Форум информационной безопасности - Codeby.net
Статья APT42 и Seedworm: credential harvesting через социальную инженерию — как иранские APT крадут учётные данные без малвари
APT42 взломала предвыборный штаб Трампа без единого вредоносного вложения: AiTM-прокси перехватывает TOTP и сессионный cookie в реальном времени, FIDO2 — единственное что устояло. Seedworm предположительно сидела в сетях американских организаций до начала эскалации.Два иранских APT, два куратора (IRGC-IO и MOIS), разные kill chain. APT42 строит rapport неделями через WhatsApp и email — первые письма чисты, антифишинг молчит. После перехвата сессии: регистрация своего MFA-устройства, Remote Email Collection через M365 без малвари, эксфильтрация на подконтрольный OneDrive. EDR на эндпоинте бесполезен.
Seedworm 2026: бэкдоры на Deno и Python, эксфильтрация через Rclone в Wasabi. KQL-правила для Sentinel: User registered security info после нетипичного входа, MailItemsAccessed с корреляцией по геолокации. Чеклист hardening из десяти пунктов.
SOC мониторит эндпоинты — APT42 работает в облаке. 11 дней в M365 при полной тишине в...Статья Пентест iOS приложений: от установки Frida до обхода jailbreak detection
На аудите финтех-приложения трёхслойная jailbreak detection роняла objection за 200 миллисекунд — кастомные inline C-проверки вместо стандартных ObjC-методов. Liberty Lite мимо. Четыре часа на разбор механики и рабочий хук.Анатомия проверок: файловые (NSFileManager + fopen/access), sandbox-тесты (запись в /private, вызов fork()), DYLD-анализ на frida-agent и FridaGadget. iOS Security Suite — восемь проверок, метод amIJailbroken() агрегирует результат. Frida ObjC-хук через Interceptor.attach с retval.replace(0x0): плюс vs минус в имени метода — класс vs инстанс.
Swift-модули: name mangling блокирует ObjC runtime, нужен offset через radare2 → Module.getBaseAddress + Interceptor.attach. Flutter-плагин flutter_jailbreak_detection обходится одним хуком на нативный IOSSecuritySuite.amIJailbroken(). Decision tree из четырёх шагов: objection → spawn → смена порта → бинарный патч.
Клиентский bypass без серверной валидации — декорация...Статья Атаки на SAML аутентификацию: XML Signature Wrapping, Golden SAML и обход федеративного SSO
Перехватил SAMLResponse в Burp, переместил подписанный Assertion в другую ветку DOM, вставил поддельный NameID=admin@company.local — SP пустил как доменного администратора. Подпись валидна. Три правки в XML, ноль взаимодействия с IdP.XML Signature Wrapping: валидатор проверяет одну часть документа, приложение обрабатывает другую. SAML Raider в Burp — восемь вариантов XSW от замены корневого элемента до вложения в Extensions. CVE-2024-45409 ruby-saml (CVSS 10.0) и CVE-2025-47949 samlify (CVSS 9.9) — parser differential: два парсера в одной библиотеке видят разные элементы.
Golden SAML: Token Signing Certificate из ADFS → shimit генерирует валидный Assertion для любого пользователя к любому SP. Ноль событий в IdP. Silver SAML через external signing cert в Entra ID. Decision tree выбора вектора: XSW для initial access, Golden/Silver SAML для lateral movement.
SAML ломают не через криптографию, а через парсеры — fingerprinting библиотеки SP первый...Статья PCI DSS пентест на практике: scope, методология и отличия от стандартного тестирования
Отчёт предыдущей команды QSA заворачивал трижды: нет proof of exploitation, маппинг на CDE отсутствует, segmentation testing подменён выводом Nessus. Тот же объект, другой подход к документированию — принят с первого раза. Разница между «провести пентест» и «провести PCI DSS пентест» целиком в деталях.PCI DSS v4.0 с марта 2024 — единственный действующий стандарт. Requirement 11.4: retesting обязателен с evidence фикса, segmentation testing — отдельный блок каждые полгода для service providers. Kill chain привязан к CDE: lateral movement от non-CDE до cardholder data, а не до Domain Admin. Команды nmap с флагом --reason для доказательства работы firewall-правил.
Шесть компонентов отчёта без которых QSA завернёт: методология, scope с маппингом на CDE, CVSS + proof of exploitation, результаты segmentation testing, evidence ретеста, квалификация тестировщика.
Пентест за 3 000$ который заворачивают, обходится дороже чем за 15 000$ принятый с первого раза.Статья Сравнение ML IDS/IPS систем обнаружения вторжений: Darktrace, Vectra AI и Cisco Secure — архитектура и слепые пятна
За год четыре red team/blue team учения против Darktrace, Vectra AI и Cisco Secure IPS. Ни одна система не поймала все три C2-канала. Каждая пропустила lateral movement на разных этапах kill chain. FP rate — от 3% до 28%. Вендоры обещают «полную видимость», production-реальность другая.Три архитектурных парадигмы: Darktrace строит модель «нормы» без сигнатур (если атакующий сидит в сети во время обучения — его C2 войдёт в baseline). Vectra AI сшивает слабые сигналы из сети, identity и cloud. Cisco Secure — сигнатурный движок Snort 3 с ML-аугментацией. Каждый силён в своём сценарии, каждый имеет конкретные слепые зоны по MITRE ATT&CK.
Что стабильно проходит сквозь все три: C2 через CDN с валидным TLS, low-and-slow recon, beacon с jitter 40–60% в рабочие часы. Decision tree выбора платформы под инфраструктуру.
Разница между хорошим и плохим ML-IDS определяется не продуктом, а тем, кто его разворачивает и тюнит.Статья Обход Secure Boot: техники атаки на верификацию загрузчика для пентестеров
Red Team-проект: SYSTEM получен через Kerberoasting, persistence ниже ОС не получается — Secure Boot отклоняет неподписанный загрузчик. Отключить через BIOS? Оставляет следы. Задача другая: обойти верификацию, сохранив видимость штатной работы.CVE-2024-7344 (CVSS 8.2): UEFI-приложение Reloader подписано Microsoft, но использует кастомный PE-загрузчик вместо штатных LoadImage/StartImage. Грузит произвольный бинарь из cloak.dat без проверки подписи — код исполняется в UEFI-контексте до старта ОС. Attack path: admin → монтирование ESP → reloader.efi + cloak.dat → bcdedit → перезагрузка. Secure Boot формально включён, фактически обойден.
GNU/Linux через MOK-ключи: собственный ключ не попадает в dbx-обновления Microsoft. SPI-флеш при физическом доступе для legacy без Boot Guard. Chipsec для fingerprinting: common.secureboot.variables и common.bios_wp.
Между «Secure Boot включён» и «цепочка загрузки верифицирована end-to-end»...Статья Аудит сервисных аккаунтов Active Directory: инвентаризация, Kerberoasting-риски и least privilege
Понедельник, 9:15. Аудит AD банка — «у нас всё под контролем». Через два часа: 847 сервисных аккаунтов, 312 с SPN, 94 в Domain Admins, у 23 пароль не менялся пять лет. Контролировало их ноль человек. Каждый такой аккаунт — готовая мишень для Kerberoasting.Service account sprawl: организация имеет в 10–20 раз больше сервисных аккаунтов, чем пользовательских. У них нет рабочих часов и географических паттернов — поведенческие алерты не срабатывают. PowerShell-запрос для инвентаризации всех SPN с возрастом пароля и членством в Domain Admins. BloodHound Cypher для визуализации путей эскалации.
gMSA как технический ответ на Kerberoasting: 120-символьный автопароль, ротация 30 дней, никто его не знает. Правило корреляции для SIEM: EventID 4769 с TicketEncryptionType 0x17 > 10 запросов за 5 минут. Чеклист из 10 пунктов.
Каждый аудит начинается с «мы точно знаем все свои сервисные аккаунты» — и каждый раз реальное число в 3–5 раз больше.Статья Реверс-инжиниринг прошивок: binwalk, Ghidra и статический анализ firmware для поиска уязвимостей
На аудите IP-камеры binwalk выдал ноль сигнатур — ровная линия энтропии 7.98. Два часа в Ghidra, XOR-декриптор в U-Boot — и стандартный SquashFS с root-паролем в открытом тексте и CGI-скриптом, пробрасывающим HTTP-параметры прямо в system(). Три Critical за одну сессию, ни одного запуска устройства.Workflow от блоба до уязвимостей: file + strings + binwalk -E для определения стратегии, binwalk -e + sasquatch/jefferson для извлечения FS, Ghidra для трассировки system() от HTTP-параметра до вызова без санитизации. Decision tree когда binwalk молчит: сигнатуры не найдены при энтропии >7.9 — искать декриптор в загрузчике.
Три устойчивых класса: захардкоженные credentials (CWE-798), command injection через system() (CWE-78), buffer overflow без stack canaries (CWE-120). Чеклист аудита из 15 пунктов с CWE-идентификаторами.
Автоматизация найдёт strcpy() без проверки — не найдёт логическую ошибку в state machine кастомного протокола.Статья Passkeys и корпоративная безопасность: attack surface FIDO2 глазами пентестера
Организация с Okta, включённый passwordless через FIDO2, всё по best practices — session token администратора получен за сорок минут. Passkeys не помогли: аутентификация прошла штатно, а сессионный cookie уехал на AitM-прокси. Вендоры продают «конец фишинга», реальный attack surface говорит о другом.Domain binding убивает credential phishing — это математика, не маркетинг. Но атака не заканчивается на краже credential. AitM-прокси транслирует запрос на настоящий IdP, пользователь проходит passkey-аутентификацию штатно, session cookie перехватывается. Из шести корпоративных деплоев FIDO2 за полтора года — в пяти из шести перехват сессии работал без модификаций.
Synced passkeys против device-bound: разный attack surface для облачных аккаунтов и физического доступа. Fallback-методы как возврат к классике. Чеклист аудита из десяти пунктов.
Индустрия закрыла phishing-resistant credentials и упустила phishing-resistant sessions.Hackerlab Неделя 1: Кто там? - port scan и banner grabbing на nmap
Recon начинается со стука. Неделя 1 — nmap в четырёх режимах.Прежде чем эксплуатировать что-либо, нужно знать: какие порты открыты, что за сервисы, какие версии. На эксплойт уходит 30 минут, на recon с нуля — 2 часа, и большинство новичков пропускают первый шаг.
Задача «Кто там?» на HackerLab — разбираемся с SYN scan, полным сканом 65535 портов, детектом версий через NSE-скрипты и OS fingerprinting. Запоминаем не команды, а что делает каждый флаг.
Дедлайн — воскресенье, 7 июня. После него — открытые writeup'ы и рекап с разбором ошибок.
Первая неделя марафона «Сетевая разведка за 30 дней» — мерч от Codeby для топ-3 solver'ов.