Форум информационной безопасности - Codeby.net
Заметка Как я делаю новый дизайн форума
Форум Codeby переделывается — не косметически, а по сути: как читаем, ищем рабочий ответ и находим вакансию. Четыре боли текущего движка: мобайл с шапкой на первом экране, длинные треды без карты и статуса решения, раздробленные таксономии, плоский список вакансий без вилки и грейда.Концепт: лента знаний с конструктором по темам (Pentest, AppSec, DFIR, Reverse), форматам и уровню; ридер для лонгридов с оглавлением и подсветкой кода; карта треда с прыжком к лучшим ответам; карточки вакансий с фасетами. Под новым слоем — тот же XenForo: архив, ссылки и поиск живут. ИИ — два помощника: выжимка треда с указателями на посты и разбор кода по кнопке.
Сейчас кликабельный прототип. Новый слой надевается на старое содержимое и откатывается за секунду.Статья Атака Evil Twin на точку доступа: detection-playbook от deauth до алерта в SIEM
Evil Twin с парковки: за 12 минут — поддельная AP, через 22 — сброс паролей в AD. WIDS молчал два месяца после обновления инфраструктуры. Шесть комплектов доменных учёток ушли через captive portal.Атакующий клонирует SSID через hostapd-wpe, шлёт deauth-фреймы aireplay-ng от имени легитимной AP — клиенты отваливаются и переподключаются к Rogue AP. dnsmasq перехватывает DNS, iptables редиректит HTTP. В WPA Enterprise hostapd-wpe поднимает фейковый RADIUS, захватывает MSCHAPv2-хеши — дальше hashcat. MITRE T1557.004, T1056.003, T1111.
SOC смотрит в Windows Event Log — Evil Twin живёт в эфире. WIDS отключён? Kill chain закрыт за 22 минуты.Статья Vaultjacking: фишинг Google Password Manager через один PIN — от AiTM до полного vault dump
Vaultjacking: один AiTM-поток + шестизначный PIN от Google Password Manager — и атакующий получает полный vault dump со всеми паролями и synced passkeys жертвы. Persistence переживает смену пароля.Стандартный AiTM через Evilginx2 перехватывает сессию Google — но куки живут минуты, DBSC привязывает их к TPM. Vaultjacking добавляет JavaScript-шим (T1056.002), рендерящий PIN-модалку под нативный Google UI. После перехвата PIN атакующий join'ит своё устройство к Security Domain жертвы и через `trusted_vault` API получает Security Domain Secret — ключ ко всему хранилищу.
SOC видит «новый вход на Windows» — стандартное уведомление. Push на существующие устройства Google не шлёт.Статья Операционализация Threat Intelligence: от сырых IOC до детектирующих правил SIEM
L1-аналитик закрыл алерт как FP — через 3 дня тот же IP оказался активным C2, с которого атакующий управлял lateral movement 14 часов. Mandiant M-Trends 2025: медианное обнаружение — 11 дней, 57% узнают об инциденте от внешней стороны.Разрыв между TI-подпиской и реальным детектом — это операционализация. Коммерческий фид выдаёт тысячи IOC в сутки без контекста TTPs и отраслевой релевантности. Pyramid of Pain Дэвида Бьянко объясняет почему: хеши и IP меняются за минуты, а фиды работают именно там.
Выбор между атомарными IOC и Sigma-правилами зависит от зрелости SOC. Свежий C2-домен — в lookup и на блокировку.
FP по IOC старше 30 дней — не шум детекта, а сломанный TI-пайплайн без ротации.Статья Threat intelligence feeds сравнение: бесплатные и коммерческие IOC-фиды для SOC
847 алертов за ночь — и только три реальных хита. Аналитик L1 потратил четыре часа на CDN-узлы Cloudflare и CGNAT-пулы, пока ThreatFox тихо поймал C2-callback к loader-инфраструктуре операторов Play (CISA AA23-352A).Разбор восьми фидов — Abuse.ch, AlienVault OTX, CISA KEV, Spamhaus, MISP CIRCL OSINT против Recorded Future, CrowdStrike Falcon Intelligence, Mandiant — с реальными метриками: freshness, FP rate, TTL decay, покрытие MITRE ATT&CK. Интеграция тестировалась в Splunk ES, Microsoft Sentinel и RuSIEM через STIX/TAXII 2.1 и REST API.
Некурированный IP-фид за неделю поднимает FP rate до 40% — Abuse.ch с узким фокусом бьёт Recorded Future по точности в C2-нише.