Телеграм канал «ZeroDay | Кибербезопасность»

Анализируем шифрованные скрипты 👋 Приветствую в мире цифровой безопасности! Продолжим говорить о шифровании скриптов, сегодня же будем их анализировать. ⏺Создадим шифрованный скрипт: ./obash testme -o testme.x Он работает пока рядом есть файлы product_serial и product_uuid. Удалим их, и запуск невозможен: именно они содержат данные для дешифрации. ⏺Попробуем заглянуть внутрь. Если открыть testme.x в редакторе: mcedit testme.x Видим блок Base64 с зашифрованным текстом и строки, явно указывающие на исходники Obash. ⏺Дальше смотрим, какие библиотеки он тянет: ldd ./testme.x Среди зависимостей - libcrypto.so, что подтверждает использование AES. ⏺Теперь глянем системные вызовы: strace -o log ./testme.x В логе видно, как программа считывает UUID и Serial, а в конце пишет во временный FIFO-файл /tmp/ полный текст скрипта (175 байт, ровно как исходник). После чтения файл удаляется, но содержимое мы уже перехватили. ⏺Автоматизируем. Сделаем подменный интерпретатор: gcc fake_interpreter.c -o bash gcc fake_interpreter.c -o python Запускаем с подменой: PATH=.:$PATH ./testme.x В результате скрипт выводится целиком - никакого шифрования уже нет. ZeroDay | #скрипты

Число DDoS-атак выросло в 2 раза в первом полугодии 2025 🔒 Как изменились угрозы и что поможет защититься, рассказали эксперты Selectel в регулярном отчете   Подходы злоумышленников к DDoS изменились. А вы успели перестроиться? Провайдер IT-инфраструктуры Selectel подготовил аналитический отчет по DDoS за первое полугодие 2025 и проследил тенденции. Ищите подробную статистику и комментарии экспертов в полной версии исследования.   Согласно отчету, количество атак растет, а максимальный их объем и скорость снижаются. Все говорит об изменении типа угроз: экстремально мощные атаки трансформировались в атаки типа Pulse Wave, при которых потоки вредоносного трафика идут волнами с паузами. Они стали продолжительнее — их длительность выросла в 2,5 раза.   Читайте полную версию отчета, чтобы укрепить защиту ваших IT-систем →

Шифруем скрипты 👋 Приветствую в мире цифровой безопасности! Сегодня расскажу, как шифровать скрипты. ⏺Очень часто заказчики получают готовый продукт, но хотят защитить исходный код bash или Python-скриптов. Простая компиляция не помогает. ⏺Как решить: Obash - это обфускатор и шифратор скриптов, который превращает их в исполняемые бинарники с AES-256 шифрованием и аппаратной привязкой. ⏺Ключ и вектор инициализации берутся с железа, а не хардкодятся в бинарнике, что делает невозможным запуск скрипта на чужой машине. Даже если кто-то получит бинарь и посмотрит память или процессы, исходники не увидит. ⏺Как его использовать: git clone https://github.com/louigi600/obash.git cd obash/ sudo apt install libssl-dev make ./obash testme ⏺Привязка к железу: для работы шифрования Obash берёт UUID и Serial устройства. Если рут-доступа нет, можно сделать локальные файлы: sudo cat /sys/devices/virtual/dmi/id/product_uuid > product_uuid sudo cat /sys/devices/virtual/dmi/id/product_serial > product_serial И заменить пути в interpreter.c и obfuscated_bash.c: char prod_uuid[256]="./product_uuid"; char prod_serial[256]="./product_serial"; ⏺Что происходит внутри: Obash шифрует скрипт AES-256, кодирует его в Base64, создаёт промежуточный C-файл (interpreter.c) с функциями интерпретации и компилирует бинарник. Сюда входят и ключи, и вектор, и шифротекст. Бинарник запускается только на целевой машине. ⏺Вот пример тестового скрипта: #!/bin/bash echo "my pid is: $$" echo $0 echo $* read -p "enter something ... " A echo $A sleep 10 & ps -ef | grep $$ ps -ef | grep $! sleep 2 В следующем посте будем анализировать шифрованные скрипты ZeroDay | #скрипты

IoT и DNS-туннели: как закрепляются атакующие 👋 Приветствую в мире цифровой безопасности! Сегодня посмотрим, как хакеры юзают IoT-устройства для входа в сеть и закрепляются через DNS-туннели. ⏺Как ломают: 1️⃣Сначала ищут потенциальные цели через открытые источники (ripe.net, passive DNS) и сканят сеть с помощью masscan или Angry IP Scanner. 2️⃣Находят уязвимый роутер, L3-коммутатор или камеру и запускают routersploit autopwn - перебор эксплойтов и брутфорс. 3️⃣Дальше небольшой трюк: скомпрометированное устройство тянет пейлоад с VPS через встроенный wget и запускает его. Архитектуры любые: ARM, x86, MIPS и т.д. 4️⃣Готово - IoT превращается в точку входа внутрь сети, через которую можно прокинуть SOCKS proxy и атаковать уже корпоративный сегмент. ⏺В чем плюсы: на IoT нет антивирусов и EDR, системные вызовы никто не мониторит, логи не собирают. А значит, команда exec проходит беспрепятственно. ⏺Где появляется DNS-туннелирование: даже если сеть сегментирована и фильтруется, малварь может «стучаться» на C2-панель через Do53/DoT/DoH, пряча команды в битах DNS-заголовков. Да, ответ на условный ls может идти сутки, но для хакера то главное - это закрепление в сети. Пример из PoC: unsigned short __do53_query(char *_qname, __do53_type _qtype, unsigned char *_wire) { _wire[0] = // Вот здесь пейлоад _wire[1] = // Вот здесь пейлоад _wire[2] = 0x01; _wire[3] = 0x00; _wire[4] = 0x00; _wire[5] = 0x01; _wire[6] = 0x00; _wire[7] = 0x00; _wire[8] = 0x00; _wire[9] = 0x00; _wire[10] = 0x00; _wire[11] = 0x00; int query_lenght = __ascii_convertation_to_wire(_qname, &(_wire[12])); int nextLoc = 12 + query_lenght + 1; _wire[nextLoc] = 0x00; _wire[++nextLoc] = 0x01; _wire[++nextLoc] = 0x00; _wire[++nextLoc] = 0x01; return nextLoc + 1; } ⏺В итоге у нас подломленное устройство раз в час резолвит «невинный» домен вроде metrics-cisco.com и получает команды в Additional-/Authority-секциях. Для NTA-систем это выглядит просто как обычный DNS-запрос. ZeroDay | #IoT

📚 10 лучших книг про цифровую безопасность в одной Краткая история информационных сетей, стратегии защиты бизнеса от новых киберугроз, возможности искусственного интеллекта в ИБ — все эти темы можно изучить быстро. В честь своего юбилея «Солар» выпустили сборник из 10 книг о цифровом мире и информационной безопасности. Среди них — пять работ, которые раньше не переводились на русский язык! В сборнике вы получите сразу всю пользу и не потратите ни секунды лишнего времени. Издание будет полезно всем, кто работает в ИТ и ИБ, а забрать его можно бесплатно 🔥 До 3 сентября участвуйте в розыгрыше «10 лет в 10 вопросах». Отвечайте на вопросы в боте — победителей выберут случайным образом из тех, кто прошел викторину. Все подробности — в телеграм-канале «Солара». Реклама. ООО "РТК ИБ". ИНН 7704356648.

APKHunt: анализ Android-приложений 👋 Приветствую в мире цифровой безопасности! Поговорим о еще одном инструменте безопасности. ⏺APKHunt - статический анализатор APK, заточенный под стандарты OWASP MASVS. Он сканирует безопасность хранения данных, работу с криптографией, использование разрешений и даже наличие отладочных функций. ⏺Что классного: умеет сканировать сразу несколько APK, формирует лёгкие TXT-отчёты и поддерживает CI/CD-интеграцию. Так что его можно встроить прямо в пайплайн, чтобы каждый билд проходил проверку на автомате. ⏺Кому пригодится: ну разрабам - чтобы не выпускать дырявые релизы, пентестерам, конечно - для ускорения аудита, а архитекторам - для контроля соблюдения стандартов безопасности. ⏺Как потестить самому: git clone https://github.com/Cyber-Buddy/APKHunt.git cd APKHunt go run apkhunt.go -p app.apk -l ZeroDay | #Инструмент

152-ФЗ настигнет каждого, неважно за что С 1 сентября вступят в силу изменения в законе об обработке персональных данных. Изменения коснутся почти всех типов бизнеса вне зависимости от масштаба и характера обработки персональных данных. Изменится система штрафов за утечки, несвоевременные уведомления об инцидентах и неправильный алгоритм обработки Пдн расширится, а штрафы увеличатся. 28 августа 2025, 17:00 VK Cloud проведет вебинар, где будем разбирать самые важные темы, связанные с обработкой данных. ⚫️Разбор типовых ошибок на реальных кейсах компаний разного масштаба. Что экономит недели подготовки и может защитить от предписаний. ⚫️Какие аттестованные контуры (УЗ1, К1, PCI DSS) выбрать под свою систему и какие артефакты предъявлять. ⚫️Примеры формулировок для договора и уведомления об инциденте. ⚫️Практические рекомендации для любого этапа подготовки документации. Спикеры: - Станислав Погоржельский, технологический евангелист VK Cloud - Анна Плотникова, менеджер по развитию бизнеса VK Cloud