Threat Hunting

🏹 Threat Hunting (охота за угрозами) — это проактивный, систематический и итеративный процесс активного поиска скрытых киберугроз и следов компрометации в IT-инфраструктуре, которые не были обнаружены стандартными автоматическими средствами защиты (например, SIEM, IDS/IPS).

❗️ Его суть — не ждать срабатывания алертов, а активно искать признаки вредоносной активности, используя опыт, знания и аналитику.

Основные характеристики
🔺 Проактивность: специалист не ждет инцидентов, а самостоятельно формирует гипотезы о возможных способах проникновения и действиях злоумышленников в сети.
🔺 Итеративность: процесс включает многократное выдвижение и проверку гипотез. Если первоначальная гипотеза не подтвердилась, она модифицируется и тестируется снова.
🔺 Телеметрия: анализируются данные, собираемые с конечных точек, сетевых сенсоров, журналов безопасности и прочих источников.
🔺 Использование Threat Intelligence: специалисты применяют актуальную информацию о тактиках, техниках и процедурах (TTP) известных атакующих, индикаторы компрометации (IOC), чтобы направлять свои поиски.

🎯 Цель — выявить скрытые проникновения, сложные целевые атаки (APT), которые могут длительное время оставаться незамеченными традиционными средствами, особенно когда атаки распределены во времени и замаскированы.
➡️ Результат — сокращение времени выявления инцидентов, повышение уровня защиты и понимания инфраструктуры.

В общем виде процесс Threat Hunting:
🔺 Формирование гипотезы на основе знаний о современных угрозах и особенностях инфраструктуры.
🔺 Поиск следов активности или аномалий с помощью анализа телеметрии.
🔺 Проверка и подтверждение гипотезы, выявление угроз.
🔺 Обратная связь и обновление гипотез при получении новых данных.

❓ Как часто используете процессы Threat Hunting в своей работе?

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Google В С Ё

Член комитета Госдумы по информационной политике Андрей Свинцов допустил, что в России под ограничения могут попасть все сервисы Google.
В Госдуме допустили возможность блокировки абсолютно всех сервисов Google в России, объясняя это необходимостью защиты государственности и соблюдения закона о хранении персональных данных.

По словам депутата, причиной потенциальных ограничений является то, что Google продолжает хранить персональные данные пользователей за пределами России, в том числе в Европе и США. Свинцов считает, что это создает значимые риски, поскольку российский бизнес широко использует иностранные облачные сервисы и размещает там сведения о финансовом состоянии, выпускаемой продукции, технологиях, оборудовании, сервисных контрактах и финансовых операциях.

Свинцов также заявил, что в России сформировалась тенденция «мягкого выдавливания всего американского». По его мнению, если государство намерено «сохранить нашу экономику» и «сохранить нашу государственность», необходимо учитывать любые аспекты зависимости от зарубежной цифровой инфраструктуры, включая популярные иностранные онлайн-сервисы.

При этом парламентарий признал, что российский бизнес за многие годы выстроил системы управления на базе сервисов Google и привык к ним. Однако он подчеркнул, что, «я вам гарантирую на 100%, что огромное количество российских IT-решений ничем не уступают западным», а часть из них, будучи более современными, даже превосходит зарубежные аналоги по качеству. По словам Свинцова, некоторые отечественные решения еще нуждаются в доработке, но этот процесс оценивается не в годы, а в сроки порядка нескольких месяцев.

Депутат назвал текущий курс на замещение иностранных платформ «абсолютно правильной тенденцией» «мягкого выдавливания всего американского с территории Российской Федерации». Он не исключил, что сервисы Google и другие зарубежные платформы могут в перспективе постепенно сталкиваться с замедлением работы и усложнением доступа, чтобы у граждан и компаний был переходный период для миграции на российские аналоги.

Источник:https://www.gazeta.ru/tech/news/2025/12/11/27388915.shtml?utm_auth=false

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Metis — AI-driven инструмент для глубокого анализа безопасности кода

Metis — инструмент от Arm для анализа безопасности кода. Это open-source решение с ИИ-движком, которое помогает находить скрытые уязвимости, снижать нагрузку на ревьюеров и упрощать разбор сложных или устаревших кодовых баз.

⚡️ Основные возможности Metis
😡 Глубокий security code review — Metis анализирует контекст, логику, зависимости и взаимодействие модулей, находя проблемы, которые часто пропускают линтеры и SAST-решения.
😡 ИИ-поддержка — встроенные модели помогают выявлять нетривиальные дефекты, подозрочные паттерны и потенциальные цепочки атаки.
😡 Работа с большими и legacy-проектами — Metis особенно эффективен там, где кодовая база сложная, исторически разросшаяся или плохо документирована.
😡 Удобный процесс ревью — подсветка рисков, генерация объяснений, рекомендации по исправлению и снижение «усталости ревьюера».
😡 Автоматизация и гибкость — инструмент можно интегрировать с CI/CD, запускать локально или применять как часть пайплайна безопасной разработки.

⬇️ Установка и запуск
⏺️Клонирование проекта и установка зависимостей:

git clone https://github.com/arm/metis.git
cd metis
pip install -r requirements.txt

⏺️Запуск анализа:

python3 metis.py --source /path/to/codebase

⏺️Использование в CI/CD:
Metis можно встроить в GitHub Actions, GitLab CI или локальные пайплайны, вызывая тот же CLI.
Пример работы в CI:

python3 metis.py --source . --output report.json

В репозитории есть примеры конфигураций, моделей и сценариев анализа — изучайте папку /examples/ и адаптируйте Metis под свои процессы безопасной разработки.

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

PatchLeaks: Анализ патчей и обновлений через веб-интерфейс

PatchLeaks — это серверный инструмент, написанный на языке Go, предназначенный для анализа патчей, обновлений безопасности и связанных данных через веб-интерфейс. Он использует многопоточную обработку с элементами искусственного интеллекта для глубокого изучения предоставленной информации. Инструмент запускается как автономный веб-сервер, предоставляя исследователям и аналитикам платформу для интерактивного анализа изменений в обновлениях ПО, выявления скрытых модификаций и потенциальных уязвимостей.

🟡Представляет собой скомпилированное Go-приложение, работающее как самостоятельный веб-сервер
🟡Использует многопоточность для эффективного анализа данных с применением алгоритмов искусственного интеллекта
🟡Позволяет настраивать IP-адрес привязки и порт сервера, включая использование случайного свободного порта
🟡Предназначен для работы с данными, характерными для процесса исправления ПО: описаниями изменений, diff-файлами, метаданными обновлений

➡️Установка

sudo apt install patchleaks

Скачиваем зависимости Go

go mod download

Эта команда создаст исполняемый файл patchleaks (или patchleaks.exe на Windows) в текущей директории

go build -o patchleaks .

Проверяем

patchleaks -h

➡️Запустим веб-сервер на localhost (127.0.0.1) на случайном свободном порту

patchleaks

➡️Запустим сервер на всех сетевых интерфейсах на порту 8080 с использованием 4 потоков для обработки ИИ

patchleaks -host "0.0.0.0" -p 8080 -t 4

‼️Процесс использования
- Убедитесь, что выполнили шаги go mod download и go build
- Выполните команду запуска сервера с нужными параметрами
- В консоли отобразится адрес веб-сервера (например, Server URL: http://0.0.0.0:8080). Откройте этот адрес в браузере
- Используйте веб-интерфейс для загрузки и анализа данных, связанных с обновлениями ПО

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

⚒️ Утечка данных в Leroy Merlin: клиенты снова на линии огня

Французский ритейлер Leroy Merlin сообщил клиентам о новом инциденте безопасности — и да, снова персональные данные утекли туда, куда не должны были. На этот раз жертвами стали пользователи из Франции, а сама атака, по словам компании, была «точечной, но неприятной».

Информация о произошедшем появилась после того, как пользователь SaxX_ опубликовал в X фрагменты уведомления, разосланного клиентам. Согласно документу, злоумышленники сумели получить доступ к целому набору данных, которые обычно собирают маркетологи, но обожают киберпреступники:
🔴полное имя
🔴номер телефона
🔴электронная почта
🔴почтовый адрес
🔴дата рождения
🔴данные из программы лояльности

То есть полный пакет для фишинговых атак, подмены личности и прочей социальной инженерии, которая в последнее время стала хитом среди злоумышленников.

В обращении компания признаёт факт взлома:

«Недавно на нашу информационную систему была совершена кибератака, и часть ваших персональных данных могла быть скомпрометирована. Как только инцидент был обнаружен, мы заблокировали несанкционированный доступ и локализовали угрозу».

При этом ритейлер подчёркивает, что банковские данные и пароли не пострадали. Хорошая новость? В теории — да. На практике — украденной информации уже достаточно, чтобы клиентам пришлось держать уши (и почту) востро.

Интересный момент: пока что украденные данные нигде не всплывали, и в компании уверяют, что злоумышленники ещё не использовали их для атак. Это может означать, что база не попала в даркнет — либо кто-то просто готовит её к более тонкой, персонализированной работе.

На данный момент ни одна хакерская группировка не взяла на себя ответственность

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

🚩 Соревнования начались!

Всем участникам желаем удачи и ярких эмоций ❤️

➡️ https://hackerlab.pro/cybercoliseum
———————————————
Следить за ходом соревнований без регистрации можно по ссылке: https://hackerlab.pro/scoreboard

🎄 Что подарить на Новый год тому, кто в теме? В Академии Кодебай открылись продажи новогодних подарочных сертификатов!

Если вы ищете подарок, который действительно имеет ценность — мы создали его.
Теперь вы можете подарить близкому человеку не вещь, а возможность изменить профессию, усилить навыки и выйти на новый уровень.

🎁 Премиальный подарок для будущего профессионала.
🎁 Практичный выбор для тех, кто ценит развитие.
🎁 Подарок с долгосрочной ценностью.

Выберите формат:
↖️ Сертификат на один курс
↖️ Сертификат-номинал

Получатель сам выбирает направление обучения: от веб-пентеста и SOC до самых свежих новинок — DevSecOps и Appsec-инженер!

Сертификат приходит на e-mail в виде стильного PDF, который можно красиво вручить лично или отправить онлайн.

⬇️ Продажи уже открыты.

BBOT — мощный автоматизированный сканер для Recon, Bug Bounty и ASM

BBOT — мультифункциональный сканер, вдохновлённый Spiderfoot, созданный для автоматизации разведки, поиска поддоменов, web-сканирования и анализа атакуемой поверхности. Инструмент сочетает мощные модули, находит значительно больше данных, чем классические OSINT-инструменты, и масштабируется под любые задачи.

❓ Основные возможности BBOT
➡️ Поиск поддоменов — комбинирует пассивные источники, рекурсивный brute-force и AI/NLP-мутации, находя на 20–50% больше результатов.
➡️ Web Spider — обход сайтов, сбор e-mail, URL, параметров, секретов.
➡️ Email-enum — быстрый сбор почтовых адресов из API и контента.
➡️ Web-сканы — лёгкий (web-basic) и расширенный (web-thorough).
➡️ Kitchen-Sink режим — запуск всех модулей сразу.
➡️ Огромный выбор выводов — Neo4j, Elastic, Splunk, SQL/NoSQL, Slack, Discord, JSON/CSV и др.
➡️ Python API — синхронная и асинхронная работа для полной автоматизации.

⬇️ Установка

pipx install bbot
# dev-ветка:
pipx install --pip-args '--pre' bbot

🔌 Примеры команд
⏺️Subdomain enum:

bbot -t evilcorp.com -p subdomain-enum

⏺️Spider:

bbot -t evilcorp.com -p spider

⏺️Email-enum:

bbot -t evilcorp.com -p email-enum

⏺️Web-скан:

bbot -t www.evilcorp.com -p web-basic

⏺️Все сразу:

bbot -t evilcorp.com -p kitchen-sink --allow-deadly

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

🟧🟧🟧🟧 Мы запускаем флагманскую программу по Application Security!

AppSec — одно из самых востребованных и быстрорастущих направлений в кибербезопасности.
И теперь у нас есть полный 7-месячный практический курс, который готовит к работе в реальных проектах — от поиска уязвимостей до внедрения безопасного SDLC и DevSecOps.

Что ждёт на программе?
🟧 200+ часов практики
🟧 Личный стенд: SQLi, XSS, SSRF, LFI, IDOR, Race Condition и др.
🟧 Работа с SAST (Semgrep), DAST (Burp/ZAP/OAST), SCA (Trivy)
🟧 Secure SDLC, Threat Modeling, CVE/CWE/CVSS
🟧 Автоматизация безопасности в CI/CD
🟧 Финальный capstone: mini-CTF, созданный своими руками
🟧 Большое портфолио из 9 проектов, закрывающее требования junior-вакансий

🎓 По итогам — диплом о профпереквалификации и готовность выйти на рынок как:
Junior/Middle AppSec Engineer, Web-Pentester, Security Developer, DevSecOps-инженер.

Старт: 16 февраля
🟧🟧🟧 Первый поток доступен со скидкой 10%: 120.000 руб. 108.000 руб.

Набор открыт:
🟧 https://codeby.school/appsec.html

👀 TotalRecall

Инструмент извлекает и отображает данные из Windows Recall, предоставляя удобный способ доступа к информации о снимках активности вашего ПК.

Windows Recall — это функция Microsoft, впервые представленная в 2024 году, которая автоматически делает снимки того, что происходит на экране ПК каждые пять секунд, если содержимое экрана отличается от предыдущего снимка, и сохраняет их в локальной базе данных.

Функция Recall позволяет искать контент, включая изображения и текст, с помощью естественного языка. Является частью экосистемы Copilot+ PC и интегрирована в Windows 11 и новую AI-платформу Microsoft.

Особенности
🔴Поддерживает фильтрацию по дате;
🔴Текстовый поиск конкретного значения;
🔴Предоставляет исчерпывающие отчеты.

🔴 Технические детали
Windows Recall хранит все данные локально в незашифрованной базе данных SQLite, а скриншоты просто сохраняются в папке на вашем компьютере по пути:

C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID}

Все изображения хранятся в следующей подпапке .\ImageStore\.
База данных ukg.db имеет относительно простую структуру, но содержит огромное количество информации.

Как работает инструмент
1️⃣TotalRecall копирует базу данных ukg.db и папку ImageStore в указанную папку для извлечения. Это гарантирует, что исходные данные останутся нетронутыми, пока вы будете изучать извлечённые данные.

2️⃣Анализирует базу данных SQLite, чтобы извлечь потенциально интересные артефакты, такие как заголовки окон, временные метки и токены изображений. Инструмент ищет записи, соответствующие заданным вами критериям (например, диапазону дат или поисковым запросам).

3️⃣Переименовывает файлы изображений в папке ImageStore с расширением .jpg, если оно ещё не присвоено. Это упрощает просмотр снимков экрана и управление ими.

4️⃣Позволяет искать определённые термины в базе данных, используя возможности оптического распознавания символов (OCR) в Windows Recall. Это значит, что вы можете найти текст, который был на вашем экране, даже если он был на изображении.

5️⃣Инструмент формирует сводку извлечённых данных, включая количество захваченных окон и сделанных снимков. Он также создаёт подробный отчёт в текстовом файле, в котором перечислены все захваченные данные и результаты поиска.

👁️Примеры использования

totalrecall.py [-h] [--from_date FROM_DATE] [--to_date TO_DATE] [--search SEARCH]

Поиск упоминаний термина password в период с 2024-06-04 по 2024-06-05.

totalrecall.py --search password --from_date 2024-06-04 --to_date 2024-06-05

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Findsploit

Finsploit — это простой bash-скрипт для быстрого и лёгкого поиска по локальным и онлайн-базам данных эксплойтов. Этот репозиторий также включает в себя «copysploit» для копирования любого эксплойта exploit-db в текущий каталог и «compilesploit» для автоматической компиляции и запуска любого эксплойта на языке C.

💻Установка:

git clone https://github.com/1N3/Findsploit.git

cd Findsploit

📌Запуск:

./findsploit

➖Найдите все эксплойты и модули, используя один поисковый запрос:

./findsploit <WORD> (например apache)

➖Поиск по нескольким поисковым запросам:

./findsploit <WORD> <WORD>

➖Показать все эксплойты Metasploit:

./findsploit exploits

🟧🟧🟧 –20% на два курса по промокоду COMBO20 до 19 декабря!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером