Похек

LinkPro: Новая эра eBPF-руткитов с "магическими пакетами" #malware #eBPF #linux #kernel #hardening Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения. ➡️Hide&Seek Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия. "Магические пакеты" для активации Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.

    
        # Концептуальный пример magic packet
# TCP SYN с window size 54321 активирует Knock модуль
tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[14:2] = 54321'{}
    

При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности. 🔗blog.poxek 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Если ты когда-либо находил баг и получал за него выплату — ты уже часть нашего комьюнити А теперь у тебя есть шанс стать частью истории BUGS ZONE 6.0 Мы запускаем розыгрыш 10 проходок на церемонию награждения, которая пройдет 7 ноября в Москве. Это не просто мероприятие — это встреча тех, кто двигает кибербез вместе. Топовые багхантеры, триажеры, платформа и ты — в одном месте, оффлайн, без аватарок и никнеймов. Чтобы принять участие: 🔹 У тебя есть оплаченный репорт за последний год на любой платформе (нужно будет подтвердить скрином) отправить пруф в ЛС @szybnev или @joe1black 🔹 Ты подписан на каналы Похек и BugXplorer 28 октября мы выберем 10 человек, которым отправим персональные инвайты. 🐞 Удачи и до встречи на BUGS ZONE 6.0!

Ловите вкусные баги прошедшей недели #CVE #Java #AEM #Cisco #Android #Microsoft ➡️SAP NetWeaver AS Java / Insecure deserialization (CVE-2025-42944, CVSS 10.0) Критическая уязвимость в модуле RMI-P4. Имея доступ к открытому RMI-интерфейсу, можно доставить на открытый RMI-порт специально сформированные сериализованные объекты и добиться RCE без аутентификации. ➡️Adobe Experience Manager (AEM) / misconfiguration (CVE-2025-54253, CVSS 10.0) Проблема связана с небезопасной конфигурацией/режимом разработки (devMode) и взаимодействием со Struts/OGNL. Специально сформированные запросы могут привести к выполнению выражений и RCE без аутентификации и без участия пользователя. ➡️Cisco ASA/FTD (CVE-2025-20362 CVSS 6.5, CVE-2025-20333, CVSS 9.9) Недостаточная валидация пользовательского ввода в веб-компоненте VPN + неправильная проверка входа в VPN/WebVPN web-сервере соответственно. Эта пара используется в атаках по меньшей мере с мая 2025 года. Позволяет получать доступ к URL-эндпойнтам, которые должны требовать аутентификацию, и выполнять RCE под root на устройстве. ➡️Android Framework / information disclosure (CVE-2025-48561, CVSS 8.3) Локальное приложение может использовать побочные графические/рендер-сигналы, чтобы восстановить отображаемые на экране данные (2FA-коды, уведомления и т.д.). 0-click + не требует дополнительных прав. Достаточно запустить вредоносный APK на устройстве. ➡️Microsoft Patch Tuesday Microsoft выпустила крупнейший в истории Patch Tuesday с исправлениями 170+ уязвимостей, включая шесть zero-day. Исчерпывающий обзор обновлений с перечислением самых критичных багов есть у Bleeping Computers, Talos и Qualys. 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

как будто даже комментарии не нужны. Для тех кто не в теме, в одном из даркнет форумов выложили якобы слив всех пользаков MAX. Ну это ответ на этот слив)

eBPF как следующая эра в Linux Rootkit-разработке: механизмы, детектирование и активная нейтрализация #ebpf #linux #rootkit #malwdev #malware #red_team #blue_team С момента появления eBPF (Extended Berkeley Packet Filter) в ядре Linux версии 3.18 технология позиционировалась как инструмент для высокопроизводительного мониторинга, сетевой фильтрации и профилирования системных вызовов. Однако с точки зрения безопасности eBPF представляет собой интерпретатор байткода в пространстве ядра, что превращает его в уникальный механизм внедрения и перехвата на уровне kernel-space без загрузки модулей. В последние годы (2022–2025) были зафиксированы кейсы, где eBPF использовался в целях обхода средств защиты, скрытия сетевой активности и модификации поведения системных вызовов. Эта статья описывает реальный подход к: ▪️детектированию вредоносных eBPF-программ ▪️анализу их поведения ▪️активной блокировке загрузки до момента исполнения 🔗blog.poxek 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Кстати вчера исполнилось 5 лет каналу ✨

Всем привет. Хочу выразить огромную благодарность всем, кто приобрёл наш отчёт по рынку AI Security на Boosty. Ваша поддержка была критически важной. Я получил много полезной обратной связи и убедился, что тема действительно востребована. Для тех, кто уже приобрёл отчёт, подготовил бонусы, информацию о которых я отправлю лично тем, кто купил. После тщательного анализа пришёл к выводу, что AI Security — это критически важная и быстро развивающаяся область для России. Убедившись, что широкое распространение этих знаний принесёт гораздо больше пользы сообществу, чем ограничение доступа (как это было с моими репозиториями на GitHub, к примеру), я принял решение сделать отчёт бесплатным. Теперь PDF версию отчёта можно найти в этом посте. Если вы считаете материал ценным, поделитесь им с кем-либо) — думаю, что это поможет создать более сильное и осведомлённое сообщество вокруг AI Security.

🎉 Результаты розыгрыша: 🏆 Победители: 1. Lars (@BARM4L3Y) 2. Serge (@Serge_59) 3. D.K (@moono_neko) 4. Anton (@netskg) 5. Мmm (@Mmm5768) 6. Макс (@hewipa) 7. Padoru (@PadoruPy) 8. 朴贊郁 (@flokiauther) 9. Андрей (@AnKirzhach) Мы поделили победителей на троих части. 7,8,9 местам я отпишусь сегодня в течение дня

Прочитал этот пост после просмотра фильм Трон Арес, ощущение что поймал флешбеки из фильма 😁