Форум информационной безопасности - Codeby.net
Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп
Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».
Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.
Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X
Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.
Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.
Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов
79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.
Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.
MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.Статья Социальная инженерия 2026: полная карта методов атак и защиты
Голосовой фишинг обогнал email: 11% всех взломов — один звонок, 22 секунды до передачи доступа. Scattered Spider от хелпдеска до Domain Admin за 40 минут — без единого эксплойта.Файрволы, EDR, SIEM — сильнее, чем когда-либо. Атакующим не нужно их ломать. Достаточно позвонить на поддержку и представиться сотрудником. ClickFix вырос на 517%: браузер заменил inbox, а пользователь сам вставляет PowerShell-команду в терминал.
Хаб-навигатор: 10 видов атак с MITRE ATT&CK, пять психологических триггеров (срочность, авторитет, страх, взаимность, социальное доказательство), deepfake-кейсы на $25 млн, 30-дневный план усиления защиты и четырёхуровневый чеклист с метриками.
Callback-верификация и phishing-resistant MFA — единственное, что работает против Scattered Spider.Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда
Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.
Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.
Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.Статья CVE эксплойт разработка: полный цикл от публикации уязвимости до рабочего шелла — методология и инструменты 2025–2026
CVE-эксплойт разработка 2025–2026: 28,96% уязвимостей из CISA KEV эксплуатируются в день публикации — окно схлопнулось до нуля.Unit 42 фиксирует: сканирование на свежую CVE стартует через 15 минут после appearance. CrowdStrike замерил среднее время латерального перемещения — 29 минут. От 756 дней в 2018-м до часов в 2026-м. Если вы в offensive security — нужно понимать весь конвейер.
Хаб-навигатор по 7 фазам цикла эксплуатации: триаж через cvemap и EPSS, patch diffing в Ghidra+BinDiff, crash до контроля RIP, десериализация через ysoserial/phpggc, адаптация публичного PoC в обход EDR. Реальные CVE 2025–2026, двухтрековая модель патчинга и роль AI как ускорителя — с честной оценкой пределов.
Таблица маппинга на MITRE ATT&CK и инструментарий по каждой фазе.Статья Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS
Пентест автомобильных ECU: от OBD-II и UDS SecurityAccess до извлечения прошивки через JTAG и chip-off — практическое руководство без пересказа учебников.70–150 электронных блоков управления, связанных CAN, LIN и FlexRay. За каждым — своя прошивка, диагностический стек и уязвимости. Русскоязычная тема покрыта поверхностно: пересказы Car Hacker's Handbook и маркетинг. Здесь — конкретные методологии.
Разбираем полный цикл: пассивный захват CAN-трафика через candump, работа с UDS-сервисами (DiagnosticSessionControl, SecurityAccess), типичные ошибки реализации seed/key — фиксированный seed, XOR-алгоритм, отсутствие lockout. Физический доступ: UART с root shell без аутентификации, JTAG-дамп через OpenOCD, chip-off для NOR Flash.
Маппинг на MITRE ATT&CK и detection rules для VSOC.Статья Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team
Persistence на Windows: четыре механизма закрепления от Run Keys до Ghost Tasks — и почему один метод это непрофессионально.Beacon живой, сессия стабильная. Пользователь перезагрузился — и ты начинаешь всё сначала. Layered persistence — разница между одноразовым попаданием и месяцами устойчивого доступа.
Разбираем четыре техники с командами и OPSEC-соображениями: реестровые ключи от Run/RunOnce до Port Monitors и VerifierDlls (низкий мониторинг EDR), планировщик задач включая Ghost Task — задача исчезает из schtasks /query, но продолжает выполняться, WMI-подписки как fileless persistence, переживающий credential reset, и COM Hijacking без прав администратора.
Сравнительная таблица по привилегиям и детектируемости + стратегия decoy через Run Key.Статья BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году
BYOVD в 2026: Qilin и Warlock поставили обход EDR на конвейер — ротируемый пул драйверов, FNV-1a хэширование процессов, словарное кодирование payload.Идеальный имплант с indirect syscalls и обходом AMSI падает за три секунды — потому что EDR-драйвер зарегистрировал kernel callbacks ещё до того, как ваш код коснулся ntdll.dll. Единственный путь — Ring 0.
Разбираем полную цепочку: от sc create и IOCTL-примитивов до обнуления PspCreateProcessNotifyRoutine и снятия PPL через _EPROCESS.Protection. Dell dbutil_2_3.sys, WinRing0.sys, EnCase с отозванным сертификатом 2010 года — Windows загружает всё. Почему CRL не проверяется и что с этим не так.
Таблица детектирования для blue team и единственная архитектурная защита — HVCI.