24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
GreyNoise отслеживает кампанию, нацеленную на порталы Palo Alto GlobalProtect с попытками входа в систему и запуском сканирования конечных точек API SonicWall SonicOS.
Активность началась 2 декабря и исходила с более чем 7000 IP-адресов из инфраструктуры, которой управляет немецкая IT-компания 3xK GmbH, которая управляет собственной сетью BGP (AS200373) и выступает в качестве хостинг-провайдера.
Изначально злоумышленник атаковал порталы GlobalProtect, используя методы подбора и попытки входа в систему, а затем переключился на сканирование конечных точек API SonicWall.
По данным GreyNoise, попытки входа в систему GlobalProtect были направлены на два профиля в сенсорной сети компании для пассивного захвата сканирования и эксплуатации.
Исследователи утверждают, что для всплеска использовались фингерпринты трех клиентов, ранее зафиксированные при попытках сканирования в период с конца сентября по середину октября.
В прошлом эта активность исходила от четырех ASN, не имевших истории вредоносной активности, и генерировала более 9 млн. не поддающихся подмене HTTP-сеансов, в основном направленных на порталы GlobalProtect.
В середине ноября GreyNoise также фиксировала активность инфраструктуры 3xK Tech GmbH, сканирующей VPN-порталы GlobalProtect c 2,3 млн. сеансов сканирования.
Большинство атакующих IP (62%) находились в Германии и использовали те же самые отпечатки TCP/JA4t.
На основании проанализированных показателей компания уверенно приписывает оба вида деятельности одному и тому же субъекту.
Затем 3 декабря те же три фингерпринта детектировались при сканировании активности, нацеленной уже на SonicWall SonicOS API.
Вредоносное сканирование этих конечных точек обычно проводится для выявления уязвимостей и ошибок конфигурации.
GreyNoise ранее отмечала, что такое сканирование также позволяет обнаружить уязвимую инфраструктуру для подготовки к потенциальной эксплуатации будущих уязвимостей.
По этой причине защитникам рекомендуется отслеживать IP-адреса, связанные с этим типом деятельности, и блокировать их.
Также рекомендуется отслеживать аутентификации на предмет аномальной скорости/повторяющихся сбоев, отслеживать повторяющиеся клиентские фингерпринты и использовать динамическую, контекстно-зависимую блокировку вместо статических списков репутации.
В свою очередь, Palo Alto Networks заявила, что обнаружила усиление сканирования, нацеленного на интерфейсы GlobalProtect, и подтвердила, что это «атаки на основе учетных данных, а не эксплуатация уязвимости ПО».
Так или иначе, Palo Alto Networks рекомендовала клиентам использовать MFA для защиты от несанкционированного использования учетных данных.
От обнаружения до изоляции: как автоматизировать реагирование на киберинциденты
Построение эффективной системы защиты требует не только обнаружения угроз, но и мгновенного реагирования. Приглашаем на практический вебинар, где покажем, как автоматизировать полный цикл противодействия атакам с помощью продуктов экосистемы UserGate SUMMA.
В программе:
— Выявление успешной фишинговой атаки с запуском шифровальщика
— Мгновенная изоляция зараженного хоста для остановки распространения угрозы
— Координация действий uSIEM, uClient, uMC и uNGFW для автоматического блокирования атаки и уведомления команд ИТ и ИБ
— Сокращение времени реагирования с часов до нескольких минут без участия человека на этапе сдерживания
Спикеры:
— Роман Спицын, Presale-инженер
— Дмитрий Чеботарёв, Менеджер по маркетингу uSIEM
— Яна Заковряжина, Менеджер по маркетингу uClient
Когда: 11 декабря, 10:00 (МСК)
Присоединяйтесь, чтобы узнать о всех преимуществах слаженной работы экосистемы UserGate SUMMA.
Зарегистрироваться
🗂 Диспетчер файлов.
• Мало кто знает, но еще 6 апреля 2018 года компания Microsoft выложила на GitHub исходный код оригинальной версии Windows File Manager, который поставлялся в составе операционной системы Windows в 90-е годы, а также доработанную и улучшенную версию Диспетчера файлов. В своё время эта программа стала первым графическим менеджером файлов от Microsoft. Она позволяла копировать, перемещать и удалять файлы, выделяя их мышью.
• Стоит напомнить, что самая первая 16-битная версия Windows File Manager поддерживала только имена файлов в формате 8.3. Поддержки длинных имён файлов не было, как и поддержки пробелов в именах. Если Диспетчеру приходилось отображать длинные файлы, то он показывал только первые шесть символов, затем символ тильды "~" и число, обычно единицу. Если папка содержала несколько файлов с одинаковыми первыми шестью символами в названии, то им присваивались цифры 2, 3 и так далее.
• Затем программу переписали под 32 бита для Windows NT. Она уже могла отображать длинные имена файлов и поддерживала файловую систему NTFS.
• В 1990-1999 годы Диспетчер файлов оставался стандартным компонентом Windows и поставлялся в составе операционной системы. Последняя версия файла WINFILE.EXE build 4.0.1381.318 поставлялась в составе Windows NT 4.0 Service Pack 6a (SP6a). Последняя 16-битная версия WINFILE.EXE build 4.90.3000 — в составе операционной системы Windows Me.
• Представленный исходный код скопирован из ветки Windows NT 4 в ноябре 2007 года. Он содержит некоторые изменения по сравнению с оригинальной версией WinFile.exe. Эти изменения нужны главным образом для того, чтобы программа нормально работала на современных версиях Windows, в том числе на 64-битных версиях и на базе Visual Studio.
• Отличительная особенность Windows File Manager — поддержка многодокументного интерфейса Multiple Document Interface (MDI). Это такой способ организации графического интерфейса, в котором большинство окон расположены внутри одного общего окна. Этим он и отличается от распростарнённого сейчас однодокументного интерфейса (SDI), где окна располагаются независимо друг от друга.
• Скомпилировав и запустив этот артефакт на современной машине, вы оцените потрясающую обратную совместимость программ под Windows, ведь софт 35-летней давности почти без модификаций работает на последней ОС. Если вы не работали на первых версиях Windows, то можете оценить, какими программами приходилось тогда пользоваться. Только учтите, что в начале 90-х и сама Windows 3.0, и этот Диспетчер файлов заметно тормозили на многих персональных компьютерах. Специально для установки Windows 3.0 приходилось докупать несколько мегабайт оперативной памяти, а иногда и апгрейдить процессор, например, с 20 МГц до 40 МГц. Но в награду пользователь получал текстовый редактор Word под Windows с поддержкой множества кириллических шрифтов и форматированием WYSIWYG — вместо убогого однообразия «Лексикона» или Word под DOS.
➡️ https://github.com/Microsoft/winfile
#Разное
Ресерчеры Лаборатории Касперского отметили новые элементы в атаках хактивистских группировок 4BID, BO Team и Red Likho, где «один за всех и все за одного».
По данным ЛК, в последние месяцы наблюдается растущая тенденция к синхронным атакам нескольких хактивистов на одни и те же организации.
Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится сложно идентифицировать TTPs конкретных групп.
В рамках исследования ландшафта киберугроз, нацеленных на российский сегмент, в ЛК подробно изучили серию кампаний, о которых публично заявляла проукраинская группа 4BID.
В системах их жертв удалось задетектить артефакты, связанные с активностью двух других известных групп хактивистов: BO Team и Red Likho.
В частности, в некоторых случаях атакованная 4BID инфраструктура также была заражена бэкдором GoRed, связанным с Red Likho, и ZeronetKit, атрибутированным к BO Team.
Обе группы известны проведением широко масштабных операций в отношении российских компаний.
Исследователи отмечают, что 4BID заявили о себе в начале 2025 года, медийно освещая свои атаки в Telegram-канале.
Злоумышленники атакуют российские организации в сфере промышленности, здравоохранения и госсекторе.
Причем изначально 4BID выбирала цели малого калибра, атакуя небольшие региональные компании, однако позже группа переключилась на более крупные предприятия.
Наличие в инфраструктуре жертв инструментария сразу нескольких групп (ransomware 4BID, бэкдоры BO Team и Red Likho, а также другие уникальные компоненты) свидетельствует об общем целеполагании и глубокой кооперации проукраинского кластера угроз.
В новом отчете исследователи ЛК раскрывают технические подробности наблюдаемой активности 4BID и ее пересечения с другими хактивистами.
Из наиболее интересных находок - пакет из нескольких файлов, каждый из которых отвечает за определенные задачи и запускает следующий.
Причем первый PowerShell-скрипт Edgeupdate.ps1 ранее не встречался в публичных репозиториях вредоносных ПО и не был замечен в других атаках, что позволяет предположить, что это специализированный инструмент, вероятно, разработанный для конкретной кампании.
Он выполнял ряд скрытых деструктивных операций для защиты от обнаружения и закрепления в системе (ведение журнала, блокировка устройств ввода, создание и добавление пользователя в группу локальных администраторов, загрузка в безопасном режиме с поддержкой сети, отключение протокола ms-contact-support и под завершение - удаление следов своей работы с перезагрузкой и фейковым экраном обновления).
В атаках 4BID также был найден образец новой программы-вымогателя, который назвали Blackout Locker.
Он написан на C/C++ и, несмотря на сходство имени, не имеет ничего общего с шифровальщиком Blackout.
В зависимости от версии, эта программа-вымогатель реализует различные схемы шифрования: некоторые варианты используют простой цикл XOR, другие - шифр AES в режиме GCM.
Кроме того, среди примечательных артфактов - кастомные скрипты (для проверки компьютеров в сети на наличие установленного AnyDesk или решений ЛК, а также непосредственно - для установки первой), пропатченные образцы Process Explorer (загружали Tuoni или Cobalt Strike).
В общем, текущая тенденция указывает на продолжающуюся эволюцию хактивизма и увеличивает вероятность проведения более частых, масштабных и технически сложных кампаний.
Все подробности - в отчете.
👾 Фишинг на официальных сайтах Apple, Netflix, Microsoft и т.д.
• У Malwarebytes есть интересное исследование, в рамках которого описали метод, когда хакеры внедряли фейковые номера технической поддержки на официальных сайтах Microsoft, Apple, HP, PayPal, Netflix и т.д.
• Если описывать схему простыми словами, то начинается все с покупки рекламы в Google по запросам "поддержка Apple" или "служба помощи PayPal". Указывается официальный домен Microsoft, Apple, HP, PayPal, Netflix и добавляются скрытые параметры, которые браузер передает на указанный сайт. Такие параметры отображают номера фишинговой технической поддержки прямо в страницу, которую видит пользователь. Что получается? Вы находитесь на официальном сайте Apple, но видите номер телефона злоумышленников (скриншот выше)...
• Вся соль в том, что эти параметры не отображаются в рекламе Google, поэтому у жертвы нет очевидных причин подозревать, что что-то не так. Метод работает в большинстве браузеров и на большинстве веб-ресурсов.
• При звонке по указанному номеру телефона жертва связывается с мошенником, выдающим себя за представителя компании. Тот может обманом заставить пользователя передать личные данные или данные платёжной карты, либо разрешить удалённый доступ к своему устройству. При этом мошенники, которые представляются работниками PayPal, пытаются получить доступ к финансовому счёту и вывести с него средства. Классика!
• Так что будьте внимательны. Исследование можно почитать по ссылке: https://www.malwarebytes.com
#Новости
👾 Программные ошибки и человеческий фактор...
• Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Среди некоторых разработчиков даже укрепилось мнение, что баги в принципе существуют всегда и везде. Но если ошибки абстрактны и сложно воспроизводимы в реальных условиях, то проблема не является критичной.
• В идеальной ситуации баги исправляют все и сразу. Но в жизни всегда есть куча задач, отодвигающих полный и бесповоротный багфикс (новый функционал, срочные хотфиксы, расставленные приоритеты при исправлении багов). Это значит, что в первую очередь находятся и исправляются очевидные и явные проблемы. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы.
• 26 сентября 1983 года спутник эшелона «Око» системы предупреждения о ракетном нападении СССР ошибочно сообщил о запуске пяти баллистических ракет с территории США. Спутник находился на высокой эллиптической орбите, наблюдая за районами базирования ракет под таким углом, чтобы они находились на краю видимого диска Земли. Это позволяло обнаружить факт запуска на фоне темного космического пространства по инфракрасному излучению работающего ракетного двигателя. Кроме того, выбранное расположение спутника снижало вероятность засветок датчиков отраженным от облаков или снега солнечным светом.
• После безупречного года работы внезапно выяснилось, что в один день при определенном положении спутника и Солнца свет отражается от облаков, расположенных на больших высотах, оставляя то самое инфракрасное излучение, которое компьютеры восприняли как след от ракет. Заступивший на боевое дежурство подполковник Станислав Петров усомнился в показаниях системы. Подозрение вызвало сообщение о пяти замеченных целях — в случае реального военного конфликта США одновременно произвели бы сотни пусков. Петров решил, что это ложное срабатывание системы, и тем самым, вероятно, предотвратил Третью мировую войну.
• Подобная ошибка, едва не повлекшая за собой глобальный ядерный конфликт, произошла и по другую сторону океана. 9 ноября 1979 года из-за сбоя компьютера воздушно-космической обороны Северной Америки была получена информация о начале ракетной атаки против США — в количестве 2200 запусков. В то же время спутники раннего предупреждения и радары показали, что никакой информации о советской атаке не поступало — только благодаря перепроверке данных, сделанной за 10 минут, не был отдан приказ о взаимном гарантированном уничтожении.
• Причиной всему оказалась самая опасная уязвимость — человеческий фактор. Оператор компьютера, находящегося на боевом дежурстве, загрузил в него пленку с учебной программой, имитировавшей ситуацию массированной ракетной атаки.
• За несколько первых лет работы Национального центра управления Объединенного командования аэрокосмической обороны США и Канады было зафиксировано 3703 ложных сигнала тревоги, большая часть из которых появилась из-за атмосферных явлений. Однако случались и компьютерные ошибки. Так один из «боевых» компьютеров 3 июня 1980 года показал постоянно меняющиеся цифры количества ракет, запущенных Советским Союзом. Проблема возникла из-за аппаратного сбоя в микросхеме.
➡️ https://www.techinsider.ru/history/1659621
#Разное
🖨 Canon NoteJet BN22 — удивительный ноутбук со встроенным принтером (или принтер со встроенным ноутбуком).
• Торговая марка Canon прочно ассоциируется у нас с фотоаппаратами, сканерами, принтерами и прочей офисной техникой. Но в былые времена интересы японской корпорации простирались далеко за пределы этого рынка, а ассортимент выпускаемой продукции был гораздо шире. В далёкие 80-е годы крупные японские компании вроде Sharp, Toshiba и даже Casio активно искали своё место в мире персональных компьютеров — рынок ПК демонстрировал бурный рост, и занять там полянку желали многие производители электроники.
• Но растущий рынок влечёт за собой нешуточную конкуренцию. Чтобы утвердиться на нём, необходимо предложить покупателям что-то достойное их внимания, оригинальное и необычное. В Canon решили сосредоточить свои усилия не на «домашних» пользователях, а на корпоративном сегменте, предоставив компаниям в дополнение к оргтехнике компьютеры, которыми те могли бы оснастить свои офисы.
• Так родилась идея Canon NoteJet — ноутбука со встроенным струйным принтером и оптическим сканером. Это был не просто гибрид, а полноценный бизнес-инструмент для менеджеров, адвокатов, журналистов и страховых агентов, которые работали с документами «в полях». Переносной компьютер с принтером избавлял пользователя от необходимости срочно искать печатающее устройство, если ему вдруг приспичило вывести на бумагу договор или счёт, а сканер в сочетании с модемом превращал устройство в копир и полноценный факс. Революционное по тем временам устройство.
• Внешне Canon NoteJet выглядит (на фото), как обычный ноутбук образца 1993 года: угловатый, пластиковый, и довольно тяжёлый — весит устройство 3,49 кг. при геометрических размерах 31 × 25,5 × 5 см. Сразу же обращает на себя внимание слишком высокий корпус, но если учесть, что внутри устройства прячется принтер, этот размер вполне оправдан.
• Первая модель компьютера была оборудована монохромным LCD-дисплеем диагональю 9,5 дюйма, который поддерживает максимальное разрешение 640x480 точек. Все интерфейсные разъёмы скомпонованы на задней торцевой стороне ноутбука и также прикрыты защитными крышками. Помимо гнезда питания и одного порта PS/2 для подключения мыши или клавиатуры, здесь имеется интерфейс VGA, к которому можно присоединить внешний монитор, параллельный и последовательный (RS-232C) порты, а также многоконтактный разъём расширения для подключения периферии.
• Но самое кроется под клавиатурой. Блок с клавишами легко поднимается, и под ним обнаруживается лоток для загрузки бумаги — всего он может вместить до 10 стандартных листов формата А4. Принтер имеет механизм автоматической подачи, отключаемый тумблером на верхней крышке устройства (ASF on/off), при этом отпечатанный лист выходит позади ноутбука, из щели за монитором.
• Принтер оборудован собственным выключателем питания, который располагается на верхней крышке, там же размещены кнопки управления процессом печати. Поэтому ради экономии ресурса аккумулятора пользователь может запросто отключить принтер, а сам компьютер будет продолжать работать.
• Этот ноутбук продавался в розницу совсем недёшево: по цене 2499 бакссов (на момент 1993 года). С одной стороны, оно того стоило — за эти деньги клиент получал практически готовый мобильный офис, позволяющий работать где угодно. С другой стороны, мнения об этом устройстве кардинально разделились: его либо горячо хвалили, либо не менее горячо ругали. Ругали, прежде всего, за очень маленький ресурс картриджа и большой вес — даже по меркам 90-х ноутбук был тяжёлым и громоздким. В том же 1994 году конкуренты вроде Toshiba и Compaq предлагали более компактные решения. Но главным недостатком всё же считалась цена. Компьютер оказался чересчур дорогим, чтобы стать массовым: за те же деньги можно было купить отдельно ноутбук и принтер, что устраивало большинство пользователей.
• Canon продолжала выпускать NoteJet несколько лет, постепенно улучшая дизайн и характеристики машины, но в конце 90-х компания свернула проект, так как ноутбуки не пользовались особым спросом...
#Разное
Выживаем в условиях ограниченной доступности - DevOps, SRE, сисадмины, архитекторы и инженеры, этот практикум для вас!
3 декабря в 20:00 мск ведущий DevOps-инженер Михаил Чугунов разберет:
👨💻как правильно выстроить пайплайн CI/CD
👨💻как организовать DNS, ingress и балансировку
👨💻как проектировать архитектуры кластера и сетевого взаимодействия
После Практикума “Kubernetes в закрытом контуре”:
✔️DevOps/SRE смогут автоматизировать доставку обновлений и контейнерных образов без внешнего доступа
✔️Сисадмины разберутся, как организовать сетевую топологию, прокси, ingress-контроллеры и DNS в полностью изолированном контуре
✔️Архитекторы поймут, как закладывать ограничения NAT и отсутствие интернета в архитектурные решения
✔️Инженеры БД получат систему, как выстроить безопасную модель доступа, обеспечить комплаенс и защиту данных внутри замкнутой инфраструктуры Kubernetes
Для полной погруженности мы дарим видео-курс о Kubernetes - будьте устойчивы и готовы! Забрать уроки: https://tglink.io/2c6401289769
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963. erid: 2W5zFJAXJWk
• Было время, когда все функции WhoIs, DNS, Google, GoDaddy выполнялись вручную. И делала это девушка по прозвищу Джейк.
• В 1969 году Дугласу Энгельбарту (один из первых исследователей человеко-машинного интерфейса и изобретатель компьютерной мыши) приглянулась библиотекарша Элизабет Джослин Фейнлер со скромным прозвищем «Джейк» и он пригласил ее к себе в научный центр ARC (Augmentation Research Center, спонсируемый DARPA).
• К 1972 году, когда появился первый в мире персональный компьютер Xerox Alto, Джейк возглавила рабочую группу по созданию нового Network Information Center (NIC) для ARPANET.
• Центр давал пользователям информацию о людях, организациях (аналог «желтых страниц»), связь осуществлялась по обычной почте и телефону. Позже связь осуществлялась через электронную почту по узлам ARPANET.
• А в 1974 Элизабет с рабочей группой разработали короткое текстовое именование хостов (Host names on-line). Дело в том, что в ARPANET владелец хоста должен был отправить email на HOSTSMASTER@SRI-NIC.ARPA чтобы запросить адрес. Файл hosts.txt распространялся усилиями сотрудников центра NIC и вручную устанавливался на каждом хосте в сети, чтобы обеспечить связь (mapping) между всеми адресами сети. Позже, исследовательская группа работала над масштабированием и функции центра NIC взяли на себя сервисы WhoIs и DNS.
• В 1989 году Фейнлер перешла на работу в НАСА в Исследовательский центр Эймса. Она вышла на пенсию в 1996 году, а в 2012 году она вошла в Зал славы Интернета.
• Кстати, благодаря Джейк существуют домены (.com, .gov, .org, .mil). Такие дела...
#Разное
👁 Скрипт, который следит за тобой.
• На хабре есть очень хороший материал с описанием auditd и Python-скрипта, благодаря которым мы можем автоматизировать сбор данных всех действий пользователя на сервере linux и настроить алерты в Telegram.
• Проблемы, которые помогает решить auditd:
➡Несанкционированный доступ (кто и когда использовал, например, sudo);
➡Подозрительные команды (rm -rf, изменение прав, доступ к каким-либо файлам);
➡Расследование инцидентов (кто что натыкал перед падением сервера);
➡Соответствие корпоративным стандартам (логирование действий и контроль).
➡ Читать статью [10 min].
• Напомню, что auditd (сокращение от Linux Audit Daemon) — это нативная тулза, которая предназначена для мониторинга событий ОС и записи их в журналы событий, разрабатываемый и поддерживаемый компанией RedHat. Был создан для тесного взаимодействия с ядром операционной системы — во время своей работы наблюдает за системными вызовами и может записывать события — чтение, запись, выполнение, изменение прав - связанные с файлами ОС. Таким образом, с его помощью можно отслеживать практически любые события, происходящие в операционной системе.
• По итогу имеем мощный инструмент, который, при грамотной настройке, может стать отличным дополнением в обеспечении информационной безопасности инфраструктуры.
S.E. ▪️ infosec.work ▪️ VT
Устали от «пожаротушения» в кибербезопасности?
Пришло время управлять угрозами, а не реагировать на них
Бесконечные уязвимости и заплатки — это прошлое. Будущее за проактивной защитой, где вы не просто латаете дыры, а управляете всей площадью атаки. Приглашаем вас на вебинар, посвященный решению MaxPatrol Carbon.
Мы покажем, как:
· Взять под контроль все источники угроз — не только уязвимости, но и ошибки конфигураций и сегментации сети, избыточные привилегии пользователей.
· Предвидеть и блокировать пути злоумышленников, лишая их шанса на успех.
· Говорить на одном языке службам ИБ и ИТ, повышая эффективность защиты в разы.
На вебинаре вас ждет демо новых возможностей и разбор реальных кейсов от первых внедрений.
Дата: 16 декабря
Время: 14:00
👉 Зарегистрироваться
• Нашел очень интересный сайт, который позволяет увидеть, каким был интернет (arpanet/usenet) до появления WWW и браузеров! Сайт называется Telehack - это симулятор древней сети, с поддержкой 25 тысяч виртуальных хостов и BBS-станций, которые были доступны в то время, с реальными файлами тех лет. Разумеется, сёрфинг по Сети осуществляется с помощью telnet командой telnet telehack.com или через веб-интерфейс.
• Кроме виртуальных хостов, в симуляторе есть и виртуальные пользователи, которых часто можно было тогда встретить в Сети. Команда FINGER host выводит список юзеров с каждого хоста. А еще симулятор позволяет «взламывать» древние хосты, как это было четверть века назад. Инструкции см. в файле readme.
➡️ https://telehack.com
• Представьте, что лет через 20 все сегодняшние интернеты тоже будут лежать у какого-нибудь одного студента на домашнем компе, на одном кластере пластинки памяти супер-компьютера...
#Разное
D-Link под конец недели предупреждает пользователей о трех RCE-уязвимостях, которые затрагивают все модели и аппаратные версии ее одного из самых популярных маршрутизаторов DIR-878, который уже снят с производства, но все еще продается по всему миру.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
• Microsoft выкатили в открытый доступ обновление инструмента WSL 2.6.0 (Windows Subsystem for Linux — Windows для Linux, WSL), которое позволяет запускать Linux‑приложения в Windows. Версия 2.6.0 проекта помечена как первый выпуск после открытия исходного кода под лицензией MIT применяемых в WSL утилит командной строки, фоновых процессов для Linux‑окружений и сервисов для запуска виртуальной машины. До этого был открыт код компонентов WSL, связанных с ядром Linux и графическим стеком wslg, а весь сопутствующий инструментарий являлся проприетарным.
• По итогу имеем интеграцию с хостовой Виндой - можно лезть друг к другу в директории как к себе домой, это работает в обе стороны. systemd теперь есть, опять же. Поддержка Docker максимально полная. У дистрибутивов Linux так же есть доступ к видеокарте, можно нейронки гонять. За счет возможности запуска X-Server есть возможность запустить графические Linux-приложения в Windows - да, окна из одной ОС будут сосуществовать с окнами хостовой операционки.
➡ https://github.com/microsoft/WSL
• В качестве дополнения рекомендую изучить материал на сайте Microsoft. Там очень много видео по данной теме (содержание на скриншоте):
➡ https://learn.microsoft.com/ru-ru/windows/wsl/
#Новости #Linux #Windows #WSL
• Есть такая игра, Prince of Persia, которую в 1989 запилил Джордан Мекнер и которая стала для многих точкой первого знакомства с компьютерной техникой. Так вот, забавный факт: чтобы сделать анимации принца (главного героя игры) Джордан купил видеокамеру и заснял своего младшего брата, как тот бегает и прыгает по парковке недалеко от родительского дома и потом ротоскопировал в игру.
• Кстати, видеокамера стоила $2,500 - это просто бешеные деньги по тем временам, поэтому молодой программист воспользовался возможностью вернуть её в течении 30 дней, отсняв всё, что ему было нужно для начала. А ещё, приходилось с нуля создавать все программы для рисования, редактирования и работы с прочими файлами. Ведь ничего похожего на Фотошоп в те времена не было.
• В общем и целом, ниже по ссылке очень интересная история создания данной игры. Есть много оригинальных чертежей, которые использовались при создании и другого материала:
➡️ https://kak-eto-sdelano.livejournal.com/570183.html
#Разное
• 185 лет назад, 20 июня 1840 года Сэмюэль Морзе запатентовал электромагнитный телеграф. Большой заслугой изобретателя стало создание телеграфного кода, который представлял буквы в виде «точек» и «тире» — коротких и длинных сигналов. К XX веку в девяти европейских странах было установлено 45200 аппаратов Морзе, из них 8200 — в России.
• «Код Морзе» (он же «Морзянка») — ни что иное, как неравномерный телеграфный код, в котором знаки обозначаются комбинациями из посылок тока различной продолжительности. За единицу длительности принимается длительность точки, а длительность «тире» равняется длительности трёх точек. Пауза между знаками в букве — одна точка, а между буквами в слове — 3 точки. Пауза между словами составляет 7 точек.
• Примечательно, что исходная таблица «кода Морзе» ощутимо отличалась от тех кодов, что сегодня звучат на любительских диапазонах. Во-первых, в ней использовались посылки трех разных длительностей (точка, тире и длинное тире). Во-вторых, некоторые символы внутри своих кодов имели паузы. Кодировки современной и исходной таблиц совпадают только для половины букв (A, B, D, E, G, H, I, K, M, N, S, T, U, V и W) и не совпадают ни для одной цифры. Более того, для построения кода некоторых символов в оригинальной «морзянке» вообще использовались иные принципы. Так, помимо «точек» и «тире», были сочетания «двойное тире» (буква L) и даже «тройное тире» (цифра 0), а некоторые символы включали в себя паузу. Латинская буква С, например, передавалась раньше как «две точки-пауза-точка», то есть как переданные последовательно буквы И и Е — подобные нюансы заметно осложняли приём радиограмм.
• Ключ или «молоток» служил для смыкания и размыкания электрической цепи. Автоматический приёмник записывал сигналы, подаваемые ключом. Импульсы тока определенной длительности заставляли колебаться электромагнитное перо, воспроизводившее «точки» и «тире» на бумажной ленте. Перо либо выдавливало сигналы, либо наносило их чернилами.
• Морзе изобрел телеграф в 1830-е годы и безуспешно пытался продать изобретение в Европе и США. Он запатентовал его в 1840 году, но только в 1843 году сумел воплотить свою идею связи в жизнь.
• В 1843 году Конгресс большинством в один голос принял билль, по которому Морзе получил субсидию на создание телеграфной линии Вашингтон — Балтимор длиной 65 километров. Линию открыли в мае 1844 года. После стали открывать все новые линии, сделав телеграф распространенным средством связи. Позднее европейские государства, пользовавшиеся телеграфом, но не подтверждавшие право Морзе на это изобретение, выплатили Морзе 400 000 франков.
#Разное
ASM теперь управляемый, а F6 — первые, кто это делает
На вебинаре 16 декабря Центр кибербезопасности F6 расскажет о новом тренде российского рынка ИБ — мониторинге угроз внешнего периметра.
Почему это важно?
55% инцидентов происходят из-за уязвимостей на внешнем периметре. Новые серверы, домены, API, удаленные рабочие места. Каждый из этих активов — новогодний подарок потенциальная точка входа для злоумышленника.
Подключайтесь к вебинару, чтобы узнать:
• Статистику по атакам через внешние активы
• Как F6 Managed ASM встраивается в экосистему MDR
• Разбор возможностей F6 Managed ASM
• Ключевые индикаторы и риски, которые мы выявляем
• Разбор реальных инцидентов из-за уязвимостей на периметре
• Условия запуска пилотного проекта
Зарегистрироваться на вебинар →
#реклама
О рекламодателе
• Если у вас возникает потребность в логировании всех команд пользователя Linux, которые он вводит в консоли, то есть отличное решение для данной задачи - Snoopy Command Logger. Настраивается предельно легко и очень быстро. Можно настроить различные фильтры записи, что сохранять, что нет. Например: можно задать логирование только root, указать формат лога, настроить исключения и т.д.
• Тут стоит учитывать, что root может очистить файл, куда будут сохранятся логи. Соответственно если существует такой риск, то пересылайте сохраненные логи на удаленный сервер, к которому нет доступа с текущего.
➡️ https://github.com/a2o/snoopy
#Linux
Исследователи Bi.ZONE наконец-то порадовали новым отчетом, сообщая о выявленной в октябре и ноябре 2025 года вредоносной активности кластера Arcane Werewolf (Mythic Likho), нацеленную на российские промышленные компании.
Судя по артефактам, атакующие в качестве вектора первоначального доступа, вероятно, задействовали традиционный вектор - фишинговые рассылки, собственно, как и в предыдущих случаях.
Правда сами фишинговые письма достать так и не удалось.
При этом злоумышленники использовали доменные имена, созвучные с названиями организаций-жертв, а также применили активно разрабатываемые и обновленные собственные инструменты - в частности, новую версию Loki 2.1, совместимого с Mythic и Havoc.
Предположительно, в направленных письмах размещалась ссылка для загрузки архива с вредоносным ПО с подконтрольного хакерам ресурса, мимикрирующего под российскую промышленную компанию.
После перехода пользователя по ссылке происходила загрузка вредоносного архива уже по другой ссылке.
В загруженном архиве содержится вредоносный LNK-файл, а также каталог «Фото» с набором JPG‑изображений.
После запуска LNK и выполнения команды через PowerShell происходила загрузка с сетевого адреса hxxps://f.npo-[redacted][.]ru/m2.png исполняемого файла, который сохранялся в каталог %TEMP%\icon2.png и затем запускался через conhost.exe.
Загруженный icon2.png является исполняемым файлом формата PE32+ и представляет собой вредоносную программу - дроппер, реализованный на Go.
Он содержал нагрузку в виде двух закодированных Base64 файлов: chrome_proxy.pdf (исполняемый файл PE32+, являющийся вредоносным загрузчиком) и 09.2025.pdf (отвлекающий PDF‑документ).
Дроппер декодирует нагрузку и сохраняет ее в каталог %TEMP%, после чего выполняет команды, доставляя Loki 2.0.
Как известно, он состоит из двух компонентов: загрузчика и импланта.
Основные возможности загрузчика - сбор информации о скомпрометированном хосте, шифрование AES и кодирование Base64 собранной информации, отправка на сервер злоумышленников, ожидание вредоносной нагрузки от сервера и ее запуск.
В ноябре была зафиксирована очередная активность кластера Arcane Werewolf, но, к сожалению, всю цепочку атаки не удалось восстановить.
В данной атаке был выявлен новый дроппер на C++ (.cpp) и обновленный Loki 2.1.
Также удалось установить вредоносный сетевой ресурс атакующих, мимикрирующий под сайт российской промышленной компании (hxxps://cloud.electropriborzavod[.]ru/files/d8287185e4ae695a).
Cpp-дроппер является исполняемым файлом формата PE32+ и реализован на C++.
Вредоносная нагрузка содержится в сжатом виде в секции ресурсов.
Помимо самой нагрузки, в ресурсах дроппера содержится полный путь сохранения нагрузки на диске, размер нагрузки.
Дроппер динамически получает необходимые для работы WinAPI-функции и извлекает нагрузку на диск, используя функции NtCreateFile и ZwWriteFile.
В данном случае загрузчик Loki 2.1 все так же собирал информацию о скомпрометированном хосте, шифровал AES и кодировал Base64 перед отправкой.
Главная особенность загрузчика заключается в том, что, помимо получения импланта Loki от сервера, данный экземпляр содержит локальный вариант импланта Loki обновленной версии.
Загрузчик расшифровывает данный локальный имплант из конфигурации и вызывает у него экспортируемую функцию start в памяти собственного процесса. Команды импланта Loki 2.1 не изменились в сравнении с версией импланта 2.0.
Единственное отличие в том, что раньше каждой команде соответствовало определенное значение хеш-суммы djb2, а в версии Loki 2.1 командам соответствуют порядковые номера.
Индикаторы компрометации и технический разбор - в отчете.
• Месяц назад публиковал пост, где рассказывал о тематической (infosec) игре Bandit, в которой нужно ковырять консоль, подключаться по SSH к разным серверам, искать на них файлы с информацией, ну и т.д... Так вот, есть не менее интересная игра, только направленная на эксплуатацию Web-уязвимостей.
• Если коротко, то суть игры заключается в поиске паролей на сайтах, ссылка на которые дается при переходе на новый уровень. Каждый lvl имеет доступ к паролю следующего уровня.
• К примеру, если взять lvl 0 и lvl 1, то от вас просто потребуется посмотреть код страницы и найти в нем пароль на следующий уровень. Если сможете найти, то перейдете на 2 lvl, где уже задача будет немного сложнее: при просмотре кода страницы уровня 2 вы заметите, что на страницу загружается картинка. Заходим в директорию, откуда происходит загрузка картинки. Наблюдаем, что эта дирректоря непроиндексирована и доступна пользователям. Забираем пароль. (Для того, чтобы избежать просмотра файлов в дирректории, в настройках сервера (в данном случае /etc/apche2/httpd.conf) должен стоять запрет на индескирование файлов. Или в данной дирректории должен находиться файл index.html.
• Думаю, что суть ясна. Там куча уровней и все они весьма сложные. Просто так посмотреть код страницы на каждом уровне и поискать пароль не прокатит, нужно будет много думать и читать. Но игра залипательная. Однозначно рекомендую.
➡️ https://overthewire.org/wargames/natas/
#Wargame #Web
Исследователи Лаборатории Касперского под конец года активизировались и продолжают делиться с сообществом результатами всесторонних исследований.
Без внимания в этом году не осталась и ежегодная серия отчетов (публиковались в 2021, 2022, 2023 и 2024 годах) с изучением ландшафта киберугроз, связанных с рынком электронной коммерции и онлайн-шопинга.
Отмечается, что мировой рынок электронной коммерции развивался быстрее, чем когда-либо прежде, благодаря росту онлайн-торговли и потребительского спроса во всём мире.
Причем тренд сохранится, а темпы роста составят 7–9% ежегодно до 2040 года.
Причем, по данным ЛК, описанный всплеск активности онлайн-покупок непосредственно отразился и в киберугрозах.
В 2025 году фиксировались атаки, нацеленные не только на пользователей платформ электронной коммерции, но и на онлайн-покупателей в целом, включая тех, кто использует цифровые торговые площадки, платёжные сервисы и приложения для повседневных покупок.
В этом году исследователи также проанализировали, как киберпреступники использовали игровые платформы, поскольку эта индустрия стала неотъемлемой частью мирового календаря распродаж.
Традиционно злоумышленники активизировали свои действия в периоды пиковых распродаж, прежде всего в Чёрную пятницу, полагаясь на высокий спрос и снижение бдительности пользователей для совершения кражи личных данных, средств или распространения вредоносного ПО.
Для отслеживания угроз в сфере онлайн-шопинга, в ЛК ежегодно проводят оценку широко распространённых вредоносных техник, включая финансовое вредоносное ПО, фишинговые страницы, а также спам-кампании, перенаправляющие пользователей на мошеннические сайты.
В 2025 году особое внимание уделялось также угрозам, связанным с играми.
Полностью обозревать не будем, отметим лишь основные моменты:
- За первые десять месяцев 2025 года Лаборатория Касперского выявила почти 6,4 млн. фишинговых атак, нацеленных на пользователей интернет-магазинов, платежных систем и банков. При этом 48,2% таких атак были направлены на интернет-покупателей.
- За первые две недели ноября удалось заблокировать более 146 000 спам-сообщений на тему Черной пятницы.
- Обнаружено более 2 миллионов фишинговых атак, связанных с онлайн-играми.
- В сезон Черной пятницы 2025 года было зафиксировано около 1,09 млн. атак банковских троянов.
- Число попыток атак на игровые платформы резко возросло в 2025 году, достигнув более 20 млн., что является значительным ростом по сравнению с предыдущими годами.
- В 2025 году под видом Discord было совершено более 18 млн. попыток вредоносных атак, что более чем в 14 раз больше, чем годом ранее, в то время как Steam остался в пределах своего обычного пятилетнего диапазона колебаний.
Подробная инфографика, примеры и разборы основных трендов - в отчете.
• Containerlab — бесплатное, open source решение для построения сетевых лабораторий на основе контейнеров, которое позволяет создавать сетевые модели без громоздких виртуальных машин и физических устройств.
• Из плюсов: возможность очень быстро и понятно взаимодействовать \ управлять топологией и есть функционал экспорта графа в различных форматах (drawio, mermaid и т. д.). Также есть возможность отобразить топологию в браузере. Минусы: ограниченный набор готовых контейнеров операционной системой #Linux.
• К сожалению, я не нашел подробного гайда на русском языке, но есть материал на хабре, в котором есть сравнение с Cisco Packet Tracer / PNETLab и небольшой гайд по использованию. Все ссылочки ниже:
➡️ GitHub;
➡️ Официальный сайт Containerlab;
➡️ Статья: containerlab, как альтернатива Cisco Packet Tracer / PNETLab;
➡️ Статья: обзорная экскурсия в мир сетевых контейнеров;
➡️ Статья: простое развёртывание сетевой лабы на базе контейнеров.
#Сети
🔥 БЕСПЛАТНЫЙ КУРС ПО СОЗДАНИЮ НЕЙРО-СОТРУДНИКОВ НА GPT И ДРУГИХ LLM 🔥
Ищете практический и углубленный курс, чтобы освоить создание нейро-сотрудников? Мы создали курс из 5 объемных занятий. Это именно то, что нужно, чтобы прокачать свои навыки абсолютно бесплатно!
📌 Темы занятий:
1. Введение в мир нейро-сотрудников
2. Как работают LLM и их аналоги
3. Создание базы знаний для нейро-сотрудника (RAG)
4. Тестирование и отладка нейро-сотрудников
5. Интеграция нейро-сотрудников в Production
Вот 5 тем курса - он максимально простой и доступный, общеобразовательный, без какого-либо сложного программирования 📚Прохождение этого курса, скорее всего, займет у вас от 1 до 3 часов
🤖 Присоединяйтесь к нашему бесплатному курсу и разберитесь в этой увлекательной теме с нами!
☁️ Бесплатный курс Cloud DevOps.
• В сентябре прошлого года я делился с вами ссылкой на бесплатный курс по сетевым технологиям от МТС, который ориентирован для начинающих сетевых инженеров, а также всем, кто интересуется работой с сетями. Так вот, совсем недавно заметил, что у ребят есть еще один бесплатный курс, который содержит в себе информацию по основам DevOps-подхода, Kubernetes и современных облачных решений. Вот содержание:
• Модуль 1. Подходы к архитектуре приложений:
➡️Знакомство с DevOps;
➡️Основные способы построения программных архитектур;
➡️Выбор архитектуры: монолит vs микросервисы;
➡️Стратегия миграции.
• Модуль 2. Основы Kubernetes:
➡️Приложения раньше и сейчас;
➡️От виртуальных машин к контейнерам;
➡️Особенности контейнерного подхода;
➡️Сущности Kubernetes.
• Модуль 3. Kubernetes и хранение данных:
➡️Контейнеры с точки зрения хранения данных;
➡️Особенности хранения данных;
➡️Знакомство с Cloud Native Storage (CNS);
➡️Cloud Native Storage в vSphere и vSAN.
• Модуль 4. Kubernetes в продуктивной среде:
➡️Концепция vSphere with Tanzu;
➡️Архитектурные особенности;
➡️Приоритеты команд в рамках запуска приложений;
➡️Привычные инструменты для разработчика.
• Модуль 5. Мониторинг в Kubernetes:
➡️Особенности мониторинга;
➡️Мониторинг сети и визуализация;
➡️Зоны ответственности DevOps-инженера;
➡️Стек технологий для запуска микросервисных приложений.
• Модуль 6. Автоматизация:
➡️Популярные инструменты автоматизации инфраструктуры;
➡️vRealize Automation и программный деплой;
➡️Концепция «Инфраструктура как код»;
➡️Кросс-облачная сеть и безопасность.
• Модуль 7. DevSecOps и Open Source:
➡️Области внимания DevSecOps и Supply Chain Security;
➡️DevSecOps с GitHub Advanced Security;
➡️Реализация CI/CD для Azure IoT Edge;
➡️Инструменты IoT Edge для CI/CD.
➡️ https://mws.ru/courses/devops/
• Курс будет полезен системным администраторам Linux \ Windows, специалистам по эксплуатации и начинающим DevOps-инженерам.
#Курс #DevOps #Cloud
Исследователи из Лаборатории Касперского в новом отчете анализируют методологию APT ToddyCat по получению доступа к служебной почте целевых компаний.
ToddyCat, действующая с 2020 года, имеет богатый опыт атак на различные организации в Европе и Азии с использованием различных инструментов, включая Samurai и TomBerBil, для обеспечения доступа и кражи файлов.
Ранее в апреле этого года хакерской группе приписывали эксплуатацию уязвимости в сканере командной строки ESET (CVE-2024-11859, CVSS: 6,8) для распространения вредоносного ПО под кодовым названием TCESB.
Помимо изучения самих инцидентов второй половины 2024 - начала 2025 года, в ЛК подробно остановились на том, как злоумышленники смогли реализовать новый вектор атаки с использованием специального инструмента под названием TCSectorCopy.
Вновь выявленная атака позволяет с помощью браузера пользователя получить токены для протокола авторизации OAuth 2.0, которые можно использовать вне периметра скомпрометированной инфраструктуры для доступа к корпоративной почте.
В атаках, наблюдавшихся с мая по июнь 2024 года, задействовалась версия TomBerBil на PowerShell (в отличие от версий C++ и C#, отмеченных ранее), которая позволяет извлекать данные из Mozilla Firefox.
Важной особенностью этой версии является то, что она работает на контроллерах домена от имени привилегированного пользователя и способна получать доступ к файлам браузера через общие сетевые ресурсы по протоколу SMB.
В ЛК отметили, что вредоносная ПО запускалась с помощью запланированной задачи, выполняющей команду PowerShell. В частности, она ищет историю браузера, файлы cookie и сохранённые учётные данные на удалённом хосте по протоколу SMB.
Несмотря на шифрование с помощью API защиты данных Windows (DPAPI) скопированных файлов с этой информацией, TomBerBil может перехватить ключ шифрования, необходимый для их расшифровки.
Предыдущая версия TomBerBil работала на хосте и копировала токен пользователя. В результате DPAPI использовался для расшифровки главного ключа в текущем сеансе пользователя, а затем и самих файлов.
В новой серверной версии TomBerBil копирует файлы, содержащие пользовательские ключи шифрования, используемые DPAPI. Используя эти ключи, а также SID и пароль пользователя, злоумышленники могут расшифровать все скопированные файлы локально.
Кроме того, установлено, что злоумышленники получают доступ к корпоративным электронным письмам в локальном хранилище Microsoft Outlook в виде файлов OST с помощью TCSectorCopy (xCopy.exe), обходя ограничения доступа к таким файлам при работе приложения.
Написанный на C++, TCSectorCopy принимает на вход файл для копирования (в данном случае OST-файлы), а затем открывает диск как устройство только для чтения и последовательно копирует его содержимое посекторно.
После записи OST-файлов в папку, выбранную злоумышленником, содержимое электронной переписки извлекается с помощью XstReader - программы с открытым исходным кодом для просмотра OST- и PST-файлов Outlook.
Другая тактика, применяемая ToddyCat, реализуется через получение токенов доступа непосредственно из памяти в случаях, когда жертва использовала облачный сервис Microsoft 365.
Веб-токены JSON (JWT) достаются с помощью инструмента SharpTokenFinder на C# с открытым исходным кодом, который считывает приложения Microsoft 365 для получения токенов аутентификации в виде простого текста.
Однако, как отмечают исследователи, злоумышленник столкнулся с неудачной попыткой как минимум в одном расследованном инциденте после того, как установленное в системе защитное ПО заблокировало попытку SharpTokenFinder создать дамп процесса Outlook.exe.
Чтобы нивелировать это ограничение, злоумышленник использовал инструмент ProcDump из пакета Sysinternals с определёнными аргументами для создания дампа памяти процесса Outlook.
В ЛК заключили, что APT ToddyCat постоянно совершенствует свои техники, ориентируясь на те, которые бы позволили скрыть следы доступа к корпоративной переписке внутри скомпрометированной инфраструктуры.
В ЛК большинство таких техник успешно детектируются, а IOCs и матчасть - в отчете.
• Нашел очень полезный ресурс, который содержит информацию по обеспечению безопасности контейнеров. Есть информация как для Red Team, так и для Blue Team. Рекомендую к изучению:
➡️ https://www.container-security.site
➡API Security;
➡Attacker Manifests;
➡Attackers - Compromised Container Checklist;
➡Attackers - Compromised User Credential Checklist;
➡Attackers - External Checklist;
➡Container & Kubernetes Security Tools;
➡Container Breakout Vulnerabilities;
➡Container CVE List;
➡Container Security Site;
➡Container Security Standards;
➡Container Terms for Security People;
➡Defenders - Container Image Hardening;
➡Kubernetes Security Architecture Considerations;
➡Kubernetes persistence checklist;
➡Node/Proxy in Kubernetes RBAC;
➡PCI Container Orchestration Guidance for Kubernetes;
➡Reading List;
➡Security Research;
➡Security Terms For Container People;
➡Support Lifecycles for container software and services.
#ИБ #docker #Kubernetes
• the art of command line - невероятно полезный гайд по использованию командной строки в Linux, к которому приложили руку множество авторов и переводчиков. Еще здесь есть разделы про Windows и macOS, а также универсальные советы, применимые для операционных систем на базе UNIX. Подходит как для новичков, так и для опытных специалистов. Гайд опубликован на разных языках, включая русский.
➡Описание;
➡Основы;
➡Ежедневное использование;
➡Процессинг файлов и информации;
➡Системный дебаггинг;
➡В одну строчку;
➡Сложно, но полезно;
➡MacOS only;
➡Windows only;
➡Больше информации по теме;
➡Дисклеймер.
➡️ https://github.com/jlevy/the-art-of-command-line
#Linux #CLI
• Очень крутая CTF платформа, которая поможет освоить множество различных направлений в ИБ. Куча тасок, подсказок, видеоматериала, практики и теории... Единственный минус - информация на английском языке, так что если у вас есть сложности с переводом, то воспользуйтесь deepl.
➡️ https://pwn.college/
#ctf #ИБ