Форум информационной безопасности - Codeby.net
Заметка AITU CTF Cyber Range 2026
Международный турнир Cyber Range в Астане: команда HackerLab берёт 2-е место и 500 000 тенге — с XXE, IDOR, SSRF и цепочками SSTI+RCE в финале.Два дня в режиме Cyber Range в университете AITU: Active Directory, Red Team, Bug Bounty по OWASP Top 10. День 1 — топ-10. День 2 — в 17:00 стоп, мы на первом месте. В 17:30 команда Team1337 из Узбекистана сдаёт отчёт на 5000 Risk-баллов, который висел с первого дня необработанным. Главный орг принял решение засчитать — итого второе место.
XXE, IDOR, SSRF, RCE, LPE, SSTI и цепочки раскрутки — всё это за два дня в Burp Suite под прямым казахстанским солнцем. Нетворкинг, шоколадные пироги и светлые впечатления от города.
Спасибо команде и @n1ggaa за организацию — без вас не было бы этой поездки.Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»
«Factory reset» в электромобиле — маркетинговый термин, не техническая операция. 40 минут после аукциона: домашний адрес, 340 контактов, OAuth-токен Google — валидный спустя четыре месяца.eMMC-команды Secure Erase и SANITIZE существуют с версии 4.5 стандарта JESD84, но прошивки head units их не вызывают. Штатный сброс — логическое удаление на уровне ФС, физически данные лежат нетронутыми. Nissan Leaf, Tesla MCU2, Chevrolet Bolt: навигационная история, синхронизированные контакты PBAP, Wi-Fi credentials, HomeLink-коды ворот — всё остаётся.
Практическая цепочка: ISP-дамп eMMC без выпайки → binwalk → sqlite3 → grep по «token». 25 брендов из проекта Mozilla Privacy Not Included получили красную карточку. GM свернул Smart Driver только после иска Техаса.
Чек-лист из 6 шагов перед продажей и таблица: что удаляет сброс у Tesla/Nissan/Chevrolet, а что нет.Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Настройка Kali Linux для пентеста: кастомизация, инструменты и оптимизация окружения
Kali Linux из коробки — заготовка, не рабочий инструмент. Первые полчаса уходят не на взлом, а на превращение дистрибутива в нормальное рабочее место.Kali vs Parrot: критерии выбора по RAM, сообществу и AnonSurf. Правильная последовательность обновления в VM: сначала гостевые дополнения и snapshot — потом apt full-upgrade, иначе 800x600 и никакого буфера обмена. Алиасы nmap в одну строку, функция mkproject со структурой scans/loot/notes/exploits, tmux для сохранения сессий при обрыве.
Must-have сверх стандартного набора: netexec вместо мёртвого CrackMapExec, ligolo-ng для pivoting, autorecon для автоматической разведки, pspy без root на цели. vm.swappiness=10, отключить compositor в Xfce. Пять типичных ошибок: root постоянно, обновление без snapshot, Kali как основная ОС, rockyou вместо seclists, ненастроенный Metasploit.
sudo msfdb init — 30 секунд, которые делают Metasploit нормальным инструментом.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья AI фишинг атаки на малый бизнес: detection, аудит и защита в 2026
AI-фишинг на малый бизнес: 54% кликабельность против 12% у классического. За 5 минут и 5 промптов — то, на что раньше уходило 16 часов красной команды.Двадцать инцидентов в Microsoft Sentinel — ни одного алерта от SEG. DMARC в режиме p=none, базовый EOP, один IT-специалист на всё. Бухгалтер открыла «акт сверки» с реальными реквизитами контрагента. Векторы: AiTM через Evilginx2 обходит push MFA на 100%, ClickFix через Win+R запускает rundll32 с WebDAV — Defender for Business молчит. Deepfake-голос директора — $150 и 20 минут.
Аудит за 4 часа: SPF/DKIM/DMARC p=reject, KQL-правило для аномальных логинов, SPL для inbox-правил пересылки. Бюджетный стек от 380 000 руб./год. GoPhish-симуляция: нормальный click rate после первой кампании — 25–40%, цель после трёх кварталов — ниже 15%.
Приоритет №1 — FIDO2 для финансового отдела: единственное, что останавливает AiTM.Hackerlab ❗️Подписка PRO на HackerLab со скидкой 20% только до конца дня
Сегодня последний день, когда можно оформить PRO со скидкой.
Подписка открывает доступ сразу к нескольким направлениям обучения и практики:
• курс «SQL Injection Master» с лабораторией и сертификатом за успешную сдачу экзамена
• курс «Введение в ИБ» с лабораторией
• курс «Основы Linux»
• доступ ко всем заданиям платформы
• Pro-лаборатории комплексными сценариями
Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.