🟧Cutter

Бесплатная настраиваемая платформа для реверс-инжиниринга с открытым исходным кодом. Создана реверс-инженерами для реверс-инженеров. Позволяет анализировать двоичные файлы, создавая высокоуровневое представление машинного кода, содержащегося в них, то есть восстанавливает исходный код, на основе которого был скомпилирован двоичный файл.

🟧Бинарные файлы Cutter для всех основных платформ (Linux, macOS, Windows) можно загрузить с GitHub Releases. Также можно собрать Cutter из исходного кода:

git clone --recurse-submodules https://github.com/rizinorg/cutter
cd cutter
sudo apt install build-essential cmake meson pkgconf libzip-dev zlib1g-dev qt6-base-dev qt6-tools-dev qt6-tools-dev-tools libqt6svg6-dev libqt6core5compat6-dev libqt6svgwidgets6 qt6-l10n-tools
mkdir build && cd build
cmake ..
cmake --build .

🟧Cutter поддерживает плагины как на Python, так и на C++. C официальными плагинами и плагинами сообщества можно ознакомиться здесь. Плагины загружаются из каталога пользовательского уровня, зависящего от операционной системы. Чтобы узнать расположение этого каталога и список загруженных в данный момент плагинов, перейдите в меню Edit -> Preferences -> Plugins. В каталоге плагинов есть два подкаталога: native и python для плагинов на C++ и Python соответственно, которые будут автоматически созданы Cutter.

🟧Параметры командной строки
Инструмент поддерживает как графический интерфейс, так и работу из командной строки.

Cutter [options] [<filename> | –project <project>]

<filename> - Имя файла для открытия. Если не указано, будет показано диалоговое окно выбора файла.

Ниже перечислены некоторые возможные флаги:
🟧-A, --analysis <level> - при открытии файла автоматически выполняется анализ на заданном уровне (1 из 3 возможных);
🟧-a, --arch <arch> - конкретное название архитектуры;
🟧-b, --bits <bits> - установка определённых бит архитектуры;
🟧-c, --cpu <cpu> - установка конкретного процессора;
🟧-e, --endian <big|little> - устанавка порядка байтов (прямой или обратный);
🟧-F, --format <name> - принудительное использование определенного формата файла;
🟧-w, --writemode - открытие файла в режиме записи, а не в режиме только для чтения, который используется по умолчанию;
🟧-P, --phymode - отключение виртуальной адресации;
🟧--no-plugins - запуск со всеми отключенными плагинами.

Исследователи Oligo Security обнаружили целую цепочку опасных RCE-уязвимостей, объединив их под названием ShadowMQ. Под удар попали важнейшие движки инференса, которые используют крупные компании, облачные провайдеры и исследовательские центры.
Суть проблемы в том, что многие ИИ-сервера принимают сообщения через ZeroMQ и сразу же десериализуют их с помощью небезопасного Python pickle. Если злоумышленник может достучаться до такого сокета, он получает возможность выполнить любой код на сервере.

🕖 История началась с того, что исследователи обнаружили уязвимость в Meta* Llama Stack — одном из наиболее популярных стеков для развёртывания LLM в продакшене. Во время анализа они заметили, что опасный вызов recv_pyobj() из ZeroMQ, который автоматически десериализует входящие данные через Python pickle, используется без каких-либо проверок и аутентификации.

Это уже само по себе серьёзная проблема: любой полученный объект может превращаться в исполняемый код.

Однако самое любопытное началось позже. Когда специалисты сравнили найденный у Meta* код с реализациями других инференс-серверов, стало очевидно, что дело не в случайном совпадении. Конкретные файлы и целые модули практически один в один повторяли структуру и логику уязвимого фрагмента. Линии, функции, вызовы — всё совпадало почти побитно.
Так выяснилось, что при создании инфраструктуры многие разработчики ориентировались на открытые примеры и использовали готовые шаблоны ZeroMQ для коммуникации между процессами.

И вместо того, чтобы адаптировать их или усилить безопасность, эти примеры переносились напрямую — вместе с уязвимостью.

В результате ShadowMQ «перекочевал» в другие крупные проекты:
🔅NVIDIA TensorRT-LLM — высокопроизводительная платформа инференса на GPU
🔅vLLM — один из самых популярных серверов LLM благодаря скорости и оптимизации памяти
🔅SGLang — крайне востребованный фреймворк, который используют крупнейшие техкомпании и облачные провайдеры
🔅Modular Max Server — часть новой многообещающей экосистемы Modular
🔅Microsoft Sarathi-Serve — серверная инфраструктура Microsoft для LLM

Распространение оказалось настолько широким, что исследователи сравнили его с

вирусом

, который «передаётся» через копипасту исходников. Не через зависимости, не через сторонние библиотеки, а через прямое использование одного и того же шаблонного кода, который считался безопасным, но оказался критически уязвимым.

⚡️ Почему это так опасно
Инференс-сервера — это не «второстепенные компоненты», а ядро современной AI-инфраструктуры:
🔅Они управляют вычислениями на мощных GPU-кластерах
🔅Обслуживают высоконагруженные модели
🔅Работают внутри корпоративных и облачных систем
🔅Обрабатывают пользовательские данные и результаты моделей

RCE

в такой точке превращается в серьёзную угрозу: доступ к модели, краже данных, внедрение вредоносных нагрузок, полный захват хоста. Дополнительный риск — десятки и сотни

ZMQ-сокетов

, обнаруженных открытыми в интернет без аутентификации.

🔔 Что уже исправлено, а что нет
Несколько проектов выпустили патчи достаточно быстро: Meta*, NVIDIA, vLLM и Modular закрыли уязвимости.
Но:
🔅Microsoft Sarathi-Serve до сих пор без исправления
🔅У SGLang фикс признан частичным, уязвимость остаётся в актуальной версии
И это особенно тревожно, учитывая, что SGLang используют компании масштаба AMD, NVIDIA, Intel, LinkedIn, Oracle Cloud, а также крупнейшие облака — Google Cloud, AWS и Azure.

➡️ Что делать организациям
Чтобы исключить риск эксплуатации ShadowMQ, специалисты рекомендуют: обновить затронутые компоненты до версий с патчами, закрыть ZMQ-сокеты от внешнего доступа и ограничить их внутренними сетями, включить аутентификацию сообщений, отказаться от использования pickle для обработки данных из сети.

*Meta признана экстремисской организацией на територии Российской Федерации

BrutDroid

BrutDroid 2.0 — это мощный набор инструментов, разработанный специально для Android Studio и упрощающий организацию лаборатории по тестированию на проникновение для мобильных устройств. Он разработан для упрощения тестирования на проникновение в Android и автоматизирует создание эмулятора, получение root-доступа, настройку сервера Frida и установку сертификатов Burp Suite. Благодаря новому яркому интерфейсу и поддержке пользовательских скриптов Frida, BrutDroid позволяет специалистам по безопасности сосредоточиться на тестировании, а не на настройке.

📕Характеристики:
1️⃣Оптимизировано для Windows и Android Studio: легко интегрируется с Windows Terminal и Android Studio для удобного тестирования на проникновение.
2️⃣Получение прав root в один клик: автоматически получает права root для эмуляторов (API 31, x86_64/arm64) с помощью Magisk и rootAVD, устраняя необходимость в ручной настройке.
3️⃣Интеграция Burp Suite: упрощает перехват трафика HTTPS за счет установки доверенных системных сертификатов Burp CA через модули Magisk.
4️⃣Пользовательские скрипты Frida: добавляйте и запускайте собственные скрипты Frida вместе со встроенными функциями закрепления SSL и обхода обнаружения root-доступа.
5️⃣Frida Powerhouse: Простое управление сервером Frida, просмотр приложений и выполнение скриптов для динамического инструментирования.

📌Установка:

git clone https://github.com/Brut-Security/BrutDroid.git

cd BrutDroid

pip install -r requirements.txt

🚀Запуск:

python3 BrutDroid.py

Кто идёт на Kuber Conf by AOT 4 декабря? Разыгрываем 2 билета!

👩‍💻 Kuber Conf by AOT — первая комьюнити-конференция по K8s в России, которая пройдет 4 декабря в Москве. Никакой воды — только хардкор и кейсы от команд Avito, Т-Банк, Vitastor, Beget, VK Cloud, Yandex Cloud, Selectel и других.

В программе:
🔵Изменения в Cluster API без пересоздания машин
🔵Как строили платформу деплоя в Т-Банке
🔵Практический deep-dive в CNI chaining
🔵Безопасный Gatekeeper в архитектуре k8s-in-k8s
🔵Поддержка Kubernetes в Vitastor
🔵Karpenter-провайдер своими руками — что внутри

Это отличный шанс:
— прокачать продовые навыки по K8s
— подсмотреть идеи для своей платформы
— пообщаться с инженерами из крупных команд

❕ Розыгрыш 2 билетов
24 ноября в 12:00 выберем 2 самых правильных и подробных ответа

Чтобы участвовать, ответь на вопрос в комментариях:
В прод-кластере Kubernetes все Pod’ы по умолчанию получают service account, который имеет права get/list на все Secret в namespace. Почему это серьёзный риск для безопасности и как минимум двумя разными стандартными механизмами Kubernetes можно его уменьшить/устранить?

Если Kubernetes — часть твоей работы или инфраструктуры, мимо проходить нельзя!

➡️ Программа и билеты

🐝 TheHive

TheHive — платформа с открытым исходным кодом для управления инцидентами безопасности (Security Incident Response Platform, SIRP), предназначенная для облегчения работы команд реагирования на инциденты (CSIRT, SOC). Она масштабируемая, ориентирована на совместную работу и помогает централизованно регистрировать, анализировать, распределять задачи и эффективно расследовать инциденты безопасности.

Основные особенности TheHive:
🔺 Централизованное ведение инцидентов, включая классификацию (низкий, средний, высокий) и использование протокола TLP для управления конфиденциальностью информации.
🔺 Создание и управление задачами внутри каждого инцидента, что обеспечивает структурированный подход к реагированию.
🔺 Интеграция с такими инструментами, как Cortex для автоматизированного анализа и обогащения данных, а также с MISP для обмена индикаторами компрометации и изучения угроз.
🔺 Пользовательские информационные панели для мониторинга текущих инцидентов и выявления трендов в режиме реального времени.
🔺 Поддержка совместной работы команды в режиме реального времени, что помогает оперативно обмениваться информацией и координировать действия.
🔺 Наличие RESTful API для интеграции с другими системами безопасности, SIEM и платформами обработки тикетов.
🔺 Система управления доступом на основе ролей и полный аудит всех действий для соответствия нормативным требованиям и последующего анализа.

🌐 Благодаря открытому коду и активному сообществу, TheHive легко расширяется и кастомизируется под нужды конкретной организации.

📔 Также у TheHive имеются готовые плейбуки для реагирования на инциденте, а также их можно создавать самостоятельно, используя определенные шаблоны. Ниже представлен пример созданного плейбука для реагирования на активность Ransomware:

name: Ransomware_Containment
trigger: ransomware_behavior_detected
conditions:
  - multiple_file_modifications
  - encryption_patterns_detected
immediate_actions:
  - isolate_host:  # изоляция зараженной машины
  - kill_process:  # завершение подозрительных процессов
  - snapshot_vm:  # создание снимка виртуальной машины
  - collect_forensics:  # сбор артефактов для анализа

ZeroNights — 11-я конференция по практической кибербезопасности

Конференция по практическим аспектам ИБ ZeroNights возвращается после перерыва и готова к покорению вершин кибербезопасности с новыми силами и неизменной преданностью традициям.

➡️Дата: 26 ноября 2025
➡️Место: Санкт-Петербург, LOFT HALL #7

ZeroNights пройдет в одиннадцатый раз! В этом году мы вновь собираем на площадке лучшее — общение с профессиональным комьюнити, обсуждение актуальных тем кибербезопасности и только беспристрастно отобранные доклады о проблемах ИБ.

3 тематических трека с докладами:

🔅Offensive Track — две сцены (Heap Stage и Stack Stage) с докладами про использование современных техник взлома для проведения продвинутых кибератак, обнаружение уязвимостей в устройствах и приложениях, а также про способы их эксплуатации.
🔅SecOps Track — о реальных кейсах SecOps, о стратегии AppSec и о рабочих подходах к безопасной разработке.
🔅Community Track — секция интерактивных докладов от ИБ-сообществ.

До конференции остались считанные дни! 🤝
Купить билеты онлайн ➡️ тут
Наш TG-канал с актуальными новостями

Как злоумышленники используют инструменты искусственного интеллекта❓ На основе недавнего анализа широкого спектра угроз специалисты по анализу угроз из Google (GTIG) выявили изменения, произошедшие за последний год: злоумышленники больше не используют искусственный интеллект только для повышения эффективности, они внедряют новые вредоносные программы с поддержкой ИИ в активные операции.

🙈Ключевые выводы
1️⃣Первое использование ИИ «Just-in-Time» в ВПО: GTIG впервые выявила семейства вредоносного ПО, такие как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) во время исполнения. Эти инструменты динамически генерируют вредоносные скрипты, обфусцируют собственный код, чтобы избежать обнаружения, и привлекают модели ИИ для создания вредоносных функций по требованию, вместо того чтобы жёстко программировать их в самом ПО. Хотя это явление ещё на ранней стадии, оно представляет собой значительный шаг к более автономному и адаптивному вредоносному ПО.

2️⃣Социальная инженерия для обхода защит: Злоумышленники всё чаще используют в запросах предлоги, похожие на приёмы социальной инженерии, чтобы обойти защитные барьеры ИИ. Наблюдались случаи, когда злоумышленники выдавали себя за студентов на CTF-соревнованиях или за исследователей по кибербезопасности, чтобы убедить Gemini предоставить информацию, которая в противном случае была бы заблокирована, что облегчало разработку вредоносных инструментов.

3️⃣Зрелый подпольный рынок преступных AI-инструментов: Подпольный рынок нелегитимных AI-инструментов в 2025 году стал более зрелым. Выявлены многочисленные предложения многофункциональных инструментов, предназначенных для фишинга, разработки вредоносного ПО и поиска уязвимостей, что снижает барьер входа для менее опытных атакующих.

4️⃣Дальнейшее расширение всего жизненного цикла атаки: Спонсируемые государствами APT, в том числе из Северной Кореи, Ирана и КНР, продолжают злоупотреблять Gemini для усиления всех этапов своих операций — от разведки и создания фишинговых приманок до разработки систем командования и управления и эксфильтрации данных.

👻ВПО, написанные с использованием ИИ
🔴FRUITSHELL - публично доступный реверсшелл, написанный на PowerShell, устанавливающий удалённое соединение с настроенным С2 сервером и позволяющий злоумышленнику выполнять произвольные команды во взломанной системе. Семейство кодов содержит жёстко запрограммированные подсказки, предназначенные для обхода обнаружения или анализа системами безопасности на базе LLM.

🔴PROMPTFLUX - Dropper, написанный на VBScript, расшифровывает и запускает встроенный установщик-приманку, чтобы замаскировать свою активность. Его основная функция — регенерация, которую он выполняет с помощью Google Gemini API. Он запрашивает у языковой модели переписать его собственный исходный код и сохраняет новую, запутанную версию в папке автозагрузки для обеспечения постоянства. PROMPTFLUX также пытается распространяться, копируя себя на съемные диски и подключенные сетевые ресурсы.

🔴PROMPTLOCK - кроссплатформенная программа-вымогатель, написанная на Go, представляет собой экспериментальный образец. Она использует большую языковую модель для динамической генерации и выполнения вредоносных скриптов на языке Lua во время работы. Её возможности включают в себя разведку файловой системы, кражу данных и шифрование файлов в системах Windows и Linux.

🔴PROMPTSTEAL - программа для сбора данных, написанная на Python и упакованная с помощью PyInstaller. Она содержит скомпилированный скрипт, который использует API Hugging Face для запроса к языковой модели Qwen2.5-Coder-32B-Instruct для генерации однострочных команд Windows. Подсказки, используемые для генерации команд, указывают на то, что программа предназначена для сбора системной информации и документов в определённых папках. Затем PROMPTSTEAL выполняет команды и отправляет собранные данные на сервер, контролируемый злоумышленником.