ZeroDay | Кибербезопасность

ZeroDay теперь в Максе Пока провайдеры фильтруют трафик и блокируют всё подряд, мы на всякий случай и там тоже.

    
        Тот же контент про кибербез, атаки и цифровую безопасность.{}
    

➡️ Наш канал в MAX #Cybersecurity

Как QUIC и HTTP/3 усложнили анализ трафика для DPI 👋 Приветствую в мире цифровой безопасности! Разберём, почему переход веба на QUIC и HTTP/3 стал серьёзной проблемой для систем DPI и сетевого мониторинга. ⏺Что изменилось в веб-трафике: Долгое время всё было довольно предсказуемо. Браузер открывает TCP-соединение, затем начинается TLS-handshake, после чего идёт HTTP. Для DPI это удобная структура: можно наблюдать этапы соединения, извлекать SNI, ALPN и другие детали, а затем применять правила фильтрации. ⏺HTTP/3 ломает эту привычную модель. Он работает поверх QUIC, а QUIC использует UDP и объединяет транспорт с криптографией. В результате структура соединения становится менее прозрачной для сетевых устройств. ⏺Handshake теперь выглядит иначе: В TCP сначала создаётся соединение, затем начинается TLS. В QUIC эти этапы фактически объединены. Первый же пакет может нести часть TLS-handshake, поэтому анализировать приходится сами QUIC-пакеты, а не последовательность TCP-событий. Простейший пример наблюдения такого трафика:

    
        from scapy.all import sniff
from scapy.layers.inet import IP, UDP

def handle(pkt):
    if UDP in pkt and pkt[UDP].dport == 443:
        print(f"Possible QUIC traffic from {pkt[IP].src} to {pkt[IP].dst}")

sniff(filter="udp port 443", prn=handle, store=0){}
    

UDP:443 ещё не гарантирует HTTP/3, но на практике именно так чаще всего выглядит QUIC-трафик. ⏺Почему DPI теряет видимость: QUIC изначально проектировался с упором на шифрование служебных данных. То, что раньше было видно в TLS-handshake, теперь часто скрыто внутри зашифрованных структур. Для систем фильтрации это означает потерю части привычных ориентиров. Поэтому DPI всё чаще вынужден опираться не на содержимое пакетов, а на косвенные признаки: структуру потока, размеры пакетов, характер обмена. ⏺Что происходит в сетях: Когда содержимое анализировать трудно, в дело идёт поведенческий анализ. Системы смотрят на тайминги пакетов, длительность соединений, объём трафика и распределение потоков между IP-адресами. ⏺Иногда применяют более грубую меру: блокируют UDP:443. Браузер в таком случае автоматически откатывается на HTTP/2 через TCP, где анализ снова становится гораздо проще. ⏺К чему это ведёт: Чем больше сервисов переходит на HTTP/3, тем слабее работает классический deep packet inspection. Сеть всё меньше видит внутренности соединений и всё больше пытается понять их природу по внешнему поведению. ZeroDay | Серверная Админа | #DPI

🤬Chat GPT отключат в РФ Офицальная причина была озвучена такая "Они нагружают систему, но купить платную версию не могут из-за своего местоположения". Другие крупные ИИ-сервисы начинают подхватывать эту политику. Чтоб не стать жертвой изоляции рунета, просто сохрани канал Доктор GPT - мы уже готовим обходку к новой системе безопасности. Не жди бана, подпишись: @gpt

Анализ SMB Relay-атаки в трафике 👋 Приветствую в мире цифровой безопасности! Разберём, как по дампу увидеть SMB relay - атаку, где хакер не знает пароль, но всё равно заходит в систему от имени пользователя. ⏺Почему это прямо опасно: SMB relay использует легитимную NTLM-аутентификацию жертвы и «пересылает» её на другой сервер. Пароль не подбирается, хэш не ломается. Просто доверие сети используется против неё самой. Внутри домена это быстрый способ lateral movement. ⏺Ищем NTLM в SMB, вот фильтр:

    
        ntlmssp{}
    

Нормальная цепочка выглядит так: NEGOTIATE → CHALLENGE → AUTH. Если пользователь аутентифицируется, но сессия внезапно устанавливается на другом хосте - это уже подозрительно. ⏺Несоответствие цели. Нужно проверить:

    
        smb2.session_setup{}
    

Если имя ресурса одно, а IP фактически другой, возможен промежуточный узел, который ретранслирует аутентификацию дальше. ⏺Один пользователь - несколько серверов: Фильтр:

    
        ntlmssp.auth.username == "DOMAIN\\user"{}
    

Почти одновременные попытки входа на разные хосты без активности пользователя - частый индикатор relay. ⏺Связка HTTP и SMB: Relay нередко начинается с принуждения к аутентификации через HTTP, WPAD или UNC-путь.

    
        http.auth or smb2{}
    

Если после HTTP-запроса сразу появляется NTLM-аутентификация по SMB, это может быть принудительный вызов. ⏺Подпись SMB:

    
        smb2.flags.signed == 0{}
    

Если подпись не обязательна и NTLM проходит успешно, relay становится технически возможным. Это одна из ключевых точек контроля. ⏺Что происходит после: После успешной ретрансляции обычно видно подключение к ADMIN$ или C$, создание файлов, запуск сервисов:

    
        smb2.tree_connect
smb2.create{}
    

ZeroDay | Бункер Хакера | #SMB

Виртуалка не стартует. Сеть не поднимается. Команды не работают 🥲 Вроде все как пишут пентестеры в гугле: скачал Kali Linux, настроил виртуальную среду, запустил nmap... А оно либо не пашет, либо выдает ошибку, либо ты просто не понимаешь, должен ли так выглядеть результат ⁉️ Можно еще десяток статей перечитать, форумы изучить, видео пересмотреть. Но пока кто-то не покажет пошагово - "сделай раз, сделай два, вот тут должно заработать" - возиться можно до бесконечности. ❇️ Ребята из Merion Academy (того самого YouTube-канала про IT) знают эту боль, поэтому подготовили для тебя бесплатные вводные уроки по этичному хакингу. Что внутри: ✔️ Лаборатория пентестера - пошаговая установка Kali Linux. Чтобы работало с первого раза. ✔️ Пентест в действии - смотришь, как это делает профи. ✔️ Пентест на практике - сам пробуешь: ping, nmap, сканируешь порты. ➡️ Запишись на бесплатные вводные уроки Разберешься пошагово и все заработает. Реклама: ИП Корольков Андрей Петрович ИНН 025609862202 erid: 2VtzqxbsoTr

4 марта - бесплатный день в Музее криптографии 👋 Приветствую в мире цифровой безопасности! Сегодня Всемирный день инженерии. Если вы из тех, кто строит, ломает и чинит системы - есть повод выбраться. ⏺Музей криптографии в Москве открывает двери бесплатно: для инженеров и студентов профильных специальностей. Показываете на кассе диплом или студенческий, и проходите. С вами бесплатно ещё один взрослый и двое детей. ⏺Там есть на что посмотреть: реальные шифровальные машины, история крипто от Цезаря до наших дней, и всё это можно потрогать руками. 📍 Москва, ул. Ботаническая, 25, стр. 4 ⏰ 11:00–20:00 ZeroDay | Бункер Хакера | #музей

💻Пока одни ставят антивирус, другие уже в дампе. Хочешь понимать, как реально ломают, а не как пишут в учебниках? Где фейлы DevOps превращаются в RCE, а «я просто открыл PDF» — в инцидент Здесь ты найдёшь: — хакинг без розовых пони — инфобез с матом и фактами — разборы уязвимостей, эксплойтов и громких взломов — мемы, после которых SOC плачет 🫵Подписывайся! 😂Предупреждение: после подписки ты начнёшь подозрительно смотреть на Wi-Fi и обновления.

Выявляем атаки на Linux с помощью auditd и UserGate SIEMДля того чтобы своевременно выявлять атаки на уровне хоста, необходимо правильно настроить auditd. Как применять этот инструмент с максимальной пользой, расскажем на вебинаре.Вы узнаете:— как auditd увеличивает сбор событий и расширяет покрытие инфраструктуры— какие правила auditd нужны для мониторинга системных вызовов, доступа к файлам и привилегированных действий— как выявляются запуск подозрительных команд, копирование сторонних библиотек, изменение sudoers и запуск bash от root— как тюнинговать корреляции и снижать количество ложных срабатываний— практический чек-лист по настройке auditd и мониторингу критичных действийСпикеры:— Дмитрий Чеботарёв, менеджер по развитию UserGate SIEM— Роман Спицын, ведущий инженер UserGateКогда: 5 марта, 10:00 (МСК)Зарегистрироваться

ronin-exploits: микрофреймворк для написания и запуска эксплойтов 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺ronin-exploits - Ruby-микрофреймворк для написания и запуска эксплойтов, позиционирующий себя как упрощённый и модульный аналог Metasploit. ⏺Каждый эксплойт - это обычный Ruby-класс в отдельном файле. Никакого глобального состояния, никаких скрытых зависимостей. Эксплойт полностью изолирован и может быть запущен напрямую, без тяжёлого фреймворкового окружения. ⏺Широкий охват векторов атаки: Фреймворк предоставляет готовые базовые классы для Stack Overflow, SEH Overflow, Heap Overflow, Use After Free, Command Injection, LFI/RFI, SQLi, XSS, SSTI и Open Redirect. Каждый тип сводит шаблонный код к минимуму - только логика конкретного эксплойта. ⏺Распределённая экосистема: Встроенных эксплойтов нет намеренно. Репозитории с эксплойтами устанавливаются через ronin-repos из обычных git-репозиториев. Это исключает риск блокировки всей базы из-за одного инструмента. ⏺Запускаем так: Установка:

    
        gem install ronin-exploits{}
    

Создать заготовку эксплойта:

    
        ronin-exploits new my_exploit.rb --type stack-overflow \
    --arch x86 --os linux --software ExampleWare \
    --author YourName --summary "My exploit"{}
    

Установить сторонний репозиторий эксплойтов:

    
        ronin-repos install https://github.com/user/exploits.git{}
    

Запустить эксплойт с параметрами:

    
        ronin-exploits run my_exploit --param host=192.168.1.1 --param port=9999{}
    

Запустить с шеллкодом из файла:

    
        ronin-exploits run my_exploit --param host=192.168.1.1 \
    --read-payload shellcode.bin{}
    

ZeroDay | Серверная Админа | #Инструмент

TLA+ на практике: проверяем алгоритм до внедрения Разбор кейса показывает, как можно убедиться, что механизм блокировки пользователей в NGFW работает правильно ещё до того, как его включат. Вместо ручных скриптов и догадок - формальная верификация. ⏺В статье от постановки задачи (полные и неполные периоды блокировки, защита суперадминистратора) до того, как алгоритм оформляется в PlusCal/TLA+ и проверяется с помощью TLC. Наглядно показано, как визуализация временной линии и формальные спецификации помогают поймать ошибки заранее, а не на боевых пользователях. ZeroDay | Бункер Хакера | #Статья