Форум информационной безопасности - Codeby.net

Статья APT42 и Seedworm: credential harvesting через социальную инженерию — как иранские APT крадут учётные данные без малвари

  • 136
  • 0
Монитор в тёмной комнате отображает поддельную страницу входа Google с адресной строкой в терминальном шрифте. Холодный бирюзовый свет экранов падает на стол с бумажными заметками и кружкой кофе.


🔐 APT42 взломала предвыборный штаб Трампа без единого вредоносного вложения: AiTM-прокси перехватывает TOTP и сессионный cookie в реальном времени, FIDO2 — единственное что устояло. Seedworm предположительно сидела в сетях американских организаций до начала эскалации.

Два иранских APT, два куратора (IRGC-IO и MOIS), разные kill chain. APT42 строит rapport неделями через WhatsApp и email — первые письма чисты, антифишинг молчит. После перехвата сессии: регистрация своего MFA-устройства, Remote Email Collection через M365 без малвари, эксфильтрация на подконтрольный OneDrive. EDR на эндпоинте бесполезен.

Seedworm 2026: бэкдоры на Deno и Python, эксфильтрация через Rclone в Wasabi. KQL-правила для Sentinel: User registered security info после нетипичного входа, MailItemsAccessed с корреляцией по геолокации. Чеклист hardening из десяти пунктов.

💡 SOC мониторит эндпоинты — APT42 работает в облаке. 11 дней в M365 при полной тишине в...

Статья Пентест iOS приложений: от установки Frida до обхода jailbreak detection

  • 123
  • 0
Руки оператора на тёмной механической клавиатуре, рядом взломанный iPhone на антистатическом коврике. Монитор с терминалом Frida отбрасывает зелёное свечение на клавиши и очки специалиста.


🍎 На аудите финтех-приложения трёхслойная jailbreak detection роняла objection за 200 миллисекунд — кастомные inline C-проверки вместо стандартных ObjC-методов. Liberty Lite мимо. Четыре часа на разбор механики и рабочий хук.

Анатомия проверок: файловые (NSFileManager + fopen/access), sandbox-тесты (запись в /private, вызов fork()), DYLD-анализ на frida-agent и FridaGadget. iOS Security Suite — восемь проверок, метод amIJailbroken() агрегирует результат. Frida ObjC-хук через Interceptor.attach с retval.replace(0x0): плюс vs минус в имени метода — класс vs инстанс.

Swift-модули: name mangling блокирует ObjC runtime, нужен offset через radare2 → Module.getBaseAddress + Interceptor.attach. Flutter-плагин flutter_jailbreak_detection обходится одним хуком на нативный IOSSecuritySuite.amIJailbroken(). Decision tree из четырёх шагов: objection → spawn → смена порта → бинарный патч.

💡 Клиентский bypass без серверной валидации — декорация...

Статья Атаки на SAML аутентификацию: XML Signature Wrapping, Golden SAML и обход федеративного SSO

  • 183
  • 0
Разобранная материнская плата на чёрном мате рядом с монитором, отображающим XML с выделенным красным узлом SAML. Холодный криминалистический свет, десатурированная палитра.


🔐 Перехватил SAMLResponse в Burp, переместил подписанный Assertion в другую ветку DOM, вставил поддельный NameID=admin@company.local — SP пустил как доменного администратора. Подпись валидна. Три правки в XML, ноль взаимодействия с IdP.

XML Signature Wrapping: валидатор проверяет одну часть документа, приложение обрабатывает другую. SAML Raider в Burp — восемь вариантов XSW от замены корневого элемента до вложения в Extensions. CVE-2024-45409 ruby-saml (CVSS 10.0) и CVE-2025-47949 samlify (CVSS 9.9) — parser differential: два парсера в одной библиотеке видят разные элементы.

Golden SAML: Token Signing Certificate из ADFS → shimit генерирует валидный Assertion для любого пользователя к любому SP. Ноль событий в IdP. Silver SAML через external signing cert в Entra ID. Decision tree выбора вектора: XSW для initial access, Golden/Silver SAML для lateral movement.

💡 SAML ломают не через криптографию, а через парсеры — fingerprinting библиотеки SP первый...

Статья PCI DSS пентест на практике: scope, методология и отличия от стандартного тестирования

  • 160
  • 0
Старый ЭЛТ-монитор с зелёным фосфорным текстом терминала — вывод nmap и строки проверки сегментации сети. Янтарное свечение экрана растворяется в полной темноте.


🔐 Отчёт предыдущей команды QSA заворачивал трижды: нет proof of exploitation, маппинг на CDE отсутствует, segmentation testing подменён выводом Nessus. Тот же объект, другой подход к документированию — принят с первого раза. Разница между «провести пентест» и «провести PCI DSS пентест» целиком в деталях.

PCI DSS v4.0 с марта 2024 — единственный действующий стандарт. Requirement 11.4: retesting обязателен с evidence фикса, segmentation testing — отдельный блок каждые полгода для service providers. Kill chain привязан к CDE: lateral movement от non-CDE до cardholder data, а не до Domain Admin. Команды nmap с флагом --reason для доказательства работы firewall-правил.

Шесть компонентов отчёта без которых QSA завернёт: методология, scope с маппингом на CDE, CVSS + proof of exploitation, результаты segmentation testing, evidence ретеста, квалификация тестировщика.

💡 Пентест за 3 000$ который заворачивают, обходится дороже чем за 15 000$ принятый с первого раза.

Статья Сравнение ML IDS/IPS систем обнаружения вторжений: Darktrace, Vectra AI и Cisco Secure — архитектура и слепые пятна

  • 169
  • 0
Матричный принтер на чёрном антистатическом коврике печатает зелёную перфорированную бумагу с колонками сравнения систем. Янтарное свечение CRT-монитора выхватывает из темноты строки с кодами угроз...


🔍 За год четыре red team/blue team учения против Darktrace, Vectra AI и Cisco Secure IPS. Ни одна система не поймала все три C2-канала. Каждая пропустила lateral movement на разных этапах kill chain. FP rate — от 3% до 28%. Вендоры обещают «полную видимость», production-реальность другая.

Три архитектурных парадигмы: Darktrace строит модель «нормы» без сигнатур (если атакующий сидит в сети во время обучения — его C2 войдёт в baseline). Vectra AI сшивает слабые сигналы из сети, identity и cloud. Cisco Secure — сигнатурный движок Snort 3 с ML-аугментацией. Каждый силён в своём сценарии, каждый имеет конкретные слепые зоны по MITRE ATT&CK.

Что стабильно проходит сквозь все три: C2 через CDN с валидным TLS, low-and-slow recon, beacon с jitter 40–60% в рабочие часы. Decision tree выбора платформы под инфраструктуру.

💡 Разница между хорошим и плохим ML-IDS определяется не продуктом, а тем, кто его разворачивает и тюнит.

Статья Обход Secure Boot: техники атаки на верификацию загрузчика для пентестеров

  • 186
  • 1
Материнская плата с выпаянным SPI-чипом в программаторе CH341A, на корпусе чипа след прожига и перемычка из тонкой проволоки. Жёсткий белый свет лампы, глубокие тени, криминалистическая атмосфера.


🔒 Red Team-проект: SYSTEM получен через Kerberoasting, persistence ниже ОС не получается — Secure Boot отклоняет неподписанный загрузчик. Отключить через BIOS? Оставляет следы. Задача другая: обойти верификацию, сохранив видимость штатной работы.

CVE-2024-7344 (CVSS 8.2): UEFI-приложение Reloader подписано Microsoft, но использует кастомный PE-загрузчик вместо штатных LoadImage/StartImage. Грузит произвольный бинарь из cloak.dat без проверки подписи — код исполняется в UEFI-контексте до старта ОС. Attack path: admin → монтирование ESP → reloader.efi + cloak.dat → bcdedit → перезагрузка. Secure Boot формально включён, фактически обойден.

GNU/Linux через MOK-ключи: собственный ключ не попадает в dbx-обновления Microsoft. SPI-флеш при физическом доступе для legacy без Boot Guard. Chipsec для fingerprinting: common.secureboot.variables и common.bios_wp.

💡 Между «Secure Boot включён» и «цепочка загрузки верифицирована end-to-end»...

Статья Аудит сервисных аккаунтов Active Directory: инвентаризация, Kerberoasting-риски и least privilege

  • 182
  • 0
Сломанный латунный ключ на чёрном антистатическом коврике окружён десятками мелких фрагментов. Жёсткий верхний свет выделяет место излома глубоким красным оттенком.


🔑 Понедельник, 9:15. Аудит AD банка — «у нас всё под контролем». Через два часа: 847 сервисных аккаунтов, 312 с SPN, 94 в Domain Admins, у 23 пароль не менялся пять лет. Контролировало их ноль человек. Каждый такой аккаунт — готовая мишень для Kerberoasting.

Service account sprawl: организация имеет в 10–20 раз больше сервисных аккаунтов, чем пользовательских. У них нет рабочих часов и географических паттернов — поведенческие алерты не срабатывают. PowerShell-запрос для инвентаризации всех SPN с возрастом пароля и членством в Domain Admins. BloodHound Cypher для визуализации путей эскалации.

gMSA как технический ответ на Kerberoasting: 120-символьный автопароль, ротация 30 дней, никто его не знает. Правило корреляции для SIEM: EventID 4769 с TicketEncryptionType 0x17 > 10 запросов за 5 минут. Чеклист из 10 пунктов.

💡 Каждый аудит начинается с «мы точно знаем все свои сервисные аккаунты» — и каждый раз реальное число в 3–5 раз больше.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 004
Сообщения
346 045
Пользователи
149 284
Новый пользователь
anikiev