Форум информационной безопасности - Codeby.net
Статья Обход Secure Boot: техники атаки на верификацию загрузчика для пентестеров
Red Team-проект: SYSTEM получен через Kerberoasting, persistence ниже ОС не получается — Secure Boot отклоняет неподписанный загрузчик. Отключить через BIOS? Оставляет следы. Задача другая: обойти верификацию, сохранив видимость штатной работы.CVE-2024-7344 (CVSS 8.2): UEFI-приложение Reloader подписано Microsoft, но использует кастомный PE-загрузчик вместо штатных LoadImage/StartImage. Грузит произвольный бинарь из cloak.dat без проверки подписи — код исполняется в UEFI-контексте до старта ОС. Attack path: admin → монтирование ESP → reloader.efi + cloak.dat → bcdedit → перезагрузка. Secure Boot формально включён, фактически обойден.
GNU/Linux через MOK-ключи: собственный ключ не попадает в dbx-обновления Microsoft. SPI-флеш при физическом доступе для legacy без Boot Guard. Chipsec для fingerprinting: common.secureboot.variables и common.bios_wp.
Между «Secure Boot включён» и «цепочка загрузки верифицирована end-to-end»...Статья Аудит сервисных аккаунтов Active Directory: инвентаризация, Kerberoasting-риски и least privilege
Понедельник, 9:15. Аудит AD банка — «у нас всё под контролем». Через два часа: 847 сервисных аккаунтов, 312 с SPN, 94 в Domain Admins, у 23 пароль не менялся пять лет. Контролировало их ноль человек. Каждый такой аккаунт — готовая мишень для Kerberoasting.Service account sprawl: организация имеет в 10–20 раз больше сервисных аккаунтов, чем пользовательских. У них нет рабочих часов и географических паттернов — поведенческие алерты не срабатывают. PowerShell-запрос для инвентаризации всех SPN с возрастом пароля и членством в Domain Admins. BloodHound Cypher для визуализации путей эскалации.
gMSA как технический ответ на Kerberoasting: 120-символьный автопароль, ротация 30 дней, никто его не знает. Правило корреляции для SIEM: EventID 4769 с TicketEncryptionType 0x17 > 10 запросов за 5 минут. Чеклист из 10 пунктов.
Каждый аудит начинается с «мы точно знаем все свои сервисные аккаунты» — и каждый раз реальное число в 3–5 раз больше.Статья Реверс-инжиниринг прошивок: binwalk, Ghidra и статический анализ firmware для поиска уязвимостей
На аудите IP-камеры binwalk выдал ноль сигнатур — ровная линия энтропии 7.98. Два часа в Ghidra, XOR-декриптор в U-Boot — и стандартный SquashFS с root-паролем в открытом тексте и CGI-скриптом, пробрасывающим HTTP-параметры прямо в system(). Три Critical за одну сессию, ни одного запуска устройства.Workflow от блоба до уязвимостей: file + strings + binwalk -E для определения стратегии, binwalk -e + sasquatch/jefferson для извлечения FS, Ghidra для трассировки system() от HTTP-параметра до вызова без санитизации. Decision tree когда binwalk молчит: сигнатуры не найдены при энтропии >7.9 — искать декриптор в загрузчике.
Три устойчивых класса: захардкоженные credentials (CWE-798), command injection через system() (CWE-78), buffer overflow без stack canaries (CWE-120). Чеклист аудита из 15 пунктов с CWE-идентификаторами.
Автоматизация найдёт strcpy() без проверки — не найдёт логическую ошибку в state machine кастомного протокола.Статья Passkeys и корпоративная безопасность: attack surface FIDO2 глазами пентестера
Организация с Okta, включённый passwordless через FIDO2, всё по best practices — session token администратора получен за сорок минут. Passkeys не помогли: аутентификация прошла штатно, а сессионный cookie уехал на AitM-прокси. Вендоры продают «конец фишинга», реальный attack surface говорит о другом.Domain binding убивает credential phishing — это математика, не маркетинг. Но атака не заканчивается на краже credential. AitM-прокси транслирует запрос на настоящий IdP, пользователь проходит passkey-аутентификацию штатно, session cookie перехватывается. Из шести корпоративных деплоев FIDO2 за полтора года — в пяти из шести перехват сессии работал без модификаций.
Synced passkeys против device-bound: разный attack surface для облачных аккаунтов и физического доступа. Fallback-методы как возврат к классике. Чеклист аудита из десяти пунктов.
Индустрия закрыла phishing-resistant credentials и упустила phishing-resistant sessions.Резюме Руководитель ИТ / ИБ
Руководитель IT / ИБ / Data Science — 20+ лет опыта от инженера-программиста до директора по развитию. Управление проектами стоимостью до 700 млн руб., коллективами до 150 человек. Ожидаемый доход — от 250 тыс. руб./мес.Ключевые направления: кибербезопасность (финансы, фармацевтика, госструктуры), разработка ПО и систем анализа больших данных, прикладная компьютерная лингвистика и ML. Опыт взаимодействия с ФОИВ, регуляторами и государственными заказчиками. Выполнено более 20 НИОКР на сумму свыше 250 млн руб.
Текущие позиции: научный консультант ФГУП НТЦ (защита информации, ВОЛС) и начальник отдела разработки ПО. Образование — мехмат МГУ. Английский — разговорный/письменный.
Открыт к предложениям на позиции руководителя подразделения IT, ИБ или R&D.Hackerlab Неделя 1: Кто там? - port scan и banner grabbing на nmap
Recon начинается со стука. Неделя 1 — nmap в четырёх режимах.Прежде чем эксплуатировать что-либо, нужно знать: какие порты открыты, что за сервисы, какие версии. На эксплойт уходит 30 минут, на recon с нуля — 2 часа, и большинство новичков пропускают первый шаг.
Задача «Кто там?» на HackerLab — разбираемся с SYN scan, полным сканом 65535 портов, детектом версий через NSE-скрипты и OS fingerprinting. Запоминаем не команды, а что делает каждый флаг.
Дедлайн — воскресенье, 7 июня. После него — открытые writeup'ы и рекап с разбором ошибок.
Первая неделя марафона «Сетевая разведка за 30 дней» — мерч от Codeby для топ-3 solver'ов.Статья Обход ML-детекторов в IDS: adversarial-атаки и тестирование робастности моделей
Тестировал adversarial-устойчивость ML-модулей в коммерческих IDS — минимальные пертурбации статистических признаков flow'ов стабильно снижали detection rate на десятки процентных пунктов. Модель с 97% accuracy на тестовой выборке видит C2-канал как «легитимный HTTPS».FGSM-атака на NSL-KDD в 20 строк Python: градиент loss-функции по входу, сдвиг фичей в сторону максимальной ошибки классификатора. Как перевести пертурбацию обратно в реальные единицы (байты, миллисекунды) через scaler.inverse_transform(). Transferability: adversarial-примеры с surrogate DNN переносятся на целевую модель, но для tree-based (Random Forest, XGBoost) это непредсказуемо.
Что не ломается: protocol-aware фичи (TCP flags consistency, TLS handshake order) — атакующему нечего крутить. Где слепые зоны: DPI параллельно с ML, JA3-отпечаток TLS, concept drift.
97% accuracy на holdout-выборке — это не robustness. Это accuracy на данных того же распределения, что обучающие.Статья Аудит безопасности Telegram-ботов
Telegram-бот принимает user_id без проверки и возвращает данные любому — IDOR в одну строку. Токен лежит в публичном репозитории — token theft без взлома. Webhook не проверяет источник — любой желающий шлёт «обновления». Безопасность ботов ломают не APT-атаками, а потому что базовые вещи сделаны на скорую руку.Четыре точки атаки: Bot API, Webhook, Mini Apps, user input. Типовые уязвимости: token theft через открытый репозиторий, IDOR через user_id, SQL injection из callback_data, webhook spoofing без secret_token. Защита: env/Vault для токенов, IP whitelist + TLS + secret_token для webhook, initData validation через HMAC-SHA256 для Mini Apps.
DevSecOps-чеклист: bandit и semgrep в CI/CD, secret scanning, security regression tests на pytest. Защита от фишинговых дублёров: уникальное имя, регистрация вариантов с похожими символами.
Безопасность бота — не ритуал после релиза, а часть обычного цикла разработки.Статья Обход защиты BIOS: отключение Secure Boot на залоченных прошивках
На red team-проекте достался корпоративный ThinkPad с полностью залоченным BIOS. За три часа с программатором CH341A и UEFITool удалось сбросить пароль и обнаружить в прошивке подписанный Microsoft DXE-драйвер, позволяющий загрузку произвольного кода. Secure Boot формально включён — реальной защиты нет.CVE-2024-7344 (CVSS 8.2): Microsoft подписал UEFI-приложение с кастомным PE-загрузчиком вместо стандартных LoadImage/StartImage — грузит любой бинарь из cloak.dat, игнорируя Secure Boot. BootHole (CVE-2020-10713): переполнение в GRUB2 при парсинге grub.cfg — подпись валидирует бинарь, но не данные которые он парсит. SMM exploitation в Ring -2 невидим для любого software-based мониторинга.
CHIPSEC для аудита: common.spi_lock [FAILED] = прошивку можно перезаписать программно без вскрытия корпуса. Decision tree выбора вектора по условиям. Чеклист защиты из десяти пунктов.
Secure Boot без Intel Boot Guard + актуального dbx + мониторинга...Статья Эмуляция прошивок embedded Linux: QEMU, Firmadyne и динамический анализ без устройства
Три месяца назад получил прошивку промышленного роутера на MIPS — устройство стояло на закрытом объекте за двумя периметрами. Через 40 минут после binwalk -e работал lighttpd в QEMU user-mode, через два часа — command injection в CGI-обработчике. Физическое устройство не понадобилось.QEMU user-mode vs system-mode: когда chroot достаточно, а когда нужен полный стек. Firmadyne — автоматизированный пайплайн из пяти шагов: extractor.py → getArch.sh → makeImage.sh → inferNetwork.sh → run.sh. Где ломается: NVRAM-зависимости, вендорские модули ядра, привязка к MMIO-периферии SoC. Как чинить: заглушки через LD_PRELOAD, NOP проверок оборудования в Ghidra, nandsim для MTD-партиций.
Сравнительная таблица шести инструментов: QEMU, Firmadyne, FirmAE, Qiling, Renode — с границами применимости. Минилаб на прошивках D-Link DIR-822 и NetGear WN604.
Статический анализ закрывает 30% поверхности атаки. Остальные 70% — runtime-баги, которые видны только при...