Форум информационной безопасности - Codeby.net

Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.

75% вторжений — через валидные учётные данные. Breakout time — 62 минуты. EDR без контекста аутентификации не отличает wmic process list от wmic process call create. Это задача для корреляции событий и поведенческого baseline.

Event ID 4624/4648/4672/4776 — что каждый фиксирует и на каком хосте. PtH-артефакт seclogo и почему 4776 важнее, чем 4624. Low-and-slow sweep, credential rotation, jump host — как атакующий обходит пороговые правила. CVE-2025-24054 — NTLM-хеш без Mimikatz и LSASS.

Большинство SOC не мониторят Event ID 4776. А это единственное событие, которое ловит PtH до состоявшейся аутентификации.

Волна jackpotting по США, 2024–2025. Ploutus выдаёт более 100 купюр в минуту. Восстановление одного заражённого банкомата — свыше $25 000. Application whitelist на сотнях ATM стоит в audit mode с момента установки. Замок верхней панели — одинаковый на всей серии.

Два вектора: малварный jackpotting через подмену msxfs.dll и персистентность в Userinit, и black-box — отключить системный блок, подключить одноплатник к шине диспенсера, опустошить кассеты за 10 минут. XFS-команды не требуют аутентификации бэкенда — процессинг не видит ни одной транзакции.

Таблица из 8 SIEM-алертов с приоритетами, Suricata-правило на нетипичные исходящие с ATM, hardening-чеклист из 12 пунктов для IT-подразделения.

ATM перестал отправлять логи в SIEM — это алерт, а не «проблема с сетью». Всегда.

57% организаций узнают о компрометации от внешней стороны — партнёра, регулятора или журналиста. Не от своего SIEM. Медиана нахождения атакующего в сети до обнаружения — 11 дней. За это время — полный kill chain от фишинга до шифрования инфраструктуры.

Карта темы из 9 подтем: от первых 30 минут triage до IR-отчёта и разбора реальных атак. NIST vs SANS — чем отличаются и когда какой выбирать. Три стратегии сдерживания, которые не останавливают бизнес. Минимальный DFIR-стек с инструментами и условиями применения.

7 ошибок, которые уничтожают доказательства — каждая из реальных расследований. Чеклист из 16 пунктов для команды. Маппинг ransomware kill chain на MITRE ATT&CK.

Инструмент без понимания, что он должен показать — дорогой шум. Героизм не масштабируется. Процесс — масштабируется.

Упакованный Themida бинарь. Ghidra — шум, IDA Pro разваливает границы функций, x64dbg — антиотладочные проверки каждые десять инструкций. Три часа статического анализа, ноль выхлопа. Frida-хук на VirtualAlloc, дамп RWX-страницы — двадцать минут до чистого payload.

Три DBI-фреймворка, три разных задачи. Frida — точечные перехваты и обход антиотладки, шесть строк JavaScript вместо часов ручной работы в отладчике. DynamoRIO — полная трассировка через JIT code cache, coverage-guided фаззинг с AFL++ и WinAFL, детектор shellcode. Intel PIN — instruction-level профилирование и трассировки для символьных движков.

Все три работают в user space — ни один не невидим. Timing через rdtsc, целостность кода, артефакты в памяти, direct syscalls — таблица векторов детекта для каждого фреймворка.

Натягивать Frida Stalker на полную трассировку — скрипт на 500 строк, который криво делает то, что DynamoRIO-клиент на 30 строк C делает...

Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.

Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.

Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.

Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.

Ransomware-кейс закрыт за 52 часа. Containment — 4 часа, ни один критичный хост не потерян. А потом начался второй инцидент — оформление результатов. Страховая отклонила выплату из-за нечёткой хронологии. Регулятор запросил разъяснения. CISO не смог объяснить масштаб ущерба совету директоров.

Два документа вместо одного: executive summary на 1–2 страницы для руководства и юристов, технический отчёт с timeline в UTC, root cause по методологии 5 Whys, маппингом на MITRE ATT&CK и IOC-приложениями в STIX 2.1 и YARA.

Root cause — не «пользователь кликнул». Это отсутствие процесса управления привилегированными учётками. Именно эта формулировка ведёт к remediation.

Чеклист из 17 пунктов перед передачей отчёта. Меньше 12 — у вас та же проблема, что у большинства команд.

Внутренний пентест банковской сети. dig axfr @ns2.target.bank target.bank — полный дамп зоны с 340+ записями за четыре минуты. Вторичный NS, legacy-BIND, AXFR для любого IP. В дампе — dc01-prod, jenkins-build, vault-backup. До domain admin — три дня.

DNS-разведка от пассивного сбора через crt.sh и CT-логи до zone transfer и SRV-записей, выдающих контроллеры домена. Cache poisoning по Камински — механика и почему не работает против современных резолверов. DNS rebinding — доступ к внутренним сервисам через браузер жертвы без присутствия в сети. DNS-туннелирование: iodine и dnscat2, C2 и эксфильтрация через порт 53, который открыт почти везде.

Восемь техник MITRE ATT&CK от разведки до эксфильтрации, слепые зоны стандартного стека защиты, decision tree по инструментам.

Zone transfer, который «не должен работать», работает на каждом пятом внутреннем пентесте.

Три слоя XOR-шифрования, два VirtualAlloc и NtQueryInformationProcess на ProcessDebugPort — реальный сэмпл из инцидента. Коллега параллельно смотрел ELF-дроппер того же семейства в GDB. Один сэмпл, два отладчика, два принципиально разных workflow.

Отладчик — не вопрос вкуса. GDB + pwndbg — ELF, CTF-pwn, Linux-малварь. x64dbg + ScyllaHide — Windows PE, распаковка, анализ IAT, автоматический обход антиотладки. WinDbg — kernel-mode, rootkit-анализ, crash dumps. Открыть PE в WinDbg технически можно, но x64dbg быстрее.

Аппаратные брейкпоинты против self-checksumming, ptrace-обход через LD_PRELOAD, ScyllaHide против PEB-проверок. Decision tree по всем техникам антиотладки.

Час в Ghidra на раннем этапе экономит три часа в отладчике. Мышление за аналитика инструменты пока не делают.

Cloud-пентест финтех-компании. Утёкший access key из GitHub. 47 Lambda-функций, 12 с Action: "*" на S3 и DynamoDB. От event injection в SQS-триггер до чтения production-таблицы с платёжными данными — 85 минут. SOC не увидел ничего.

Serverless-атаки живут в зазоре между CloudTrail и SIEM: данные есть, detection нет. UpdateFunctionCode заменяет handler на payload — один вызов, и в аккаунте новый IAM-пользователь с AdministratorAccess. CloudFox за 10 минут сканирует все функции и вытаскивает plaintext-секреты из env vars. В 6 из 10 аккаунтов они там лежат.

Четыре корреляционных правила под CloudTrail, чеклист hardening из 10 пунктов, разбор iam:PassRole + UpdateFunctionCode как вектора эскалации.

«CloudTrail включён» — не detection. Включили камеру в серверной, монитор забыли подключить.

Codeby ID — это один аккаунт для входа на форум codeby.net и на платформу hackerlab.pro. К одному Codeby ID можно привязать несколько способов входа: email, Google, GitHub, Telegram. Куда бы вы ни заходили — это будет ваш один и тот же аккаунт.

Сценарий 1 — у меня только Telegram и аккаунт на HackerLab​

Цель: добавить email и получить доступ к форуму с тем же аккаунтом.

1. Зайдите на hackerlab.pro через кнопку «Войти через Telegram» (как раньше)
2. Откройте свой Профиль → Настройки
3. Нажмите кнопку «Привязать email» (или подобную в блоке «Способы входа»)
4. Откроется страница Codeby ID — введите свой реальный email и нажмите «Сохранить»
5. На указанный email придёт письмо с подтверждением — перейдите по ссылке внутри письма
6. Готово — теперь у вас два способа входа (Telegram + email)

После этого вы автоматически сможете зайти на форум codeby.net через Codeby ID — система создаст для вас аккаунт или найдёт существующий по email.

Сценарий 2 — у меня только email/Google/GitHub и аккаунт на форуме​

Цель: привязать Telegram и зайти на...