Форум информационной безопасности - Codeby.net

Статья Поведенческий анализ угроз UEBA: detection без сигнатур для Blue Team

  • 33
  • 0
Макрофотография сетевой платы на тёмном антистатическом коврике. Янтарный свет выхватывает маркировку «svcbackup» и гравировку «T1087 · ACCOUNT DISCOVERY · RISK 87», на краю платы светится синий св...


🧠 SIEM зелёный, дашборд чист — а svc_backup за 12 минут выполнила 340 LDAP-запросов к AD в 02:38 с неизвестного IP. Risk score UEBA: 87. Сигнатурных алертов: ноль. T1087 Account Discovery уже идёт.

Сигнатурные правила слепнут там, где атакующий входит с валидным паролем и работает через net.exe, WMI и cmd.exe — инструменты штатного администратора. CrowdStrike 2025: большинство атак malware-free. IBM X-Force фиксирует рост AI-фишинга в 11,4 раза быстрее ручного.

UEBA строит поведенческий baseline по Event ID 4624/4769, NetFlow, DNS и M365-телеметрии.

💡 SOC смотрит на алерты — UEBA смотрит на паттерны. Разница: часы против недель незамеченного lateral movement.

Статья Пентест VPN-инфраструктуры: методология проверки Check Point, Fortinet и Cisco на уязвимости аутентификации

  • 25
  • 0
Сломанный латунный ключ на чёрном антистатическом коврике, разлом обнажает корродированные внутренние механизмы. Жёсткий боковой свет выхватывает место излома на фоне глубокой тени.


🔐 CVE-2026-50751 (CVSS 9.3) в Check Point Gaia OS эксплуатируется с 7 мая: deprecated IKEv1 позволяет войти в корпоративную сеть без пароля — CISA дала 3 дня на патч, EPSS 0.70, top 1% всех известных CVE.

Статья даёт пошаговую методологию пентеста VPN-шлюзов Check Point, Fortinet и Cisco с фокусом на аутентификацию. Kill chain: ike-scan fingerprinting → проверка четырёх предусловий уязвимости → nuclei -t CVE-2026-50751.yaml → ручная верификация сессии. Параллельно — CVE-2026-50752 (CWE-295, MitM на IKEv1 site-to-site, CVSS 7.4).

💡 IDS видит легитимного сотрудника — VPN-сессия без пароля не триггерит алерт. Windows Event Log молчит.

Статья CVE-2026-45659 SharePoint RCE: десериализация, эксплуатация и обнаружение атак

  • 47
  • 0
Запечатанный конверт с расколотой восковой печатью, разрезанной скальпелем. Из разорванного конверта вытекает лента с IL-кодом .NET-сборки.


🧨 CVE-2026-45659 — SharePoint RCE через CWE-502 десериализацию: Storm-2603 прошла от Site Member до ransomware Warlock за один скомпрометированный сервер. CISA дала федералам три дня на патч после 40 дней «Exploitation Less Likely».

Уязвимость бьёт по on-premises SharePoint Server 2016/2019/SE — CVSS 8.8, PR:L, UI:N. Атакующий с правами Site Member формирует gadget chain через .NET-десериализацию, получает RCE и разворачивает web shell (T1505.003). Storm-2603 дополняла цепочку Cloudflare tunneling и драйвером NSecKrnl.sys для подавления EDR.

💡 EPSS соседней CVE-2026-20963 — Top 5%, PR:N, automatable. SharePoint Online не затронут — только on-premises.

Статья Security awareness программа: как пентестер выстраивает культуру кибербезопасности в компании

  • 42
  • 0
Распечатанный отчёт о фишинговой симуляции на кремовой бумаге с барным графиком и показателями кликов. Перьевая ручка лежит наискось, мягкий дневной свет падает слева на светлый дубовый стол.


🎣 GoPhish-кампания за 4 часа: 19% сотрудников логистической компании (1200 чел.) сдали корпоративные пароли на поддельной странице — через полгода после «обязательного» двухчасового вебинара по ИБ.

Пентестер видит awareness иначе: письмо «от кадров» про ДМС-полис — это T1566.002 в чистом виде. GoPhish даёт baseline: open rate, click rate, credential harvest rate, report rate. Без этих цифр любое обучение — compliance-галочка, а не защита.

Дальше — сегментация по результатам симуляции. Те, кто ввёл данные, разбирают конкретный kill chain: foothold через T1078, lateral movement по SMB, эскалация до доменного админа.

💡 Verizon DBIR 2025: 68% утечек — human element. Ежегодный вебинар это не лечит — лечит повторная симуляция с разбором.

Статья AI-агенты для поиска уязвимостей: как работает T3MP3ST и другие наступательные AI-фреймворки

  • 50
  • 0
Небольшой встроенный терминальный модуль на тёмном антистатическом коврике с янтарным OLED-дисплеем, отображающим текст в моноширинном шрифте. Свет настольной лампы выхватывает устройство из глубок...


🧠 T3MP3ST и Excalibur заявляют полный AD-engagement за десятки долларов: мультиагентные offensive-фреймворки на базе Claude/Codex параллельно покрывают T1595.002, T1046 и T1190 — без участия человека.

Архитектура T3MP3ST — оркестрационный слой поверх существующих LLM-агентов: Reconnaissance-агент перечисляет поверхность атаки, Exploitation-агент тестирует гипотезы, Verification-агент генерирует PoC. Паттерн ReAct с разделением ролей даёт параллельный fan-out вместо последовательного kill chain. Реальный ценник — $20–40 за час трёхагентной конфигурации.

💡 Все заявленные бенчмарки — самооценка авторов. Независимой верификации ни один фреймворк не прошёл.

Статья GraphQL Security: уязвимости и методы тестирования

  • 58
  • 0
preview_graphql.webp


🔥 GraphQL: один запрос вскрывает всю схему вашей БД.

Строгая типизация GraphQL создаёт ложное чувство безопасности. Реальность: один Introspection-запрос отдаёт атакующему всю структуру — скрытые мутации deleteUser и makeAdmin, типы данных и готовые точки для инъекций.

В этом гайде показываем полный цикл атаки: от разведки endpoint'а и обхода WAF через batching до IDOR/BOLA в аргументах, SQL/NoSQL-инъекций в резолверах и DoS через вложенные запросы и дублирование полей. Плюс — защита: depth limiting, persisted queries и отключение интроспекции.

💡 Практическое руководство для пентестеров и bug bounty хантеров, которые тестируют современные API.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 769
Сообщения
347 177
Пользователи
161 593
Новый пользователь
Cherald