Если раньше модели применялись для генерации фишинга или написания малвари, теперь они становятся частью инфраструктуры. Имплант на заражённой машине отправляет специально сформированный запрос ассистенту. Тот обращается к указанному URL, получает данные с сервера атакующего и возвращает их в ответе. Малварь интерпретирует результат как команду. ⏺Трафик без подозрений: Со стороны сети всё выглядит как обычное взаимодействие сотрудника с AI-инструментом. Никаких прямых соединений с неизвестным C2-доменом. Никаких нестандартных портов. Только легитимный сервис, который уже разрешён политиками безопасности. ⏺Без API-ключей: Метод не требует украденных токенов или интеграции через официальный API. Используется стандартный веб-доступ. Это усложняет реакцию, блокировка учётной записи или отзыв ключа не разрывают канал. ⏺AI как внешний decision engine: Более интересный сценарий - использование модели не только для передачи команд, но и для анализа обстановки. Имплант может отправить данные о системе и получить рекомендации: стоит ли развивать атаку, какие механизмы обхода применить, какие процессы завершить. Логика принятия решений частично выносится наружу. ⏺Эволюция LOTS: Концепция living-off-trusted-sites выходит на новый уровень. Вместо облачных хранилищ или CDN в качестве прикрытия используется AI-платформа. Это усложняет атрибуцию и снижает вероятность триггера детектирующих систем. ⏺Смежные исследования: Ранее команда Palo Alto Networks Unit 42 показала, как через API LLM можно динамически генерировать вредоносный JavaScript в браузере жертвы. Код собирается на лету, минуя сигнатурный анализ и статические фильтры. ZeroDay | #атака

Хочешь в хакинг? Тогда читай мой канал. В нём ты узнаешь с чего начать, увидишь интересные кейсы из социальной инженерии, прочувствуешь все прелести пентеста на себе прочитаешь про забавные случаи из мира ИБ и посмеёшься над тупыми инфоцыгами. 🐈‍⬛Дорожная карта со стажёра до мидла 🐈‍⬛ О важности методологии в ИБ 🐈‍⬛ Переиграли мошенника и угнали его акк Сфинкс. Подписаться.

Naabu: быстрый порт-сканер для разведки поверхности атаки 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺Naabu - лёгкий порт-сканер на Go, ориентированный на скорость и масштаб. Он делает SYN/CONNECT/UDP-сканирование, поддерживает IPv4/IPv6, ASN и списки целей. Его задача не анализировать сервис глубоко, а быстро определить, какие порты действительно открыты. ⏺Философия: Минимум логики - максимум производительности. Naabu идеально вписывается в пайплайны: сначала быстрое выявление портов, затем передача результатов в инструменты сервис-детекции и поиска уязвимостей. ⏺Установка:

    
        go install -v github.com/projectdiscovery/naabu/v2/cmd/naabu@latest{}
    

Простой запуск по домену:

    
        naabu -host example.com{}
    

По умолчанию сканируются наиболее популярные порты. ⏺Контроль диапазона: Полный диапазон 1–65535:

    
        naabu -p - -host example.com{}
    

Или конкретный набор, включая UDP:

    
        naabu -p 80,443,u:53 -host example.com{}
    

⏺Работа в пайплайне: Naabu часто используется как первый этап автоматизации:

    
        echo example.com | naabu -silent | httpx -silent{}
    

Сначала находятся открытые порты, затем сразу проверяется, какие из них реально поднимают веб-сервисы. ⏺Интеграция с Nmap: После быстрой разведки можно запустить углублённый анализ:

    
        echo example.com | naabu -nmap-cli 'nmap -sV'{}
    

Naabu передаст найденные порты в Nmap для определения сервисов и версий. ZeroDay | #Инструмент