Белый хакер (@bezopasno_soft) — Telegram-канал | Telegram Dialogs
Все каналы
Белый хакер

Белый хакер

@bezopasno_soft

29.5K подписчиков технологии 💬 Комментарии открыты

Один из ведущих каналов по информационной безопасности. Реклама - @bashmak_media Мы на бирже: https://telega.in/c/bezopasno_soft РКН: https://vk.cc/cHYq3i

Последние публикации

Белый хакер
17.07.2026 10:16 · 👁 841
⌨️ Команда недели Привет! Получили учетку обычного доменного пользователя, но хочется большего? Самое время собрать SPN (Service Principal Name) и вытащить хэши паролей сервисных аккаунтов. Зачастую они обладают высокими привилегиями, а пароли к ним не менялись годами. impacket-GetUserSPNs domain.local/username:password -dc-ip 10.10.10.1 -request Скрипт обращается к контроллеру домена от имени любого валидного пользователя и запрашивает сервисные билеты (TGS) для аккаунтов с установленным атрибутом SPN. Контроллер домена послушно их отдает, а часть билета шифруется NTLM-хэшем пароля самого сервиса. 👨‍💻 Что здесь происходит. domain.local/username:password - креды любого скомпрометированного пользователя (для атаки достаточно минимальных прав в домене) -dc-ip 10.10.10.1 - IP-адрес контроллера домена -request - флаг, который заставляет скрипт не просто найти SPN-учетки, но и запросить TGS-билеты, выдав их в удобном формате для взлома Полученные хэши (обычно тип 13100 в hashcat для Kerberos 5 TGS-REP etype 23) можно перебирать офлайн по словарю. Если пароль сервисной учетки слабый, вы получите его в открытом виде. Так как сервисные аккаунты (например, под SQL-серверы или веб-приложения) часто имеют права локальных админов, а иногда и Domain Admin, это классический путь к захвату инфраструктуры. P.S. Если пароля нет, но есть NTLM-хэш пользователя, можно аутентифицироваться через Pass-the-Hash, добавив параметр -hashes :NTLM_hash вместо пароля в строке. А чтобы сохранить результаты прямо в текстовый файл для дальнейшего брутфорса, просто используйте флаг -outputfile hashes.txt. #kerberos #КомандаНедели #Пентест 👍 Белый хакер
Белый хакер
16.07.2026 10:39 · 👁 1.3K
Новый фреймворк OkoBot ворует сид-фразы прямо внутри официальных приложений Ledger и Trezor Привет! Эксперты из команды Kaspersky GReAT раскрыли детали о масштабном вредоносном фреймворке OkoBot, который орудует на Windows-машинах с апреля 2025 года. Главная фишка этой малвари (помимо огромного арсенала из 20+ модулей) - умение виртуозно выманивать сид-фразу (recovery phrase) у владельцев аппаратных криптокошельков. 👨‍💻 Заражение начинается с социальной инженерии (атаки ClickFix) или скачивания троянизированного софта с GitHub. Например, хакеры продвигали поддельный установщик SQL Server Management Studio (SSMS), который на самом деле оказался аудиоредактором Audacity со вшитым бэкдором. После запуска в систему загружается PowerShell-скрипт TookPS, который открывает SSH-туннель для связи с хакерами и скачивает остальные модули. 🔴Самый коварный модуль называется SeedHunter. Он не ломает сам аппаратный кошелек (это технически невозможно), а внедряется прямо в процессы официальных десктопных приложений - Ledger Live, Ledger Wallet и Trezor Suite. Программа-шпион ждет, пока вы подключите кошелек по USB, и прямо внутри легитимного окна приложения рисует фейковую форму с требованием ввести сид-фразу (с уникальным дизайном под каждый бренд). ⚙️ Помимо кражи крипты, OkoBot превращает ПК в полноценную шпионскую станцию. Он отключает уведомления Windows Defender, подменяет системный файл termsrv.dll для создания скрытого RDP-сервера (чтобы хакеры могли сидеть параллельно с вами) и ставит кейлоггер. Модуль OkoSpyware даже записывает на видео окна менеджеров паролей (1Password) и крипто-расширений (MetaMask, Exodus), попутно устанавливая популярный браузерный стилер Rilide. P.S. Важно помнить главное правило криптобезопасности: легитимные приложения Ledger или Trezor никогда не попросят вас ввести 12 или 24 слова восстановления с клавиатуры компьютера (вся криптография происходит внутри самого девайса). Если окно ввода появилось на экране ПК - это 100% фишинг. #attack #Infosec #socialengeering 👍 Белый хакер
Белый хакер
16.07.2026 07:39 · 👁 1.4K
Рабочее приложение, которое прошло ревью, всё ещё можно взломать через форму логина. Большинство уязвимостей в вебе — это типовые ошибки, которые находят уже после инцидента. Курс WAPT от Codeby учит находить их раньше — с позиции атакующего. Этот курс максимально заточен на практику: 65 заданий в лаборатории, где вы отрабатываете каждую технику на реальных сценариях. Что внутри: ⏺️Эксплуатация актуальных классов уязвимостей, активный и пассивный фаззинг ⏺️SQL Injection, CMD Injection, XSS, PHP Injection, Server-Side Template Injection ⏺️Повышение привилегий и client-side атаки (XSS, CSRF) Каждую неделю — вебинары с куратором. Навыки применимы и в рабочих задачах по пентесту, и в Bug Bounty. Курс стартует 16 июля. 😀☺️😚🥲😎При покупке курса — месяц бесплатной подписки на hackerlab.pro в подарок ➡️ Запись на курс По всем вопросам: @CodebyAcademyBot
Белый хакер
15.07.2026 07:47 · 👁 1.6K
11 старых загрузчиков Linux с подписью Microsoft позволяют хакерам обойти Secure Boot Привет! Исследователи из компании ESET раскрыли детали об 11 устаревших, но официально подписанных Microsoft UEFI-загрузчиках (shim). Их использование позволяет хакерам полностью обойти защиту Secure Boot на большинстве современных систем и запустить вредоносный код еще до загрузки ОС. 👨‍💻 Для запуска Linux-дистрибутивов при включенном Secure Boot используется shim — небольшой загрузчик-посредник, изначально подписанный сертификатом Microsoft. Проблема в том, что старые версии этого загрузчика (0.9 и ниже) от таких систем, как CentOS, RedHat и OpenSUSE, лишены современных механизмов проверки, но аппаратная часть ПК им по-прежнему доверяет. 💬 Самое интересное - для проведения атаки не нужно взламывать криптографию или искать новые 0-day. Хакеры применяют классический метод BYOVD (Bring Your Own Vulnerable Driver). Имея административные права, они просто подменяют ваш актуальный безопасный загрузчик на старый уязвимый бинарник с легитимной подписью. ⚙️ Старые версии shim не умеют работать с черными списками ключей (MOK denylist) и механизмом SBAT, который должен блокировать скомпрометированные компоненты. Получив контроль на раннем этапе загрузки, хакеры могут внедрять буткиты (например, Bootkitty или BlackLotus). Такая малварь работает ниже уровня операционной системы, остается невидимой для EDR-решений и может пережить даже полную переустановку ОС. P.S. Microsoft уже начала блокировку этих загрузчиков, выпустив обновление списка DBX в рамках июньского Patch Tuesday. Пользователям Windows апдейты приходят автоматически, а администраторам Linux-систем настоятельно рекомендуется проверить наличие обновлений через сервис LVFS (Linux Vendor Firmware Service). #attack #Infosec #socialengeering 👍 Белый хакер
Белый хакер
14.07.2026 15:19 · 👁 1.8K
❌ Миф: чем больше инструментов безопасности - тем лучше Привет! В какой-то момент индустрия решила, что безопасность это количество. Купи EDR, SIEM, DLP, WAF, UEBA, SOAR - и будешь защищён. Компании так и делают, а взломы не прекращаются. 👨‍💻 Средняя крупная компания использует больше 70 security-инструментов. При этом большинство из них генерируют алерты которые никто не успевает разбирать. SOC-аналитик тонет в тысячах уведомлений в день, настоящий инцидент теряется в шуме. MuddyWater работали в инфраструктуре жертвы месяцами через легитимные инструменты вроде AnyDesk и DWAgent - ни один из десятков установленных продуктов это не поймал. 🔎 Проблема в том, что каждый новый инструмент - это не только защита, но и новая поверхность атаки, ещё одна консоль которую надо мониторить, ещё один вендор которому нужен доступ к инфраструктуре, ещё один продукт который надо обновлять. GlassWorm заходил через VS Code расширения, Cavern через SysAid, атаки на supply chain через доверенных подрядчиков. Инструменты безопасности сами становятся векторами. 🔐 Реальная защита - это не ширина стека, а глубина понимания того что происходит в сети. Десять инструментов, которые настроены правильно, и за которыми реально следят лучше семидесяти которые просто установлены. P.S Исследования показывают что компании с меньшим количеством хорошо интегрированных инструментов реагируют на инциденты быстрее чем те у кого всё по отдельности и без корреляции. #хакер #миф 👍 Белый хакер
Белый хакер
13.07.2026 07:00 · 👁 2K
Шесть новых уязвимостей в загрузчике U-Boot позволяют выполнять вредоносный код еще до старта ОС Привет! Исследователи из Binarly обнаружили шесть новых уязвимостей (BRLY-2026-037 - BRLY-2026-042) в U-Boot - одном из самых популярных опенсорсных загрузчиков, который используется в домашних роутерах, умных камерах и контроллерах управления (BMC) серверов дата-центров. Уязвимый код жил в проекте с версии 2013.07 и успел попасть в более чем 50 стабильных релизов. 👨‍💻 U-Boot умеет упаковывать ядро, дерево устройств (device tree) и другие компоненты загрузки в единый пакет формата FIT (Flattened Image Tree). Перед тем как передать управление операционной системе, загрузчик должен проверить цифровую подпись этого пакета. Исследователи нашли слабые места именно в процессе распаковки: баги срабатывают на этапе чтения недоверенного образа, еще до того, как система проверит его подлинность. 🔴 Из шести найденных дыр четыре просто «крашат» устройство (отказ в обслуживании), а вот две другие позволяют злоумышленнику подсунуть специально созданный образ и выполнить свой код. Самое страшное здесь то, что такой код запускается на самом низком уровне, под операционной системой, где его не увидят никакие антивирусы и EDR-решения. ⚙️ Причина этих двух RCE-багов кроется в банальном отсутствии проверок. Функция fdt_get_name при парсинге битого образа возвращает null-указатель и отрицательную длину. U-Boot использует эти данные вслепую: в одном случае это приводит к классическому переполнению буфера на стеке, а в другом — заставляет указатель шагать назад в памяти, пока он не перезапишет адрес возврата и не передаст контроль хакеру. P.S. Для эксплуатации нужен физический доступ или первоначальный доступ к системе (например, скомпрометированный интерфейс управления сервером). Вендорам железа рекомендуется не ждать октября и накладывать патчи прямо сейчас, а админам - внимательно следить за выходом новых прошивок для своих устройств. #attack #Infosec #socialengeering 👍 Белый хакер
Белый хакер
11.07.2026 14:57 · 👁 2.3K
👍 Белый хакер #мем
Белый хакер
10.07.2026 07:00 · 👁 2.6K
⌨️ Команда недели Привет! Добрались до аккаунта с правами репликации домена. Теперь можно вытащить хэши всех пользователей включая Domain Admin, не заходя на контроллер домена физически. impacket-secretsdump domain.local/username:password@10.10.10.1 -just-dc-ntlm Имитирует запрос репликации от другого DC через протокол DRSUAPI. Контроллер домена думает что синхронизируется с коллегой и отдаёт хэши. 👨‍💻 Что здесь происходит. domain.local/username:password - аккаунт с правами DCSync, обычно Domain Admin или кто-то с делегированными правами репликации @10.10.10.1 - адрес контроллера домена -just-dc-ntlm - только NTLM-хэши без лишнего, вывод чище Полученные хэши можно использовать через pass-the-hash напрямую или крякать офлайн через hashcat. Хэш Administrator часто открывает все машины в домене через crackmapexec. P.S. Если хэш вместо пароля: -hashes :NTLM_hash вместо пароля в строке. Права для DCSync можно получить через bloodhound если найти аккаунт с GenericAll или WriteDACL на объект домена. Как обычно добираетесь до прав репликации? 👇 #kerberos #КомандаНедели #Пентест 👍 Белый хакер
Белый хакер
09.07.2026 12:52 · 👁 2.7K
Новая атака HalluSquatting: хакеры заставляют ИИ-кодеров незаметно собирать ботнеты Привет! Исследователи из Тель-Авивского университета и Техниона представили новый тип угрозы под названием HalluSquatting. Они придумали, как превратить обычные галлюцинации ИИ-ассистентов в инструмент для массового заражения компьютеров и создания ботнетов. 👨‍💻 Суть атаки гениальна в своей простоте и бьет по главной слабости LLM - привычке выдумывать несуществующие вещи. Когда пользователя просят ИИ-помощника скачать какой-нибудь новый или трендовый плагин/репозиторий, которого еще нет в обучающей выборке, модель начинает угадывать название и генерировать фейковые имена. Исследователи выяснили, что эти выдумки не случайны: в 85–100% случаев разные модели от разных компаний генерируют один и тот же фейковый нейминг. 💬 Хакеру достаточно циклично погонять ИИ, узнать самое популярное «галлюцинаторное» имя, заранее зарегистрировать его на GitHub или в магазине плагинов и загрузить туда вредоносные инструкции. Когда реальный юзер попросит своего ИИ-ассистента подтянуть нужный инструмент, ИИ уверенно скачает фейк от хакера. ⚙️ Самое опасное происходит дальше. Атака использует непрямую инъекцию промта (indirect prompt injection). Вредоносный текст внутри скачанного пакета перехватывает управление ИИ-агентом. Поскольку у современных ИИ-кодеров есть встроенный доступ к терминалу, зазомбированный ассистент сам выполняет команду на установку обычного бэкдора или бота. Исследователи успешно провернули это с Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI и OpenClaw. P.S. Главная защита от HalluSquatting - никогда не включать у ИИ-агентов режимы автопилота без подтверждения команд (вроде yolo-мода в Gemini CLI или флага пропуска разрешений в Claude Code). Всегда проверяйте, что именно ваш ИИ собирается выполнить в терминале, и помните: любое имя библиотеки, которое выдал ИИ - это лишь гипотеза, которую нужно перепроверить. #attack #Infosec #socialengeering 👍 Белый хакер
Белый хакер
08.07.2026 11:24 · 👁 2.7K
15-летняя уязвимость GhostLock в Linux позволяет получить root-права и сбежать из контейнеров Привет! Исследователи из Nebula Security раскрыли детали бага GhostLock (CVE-2026-43499) в ядре Linux. Эта уязвимость незаметно жила в большинстве популярных дистрибутивов по умолчанию аж с 2011 года и дает любому локальному пользователю получить полный контроль над машиной (root-права). 👨‍💻 Для эксплуатации не нужны особые привилегии, хитрые настройки системы или доступ к сети - баг триггерится стандартными вызовами из любой локальной программы. Уязвимость обнаружил автоматизированный ИИ-инструмент VEGA, а команда Nebula уже написала рабочий эксплойт. Он срабатывает с надежностью 97%, умеет вырываться из изолированных контейнеров и принес исследователям более $92 000 по баунти-программе Google kernelCTF. 🔴В основе уязвимости лежит ошибка типа use-after-free в системе ядра, отвечающей за очистку задач. При определенном стечении обстоятельств механизм очистки срабатывает в неподходящий момент и затирает запись не той задачи. В итоге ядро начинает обращаться к куску памяти, который уже был освобожден и переиспользован. Хакерам остается лишь подсунуть туда нужные данные - и через 5 секунд они получают права суперпользователя. ⚙️ Сам по себе GhostLock требует локального доступа, но в связке становится смертоносным. Исследователи показали цепочку IonStack: сначала используется уязвимость в Firefox (CVE-2026-10702) для побега из песочницы браузера, а затем GhostLock доводит дело до получения root. Таким образом, локальный баг превращается в удаленный взлом всего в один клик (эксплойт уже успешно протестирован на Android). Рабочий код GhostLock уже выложен в открытый доступ. P.S. В первую очередь обновляйте многопользовательские хосты, облачные серверы, контейнеры и CI-раннеры - именно там злоумышленникам проще всего получить начальный доступ (foothold), который необходим этому эксплойту. #attack #Infosec #socialengeering 👍 Белый хакер
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.