Форум информационной безопасности - Codeby.net
Статья Обход антивируса и EDR: разработка кастомных пейлоадов от шифрования до in-memory execution
Четыре уровня детекта — четыре техники обхода: полный пайплайн кастомного загрузчика против современного EDR.Стандартный msfvenom живёт ровно до первых байтов — сигнатура fc 48 83 e4 f0 в базах каждого вендора. Но зашифровать пейлоад мало: EDR перехватит вызовы через хуки в ntdll, а поведенческий движок соберёт цепочку VirtualAlloc → WriteProcessMemory → CreateRemoteThread и вынесет вердикт.
Разбираем полный цикл: XOR/RC4/AES шифрование без системных API, API hashing вместо строковых имён, unhooking через KnownDLLs, indirect syscalls с корректным call stack, ETW patching и anti-sandbox keying — с рабочим кодом на C и разбором каждого решения.
Пайплайн из 10 этапов для red team операторов — от генерации шеллкода до очистки памяти после исполнения.Статья OAuth 2.0 Security: распространенные уязвимости и тестирование
Кнопка “Войти через Google” выглядит безобидно ровно до первого отчёта с захватом аккаунта. В этой статье разбираем, как OAuth 2.0 ломается не в теории и не в криптографии, а в реальных интеграциях: через `redirect_uri`, утечки code и token, слабую проверку `state`, ошибки в `nonce` и опасную логику привязки учётных записей.
Покажем, где именно разваливается доверие между приложением, браузером и поставщиком удостоверения: почему `email` нельзя использовать как главный идентификатор, как pre-account takeover вырастает из обычной регистрации, чем опасны open redirect и wildcard-поддомены, и почему PKCE сам по себе не спасает, если реализация сделана небрежно.
Это не пересказ RFC и не обзор OAuth “для начинающих”. Это практический разбор attack surface, типовых ошибок интеграции и того, что действительно стоит проверять руками через Burp, DevTools и `.well-known`-метаданные, если цель - не просто пройти...Kernel Rootkit Linux: перехват syscall table, модификация VFS и сокрытие процессов — от кода до детектирования
Руткит в ring 0: SELinux не видит, антивирус не слышит — разбираем LKM-руткиты на уровне кода ядра.Загрузили вредоносный модуль — и между атакующим и железом пусто. AppArmor, EDR, chkrootkit работают этажом выше и слепы к тому, что творится внутри ядра. Kernel rootkit на Linux остаётся одной из самых недооценённых угроз в русскоязычном сообществе.
Разбираем три ключевые техники LKM-руткитов: перехват syscall table через kprobes, модификацию VFS для сокрытия файлов и DKOM для манипуляций с task_struct. Рабочий код на C и взгляд с позиции защитника: что видит Volatility3, где бессилен rkhunter и как memory forensics ловит то, что живая система скрывает.
Практический разбор с чек-листом из 6 шагов — для пентестеров и blue team, которые хотят понять руткиты...Статья Сетевая разведка и сканирование портов: практическое руководство по nmap и masscan
Без разведки нет атаки: полный цикл сканирования сети — от masscan по /16 до NSE-скриптов на уязвимости.За пять лет пентестов ни один эксплойт не сработал «вслепую». Сначала ты должен знать, что торчит в сети, на каком порту и какой версии — и только потом выбирать вектор. Сканирование top-1000 без `-p-`? Значит треть поверхности атаки ты уже не видишь.
Разбираем полный цикл: ARP и ICMP host discovery, SYN/UDP/ACK-сканирование на уровне пакетов, связка masscan → nmap для больших сетей, fingerprinting сервисов через `-sV` и banner grabbing, NSE-скрипты под EternalBlue и BlueKeep, stealth-техники с `-T0` и decoy.
Пошаговый сценарий пентеста с командами от разведки до поиска уязвимостей — и разбор типичных ошибок, которые стоят вектора атаки.Статья Пентест корпоративного Wi-Fi: атаки на 802.1X через evil twin и перехват EAP
Злой близнец на парковке: как ломают корпоративный Wi-Fi с ноутбука и адаптером.WPA2/WPA3-Enterprise с RADIUS выглядит неприступно — пока Evil Twin AP не перехватывает EAP-хэндшейк ещё до того, как вы вошли в здание. Проблема не в криптографии, а в том, что клиенты не проверяют сертификат RADIUS-сервера.
Разбираем атаку на 802.1X от разведки эфира до крека MSCHAPv2-хэшей: настройка hostapd-wpe, фазы PEAP/EAP-TTLS, типичные мисконфиги Android, Windows и BYOD — всё с командами из реальных ассессментов.
Практический разбор для пентестеров, которые хотят понять, почему «корпоративный» Wi-Fi сдаётся с парковки.Статья Гипервизорный руткит обнаружение: Blue Pill, EPT-abuse и практические техники детекции subverted hypervisor
Охранник смотрит в камеру, а там — запись вчерашнего дня: как гипервизорный руткит прячется ниже ядра и EDR.Привыкли искать хуки в SSDT и аномалии в Ring 0? Гипервизорный руткит работает в Ring -1 — он перемещает всю ОС в виртуальную машину, и ядро продолжает считать себя хозяином. EDR сканирует «чистую» память, PatchGuard видит неизменённый код — оба смотрят в подставную картинку через EPT split-view.
Разбираем архитектуру Blue Pill и EPT-hooking, почему антивирусы слепы к VMM-компрометации, и четыре рабочих метода детекции: timing-анализ RDTSC, CPUID fingerprinting, поиск VMCS-артефактов через Volatility и аппаратная аттестация TPM.
Пошаговый алгоритм обнаружения subverted hypervisor для red team — с командами, Python-скриптом и маппингом на MITRE ATT&CK.Статья UEFI буткит и защита Secure Boot: разбор BlackLotus, CosmicStrand и атак на цепочку загрузки
Ниже ядра, ниже EDR: как BlackLotus и CosmicStrand живут там, куда защитники никогда не заглядывают.Привыкли работать на уровне ring 0? BlackLotus обходит Secure Boot на полностью обновлённой Windows 11, а CosmicStrand прописывается в SPI-флеше материнской платы — переустановка ОС и замена диска ему безразличны. Persistence ниже всего, что ты привык мониторить.
Разбираем boot flow от SEC до TSL, точки внедрения в цепочку загрузки, механику CVE-2022-21894 и почему патч Microsoft не помог. Плюс практика: CHIPSEC, UEFITool, мониторинг ESP и TPM attestation — с командами из реального стенда.
Пошаговый чеклист обнаружения firmware-угроз для тех, кто готов заглянуть глубже классического EDR.Статья Социальная инженерия: методы атак и практическая защита
Взлом без кода: как пентестер проходит через проходную с поддельным бейджем и уходит с доменными паролями.Компании тратят миллионы на файрволы и EDR — и ломаются на сотруднике, который придержал дверь курьеру с коробками. Социальная инженерия бьёт туда, где не работают патчи: в психологию.
Разбираем полный арсенал — фишинг через GoPhish, вишинг-сценарии, претекстинг, байтинг с флешками и дипфейк-звонки уровня $25 млн. Реальные кейсы, команды и чек-лист защиты от пентестера, который делает это легально.
Практическое руководство для тех, кто хочет понять атаку изнутри — и выстроить защиту, которая реально работает.Статья ConnectWise ScreenConnect уязвимости: разбор CVE, цепочки атак и практическая защита RMM
ConnectWise ScreenConnect: один запрос — и тысячи эндпоинтов в чужих руках.На момент раскрытия CVE-2024-1709 в феврале 2024 года в интернете висело 18 188 уязвимых ScreenConnect-инстансов, почти 8 800 из них — без патча. Для MSP это не worst-case, это game over: один торчащий наружу сервер превращается в точку входа во всю управляемую инфраструктуру.
В статье — разбор трёх ключевых CVE: auth bypass через path confusion в SetupWizard.aspx (CVSS 10.0), zip slip в InstallExtension для RCE и ViewState injection 2025 года. Полный kill chain от Shodan-разведки до ransomware, кейсы Kimsuky и ToddlerShark, готовые Sigma-правила и Sysmon-фильтры для детекта.
Практический материал для SOC-аналитиков, MSP-инженеров и red team операторов, работающих с RMM-платформами.Статья Написание C2 фреймворка на Python: от архитектуры до обхода EDR
C2 фреймворк на Python с нуля: почему ваш Sliver палится за три секунды.YARA-правила для Sliver публикуются на следующий день после релиза. Beacon Cobalt Strike разобран до байта. Mythic ловится одним Suricata-правилом по паттерну JSON-трафика. Любой публичный C2 — это IoC, который вендор уже добавил в сигнатуры.
В статье — пошаговая разработка собственного command and control: Team Server с очередью задач и CLI оператора, агент с beacon loop и jitter, расширяемый диспетчер задач через декораторы, обфускация трафика под легитимный JS, маскировка через Cookie и malleable profiles. Плюс лабораторный стенд с Defender, Elastic EDR, Suricata и Zeek для итеративного тестирования.
Практический гайд для red team операторов и offensive-разработчиков, которые хотят понимать как устроена C2-инфраструктура, а не запускать чужие бинарники.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab