Форум информационной безопасности - Codeby.net
Статья Расследование инсайдерских инцидентов: форензика рабочих станций, анализ USB-активности и облачных хранилищ
DLP-алерт сработал в понедельник — но инсайдер готовился две недели: LNK-файлы, ShellBags и USN Journal хранят полный kill chain до переустановки ОС.Форензика рабочей станции строится на артефактах Windows, которые инсайдер не может удалить вручную. Prefetch-файлы фиксируют запуск 7z.exe с точностью до секунды, LNK-файлы сохраняют серийный номер USB-тома, ShellBags — полное дерево навигации по внешним носителям. Всё парсится EZTools в CSV до суперхронологии через Plaso.
Параллельно — аудит T1114.003: правила форварда в Exchange и M365 обнаруживаются KQL-запросом к MailboxAuditLog.
DLP видит финальную отправку — артефакты рабочей станции раскрывают двухнедельную подготовку, которую UEBA пропустила.Статья Утечки данных Россия 2026: 4,5 млрд записей за три года — как детектировать утечку до штрафа
4,5 млрд записей за три года — и 48% инцидентов без установленного объёма компрометации. С 30 мая 2025 повторная утечка ПДн бьёт оборотным штрафом 1–3% выручки, минимум 25 млн руб.InfoWatch фиксирует 592 инцидента в 2024-м при взрывном росте объёма — один мегаслив перекрывает сотню мелких. Kill chain типичный: Shodan-разведка периметра → эксплуатация веб-уязвимости → дамп БД → credential stuffing из аутентификационных записей.
Detection до штрафа требует UEBA на аномальный SELECT-объём, DLP-контроль облачных хранилищ (рост случайных утечек до 10%), алертинг на Rclone/exfil-паттерны. Уведомление в РКН — 24 часа на первичное, 72 — на развёрнутый отчёт.
IBM считает средний цикл инцидента 258 дней — РКН узнаёт из Telegram раньше, чем SOC закрывает тикет.Статья theHarvester — инструмент разведки: от выбора источников до карты внешней поверхности атаки
theHarvester за 6 минут собрал 47 email-адресов и 31 поддомен на Red Team-контракте — среди них staging-API с открытым Swagger UI и дефолтными кредами. Subfinder по тому же домену выдал только 18 поддоменов.Инструмент агрегирует Hunter.io, PGP-серверы и LinkedIn-парсинг через Google — источники, которые subdomain enumeration-тулзы не покрывают. В пассивном режиме IDS/IPS не срабатывают, в логах цели — тишина. Email-адреса уходят в credential stuffing и фишинг, поддомены — в Nuclei/httpx. MITRE T1596.001; флаг `-c` переключает в DNS-брутфорс и оставляет следы.
Антипаттерн `-b all` сжигает API-квоты и вызывает rate limiting у Google уже после 10 запросов.
Nuclei без карты поверхности атаки пропустит забытые staging-серверы — именно там живут дефолтные креды.Writeup Web | ByteNews | HackerLab
Новостной сайт ByteNews, пользователь john, 4 поста — явно администратор. Форма логина с математической CAPTCHA. SQLi не проходит. Вывод: нас заставляют брутить, но не через ffuf — через собственный скрипт с автоматическим решением капчи.Логика атаки: сессия GET к captcha.php → сохранение PNG чанками (иначе изображение ломается) → pytesseract с psm 7 распознаёт математическое выражение → regex оставляет только цифры и операторы → eval() считает ответ → POST на /auth.php с username, password из словаря и captcha-ответом в рамках той же сессии.
Детект успеха — отсутствие слова "captcha" в ответе сервера. Словарь: xato-net-10-million-passwords-100 из SecLists. После нахождения пароля — авторизация под john и флаг.
Чанковая запись изображения — нетривиальный момент: прямая запись ломает PNG. Сессия обязательна — без неё CAPTCHA и ответ относятся к разным запросам.Заметка Как я делаю новый дизайн форума
Форум Codeby переделывается — не косметически, а по сути: как читаем, ищем рабочий ответ и находим вакансию. Четыре боли текущего движка: мобайл с шапкой на первом экране, длинные треды без карты и статуса решения, раздробленные таксономии, плоский список вакансий без вилки и грейда.Концепт: лента знаний с конструктором по темам (Pentest, AppSec, DFIR, Reverse), форматам и уровню; ридер для лонгридов с оглавлением и подсветкой кода; карта треда с прыжком к лучшим ответам; карточки вакансий с фасетами. Под новым слоем — тот же XenForo: архив, ссылки и поиск живут. ИИ — два помощника: выжимка треда с указателями на посты и разбор кода по кнопке.
Сейчас кликабельный прототип. Новый слой надевается на старое содержимое и откатывается за секунду.