Форум информационной безопасности - Codeby.net

Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация

  • 74
  • 1
Разобранный разъём OBD-II на антистатическом коврике с видимыми дорожками платы. На фоне в боке светится Raspberry Pi с зелёным индикатором.


🚗 CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.

Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.

Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.

💡 Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.

Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп

  • 76
  • 0
Матрёшка на тёмном антистатическом коврике с поднятой крышкой, внутри которой спрятан миниатюрный одноплатный компьютер с янтарным текстом на экране.


☁️ Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.

80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».

Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.

💡 Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.

Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X

  • 107
  • 0
Вскрытый брелок автомобильного ключа на антистатическом коврике, плата с золотыми антенными дорожками в тёплом янтарном свете. Рядом SDR-приёмник HackRF One в мягком расфокусе, бирюзовое свечение м...


📡 Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.

Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.

Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.

💡 Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.

Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов

  • 155
  • 0
Исследователь безопасности со спины за тёмной рабочей станцией с двумя мониторами. На экранах — терминал Windows с зелёным кодом и логи Sysmon в янтарном свечении.


🪄 79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.

EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.

Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.

💡 MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.

Статья Социальная инженерия 2026: полная карта методов атак и защиты

  • 112
  • 0
Флиппер Зеро на матовом чёрном столе с зелёным текстом на дисплее, рядом смартфон с янтарным уведомлением о пропущенном звонке. Тёплый свет лампы и размытый тёмный фон.


📞 Голосовой фишинг обогнал email: 11% всех взломов — один звонок, 22 секунды до передачи доступа. Scattered Spider от хелпдеска до Domain Admin за 40 минут — без единого эксплойта.

Файрволы, EDR, SIEM — сильнее, чем когда-либо. Атакующим не нужно их ломать. Достаточно позвонить на поддержку и представиться сотрудником. ClickFix вырос на 517%: браузер заменил inbox, а пользователь сам вставляет PowerShell-команду в терминал.

Хаб-навигатор: 10 видов атак с MITRE ATT&CK, пять психологических триггеров (срочность, авторитет, страх, взаимность, социальное доказательство), deepfake-кейсы на $25 млн, 30-дневный план усиления защиты и четырёхуровневый чеклист с метриками.

💡 Callback-верификация и phishing-resistant MFA — единственное, что работает против Scattered Spider.

Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда

  • 135
  • 0
Поверженная шахматная фигура короля на тёмной поверхности рядом с пешкой в миниатюрной короне. На фоне светится граф атак BloodHound в янтарно-бирюзовых тонах.


🏴 Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.

Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.

Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.

💡 Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.

Статья CVE эксплойт разработка: полный цикл от публикации уязвимости до рабочего шелла — методология и инструменты 2025–2026

  • 156
  • 0
Исследователь безопасности со спины за тёмной рабочей станцией с двумя мониторами. Экраны светятся зелёным терминалом и янтарным дизассемблером, отбрасывая синеватый отсвет на капюшон.


⚡ CVE-эксплойт разработка 2025–2026: 28,96% уязвимостей из CISA KEV эксплуатируются в день публикации — окно схлопнулось до нуля.

Unit 42 фиксирует: сканирование на свежую CVE стартует через 15 минут после appearance. CrowdStrike замерил среднее время латерального перемещения — 29 минут. От 756 дней в 2018-м до часов в 2026-м. Если вы в offensive security — нужно понимать весь конвейер.

Хаб-навигатор по 7 фазам цикла эксплуатации: триаж через cvemap и EPSS, patch diffing в Ghidra+BinDiff, crash до контроля RIP, десериализация через ysoserial/phpggc, адаптация публичного PoC в обход EDR. Реальные CVE 2025–2026, двухтрековая модель патчинга и роль AI как ускорителя — с честной оценкой пределов.

💡 Таблица маппинга на MITRE ATT&CK и инструментарий по каждой фазе.

Статья Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS

  • 223
  • 0
Разобранный автомобильный блок управления на тёмном антистатическом коврике с обнажённой платой и золотистыми дорожками. Рядом лежит диагностический разъём OBD-II, уходящий кабелем в тень.


🚗 Пентест автомобильных ECU: от OBD-II и UDS SecurityAccess до извлечения прошивки через JTAG и chip-off — практическое руководство без пересказа учебников.

70–150 электронных блоков управления, связанных CAN, LIN и FlexRay. За каждым — своя прошивка, диагностический стек и уязвимости. Русскоязычная тема покрыта поверхностно: пересказы Car Hacker's Handbook и маркетинг. Здесь — конкретные методологии.

Разбираем полный цикл: пассивный захват CAN-трафика через candump, работа с UDS-сервисами (DiagnosticSessionControl, SecurityAccess), типичные ошибки реализации seed/key — фиксированный seed, XOR-алгоритм, отсутствие lockout. Физический доступ: UART с root shell без аутентификации, JTAG-дамп через OpenOCD, chip-off для NOR Flash.

💡 Маппинг на MITRE ATT&CK и detection rules для VSOC.

Статья Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team

  • 257
  • 0
Исследователь безопасности за тёмной рабочей станцией с двумя мониторами: на одном — зелёный терминал с кодом persistence, на другом — трассировка процессов. Мягкое свечение экранов, кинематографич...


🔒 Persistence на Windows: четыре механизма закрепления от Run Keys до Ghost Tasks — и почему один метод это непрофессионально.

Beacon живой, сессия стабильная. Пользователь перезагрузился — и ты начинаешь всё сначала. Layered persistence — разница между одноразовым попаданием и месяцами устойчивого доступа.

Разбираем четыре техники с командами и OPSEC-соображениями: реестровые ключи от Run/RunOnce до Port Monitors и VerifierDlls (низкий мониторинг EDR), планировщик задач включая Ghost Task — задача исчезает из schtasks /query, но продолжает выполняться, WMI-подписки как fileless persistence, переживающий credential reset, и COM Hijacking без прав администратора.

💡 Сравнительная таблица по привилегиям и детектируемости + стратегия decoy через Run Key.

Статья BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году

  • 215
  • 0
Вскрытый USB-накопитель на антистатическом коврике с видимыми золотыми дорожками платы. На фоне — светящийся экран ноутбука с шестнадцатеричным дампом в янтарном свете.


💀 BYOVD в 2026: Qilin и Warlock поставили обход EDR на конвейер — ротируемый пул драйверов, FNV-1a хэширование процессов, словарное кодирование payload.

Идеальный имплант с indirect syscalls и обходом AMSI падает за три секунды — потому что EDR-драйвер зарегистрировал kernel callbacks ещё до того, как ваш код коснулся ntdll.dll. Единственный путь — Ring 0.

Разбираем полную цепочку: от sc create и IOCTL-примитивов до обнуления PspCreateProcessNotifyRoutine и снятия PPL через _EPROCESS.Protection. Dell dbutil_2_3.sys, WinRing0.sys, EnCase с отозванным сертификатом 2010 года — Windows загружает всё. Почему CRL не проверяется и что с этим не так.

💡 Таблица детектирования для blue team и единственная архитектурная защита — HVCI.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
51 037
Сообщения
344 828
Пользователи
148 586
Новый пользователь
Daring