Форум информационной безопасности - Codeby.net

Статья NetFlow и обнаружение аномалий: практическое руководство для Blue Team

  • 6
  • 0
Макросъёмка тыльной панели маршрутизатора на тёмном антистатическом коврике. Крупные паяные соединения и крошечный OLED-дисплей с зелёными строками статуса NetFlow освещены жёстким голубым боковым...


📡 EDR молчал 8 часов: рабочая станция HR отправила 47 000 DNS-запросов с поддоменами по 63 символа к серверу в Юго-Восточной Азии — DNS-туннель T1572 поймал только NetFlow с border-маршрутизатора.

75% вторжений (CrowdStrike GTR 2025) не оставляют вредоносных файлов — сигнатуры бесполезны. NetFlow v9/IPFIX даёт src/dst IP, порты, bytes, TCP-флаги и длительность сессии: 1–5 ГБ в сутки против сотен при full packet capture. Beaconing виден по интервалам, малым avg_bytes < 1 КБ и нестандартным портам T1571.

Без baseline любой порог — шум. NIST CSF v2.0 DE.AE-01 требует профиль нормального трафика по сегментам: серверный VLAN, DMZ и пользовательские подсети строятся отдельно.

💡 EDR видит процессы — NetFlow видит поведение сети. DNS-туннель живёт там, где агент молчит.

Статья Supply chain attack npm: реверс-инжиниринг двухступенчатого payload от bootstrap до C2

  • 8
  • 0
Схема цепочки атаки на кремовой бумаге, снятая сверху на светлом столе. Карандашные стрелки соединяют узлы цепочки, рядом лежат латунное пресс-папье и перьевая ручка.


🧬 11 мая 2026 года вредоносные версии @tanstack/react-router и @opensearch-project/opensearch (GHSA-27f5-xjrr-q9ff) прошли CI/CD с валидной SLSA Build Level 3 аттестацией Sigstore — статические сканеры промолчали.

Дроппер Stage 1 прячется в optionalDependencies через github:owner/repo#SHA — визуально легитимный URL TanStack. Lifecycle-хук prepare запускает обфусцированный payload (hex → XOR → AES-256-GCM) до любого runtime-контроля. Stage 2 читает /proc/PID/mem Runner.Worker, вытаскивает AWS/GCP/Vault-токены и сливает их через GitHub GraphQL dead-drop коммиты на C2.

💡 SLSA Level 3 подписывает артефакт пайплайна — но не гарантирует, что сам пайплайн не скомпрометирован.

Статья CVE-2026-33032: эксплуатация уязвимости Nginx UI — от auth bypass до полного захвата сервера

  • 10
  • 0
Вскрытый одноплатный сервер на чёрном антистатическом коврике с подключённым UART-пробником. На дисплее — глитч-текст с идентификатором уязвимости, выжженная дорожка ведёт от сетевого разъёма к про...


🔐 CVE-2026-33032 в Nginx UI: два HTTP-запроса без пароля — и атакующий управляет конфигурацией nginx, перехватывает трафик всей инфраструктуры и крадёт JWT-секрет. CVSS 9.8, PR:N, UI:N, EPSS percentile 98.39%.

Уязвимость — пропущенный AuthRequired() на эндпоинте /mcp_message при двухэндпоинтной MCP-архитектуре (SSE-транспорт). IPWhiteList() fail-open при пустом списке. Итог: CWE-306 + CWE-22 дают полный контроль через JSON-RPC вызовы nginx_config_add без единой проверки. Shodan по favicon hash возвращает сотни живых панелей.

Постэксплуатация — upstream-манипуляция для перехвата трафика, credential harvesting через кастомные директивы логирования, кража ключа подписи JWT.

💡 Классический EDR молчит — атака идёт через легитимный API панели, Windows Event Log пуст.

Статья Обоснование red team для бизнеса: фреймворк ROI и шаблон питча для CFO

  • 17
  • 0
Распечатанная таблица ROI на плотной кремовой бумаге с тремя колонками и пометкой «RED TEAM ROI · 72h TO DOMAIN ADMIN». Рядом лежит перьевая ручка, мягкий дневной свет падает из окна на светлый стол.


🔐 Red team получил Domain Admin за 72 часа, но бюджет сократили на 30%: проблема не в технике, а в языке — бизнесу нужны не CVE, а деньги, риски и ROI.

Статья показывает, как переводить offensive security в финансовые метрики через ALE: \(ALE = SLE \times ARO\) → расчёт ROI, где снижение риска даёт до 4.6x возврата инвестиций. Вместо “14 critical” — “минус 45 млн руб. потенциальных потерь”. Даётся шаблон executive summary на 1 страницу: бизнес-импакт, цепочки атак, ROI, динамика.

💡 Кто считает risk в рублях — получает бюджет; кто считает CVSS — получает урезание.

Статья Уязвимости умных зданий и ICS безопасность: три UDP-пакета до root на EnOcean SmartServer

  • 116
  • 0
Разрезанный пополам модуль термостата системы автоматизации здания на чёрном антистатическом коврике с обнажёнными платами. Вдоль линии разлома — призрачные схемы UDP-пакетов в пурпурно-голубом све...


💣 Claroty Team82 вскрыла EnOcean SmartServer IoT: CVE-2026-20761 (CWE-77, CVSS 8.1) даёт pre-auth RCE через три UDP-пакета на порт 1628 — без логина, без привилегий, с root на контроллере HVAC дата-центра.

Вектор атаки — парсер IP-852 пакетов. Функция LtSetTimeZone в libLonStack.so берёт строку часового пояса из UDP-датаграммы и скармливает её system() без валидации. Шаг 1: PKTTYPE_REQDEVCONFIG раскрывает адрес конфиг-сервера. Шаг 2: имперсонация сервера через расширенный CNIP-заголовок. Шаг 3: инъекция в поле timezone — и shell.

BAS-контроллеры живут под службами эксплуатации здания, а не ИБ. Они выпадают из patch management и IR-процессов.

💡 SOC смотрит в EDR — а root на HVAC-контроллере тихо меняет уставки охлаждения серверной.

Статья CVE-2026-41089: Windows Netlogon RCE — от переполнения стека CLDAP до захвата контроллера домена

  • 114
  • 0
Сетевая карта сервера на чёрном рабочем столе с подключённым обрезанным кабелем. Диагностический дисплей показывает глитч-текст об уязвимости, рука в перчатке касается чипсета логическим щупом.


🔐 CVE-2026-41089 — один UDP-пакет на порт 389 превращает любой непропатченный DC в SYSTEM-шелл без аутентификации. CVSS 9.8, EPSS 0.72, wormable, CCB подтвердил активную эксплуатацию через 17 дней после Patch Tuesday.

Стековое переполнение в netlogon.dll: обработчик CLDAP-запросов копирует доменное имя в фиксированный буфер без проверки размера — классический CWE-121. Перезапись адреса возврата даёт RCE в контексте lsass.exe. Чекер LongLogon верифицирует предусловие по длине имени DC без отправки exploit-пакета. Затронуты все Windows Server 2012–2025, KB5087471/5087470/5087537.

💡 lsass.exe не генерирует Event ID 4624 при pre-auth RCE — Windows Event Log молчит, пока DC уже скомпрометирован.

Статья Анализ вредоносных документов: разбор макросов Office и эксплойтов в PDF с извлечением payload

  • 123
  • 0
Разобранный USB-накопитель с отпаянным чипом памяти лежит рядом с распечаткой документа с подсвеченными строками VBA-макроса. Жёсткий конус света от лампы, глубокие тени, надпись CVE-2021-40444 на...


📨 GenAI удвоил поток фишинговых .docm и .pdf — IBM X-Force фиксирует 32% инфостилеров среди всего малвари 2024 года. Пока аналитик разбирает одно вложение, в очереди ещё 49.

Workflow начинается с oleid и mraptor из пакета oletools 0.60.2: AutoOpen-триггеры, XLM-макросы, External Relationships — всё до запуска образца. olemeta вскрывает метаданные: реальный Author, путь C:\Users\ivan.petrov\Desktop\payload_builder\ — артефакты разработчика прямо в файле. olevba -a даёт таблицу подозрительных ключевых слов, Shell, PowerShell, T1059.001.

Для PDF — pdfid и pdf-parser Дидье Стивенса: /JS, /OpenAction, /EmbeddedFile без единого запуска.

💡 Метаданные olemeta сдают разработчика малвари чаще, чем сам payload — аналитики их пропускают.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 737
Сообщения
347 132
Пользователи
161 519
Новый пользователь
fluterok