Форум информационной безопасности - Codeby.net
Статья Атаки через украденные учётные данные: kill chain от стилер-лога до domain admin
Stealc-лог за $20 на Telegram-маркетплейсе — и через 11 шагов атакующий держит domain admin. Verizon DBIR 2025: украденные учётные данные — initial access в 22% утечек. IBM X-Force: инфостилеры обогнали ransomware, 32% всего malware в 2024.Kill chain начинается с LummaC2 или Rhadamanthys: стилер сливает Passwords.txt, Cookies.txt и сессионные токены Okta/Azure AD. IAB проверяет VPN/RDP-доступ через crackmapexec, перепродаёт «готовый вход» за $500–5000. Дальше — password spraying по AD: `kerbrute passwordspray users.txt 'Summer2024!'`, T1110.003, без единого lockout.
Пароль меняют — куку не отзывают. Живая сессия из стилер-лога обходит MFA полностью.Статья Скрытые каналы передачи данных C2: DNS tunneling и HTTP covert channels от настройки до детекта
На red team в финансовом секторе dnscat2 через TXT-записи двое суток гнал команды и сливал хеши NTDS.dit — Suricata молчала, SIEM ни алерта. DNS и HTTP получают карт-бланш от файрвола по умолчанию.MITRE T1071.004 и T1572 — это не теория. iodine создаёт виртуальный интерфейс dns0, кодирует данные в поддомены до 63 байт на метку, Cobalt Strike DNS beacon переключается на DNS как fallback при блокировке HTTPS. OilRig применял туннелинг для картирования сети, Decoy Dog два года гнал Pupy RAT через TXT-записи.
Детект строится на аномалиях: энтропия поддоменов выше 3.5 бит, NXDomain-шторм, запросы длиннее 52 символов, один домен получает 1000+ запросов в час.
SOC смотрит HTTP-прокси — канал уходит через корпоративный резолвер без единого Windows Event Log.Writeup Web | Протокол "Затмение" | HackerLab
Авторизационная форма с гостевым входом — и абсолютно пустой интерфейс. Флаг спрятан в fl4g.txt, но путь к нему закрыт. Исходники прилагались к заданию — и в nginx.conf на 13-й строке пропущен завершающий слэш.Path Traversal через misconfiguration Nginx: отсутствие "/" в конце location-директивы позволяет вырваться за пределы разрешённого каталога. Уязвимость из OWASP — классика неправильной конфигурации обратного прокси, которая регулярно встречается в production-средах.
Эксплуатация в два шага: изучить nginx.conf из прикреплённых исходников, восстановить корректный путь к fl4g.txt с учётом обхода директории. Запрос к сформированному пути — флаг получен без дополнительных инструментов.
Лишний символ "/" в nginx.conf меняет семантику location: без него префиксный матч превращается в точечный и открывает path traversal на всё дерево файлов.Writeup Web | Документальный архив | HackerLab
Архив документов возвращает JSON — пропущен document с _id=3, запрос возвращает 200 без содержимого. Broken Access Control + NoSQL Injection: оператор $or обходит ролевую проверку и показывает скрытый документ. Флага нет — он в скрытом поле.Разведка через Burp: поля _id, title, summary в ответе указывают на MongoDB. $or с несуществующим _id как «безопасная» ветка условия раскрывает документ без прав. Поле flag найдено через $exists: true. Извлечение содержимого — посимвольный blind NoSQL injection через $regex с якорем "^CODEBY{".
Автоматизация в Burp Intruder: позиция после накопленного префикса, словарь из латинских букв и спецсимволов, сортировка по длине ответа — самый длинный ответ выдаёт правильный символ. Флаг собирается итерациями как конструктор.
$or с заведомо ложной второй веткой — классический способ обхода фильтрации в NoSQL без угадывания структуры ACL.Статья Анализ ransomware The Gentlemen: реверс Go-шифровальщика Storm-2697 с самораспространением через SMB
Storm-2697 зашифровал домен за 62 минуты: Go-шифровальщик The Gentlemen с флагом --spread копирует себя по SMB без оператора, убивает EDR через BYOVD (CVE-2025-7771) и использует CVE-2024-55591 (CVSS 9.8) для захвата 14 700 FortiGate.Семпл 3ab957...9235 — 64-битный PE на Go со stripped symbols. GoReSym восстанавливает имена функций через pclntab, которую Go-рантайм обязан сохранять для stack traces. Внутри — XChaCha20 + Curve25519 с per-file эфемерным ключом: bulk-дешифровка без приватника оператора бессмысленна. Флаг --spread запускает автономный SMB-краулер (T1021.002, T1570).
EDR убит до шифрования — Windows Event Log чист. Первый сигнал придёт из сетевых SMB-аномалий.Статья Lateral Movement из IT в OT: техники пентеста промышленных сетей
Domain admin за 4 часа через Kerberoasting — и всё равно SCADA недосягаема. Firewall пропускает только Modbus TCP/502 и HTTPS/443. Pass-the-Hash мёртв, RDP заблокирован. Вот где начинается настоящий IT→OT pivot.Kill chain идёт через dual-homed инженерные станции и data historian: tcpdump на DMZ-span-порту вскрывает OT-топологию без единого probe-пакета. Modbus TCP не имеет аутентификации — любой хост пишет в регистры ПЛК через FC16. Windows XP на HMI исключает EDR, Purdue Level 2 достигается через скомпрометированный historian.
Claroty и Dragos строят baseline промышленного трафика — новый IP на порту 502 мгновенный алерт.
SIEM видит домен — OT слеп для Splunk. XENOTIME положил Triconex, не оставив следов в Windows Event Log.Статья Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering
В 9:15 SIEM поймал 14 000 SMB-обращений за 8 минут — IR-команда закрыла как FP. Через 3 дня: 340 ГБ на DLS и требование $2.4M. Qilin и Warlock грузят rwdrv.sys через msimg32.dll side-load, роняют 300+ EDR-драйверов — и шифрование больше не нужно.BYOVD (MITRE T1562.001) стал штатной фазой kill chain: подписанный уязвимый драйвер hlpdrv.sys даёт kernel-level доступ, агент падает, телеметрия исчезает. Среды с legacy Windows Server 2016/2019 без HVCI уязвимы полностью.
Detection строится на Sysmon EID 6 (Driver Loaded вне System32), EID 7045 (kernel-тип сервиса вне baseline) и массовом EID 5 на EDR-процессах за 30 секунд.
Бэкапы целы — компания всё равно платит. Вектор сменился с Impact на Exfiltration, а SOC смотрит не туда.Статья Оценка зрелости Zero Trust: как сравнить CISA ZTMM, NIST SP 800-207 и Microsoft ZT Model — и обосновать бюджет
63% компаний внедрили Zero Trust — и большинство не могут доказать эффект: CISA ZTMM v2.0, NIST SP 800-207 и Microsoft ZT Model дают разные ответы на вопрос «где мы сейчас».Gap-анализ шести гибридных сред (AD + Azure AD + on-prem) показал: без фреймворка зрелости бюджет размазывается ровным слоем. CISA ZTMM v2.0 даёт четыре уровня — Traditional → Optimal — по пяти столпам: Identity, Devices, Networks, Applications, Data. NIST SP 800-207 добавляет архитектуру: Policy Engine, Policy Administrator, Policy Enforcement Point.
Столп Data — самый недофинансированный: CISA ZTA Implementation Report (январь 2025) фиксирует его как главный тормоз.
Организации мониторят Identity и Network — Data-столп остаётся слепым пятном, хотя именно он блокирует Optimal.Writeup Web | Тетрис | HackerLab (WriteUp)
Flask-приложение с формой восстановления пароля и генератором токенов из трёх символов (b, c, d) длиной 6 знаков — всего 729 комбинаций. Токен удаляется сразу после первого обращения к /reset/<uuid>, что превращает брутфорс в гонку за сессионной cookie.Анализ исходников раскрыл архитектуру: страницы /reset_password и /reset/<uuid>, SQLite с таблицей users, функция _generate_token() с жёстко заданным алфавитом. Стандартный перебор с проверкой 200 не работает — редирект происходит раньше. Решение: allow_redirects=False и перехват 302-ответа с последующим извлечением session cookie через x.cookies.get_dict().
Python-скрипт на itertools.product генерирует все 729 вариантов, последовательно проверяет /reset/<token>, при коде 302 сохраняет cookie и прерывает цикл. Cookie вставляются в браузер, переход на /admin — флаг получен.
Honeypot в виде рабочего тетриса унёс 30 минут. Исходники раскрыли всё за 5.