Форум информационной безопасности - Codeby.net

Статья DDoS Incident Response Playbook: пошаговый план реагирования для SOC и NOC — от детекции до post-mortem

  • 29
  • 0
Распечатанный регламент реагирования на DDoS лежит раскрытым на светлом столе. На кремовых страницах — временная шкала с этапами Detect, Escalate, Mitigate, рядом латунный пресс-папье и перьевая ру...


🚨 03:47, PagerDuty орёт: latency API-шлюза прыгнул с 40 мс до 12 секунд, NETSCOUT Sightline фиксирует 47 Гбит/с при норме 2.5 — у дежурного NOC 90 секунд до каскадного падения.

Статья разбирает DDoS Incident Response Playbook по MITRE ATT&CK T1498/T1499: от классификации атаки (volumetric, reflection, Slowloris) до BGP RTBH-команд и активации scrubbing-контракта (Qrator, Cloudflare Magic Transit, Akamai Prolexic) с SLA менее 15 минут.

Внутри — baseline-пороги (+3σ для bps, +200% для RPS), роли SOC/NOC на каждом этапе kill chain, trade-off таблица mitigation-инструментов и post-mortem чеклист с разбором мультивекторных атак.

💡 DDoS — часто дымовая завеса: пока SOC смотрит в трафиковые дашборды, lateral movement идёт 62 минуты (CrowdStrike 2025).

Статья Что такое DevSecOps: принципы, роли и место безопасности в цикле разработки

  • 37
  • 0
Ночная лаборатория разработчика: монитор с диаграммой CI/CD-пайплайна и терминалом DevSecOps освещает тёмный стол с кабелями, кружкой кофе и стикерами.


⚙️ Финтех-стартап: 12 минут от коммита до продакшена, захардкоженный API-ключ к платёжному шлюзу — и четыре недели на исправление. Цена «безопасности после релиза» оказалась в семь раз выше, чем shift-left проверка на этапе сборки.

DevSecOps встраивает контроль прямо в CI/CD: pre-commit хуки блокируют утечку секретов, SAST (Semgrep, SonarQube) запускается на каждый пуш, SCA через Snyk ловит CVE в зависимостях до merge. MITRE T1195.001 и T1195.002 — атаки на supply chain — закрываются ещё на этапе сборки.

После деплоя мониторинг отслеживает T1190 (Exploit Public-Facing Application) в рантайме.

💡 Пайплайн без security-gate работает быстро — ровно до первого аудита.

Статья Cold Boot Attack и DMA-атаки: извлечение ключей шифрования из оперативной памяти

  • 69
  • 0
Ноутбук в режиме сна рядом с баллончиком заморозки и загрузочной флешкой на тёмном антистатическом коврике. Монитор в полумраке выводит строку об извлечённом ключе шифрования.


🔥 BitLocker с TPM без PIN — это замок, ключ от которого лежит под ковриком.

Корпоративный ThinkPad с BitLocker и TPM 2.0 в sleep mode, баллончик хладагента, четыре минуты — и ключ FVEK извлечён прямо из дампа оперативной памяти. Full disk encryption превращается в декорацию, когда ключ шифрования лежит в RAM открытым текстом, а единственное условие компрометации — физический доступ к устройству.

В этом гайде — полная механика физических атак на память: реманентность DRAM и охлаждение модулей для cold boot, дамп через bios_memimage64, DMA-атаки через Thunderbolt/PCIe с PCILeech и ScreamerM2, поиск AES-ключей утилитами aeskeyfind, Volatility и Elcomsoft. Плюс честный разбор ограничений (DDR4/DDR5, memory scrambling, Intel TME/AMD SME) и чеклист защиты: TPM+PIN, hibernate вместо sleep, Kernel DMA Protection и TRESOR.

💡 Практическое руководство для red team и физического пентеста: атака укладывается в окно обеденного перерыва, а вектор не умер — он...

Статья Бэкдоры в нейронных сетях: white-box атака, которую не видит ни один детектор

  • 42
  • 0
Плата с OLED-экраном, отображающим зелёный текст, лежит на антистатическом коврике. Паяльный щуп касается золотой дорожки, тонкая струйка дыма поднимается в тёплом свете лампы.


🧠 Бэкдор в ResNet18 и Vision Transformer, который выживает после fine-pruning, parameter clipping и noise injection — и остаётся невидимым при полном white-box доступе к весам.

Атака «Backdoor Channels Hidden in Latent Space» переносит конструкцию Goldwasser et al. на реальные архитектуры. Триггер прячется ниже BBP-порога Baik-Ben Arous-Péché: spike-амплитуда в ковариационной матрице весов растворяется в шуме Марченко-Пастура — Neural Cleanse и STRIP фиксируют чистую модель. MITRE T1195.002, цепочка поставок ML.

Вектор — MLaaS и предобученные хабы (OWASP LLM04:2025). Бэкдор проходит все валидационные тесты и срабатывает по Concept Activation Vector-триггеру.

💡 White-box доступ к весам не даёт преимущества — спектральный анализ слеп, если spike ниже BBP-порога.

Статья AI агенты для поиска уязвимостей: архитектуры, реальные находки и ловушки для пентестера

  • 78
  • 0
Стеклянная колба, расколотая пополам, с медной нейросетью внутри — половина проводов аккуратна, половина искрит красным. На стекле выгравирована надпись с идентификатором уязвимости CVE.


🧠 Vulnhuntr автономно нашёл RCE в Ragflow (CVE-2024-10131, CVSS 8.8) и Stored XSS в ComfyUI (CVE-2024-10099) — оба с десятками тысяч звёзд на GitHub. Но автор потратил $200 на токены Claude и выкинул инструмент: два запуска на одном проекте дают разные результаты.

Три архитектуры AI-агентов задают разные потолки: ReAct-цикл (hackingBuddyGPT, PentestGPT) валится на e2e из-за контекстного окна — один вывод nmap вытесняет предыдущие находки. Multi-agent planner-executor (CHECKMATE, VulnBot) обогнал нативный Claude Code на 20% и оказался вдвое дешевле.

💡 Большинство находок AI-агентов — мусор. Верифицированных CVE единицы, и все требуют ручного разбора.

Статья Username OSINT деанонимизация: workflow атрибуции через 290+ платформ

  • 72
  • 0
Граф атрибуции личности на кремовой бумаге с узловой схемой связей между платформами. Перьевая ручка лежит поверх листа в мягком оконном свете.


🕵️ Maigret сканирует 2500+ платформ за 10 минут — но 75% вторжений в 2024 году (CrowdStrike) начались с валидных учёток, не эксплойтов. Username OSINT по MITRE T1589 закрывает пропасть между никнеймом на форуме и реальной личностью.

Workflow строится в пять этапов: username scan через maigret -a --timeout 15, email discovery из публичных профилей, breach lookup, cross-platform корреляция по аватару и geo-паттернам, финальная атрибуция через два независимых канала. Sherlock (~400 платформ) даёт false positives на сайтах с HTTP 200 на любой запрос — maigret проверяет body content точнее.

💡 Compartmentalization убивает username-корреляцию полностью — уникальный ник на каждой платформе делает T1589 бесполезным.

Статья MuddyWater Operation Olalampo: эмуляция атаки через вредоносные макросы Office — Red Team playbook

  • 46
  • 0
Сгоревший контроллер USB-накопителя крупным планом на антистатическом коврике. Рядом распечатка обфусцированного VBA-кода с гравировкой названия уязвимости на корпусе.


🧨 MuddyWater (Mango Sandstorm) месяцами долбила одну энергетическую компанию тремя волнами Office-документов: VBA-макрос читает decimal-encoded PE из скрытого UserForm1.TextBox1, дропает CHAR-бэкдор на Rust с C2 через Telegram Bot API — и всё это без единого сетевого IOC классического C2.

Kill chain Operation Olalampo: spear phishing со скомпрометированного ящика → Workbook_Open() с anti-sandbox через вложенный цикл вместо Sleep() → decode payload из TextBox1 → drop на C:\Users\Public\ → execute. Три варианта дропперов: CHAR, GhostFetch, HTTP_VIP — последний ставит AnyDesk как легитимный RMM.

💡 SOC ищет C2-трафик — MuddyWater ходит через легитимный Telegram Bot API, невидимый для большинства proxy-политик.

Статья Verizon DBIR 2026: эксплуатация уязвимостей — вектор номер один и что с этим делать пентестеру

  • 72
  • 0
Распечатанная столбчатая диаграмма на кремовой бумаге с данными отчёта Verizon DBIR 2026. Рядом лежат латунное пресс-папье и перьевая ручка, мягкий дневной свет.


📡 Verizon DBIR 2026 зафиксировал: 31% утечек начинается с эксплуатации уязвимостей — CVE обогнала кражу учётных данных впервые за 19 лет. Автор получил shell через VPN-шлюз с KEV за три часа: Nuclei-шаблон, рабочий эксплоит, ноль фишинга.

Edge-устройства — главная точка входа 2026 года. T1595.002 → T1190: сканирование периметра, затем Exploit Public-Facing Application. Медианное время патчинга KEV выросло с 32 до 43 дней, доля закрытых KEV упала с 38% до 26%. 60–70% KEV открыты на 7-й день — это и есть рабочее окно.

DBIR вводит decay-кривую приоритизации: CVE с CVSS 9.8 без активности 14 месяцев опаснее на бумаге, чем CVE 7.5 с эксплуатацией на прошлой неделе.

💡 Брутфорс и credential stuffing тестируют вчерашнюю угрозу — реальный атакующий давно на периметре.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 824
Сообщения
347 284
Пользователи
161 774
Новый пользователь
Alik_2