ZeroDay | Кибербезопасность

Fastflux: как быстро уходить от блокировок? 👋 Приветствую в мире цифровой безопасности! Расскажу, как работает Fast Flux. ⏺Что такое Fast Flux: это техника, которую используют хакеры, скрывая свои вредоносные серверы, постоянно меняя их IP-адреса. И да, этот способ делает их сайты и ботнеты сложными для обнаружения и блокировки. 3 столпа, на которых держится fastflux 1️⃣Частая смена IP-адресов — суть метода в том, что DNS-записи обновляются буквально каждую минуту, что делает сайт или сервер трудноуловимым. 2️⃣Сеть заражённых устройств — вместо одного сервера злоумышленники используют целую армию заражённых машин, которые перенаправляют трафик, маскируя источник атаки. 3️⃣Двухуровневый Fast Flux — это более сложная версия, в которой не только конечные серверы, но и промежуточные узлы меняют IP-адреса, создавая почти невидимую инфраструктуру. ⏺Как вы поняли, Fast Flux делает блокировку вредоносных сайтов ну сильно запарнее — как только заблокирован один IP, хакеры тут же переключают трафик на новый. ⏺Как защититься: Начнем с анализа DNS-записей и трафика на необычные изменения. Ну и не забываем подключать методы блокировки, которые учитывают поведение сети — они помогут быстрее поймать кого нужно. ZeroDay | #fastflux

eBPF в безопасности 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о том, как eBPF влияет на безопасность систем ⏺Что такое eBPF: очень и очень нужный инструмент, который работает на уровне ядра ОС. С ним можно фильтровать трафик, блокировать DDoS-атаки, анализировать пакеты и даже отслеживать поведение процессов. Все это поможет ловить угрозы на самых ранних стадиях. ⏺Но вот и подводный камень: ну как и почти что любая технология, eBPF может работать не только на вашу защиту. Хакеры уже научились использовать его для маскировки своих действий. вредоносы, такие как Boopkit, BPFDoor и Symbiote, внедряются в ядро, под чистую скрывают свои процессы и трафик, обходя любые системы защиты. ⏺Как же избежать этого: Ну тут ничего нового я не скажу. Контролируем доступ к eBPF-программам, ограничиваем их права и регулярно проверяем их поведение. В общем то все! ZeroDay | #ebpf

📝 Как работает атака DNS Cache Poisoning (отравление кеша DNS) Заходим на привычный сайт, а вместо него — точная копия, но созданная хакером. Как это возможно? А вот так работает отравление кэша. ⏺Хакер отправляет поддельный ответ на DNS-запрос, утверждая, что, например, foo.com теперь имеет IP-адрес 10.0.10.100 (а не реальный 192.168.1.100). ⏺DNS-резолвер доверяет ложным данным и сохраняет их в кеш. Теперь любой, кто запрашивает foo.com, получит поддельный IP. ⏺В итоге жертва заходит не на настоящий сайт, а как вы уже догадались, на поддельный, где хакер крадет данные, пароли или устанавливает вредонос. ZeroDay | #атака

Расширенная маскировка трафика: ESNI, V2Ray и Covert Channels Часть 2 👋 Приветствую в мире цифровой безопасности! Сегодня разберем, как усилить маскировку с помощью ESNI, V2Ray и скрытых каналов передачи данных. ⏺ESNI против SNI-фильтрации: Когда подключаетесь к сайту по HTTPS, провайдер все равно видит домен через SNI (Server Name Indication). Так можно легко заблокировать целые сайты, даже если у вас VPN или прокси. ⏺И тут Encrypted SNI (ESNI) решает проблему, зашифровывая эту информацию. На Cloudflare ESNI включается прямо в браузере: • Открываем about:config в Firefox • Ищем network.security.esni.enabled • Ставим true ⏺V2Ray: превращаем трафик в обычный веб: Shadowsocks хорош, но его можно обнаружить. V2Ray позволяет маскировать соединения, превращая их в обычные HTTP-запросы. Устанавливаем V2Ray на сервер:

    
        bash <(curl -L https://install.direct/go.sh){}
    

Настраиваем config.json:

    
        {
  "inbounds": [{
    "port": 443,
    "protocol": "vmess",
    "settings": { "clients": [{ "id": "uuid" }] },
    "streamSettings": {
      "network": "ws",
      "wsSettings": { "path": "/myproxy" }
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}{}
    

⏺Covert Channels: передача данных в неожиданных местах: Что если DPI фильтрует вообще все, кроме разрешенного трафика? Можно передавать данные там, где их ну точно не ждут: 1️⃣ICMP туннелинг (DNSCat2) — прячем трафик в пингах 2️⃣DNS туннелинг (iodine) — передаем данные через DNS-запросы 3️⃣HTTP(S) covert channel — запаковываем полезную нагрузку в GET/POST-запросы Пример ICMP-туннеля:

    
        sudo apt install iodine
iodined -f 10.0.0.1 mydomain.com{}
    

На клиенте:

    
        iodine -f 10.0.0.1 mydomain.com{}
    

ZeroDay | #маскировкатрафика

📣 БЕСПЛАТНЫЙ ВЕБИНАР WAPT & SQLiM: взламываем веб как профессионалы Настоящий пентест — это не только сканеры, но и глубокий анализ, ручная эксплуатация и работа с эксплоитами. Покажем на практике, как это делают эксперты! Ждем вас 3 апреля 19:00 (МСК). Регистрация здесь. Что разберём: 🔸 Поиск уязвимостей через фаззинг 🔸 Реальные SQL- и командные инъекции (с выводом RCE) 🔸 Эскалация привилегий после взлома 🔸 Разбор похожих задач из курсов WAPT и SQLiM Бонусы для участников: ✅ Доступ к записи ✅ Чек-лист "ТОП-5 ошибок в пентесте веба" ✅ Подарок для всех зрителей! Спикер: Александр Медведев 😎 🔴 OSWE, OSCP, CWAPT, SQLIM и др., 3х-кратный победитель Standoff 🔴 Опыт в пентестах — 12+ лет 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

CloudFail: как обойти защиту Cloudflare и раскрыть скрытые IP 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺CloudFail — ну это прямо подарок для пентестеров. Он использует старые БД и уязвимые DNS-записи, чтобы выявить реальные IP, скрытые за защитой Cloudflare. И да, всё это делается через Tor, так что с анонимностью все ок 🤫 ⏺Как работает: 1️⃣Ищет уязвимости в DNS-записях через DNSDumpster. 2️⃣Проверяет IP-адреса в базе Crimeflare — это утечка старых данных. 3️⃣Перебирает более 2500 субдоменов, используя метод брутфорса. ⏺Что нового: В форке исправлены старые ошибки с API, добавлена возможность генерировать отчёты и выводить IP в удобном списке. ZeroDay | #Инструмент

Редтимим мониторинг: рекон Grafana Grafana — это не простой инструмент для анализа данных, а порой и уязвимая точка входа в корпоративную сеть. Получив доступ, хакеры могут обойти защиту и расширить атаку в сети. А это уже неприятно, да? 🙄 ⏺В статье рассказано, как использовали Grafana для сканирования портов, SSRF-атак и обхода авторизации с помощью брутфорса. ZeroDay | #Статья

😈ТОП 3 канала для тех, кто увлекается хакингом и ИБ: Этичный Хакер — крупнейший в СНГ канал по информационной безопасности. Архив Безопасника — полезные github-инструменты для пентеста, сетевой разведки, xss, криптографии. Не хакинг, а ИБ — канал для хакеров, которые не хотят попасть за решетку. OSINT, CTF, пентест, социальная инженерия.

Бюджет в кибербезе и масштабы проблем 😂 ZeroDay | #мем

Маскирование трафика с Cloudflare, DNS over HTTPS (DoH) и Shadowsocks 👋 Приветствую в мире цифровой безопасности! Сегодня разберем, как можно замаскировать трафик при Red Team-операциях и не только. ⏺Зачем это нужно: Если ваш трафик мониторится Deep Packet Inspection (DPI) или ограничивается провайдерами, то стандартные VPN и прокси могут не сработать. DoH + Shadowsocks помогают скрывать трафик, обходить блокировки и не палиться. ⏺Включаем DoH (DNS over HTTPS): Чтобы скрыть DNS-запросы от провайдера и DPI, включаем DoH с серверами Cloudflare (1.1.1.1). Проверяем, поддерживает ли система DoH:

    
        resolvectl status{}
    

Настраиваем Cloudflare DoH в systemd-resolved:

    
        sudo nano /etc/systemd/resolved.conf{}
    

Добавляем:

    
        [Resolve]
DNS=1.1.1.1#cloudflare-dns.com
FallbackDNS=1.0.0.1#cloudflare-dns.com
DNSOverTLS=yes{}
    

Применяем настройки:

    
        sudo systemctl restart systemd-resolved{}
    

⏺Поднимаем Shadowsocks и тем самым скрываем реальный трафик. Shadowsocks не просто шифрует трафик — он делает его похожим на обычный HTTPS, обходя DPI. Устанавливаем сервер Shadowsocks:

    
        sudo apt install shadowsocks-libev{}
    

Открываем конфиг /etc/shadowsocks-libev/config.json:

    
        {
  "server": "0.0.0.0",
  "server_port": 8388,
  "password": "SuperSecret",
  "method": "chacha20-ietf-poly1305"
}{}
    

Запускаем сервер:

    
        sudo systemctl start shadowsocks-libev
sudo systemctl enable shadowsocks-libev{}
    

⏺Скрываем IP за Cloudflare: Теперь трафик зашифрован, но IP-сервер все еще виден. Тут нужен cloudflare. Сначала добавляем домен в Cloudflare и включаем Proxy Mode. И далее активируем Argo Tunnel, чтобы трафик шел через Cloudflare без прямого IP-соединения:

    
        cloudflared tunnel create my-tunnel
cloudflared tunnel route dns my-tunnel mydomain.com
cloudflared tunnel run my-tunnel{}
    

ZeroDay | #redteam #маскировкатрафика

Fastflux: как быстро уходить от блокировок? 👋 Приветствую в мире цифровой безопасности! Расскажу, как работает Fast Flux. ⏺Что такое Fast Flux: это техника, которую используют хакеры, скрывая свои вредоносные серверы, постоянно меняя их IP-адреса. И да, этот способ делает их сайты и ботнеты сложными для обнаружения и блокировки. 3 столпа, на которых держится fastflux 1️⃣Частая смена IP-адресов — суть метода в том, что DNS-записи обновляются буквально каждую минуту, что делает сайт или сервер трудноуловимым. 2️⃣Сеть заражённых устройств — вместо одного сервера злоумышленники используют целую армию заражённых машин, которые перенаправляют трафик, маскируя источник атаки. 3️⃣Двухуровневый Fast Flux — это более сложная версия, в которой не только конечные серверы, но и промежуточные узлы меняют IP-адреса, создавая почти невидимую инфраструктуру. ⏺Как вы поняли, Fast Flux делает блокировку вредоносных сайтов ну сильно запарнее — как только заблокирован один IP, хакеры тут же переключают трафик на новый. ⏺Как защититься: Начнем с анализа DNS-записей и трафика на необычные изменения. Ну и не забываем подключать методы блокировки, которые учитывают поведение сети — они помогут быстрее поймать кого нужно. ZeroDay | #fastflux

eBPF в безопасности 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу о том, как eBPF влияет на безопасность систем ⏺Что такое eBPF: очень и очень нужный инструмент, который работает на уровне ядра ОС. С ним можно фильтровать трафик, блокировать DDoS-атаки, анализировать пакеты и даже отслеживать поведение процессов. Все это поможет ловить угрозы на самых ранних стадиях. ⏺Но вот и подводный камень: ну как и почти что любая технология, eBPF может работать не только на вашу защиту. Хакеры уже научились использовать его для маскировки своих действий. вредоносы, такие как Boopkit, BPFDoor и Symbiote, внедряются в ядро, под чистую скрывают свои процессы и трафик, обходя любые системы защиты. ⏺Как же избежать этого: Ну тут ничего нового я не скажу. Контролируем доступ к eBPF-программам, ограничиваем их права и регулярно проверяем их поведение. В общем то все! ZeroDay | #ebpf