Форум информационной безопасности - Codeby.net
Статья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.
EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.Статья Зрелость процессов информационной безопасности vs бюджеты: как выстроить защиту без карго-культа
Финтех вложил 80 млн в SIEM, EDR и аутсорс-SOC — пентестер получил доменного админа за 4 часа. SIEM покрывал 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs, EDR отсутствовал на контроллерах домена.Mandiant M-Trends 2025: 57% компаний узнают об инциденте от внешних сторон. Медиана — 11 дней в сети до обнаружения. IBM X-Force: среднее время между публикацией CVE и патчем — 29 месяцев. CrowdStrike фиксирует: 75% вторжений в 2024-м через Valid Accounts (T1078) — дефолтный SIEM это не детектирует.
Разница между уровнями зрелости — не в бюджете.
SOC смотрит на алерты — APT работает через легитимный вход. Инструменты без процессов дороже, чем их отсутствие.Статья Технические меры защиты ПДн по ФСТЭК: что реально требуется и как реализовать
Аттестат ФСТЭК подписан, техпроект красивый — а папка с ПДн клиентов открыта с правами Everyone:Full Control. Межсетевой экран в permit any/any «временно». SIEM слеп четыре месяца. С оборотными штрафами цена такого разрыва — проценты от выручки.Приказ ФСТЭК №21 делит меры на 15 групп: ИАФ, УПД, РСБ, АВЗ, СОВ — каждая закрывает конкретные техники MITRE ATT&CK. УЗ-3 требует СЗИ не ниже 6 класса, УЗ-1 — не ниже 4-го. Завышение типа угроз «для перестраховки» поднимает УЗ и бюджет втрое — без реального снижения риска.
Статья разбирает маппинг мер на ATT&CK: ИАФ.4 блокирует T1110 Brute Force, СОВ — T1190 и T1071, РСБ — T1562.
Проверяющий открывает не документы — он смотрит права на папку с ПДн и журнал SIEM.Статья Пентест SCADA систем: от Modbus-разведки до контроля ПЛК в production-среде
Обычный SYN-скан без --max-rate положил Siemens S7-300 за 40 секунд — оператор нажал аварийную остановку, простой 22 минуты. Modbus TCP (порт 502) не имеет аутентификации: function code 0x06 исполняется без вопросов от любого узла в сети.В OT-среде kill chain идёт через Shodan (`port:502 product:Siemens`), Redpoint NSE и PLCScan для fingerprinting, затем — lateral movement через инженерную станцию с двумя интерфейсами в DMZ. Industroyer эксплуатировал легитимные IEC 60870-5-104 команды плюс CVE-2015-5374 против Siemens SIPROTEC.
Приоритет защиты в ICS — Safety → Availability → Integrity, а не CIA как в IT.
EDR в OT — редкость из-за real-time constraints. ПЛК зависает от 50 пакетов/сек, а патч ждут 29 месяцев.Статья Лаборатория для мобильного пентеста: от эмулятора до перехвата трафика за один вечер
Три часа на финтех-аудите ушли не на поиск IDOR, а на борьбу со стендом: Android 14 монтировал /system read-only, сертификат Burp не попадал в системное хранилище, Frida-сервер падал из-за несовпадения архитектуры с AVD.Рабочий стек выглядит так: rootAVD интегрирует Magisk в образ эмулятора через `rootAVD.bat ListAllAVDs` (только cmd.exe, не PowerShell), сертификат Burp кладётся в `/system/etc/security/cacerts/` через Magisk-модуль, Frida-сервер версии строго под API эмулятора стартует через `adb push` и `adb shell chmod 755`.
Genymotion даёт root из коробки и экономит 20 минут, но ARM-трансляция без допнастройки ломает половину APK.
Эмулятор проваливает Play Integrity даже с Magisk — приложение молча блокирует запуск до первого экрана.