Форум информационной безопасности - Codeby.net

Статья Hack The Box для начинающих: от регистрации до первого root-флага

  • 3
  • 0
Небольшой потёртый сундук с поднятой крышкой, внутри светится зелёный флаг. Позади — экран терминала с выводом сканера портов в тёмных угольных тонах.


🔐 Три часа на telnet без пароля — именно так начинался путь до Pro Hacker на HTB. Методология kill chain (T1595 → T1190 → T1068) вбивается через десятки повторений: разведка nmap, точка входа gobuster, повышение привилегий — и root-флаг.

Starting Point затягивает с первой машины Meow: nmap -sV вскрывает открытый Telnet, логин root без пароля — и флаг у вас. Но уже на второй машине появляется FTP anonymous, на третьей — SQL-инъекция через curl. Каждый бокс тренирует конкретный MITRE ATT&CK-техник, а не абстрактную теорию.

Перед стартом — обязательно локальная Kali с Bridged Adapter в VirtualBox, иначе OpenVPN режет трафик и tun0 не поднимается.

💡 Easy-боксы закрываются за 40 минут не из-за инструментов — nmap не стал умнее. Методология решает.

Статья Защита от ransomware 2026: полный разбор тактик, Recovery Denial и оборона backup-инфраструктуры

  • 1
  • 0
Резервный NAS-накопитель на тёмном антистатическом коврике с красным OLED-дисплеем, отображающим системные предупреждения. Отключённый кабель уходит в тень, янтарный свет скользит по матовому метал...


🔍 57% организаций узнают о компрометации извне. А когда обнаруживают сами — бэкапы уже мертвы. VSS удалены, агенты Veeam остановлены, каталоги зашифрованы за сутки до удара.

Ransomware 2026 — это не шифрование "в лоб", а многоэтапная операция. Initial access через стилер-логи за $500, lateral movement до domain admin, Discovery backup-инфраструктуры, Recovery Denial (удаление VSS, остановка агентов), и только потом encryption. Dwell time сжался до 11 дней, а Akira и Medusa укладываются в 60 минут.

Защита — это не prevention, а recovery. Правило 3-2-1-1-0, immutable storage, air-gap, detection pre-ransomware активности (NTDS dump, backup discovery, vssadmin).

💡 100% инцидентов с выплатой выкупа объединяет одно — неработающее восстановление. Backup — это security-функция, а не IT-операционка.

Статья Защита от вредоносных расширений браузера: Chrome Enterprise политики, allowlisting и detection в SIEM

  • 64
  • 0
Распечатка матрицы MITRE ATT&CK на плотной бумаге с выделенной синим маркером техникой T1176. Рядом лежит перьевая ручка, латунный пресс-папье отбрасывает мягкую тень.


🧩 24 декабря 2024 года расширение Cyberhaven (400 000 установок) получило вредоносное обновление 24.10.4 — OAuth-фишинг обошёл MFA, C2 на cyberhavenext[.]pro сливал Facebook Ads cookies. EDR не сгенерировал ни одного алерта.

Расширение работало внутри легитимного chrome.exe — для EDR и файрвола это просто браузер, ходящий в интернет. MITRE T1176 (Browser Extensions): persistence без отдельного процесса, exfiltration через HTTPS, нулевых событий process start в Windows Event Log.

Защита строится на Chrome Enterprise GPO: ExtensionInstallBlocklist = *, явный allowlist по 32-символьным ID, ExtensionSettings с version pinning.

💡 Allowlist не спасает: Cyberhaven был в нём. Version pinning в ExtensionSettings — единственный контроль над supply chain расширений.

Статья Manifest V3 и безопасность расширений Chrome: что мониторить, как детектить и где MV3 не спасает

  • 84
  • 0
Распечатанный файл манифеста на кремовой бумаге с кодом и пометками чернилами. Рядом лежит открытая перьевая ручка, мягкий дневной свет падает слева.


🧩 Cyberhaven версия 24.10.4 с троянизированными worker.js и content.js скомпрометировала 2,6 млн пользователей — и все расширения работали на «безопасном» Manifest V3.

OAuth-токен разработчика перехвачен фишингом, вредоносная версия опубликована в Chrome Web Store. Content.js инжектировался через «matches»: «all_urls» с document_start — собирал cookie и сессии. MV3 не заблокировал ни один этап: webRequest остался read-only, но наблюдает за URL и телами запросов, content scripts работают как прежде, declarativeNetRequest допускает 30 000 динамических правил в рантайме.

💡 EDR молчит — расширение легитимный insider. MV3 убрал eval, но сохранил все data-access API.

Статья Уязвимости менеджеров паролей: DOM-based Extension Clickjacking — разбор и detection для SOC

  • 87
  • 0
Распечатанная схема DOM-дерева с наложенным всплывающим окном менеджера паролей лежит на светлом столе. Рядом — открытая перьевая ручка, мягкий дневной свет подчёркивает фактуру бумаги.


🔐 11 из 11 протестированных менеджеров паролей — 1Password, Bitwarden, LastPass, Dashlane — уязвимы к DOM-based Extension Clickjacking. Один клик на cookie-баннере сливает TOTP-секреты и кредитки через легитимное расширение.

Вредоносный скрипт находит DOM-элемент автозаполнения, выставляет opacity: 0 и накладывает поддельный UI поверх. Жертва кликает «принять cookies» — реальный клик уходит в скрытый dropdown расширения. MITRE T1555.005 + T1212. Между Initial Access и Valid Accounts — ноль сетевых артефактов.

EDR и SIEM молчат: компрометация происходит в браузере, за периметром мониторинга.

💡 SOC мониторит эндпоинты и сеть — а 40 млн пользователей сливают vault одним кликом в браузере.

Soft [Разработка] REIZE v5.6.0 — CLI-фреймворк для пассивного OSINT и BLE-разведки на Kali Linux

  • 158
  • 0
🔍 От BLE-сниффинга до 3D-карт: REIZE v5.6 автоматизирует пассивный OSINT без лишних пингов. Zero-touch recon и нативный .deb для Kali.

Модуль apple_sniff на лету читает Apple Continuity, считывая статус и заряд iOS-устройств мимоходом. shodan_fast выносит CVE через API, не касаясь цели, а graph превращает сухие данные в интерактивную 3D-топологию.

Забудьте о сломанных pip. Ядро на Python упаковано в бинарный монолит amd64 и разворачивается одной командой dpkg -i.

💡 Разведчики считают OSINT шумным процессом — но правильный фреймворк делает его невидимым, быстрым и наглядным.

Статья Threat Intelligence для SOC на практике: сбор, обработка и применение TI в малой команде

  • 244
  • 0
Ночной зал SOC: три монитора с лентой MISP, Python-скриптом и правилом Sigma освещают стол холодным сине-зелёным светом. Рядом блокнот с распечаткой матрицы ATT&CK под тёплой настольной лампой.


🧠 SOC из пяти человек сокращает цикл обработки IOC с шести часов до 15 минут — без коммерческих платформ: только Python-скрипт на cron, бесплатный MISP и восемь источников фидов от Abuse.ch до CIRCL OSINT.

Пайплайн строится вокруг MISP как ядра: URLhaus и ThreatFox отдают C2-домены и хеши каждые 5 минут, AbuseIPDB проверяет IP через `/api/v2/check` с порогом confidence 75+, Sigma-правила автоматически пушатся в SIEM. Lateral movement по данным CrowdStrike 2025 — 62 минуты в среднем, рекорд 51 секунда.

Атакующие мониторят VirusTotal и AbuseIPDB через MITRE T1597.001 — C2 стилера живёт 2–3 дня максимум.

💡 Фид полезен только если обрабатывается быстрее, чем атакующий ротирует инфраструктуру.

Статья Обнаружение открытых LLM и MCP-серверов в интернете: OSINT-разведка GenAI-поверхности атаки

  • 236
  • 0
Разобранный серверный модуль на антистатическом коврике с открытым портом, светящимся красным. Экран диагностики выводит строку об уязвимости без авторизации, щуп мультиметра касается платы.


🔍 175 000 инстансов Ollama и 8 000+ MCP-серверов торчат в публичном интернете без аутентификации — EASM-платформы их не видят. CloudSEK задокументировала цепочку: MCP → tools/list → SSRF к 169.254.169.254 → IAM-credentials без единого auth-запроса.

Shodan-дорк "Ollama is running" port:11434 возвращает тысячи хостов. curl http://IP:11434/api/tags отдаёт список моделей, /api/generate принимает промпты — без токена. CVE-2025-6514 (CVSS 9.6, CWE-78) и CVE-2025-49596 (CVSS 9.4, CWE-306) закрывают MCP-вектора, но патчи не помогут непропатченным теневым инстансам.

💡 82% MCP-реализаций уязвимы к CWE-22, но EASM-сканеры молчат — GenAI shadow IT вне их радара.

Статья Архитектура хранения паролей: как устроено шифрование в 1Password, Bitwarden, KeePass и браузерных менеджерах

  • 230
  • 0
Разобранный USB-токен безопасности и ноутбук с зелёным текстом на тёмном экране лежат на антистатическом столе. Руки в перчатках держат логический щуп над микросхемой.


🔐 LastPass слил зашифрованные хранилища целиком — URL и метаданные лежали в открытом виде. Офлайн-перебор PBKDF2 с 1 итерацией на RTX 4090 через hashcat вскрыл слабые мастер-пароли за часы.

1Password использует Two-Secret Key Derivation (2SKD) с 650 000 итераций PBKDF2 и 128-битным Secret Key — это делает офлайн-атаку бессмысленной без ключа устройства. Bitwarden переключился на Argon2id: 3 итерации, 64 МБ RAM, 4 потока — GPU-ферма упирается в VRAM, а не в CUDA-ядра.

Chrome хранит пароли в SQLite Login Data через DPAPI — один вызов CryptUnprotectData в активной сессии Windows, и T1555.003 отработан.

💡 Маркетинговый «AES-256» одинаков везде — реальная стойкость определяется KDF и иерархией ключей.

Статья DDoS-устойчивая архитектура приложения: autoscaling, circuit breaker, graceful degradation и очереди

  • 191
  • 0
Схема микросервисной архитектуры на тёмной бумаге с узлами-доминошками и символами автоматических выключателей. Янтарные линии на сине-зелёном фоне, латунный пресс-папье в углу, мягкий рассеянный с...


⚙️ L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.

T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.

HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.

💡 WAF дорогой — circuit breaker бесплатный. Архитектура внутри важнее забора снаружи.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 549
Сообщения
346 894
Пользователи
161 206
Новый пользователь
dosi1