Форум информационной безопасности - Codeby.net

Статья Phantom Stealer и Phantom Project: разбор MaaS-кита с инфостилером, криптером и RAT

  • 33
  • 0
Флеш-накопитель с гравировкой «Phantom Stealer» лежит на распечатках дизассемблированного кода. Янтарный свет настольной лампы освещает листы, на фоне мерцает окно Ghidra.


🧬 Phantom Project — MaaS-кит из трёх компонентов (стилер + криптер + RAT), форк Stealerium с BouncyCastle и SQLite внутри. Group-IB зафиксировала 5 волн фишинга по логистике Европы; F6 связала инфраструктуру с Agent Tesla через общий Yandex SMTP.

Infection chain стартует с ISO-образа в RAR-архиве: Windows монтирует диск автоматически, жертва кликает на «Bank transfer confirmation» — и .NET-бинарь 6,5 МБ уходит в память. Криптер (MITRE T1027.002) снимает детект; RAT закрепляется через T1219. Каналы эксфильтрации — Telegram, Discord, SMTP, Zulip, GoFile.

💡 75% вторжений используют valid credentials — EDR молчит, пока стилер уже слил сессионные токены.

Статья Стеганография в изображениях: техники LSB, DCT и palette-манипуляций — от атаки до детекта

  • 21
  • 0
Фотография заката под лупой с латунной оправой, сквозь которую виден увеличенный пиксельный грид. Под снимком — прозрачный лист с шестнадцатеричным дампом, янтарные байты светятся в тёплом свете на...


🧬 Сотрудник General Electric прятал турбинные расчёты внутри обычной картинки — DLP видела JPEG с котиком, ничего аномального. LSB, DCT и palette-манипуляции обходят контентную фильтрацию, IDS и AV одновременно.

LSB-внедрение меняет младший бит пикселя на 1 — разница в значении канала максимум единица, глаз не замечает. DCT-стеганография работает в JPEG через модификацию частотных коэффициентов (T1027.003 + T1001.002). Малварь скачивает картинку с CDN, парсит биты — для сети это обычный GET к легитимному хосту.

Детект: chi-square тест выявляет выравнивание пар (2k, 2k+1) в каналах — реализовано в zsteg.

💡 AV не сканирует пиксельные данные на shellcode — payload живёт в изображении, пока малварь не вызовет T1140.

Статья Детектирование инфостилеров: IOC, SIEM-правила и реагирование на credential leak

  • 30
  • 0
Разобранная USB-флешка с обнажённой платой лежит на антистатическом коврике. Рядом светится экран терминала с зелёными строками лога, в размытом фоне — панель SIEM с оповещениями.


🚨 Lumma-стилер слил 47 валидных корпоративных пар логин/пароль на Russian Market — за 48 часов до credential stuffing по VPN-шлюзу. IBM X-Force 2025: инфостилеры — 32% всего malware, 6 000 свежих учёток в dark web ежедневно.

Заражение идёт через ClickFix-фишинг или поддельные инсталляторы на личном BYOD-устройстве. Стилер копирует SQLite-базу Login Data (T1555.003), перехватывает cookie сессий, конфиги VPN и SSH-токены, упаковывает в архив и эксфильтрует через Telegram Bot API или HTTP POST на свежий C2-домен (T1041).

💡 EDR молчит: заражение на личном ноутбуке, корпоративный хост чист. Detection живёт в сетевом трафике и мониторинге утечек.

Статья Мисконфигурация облака как вектор атаки: полная карта угроз и защиты AWS, Azure и GCP

  • 136
  • 0
Изометрическая карта облачных угроз: три платформы AWS, Azure и GCP в ряд — у AWS открытый S3-бакет с утекающими файлами, у Azure незащищённый снапшот, у GCP endpoint метаданных и разлетающиеся IAM-ключи, соединённые красными стрелками цепочки атаки.


☁️ 99% облачных инцидентов — вина клиента, не провайдера. Облачные вторжения выросли на 37% в 2025 году. Атаки с использованием валидных credentials — плюс 71%. Мисконфигурация облака — самый дешёвый вектор: не нужны эксплойты, хватает curl.

Навигационный хаб по 9 материалам: открытые S3/Azure Blob/GCP Storage, SSRF к metadata endpoint (169.254.169.254), эскалация привилегий AWS IAM, credential theft и account takeover, CVE-2026-40175 в Axios, безопасность Terraform/CloudFormation, мисконфигурации Salesforce, атаки на serverless Lambda.

Kill chain из 6 этапов с маппингом MITRE ATT&CK: T1619 → T1078.004 → T1552.005 → T1530 → T1098.003. Чеклист 12 действий для немедленного аудита: Block Public Access, IMDSv2, Object Lock, аудит EBS-снапшотов. Таблица инструментов: Prowler, ScoutSuite, Trivy, Pacu — с реальными ограничениями каждого.

💡 Security-команда мониторит трафик и...

Статья КИИ и персональные данные: совмещение требований ФЗ-187 и ФЗ-152 для операторов критической инфраструктуры

  • 152
  • 0
Распечатанная таблица соответствия на кремовой бумаге с двумя колонками, соединёнными карандашной линией. Рукописные пометки чернилами, латунный пресс-папье, мягкий дневной свет из окна.


⚙️ СКУД на подстанции хранил биометрию 340 сотрудников — и это одновременно ЗОКИИ по ФЗ-187 и ИСПДн с биометрическими ПДн по ФЗ-152. Два регулятора, два реестра, два комплекта документов — и ни один не закрыт.

Акт категорирования ФСТЭК фиксирует систему как объект КИИ, но политика обработки ПДн биометрию не учитывает вовсе. При инциденте оператор обязан уведомить и ГосСОПКА, и Роскомнадзор — с разными сроками и форматами. Приказ ФСТЭК №239 закрывает технические меры, но не касается правовых оснований обработки, согласий субъектов и локализации баз данных по ст. 18 ФЗ-152.

💡 Приказ №239 не закрывает ФЗ-152. Уголовка по ст. 274.1 УК РФ — до 10 лет — идёт отдельно от оборотных штрафов за утечку ПДн.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 106
Сообщения
346 229
Пользователи
149 434
Новый пользователь
Gagik_2