Предупреждение

Crackme (как, впрочем, следует из названия) это программы, созданные специально для того, чтобы их взломать (понять алгоритмы, заложенные разработчиком, и используемые для проверки введенных пользователем паролей, ключей, серийных номеров). Подходы и методики, использованные в статье, ни в коем случае не должны применяться к программному обеспечению, производителями которого подобные действия не одобрены явно (например, в лицензионных соглашениях, договорах, и т.д.). Материал опубликован исключительно в образовательных целях, и не предназначен для получения нелегального доступа к возможностям программного обеспечения в обход механизмов защиты, установленных производителем.

Введение

Исследуемая crackme является оконным приложением, и написана на assembler. Наша задача состоит в том, чтобы понять алгоритм генерации ключа, найти валидный серийный номер (или номера), и написать кейген.

Давайте сразу вопрос на засыпку: может ли быть так, что клиент подключается, ну, например, к серверу www.python.org (самому настоящему, тому, к которому обращаются еще миллионы клиентов со всего мира), а потом использует его как прокси и гоняет через это подключение трафик до своего VPS для доступа в неподцензурный интернет? Если вы не уверены в ответе на этот вопрос или почему-то ответили "нет", то добро пожаловать в статью.

Я уже не раз рассказывал здесь о технологии XTLS-Reality (1, 2, 3) суть которой в том, что ваш прокси-сервер VPS может очень достоверно маскироваться под какой-нибудь популярный веб-сайт - принимать подключения, которые будут выглядит точно так же, как обращения к настоящему сайту, отвечать на них полностью аутентичным TLS-сертификатом, и в целом вести себя как тот настоящий сайт. Единственная проблема - сам IP-адрес. Немного подозрительно, когда к какому-нибудь якобы www.google.com постоянно обращается только один пользователь, а IP-адрес этого сервера на самом деле даже не относится к автономной сети Google.

Еще я рассказывал о разных вариантах проксировать трафик посредством вебсокетов и простых HTTP-туннелей через различные CDN, такие как Cloudflare и Gcore. Вероятность того, что под блокировку попадет вся CDN гораздо ниже, чем что забанят какой-то один сервер или диапазон хостера, но та схема требовала регистрацию своего домена для работы через CDN.

И наверняка многим в голову приходила идея, а нельзя ли как-нибудь совместить эти два механизма? Проксироваться через CDN, но при этом "прикрываясь" каким-нибудь чужим доменом? Ответ: да, можно, и сейчас мы посмотрим, как именно.

Добрый вечер ребята, листая хабр я заметил тенденцию к отсутствию качественного, авторского, и связанного с IT контента, поэтому расскажу о том кто такой хакер, опишу несколько приёмов читерства, и попробую дать представление об этом легендарном термине (разумеется в рамках моих способностей).

Начиная со вчера Роскмонадзор запрещает писать про инструменты для обхода блокировок, и это событие мы отметим очередной статьей про инструменты для обхода блокировок. Ибо не им указывать, на какие темы мне писать или не писать, пусть идут строем нафиг.

Сегодня я расскажу о замечательном инструменте под названием GOST. Не пугайтесь, он не имеет никакого отношения к ГОСТ-шифрованию или чему-то подобному, на самом деле это Go Simple Tunnel. Он действительно simple (простой) в использовании и настройке, но при этом невероятно мощный, поскольку поддерживает огромное количество протоколов и транспортов, из которых вы при желании сможете построить самые упоротые и бронебойные комбинации, а именно...

Информационная служба Хабра посетила конференцию SOC‑Forum 2023, проходившую 14–15 ноября 2023 года в Москве. SOC‑Forum — это ещё одно крупное ежегодное мероприятие в сфере информационной безопасности, наравне с Positive Hack Day и OFFZone. В отличие от двух последних мероприятий этот форум, на мой взгляд, более формализован, потому что организован ФСТЭК России и ФСБ России. На входе охранник даже спросил, не перепутал ли я мероприятия. По словам организаторов, мероприятие очно посетили 1,4 тысячи организаций, людей было больше — 5,3 тысячи, онлайн‑трансляцию форума смотрели 24 тысячи человек.

Алексей Баландин, архитектор продукта Security Vision

Михаил Пименов, аналитик Security Vision

Впервые слово килчейн (точнее, несколько слов: The Cyber Kill Chain) как термин появилось в далеком 2011 году, когда американская компания Lockheed-Martin впервые предложила выстроить зафиксированные в инфраструктуре события в единую цепочку атаки. Цепочка была довольно проста и включала в себя всего 7 звеньев: разведка, вооружение, доставка, эксплуатация, инсталляция, управление, действие. По сути, это было ответом на усложнившиеся хакерские атаки, которые использовали всё более изощренный инструментарий и многоходовые тактики атаки.

Подход, делящий атаку на некие этапы, оказался очень востребован, но не был лишен недостатков. Например, килчейн от Lockheed-Martin совершенно не учитывал внутреннего злоумышленника, атакующего изнутри инфраструктуры. Соответственно, другие игроки постарались развить и улучшить это метод. Так, уже в 2013 MITRE предложила свой вариант, представив последовательность из 14-ти тактик. Позже экспертом в области кибербезопасности Полом Поллзом (Paul Polls) был предложен гибридный вариант, объединяющий и расширяющий методики от Lockheed-Martin и MITRE, известный как The Unified Kill Chain.

Давайте порассуждаем о плюсах, минусах и подводных камнях килчейна как такового, а также попробуем разобрать реальный пример построения цепочки атаки.

В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Этот вредонос активно используется в атаках на российские компании и правительственные организации по меньшей мере с сентября 2022 года. Однако образец, обнаруженный нами на хосте жертвы, представлял собой новую модификацию троянского ПО, которую злоумышленники доработали, усложнив его обнаружение и анализ.

Анализ инструментов, тактик и техник не позволил связать данную активность ни c одной из ранее известных APT-групп. Новая группа, названная нами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на хостах и в сети. В интересы группы входят компании и государственные организации исключительно на территории Российской Федерации. Злоумышленники могут преследовать разные цели, но достоверно известно об одном случае полного уничтожения инфраструктуры.

Первый этап — загрузчик Decoy Dog Loader

Расследуя инцидент, мы обнаружили исполняемый файл /usr/bin/dcrond размером 9 КБ. Файл был защищен модифицированной версией упаковщика UPX с измененной сигнатурой 37 13 03 00 вместо UPX!. На момент расследования только один антивирусный движок детектировал пакер, а некоторые образцы и вовсе не детектировались ни одним из движков. Для обнаружения модифицированного UPX можно использовать публичное YARA-правило из исследования JPCERT/CC.

Сегодня мы расскажем реальную историю из жизни собственников бизнеса. И хотя ее сюжет напоминает какой‑то голливудский фильм, произойти она может с каждым, кто заявляет: «Да у нас маленькая компания! Кому мы нужны?»

Есть у нас заказчик — выполняем работы по сопровождению сайта. Когда только начали сотрудничать, задали общие вопросы про инфраструктуру: что за железо, какой антивирус используют, как распределены права доступа и делаются ли бекапы. Получив не особо вразумительные ответы, мы предложили провести аудит информационной безопасности, на что заказчик ответил, что в штате есть системный администратор и все в порядке. Мы развели руками и забыли.

Спустя несколько месяцев от заказчика приходит сообщение: нас зашифровали и требуют выкуп. Что делать?

Оказалось, придя на работу, сотрудники вместо привычных docx, xlsx, pdf, jpg и т. д. на своих компьютерах обнаружили белые файлы с набором букв вместо расширения, а значит ни одна программа их не откроет.

Зато открывался документ с инструкциями. Взломщики обещали направить дешифратор за «скромную» сумму в 2000 долларов (на тот момент около 200 000 рублей), переведенную на указанный счет.

Представители компании попытались связаться с хакерами, но ответа не поступало, поэтому обратились за помощью к нам.

Привет! Я Артемий Богданов, эксперт по практической безопасности Start X. Сегодня я расскажу, как небезопасная десериализация может привести к взлому сервиса. 

Сериализация и последующая десериализация бывают нужны, когда необходимо сохранить объект в строку, а затем в точности восстановить его одной командой, даже если это объект сложной структуры.

Выглядит полезно, но серьезно угрожает безопасности: хакеры могут внедрять вредоносный код, модифицировать данные, например, количество бонусов в интернет-магазине, украсть конфиденциальные сведения и много чего еще.

В этой статье мы рассмотрим уязвимый сервер глазами хакера, найдем слабые места и заполучим reverse-shell. На примере взлома сервиса доставки еды вы увидите, как отсутствие должной защиты может привести к серьезным последствиям — от утечки личных данных до полного захвата сервера. 

30 ноября мы по традиции отмечаем Международный день защиты информации. Праздник появился благодаря событию далекого 1988 год и вот уже больше 30 лет его актуальность только растет.

Начало

30 ноября во всем мире отмечается День защиты информации. С каждым годом задача защиты данных становится критически важной как для бизнеса, так и для самих пользователей. В ноябрьском дайджесте собрали интересные и показательные инциденты с находчивыми мошенниками, справедливыми хакерами и тысячами пострадавших.

Привет, Хабр! На связи Макар Ляхнов, аналитик по информационной безопасности в Innostage. Я киберзащитник - специалист, чью профессию пока трудно назвать популярной. А для чего, казалось бы, выбирать защиту, когда есть все это веселье со взломами, эксплойтами и грандиозными взрывами битов? Отвечу: для спасения цифрового мира, ведь без синих команд с ним давно случился бы коллапс.

Таких киберспасателей в нашей стране тысячи. Для тех, кто уже вступил в ряды blue team или только задумывается об этом, мы подготовили серию статей. Первая из них – о борьбе атакующих и защитников как за ИТ-ресурсы, так и за симпатии в молодежной среде. Разминайте пальцы, очень ждем ваших комментариев по красно-синей теме! Вперед, все под кат!

Шифрование данных всегда было важной составляющей политики государства. Помимо того, что надо тайно вести собственную переписку, нужно ещё и стараться читать вражескую. А чтобы наиболее эффективно читать вражескую переписку, неплохо бы поставлять врагу свои шифровальные машины с известным алгоритмом.

И если вам кажется, что это невозможно, то история компании Crypto AG говорит об обратном. Но, обо всем по порядку.

Привет, Хабр! CyberCamp — онлайн-кэмп по практической кибербезопасности — давно прошел, а вопросы (по заданиям) еще остались. Помимо командных киберучений, на платформе CyberCamp были представлены практические задания для зрителей по самым разным вопросам ИБ, начиная от поиска фишинговых писем, работы с дампами трафика и журналами аудита, и заканчивая MITRE ATT&CK и мини-Bug Bounty.

Мы получили обратную связь от зрителей и решили разобрать самые интересные и непростые, по их мнению, задачи. Поэтому, если вас до сих пор периодически мучает вопрос «Где же лежал ключ?!», — мы вас спасем.

Давайте разбираться!

Безопасное хранение персональной информации в нашем мире — очень актуальный вопрос. У многих из нас на носителях есть то, что требуется защищать от посторонних рук и глаз. Пароли, документы, фото и т. п. — всё это нужно хранить в укромном месте. Для защиты уже давно разрабатывают протоколы шифрования и софт, который их использует. Подробности — под катом.

Все больше компаний стремятся интегрировать безопасность в каждый этап разработки программного обеспечения. В контексте быстро развивающегося мира контейнеризации и облачных технологий, DevSecOps становится неотъемлемой частью создания безопасных и надежных приложений.

Одним из ключевых моментов при работе с контейнерами является безопасность образов. Amazon Elastic Container Registry (Amazon ECR) предоставляет мощный инструмент для хранения Docker-образов, но безопасность этих образов играет критическую роль. В этой статье мы исследуем процесс сканирования образов на безопасность перед их отправкой в Amazon ECR, раскрывая методы и инструменты, которые помогают обеспечить непрерывную безопасность в DevSecOps-окружении.

Protestware: найти и обезвредить
Привет, Хабр! Меня зовут Владимир Исабеков, я работаю в Swordfish Security, где занимаюсь динамическим анализом приложений. Сегодня мы поговорим о таком явлении, как Protestware, когда вредоносный код встраивается в открытые программные компоненты. В статье разберем нюансы «протестного ПО» и как от него защититься с помощью безопасной разработки.

Привет, Хабр! Меня зовут Артур Илькаев, я работаю в департаменте экосистемных продуктов, мы разрабатываем VK ID SDK и все что связано с авторизацией и сессиями, в частности — мультиаккаунт.

Секретные данные требуют особого внимания при хранении и передаче. Инструменты для шифрования могут варьироваться по степени сложности, надёжности и производительности. В этом обзоре мы рассмотрим несколько таких инструментов, опишем их эффективность и расскажем о распространённых ошибках при их использовании. Статья написана по мотивам разработки мультиаккаунта, который подвёл нас к исследованию оптимального и безопасного способа хранения сессий.