Форум информационной безопасности - Codeby.net
Статья Анализ ransomware The Gentlemen: реверс Go-шифровальщика Storm-2697 с самораспространением через SMB
Storm-2697 зашифровал домен за 62 минуты: Go-шифровальщик The Gentlemen с флагом --spread копирует себя по SMB без оператора, убивает EDR через BYOVD (CVE-2025-7771) и использует CVE-2024-55591 (CVSS 9.8) для захвата 14 700 FortiGate.Семпл 3ab957...9235 — 64-битный PE на Go со stripped symbols. GoReSym восстанавливает имена функций через pclntab, которую Go-рантайм обязан сохранять для stack traces. Внутри — XChaCha20 + Curve25519 с per-file эфемерным ключом: bulk-дешифровка без приватника оператора бессмысленна. Флаг --spread запускает автономный SMB-краулер (T1021.002, T1570).
EDR убит до шифрования — Windows Event Log чист. Первый сигнал придёт из сетевых SMB-аномалий.Статья Lateral Movement из IT в OT: техники пентеста промышленных сетей
Domain admin за 4 часа через Kerberoasting — и всё равно SCADA недосягаема. Firewall пропускает только Modbus TCP/502 и HTTPS/443. Pass-the-Hash мёртв, RDP заблокирован. Вот где начинается настоящий IT→OT pivot.Kill chain идёт через dual-homed инженерные станции и data historian: tcpdump на DMZ-span-порту вскрывает OT-топологию без единого probe-пакета. Modbus TCP не имеет аутентификации — любой хост пишет в регистры ПЛК через FC16. Windows XP на HMI исключает EDR, Purdue Level 2 достигается через скомпрометированный historian.
Claroty и Dragos строят baseline промышленного трафика — новый IP на порту 502 мгновенный алерт.
SIEM видит домен — OT слеп для Splunk. XENOTIME положил Triconex, не оставив следов в Windows Event Log.Статья Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering
В 9:15 SIEM поймал 14 000 SMB-обращений за 8 минут — IR-команда закрыла как FP. Через 3 дня: 340 ГБ на DLS и требование $2.4M. Qilin и Warlock грузят rwdrv.sys через msimg32.dll side-load, роняют 300+ EDR-драйверов — и шифрование больше не нужно.BYOVD (MITRE T1562.001) стал штатной фазой kill chain: подписанный уязвимый драйвер hlpdrv.sys даёт kernel-level доступ, агент падает, телеметрия исчезает. Среды с legacy Windows Server 2016/2019 без HVCI уязвимы полностью.
Detection строится на Sysmon EID 6 (Driver Loaded вне System32), EID 7045 (kernel-тип сервиса вне baseline) и массовом EID 5 на EDR-процессах за 30 секунд.
Бэкапы целы — компания всё равно платит. Вектор сменился с Impact на Exfiltration, а SOC смотрит не туда.Статья Оценка зрелости Zero Trust: как сравнить CISA ZTMM, NIST SP 800-207 и Microsoft ZT Model — и обосновать бюджет
63% компаний внедрили Zero Trust — и большинство не могут доказать эффект: CISA ZTMM v2.0, NIST SP 800-207 и Microsoft ZT Model дают разные ответы на вопрос «где мы сейчас».Gap-анализ шести гибридных сред (AD + Azure AD + on-prem) показал: без фреймворка зрелости бюджет размазывается ровным слоем. CISA ZTMM v2.0 даёт четыре уровня — Traditional → Optimal — по пяти столпам: Identity, Devices, Networks, Applications, Data. NIST SP 800-207 добавляет архитектуру: Policy Engine, Policy Administrator, Policy Enforcement Point.
Столп Data — самый недофинансированный: CISA ZTA Implementation Report (январь 2025) фиксирует его как главный тормоз.
Организации мониторят Identity и Network — Data-столп остаётся слепым пятном, хотя именно он блокирует Optimal.Writeup Web | Тетрис | HackerLab (WriteUp)
Flask-приложение с формой восстановления пароля и генератором токенов из трёх символов (b, c, d) длиной 6 знаков — всего 729 комбинаций. Токен удаляется сразу после первого обращения к /reset/<uuid>, что превращает брутфорс в гонку за сессионной cookie.Анализ исходников раскрыл архитектуру: страницы /reset_password и /reset/<uuid>, SQLite с таблицей users, функция _generate_token() с жёстко заданным алфавитом. Стандартный перебор с проверкой 200 не работает — редирект происходит раньше. Решение: allow_redirects=False и перехват 302-ответа с последующим извлечением session cookie через x.cookies.get_dict().
Python-скрипт на itertools.product генерирует все 729 вариантов, последовательно проверяет /reset/<token>, при коде 302 сохраняет cookie и прерывает цикл. Cookie вставляются в браузер, переход на /admin — флаг получен.
Honeypot в виде рабочего тетриса унёс 30 минут. Исходники раскрыли всё за 5.Статья Защита корпоративных учётных данных: infostealer-кампании, MFA-харденинг и PAM на практике
Три из четырёх вторжений в 2024 году начались с обычного логина — не с zero-day. CrowdStrike фиксирует 75% intrusions через Valid Accounts (T1078), IBM X-Force — рост infostealers на 71%: Redline, Raccoon, Lumma забирают cookies и NTLM-хеши за 3–5 минут.Kill chain выглядит так: фишинг в 9:15 — stealerдампит LSASS (T1003.001) и браузеры (T1555.003) — в 10:00 атакующий в VPN и почте — в 11:20 SOC подтверждает инцидент, но злоумышленник уже domain admin. Два часа от письма до AD.
Detection строится на Sysmon Event ID 10 с фильтром TargetImage: lsass.exe и Sigma-правиле по GrantedAccess 0x1010/0x1410.
EDR молчит на валидный RDP-логин. SOC получает алерт через 47 минут — стилер ушёл за 10.Вакансия Senior Reverse engineer
Продуктовая IT-компания ищет Senior Reverse Engineer. Полностью удалённый формат, оформление по ТК РФ, вилка до 440 000 рублей на руки. Ориентация на результат — гибкое начало рабочего дня.Обязанности: анализ бинарного и исходного кода, поиск уязвимостей в устройствах и программных компонентах, снятие трафика приложений и воспроизведение протоколов, работа с эмуляторами и инструментами получения root-прав на мобильных устройствах.
Стек: IDA Pro, x64DBG, Ghidra, Wireshark/Burp Suite, Frida, Xposed, Magisk/LSPosed. Понимание SSL, MitM, SSL Pinning bypass. Языки: C/C++, C#, Python, Java, Lua, JavaScript — один или несколько. Опыт с игровыми движками (Unity, cocos2d) как плюс.
Компенсация профильного обучения, корпоративные библиотеки, внутренние митапы. Контакт: https://t.me/hortenzieСтатья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.
EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab