Форум информационной безопасности - Codeby.net

Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.

Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.

Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.

Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.

Ransomware-кейс закрыт за 52 часа. Containment — 4 часа, ни один критичный хост не потерян. А потом начался второй инцидент — оформление результатов. Страховая отклонила выплату из-за нечёткой хронологии. Регулятор запросил разъяснения. CISO не смог объяснить масштаб ущерба совету директоров.

Два документа вместо одного: executive summary на 1–2 страницы для руководства и юристов, технический отчёт с timeline в UTC, root cause по методологии 5 Whys, маппингом на MITRE ATT&CK и IOC-приложениями в STIX 2.1 и YARA.

Root cause — не «пользователь кликнул». Это отсутствие процесса управления привилегированными учётками. Именно эта формулировка ведёт к remediation.

Чеклист из 17 пунктов перед передачей отчёта. Меньше 12 — у вас та же проблема, что у большинства команд.

Внутренний пентест банковской сети. dig axfr @ns2.target.bank target.bank — полный дамп зоны с 340+ записями за четыре минуты. Вторичный NS, legacy-BIND, AXFR для любого IP. В дампе — dc01-prod, jenkins-build, vault-backup. До domain admin — три дня.

DNS-разведка от пассивного сбора через crt.sh и CT-логи до zone transfer и SRV-записей, выдающих контроллеры домена. Cache poisoning по Камински — механика и почему не работает против современных резолверов. DNS rebinding — доступ к внутренним сервисам через браузер жертвы без присутствия в сети. DNS-туннелирование: iodine и dnscat2, C2 и эксфильтрация через порт 53, который открыт почти везде.

Восемь техник MITRE ATT&CK от разведки до эксфильтрации, слепые зоны стандартного стека защиты, decision tree по инструментам.

Zone transfer, который «не должен работать», работает на каждом пятом внутреннем пентесте.

Три слоя XOR-шифрования, два VirtualAlloc и NtQueryInformationProcess на ProcessDebugPort — реальный сэмпл из инцидента. Коллега параллельно смотрел ELF-дроппер того же семейства в GDB. Один сэмпл, два отладчика, два принципиально разных workflow.

Отладчик — не вопрос вкуса. GDB + pwndbg — ELF, CTF-pwn, Linux-малварь. x64dbg + ScyllaHide — Windows PE, распаковка, анализ IAT, автоматический обход антиотладки. WinDbg — kernel-mode, rootkit-анализ, crash dumps. Открыть PE в WinDbg технически можно, но x64dbg быстрее.

Аппаратные брейкпоинты против self-checksumming, ptrace-обход через LD_PRELOAD, ScyllaHide против PEB-проверок. Decision tree по всем техникам антиотладки.

Час в Ghidra на раннем этапе экономит три часа в отладчике. Мышление за аналитика инструменты пока не делают.

Cloud-пентест финтех-компании. Утёкший access key из GitHub. 47 Lambda-функций, 12 с Action: "*" на S3 и DynamoDB. От event injection в SQS-триггер до чтения production-таблицы с платёжными данными — 85 минут. SOC не увидел ничего.

Serverless-атаки живут в зазоре между CloudTrail и SIEM: данные есть, detection нет. UpdateFunctionCode заменяет handler на payload — один вызов, и в аккаунте новый IAM-пользователь с AdministratorAccess. CloudFox за 10 минут сканирует все функции и вытаскивает plaintext-секреты из env vars. В 6 из 10 аккаунтов они там лежат.

Четыре корреляционных правила под CloudTrail, чеклист hardening из 10 пунктов, разбор iam:PassRole + UpdateFunctionCode как вектора эскалации.

«CloudTrail включён» — не detection. Включили камеру в серверной, монитор забыли подключить.

Codeby ID — это один аккаунт для входа на форум codeby.net и на платформу hackerlab.pro. К одному Codeby ID можно привязать несколько способов входа: email, Google, GitHub, Telegram. Куда бы вы ни заходили — это будет ваш один и тот же аккаунт.

Сценарий 1 — у меня только Telegram и аккаунт на HackerLab​

Цель: добавить email и получить доступ к форуму с тем же аккаунтом.

1. Зайдите на hackerlab.pro через кнопку «Войти через Telegram» (как раньше)
2. Откройте свой Профиль → Настройки
3. Нажмите кнопку «Привязать email» (или подобную в блоке «Способы входа»)
4. Откроется страница Codeby ID — введите свой реальный email и нажмите «Сохранить»
5. На указанный email придёт письмо с подтверждением — перейдите по ссылке внутри письма
6. Готово — теперь у вас два способа входа (Telegram + email)

После этого вы автоматически сможете зайти на форум codeby.net через Codeby ID — система создаст для вас аккаунт или найдёт существующий по email.

Сценарий 2 — у меня только email/Google/GitHub и аккаунт на форуме​

Цель: привязать Telegram и зайти на...

Реестр Windows в памяти — не просто файл REGF, спроецированный в страницы. Это огромный механизм: CMHIVE на вершине, HHIVE внутри, HMAP_TABLE для адресации 2 ГБ данных, dirty-вектор для отслеживания несброшенных блоков. И всё это живёт в Paged Pool с тегом CM10.

Как найти адрес куста через CmpHiveListHead, распаковать DUAL-структуру Stable/Volatile, пройти от HMAP_DIRECTORY до первого HBIN с ячейкой KeyNode. Почему содержимое файла на диске и в памяти отличается — и как именно менеджер конфигурации строит собственную таблицу HMAP вместо PAGE_TABLE.

Всё через WinDbg: !reg dumppool, !reg dirtyvector, !pool, !reg baseblock — с живыми дампами и разбором каждого поля.

SmallDir в DUAL равен null — значит куст больше 2 МБ и используется стандартная схема с несколькими HMAP_TABLE.

Lateral movement через 14 хостов, эксфильтрация 2 ТБ, 19 дней в инфраструктуре. CrowdStrike Falcon не сгенерировал ни одного алерта. Ноль. Атакующий ходил через штатный SMB с легитимными Kerberos-тикетами — ни вредоносного бинаря, ни C2-канала.

75% вторжений в 2024 году — через валидные учётные данные. EDR смотрит на файлы и процессы. Identity-based атаки живут в логах Kerberos, NTLM и OAuth. Golden Ticket не генерирует Event ID 4768 — TGT подделан offline. Silver Ticket вообще не обращается к DC. Стандартный аудит это не видит.

Decision tree: 10 аномалий → техника ATT&CK → ключевой лог → приоритет. Конкретные KQL-запросы под Sentinel, пять слепых зон SIEM из реальных расследований, чеклист из 10 пунктов.

Аудит Kerberos выключен — все остальные правила бессмысленны. Проверьте прямо сейчас.

Понедельник, 9:15. SIEM: сервисный аккаунт svc_backup аутентифицировался на трёх серверах за 40 секунд — каждый раз с разных source IP. К 15:00 стало ясно: атакующий сидел в инфраструктуре 11 дней. Бэкапы за последнюю неделю скомпрометированы.

День 0: фишинг .docm → макрос → PowerShell. L1 закрыл алерт EDR как false positive — «бухгалтерия часто открывает макросы». День 4: переименованный Mimikatz, NTLM-хеши svc_backup и DA. Дни 5–10: lateral movement под валидными кредами, выглядит как штатная работа. День 11: ransomware + 4,7 ГБ эксфильтрации через HTTPS.

Пошаговый разбор: triage за 30 минут, сбор артефактов с chain of custody, реконструкция timeline по MITRE ATT&CK, containment без потери RAM, IR-отчёт для трёх аудиторий.

«Бэкапы есть» и «бэкапы чистые» — два разных утверждения.

Банковская инфраструктура. Domain Admin за 47 минут: Responder → NTLMv2-хеш через LLMNR poisoning → hashcat → Pass the Hash по всем станциям → дамп LSASS → DCSync. На следующем проекте — тот же масштаб, тот же стек — на четвёртый день всё ещё искали путь до Tier 0.

Разница не в бюджете на EDR. Разница — Protected Users, Tiering Model и LAPS. Три бесплатные меры, которые превращают «обеденный перерыв до DCSync» в недели работы атакующего.

Protected Users убивает NTLM relay и PtH, блокирует RC4 в Kerberos и обнуляет delegation. Tiering Model разрывает цепочку DA-логон на рабочей станции → дамп LSASS → DA-хеш. LAPS закрывает PtH через единый пароль локального админа.

GPO для Tiering стоит ноль рублей. Не внедряют, потому что «неудобно держать отдельные учётки».