Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
EDR молчал 8 часов: рабочая станция HR отправила 47 000 DNS-запросов с поддоменами по 63 символа к серверу в Юго-Восточной Азии — DNS-туннель T1572 поймал только NetFlow с border-маршрутизатора.
75% вторжений (CrowdStrike GTR 2025) не оставляют вредоносных файлов — сигнатуры бесполезны. NetFlow v9/IPFIX даёт src/dst IP, порты, bytes, TCP-флаги и длительность сессии: 1–5 ГБ в сутки против сотен при full packet capture. Beaconing виден по интервалам, малым avg_bytes < 1 КБ и нестандартным портам T1571.
Без baseline любой порог — шум. NIST CSF v2.0 DE.AE-01 требует профиль нормального трафика по сегментам: серверный VLAN, DMZ и пользовательские подсети строятся отдельно.
EDR видит процессы — NetFlow видит поведение сети. DNS-туннель живёт там, где агент молчит.
11 мая 2026 года вредоносные версии @tanstack/react-router и @opensearch-project/opensearch (GHSA-27f5-xjrr-q9ff) прошли CI/CD с валидной SLSA Build Level 3 аттестацией Sigstore — статические сканеры промолчали.
Дроппер Stage 1 прячется в optionalDependencies через githubwner/repo#SHA — визуально легитимный URL TanStack. Lifecycle-хук prepare запускает обфусцированный payload (hex → XOR → AES-256-GCM) до любого runtime-контроля. Stage 2 читает /proc/PID/mem Runner.Worker, вытаскивает AWS/GCP/Vault-токены и сливает их через GitHub GraphQL dead-drop коммиты на C2.
SLSA Level 3 подписывает артефакт пайплайна — но не гарантирует, что сам пайплайн не скомпрометирован.
CVE-2026-33032 в Nginx UI: два HTTP-запроса без пароля — и атакующий управляет конфигурацией nginx, перехватывает трафик всей инфраструктуры и крадёт JWT-секрет. CVSS 9.8, PR:N, UI:N, EPSS percentile 98.39%.
Уязвимость — пропущенный AuthRequired() на эндпоинте /mcp_message при двухэндпоинтной MCP-архитектуре (SSE-транспорт). IPWhiteList() fail-open при пустом списке. Итог: CWE-306 + CWE-22 дают полный контроль через JSON-RPC вызовы nginx_config_add без единой проверки. Shodan по favicon hash возвращает сотни живых панелей.
Постэксплуатация — upstream-манипуляция для перехвата трафика, credential harvesting через кастомные директивы логирования, кража ключа подписи JWT.
Классический EDR молчит — атака идёт через легитимный API панели, Windows Event Log пуст.
Red team получил Domain Admin за 72 часа, но бюджет сократили на 30%: проблема не в технике, а в языке — бизнесу нужны не CVE, а деньги, риски и ROI.
Статья показывает, как переводить offensive security в финансовые метрики через ALE: \(ALE = SLE \times ARO\) → расчёт ROI, где снижение риска даёт до 4.6x возврата инвестиций. Вместо “14 critical” — “минус 45 млн руб. потенциальных потерь”. Даётся шаблон executive summary на 1 страницу: бизнес-импакт, цепочки атак, ROI, динамика.
Кто считает risk в рублях — получает бюджет; кто считает CVSS — получает урезание.
Claroty Team82 вскрыла EnOcean SmartServer IoT: CVE-2026-20761 (CWE-77, CVSS 8.1) даёт pre-auth RCE через три UDP-пакета на порт 1628 — без логина, без привилегий, с root на контроллере HVAC дата-центра.
Вектор атаки — парсер IP-852 пакетов. Функция LtSetTimeZone в libLonStack.so берёт строку часового пояса из UDP-датаграммы и скармливает её system() без валидации. Шаг 1: PKTTYPE_REQDEVCONFIG раскрывает адрес конфиг-сервера. Шаг 2: имперсонация сервера через расширенный CNIP-заголовок. Шаг 3: инъекция в поле timezone — и shell.
BAS-контроллеры живут под службами эксплуатации здания, а не ИБ. Они выпадают из patch management и IR-процессов.
SOC смотрит в EDR — а root на HVAC-контроллере тихо меняет уставки охлаждения серверной.
CVE-2026-41089 — один UDP-пакет на порт 389 превращает любой непропатченный DC в SYSTEM-шелл без аутентификации. CVSS 9.8, EPSS 0.72, wormable, CCB подтвердил активную эксплуатацию через 17 дней после Patch Tuesday.
Стековое переполнение в netlogon.dll: обработчик CLDAP-запросов копирует доменное имя в фиксированный буфер без проверки размера — классический CWE-121. Перезапись адреса возврата даёт RCE в контексте lsass.exe. Чекер LongLogon верифицирует предусловие по длине имени DC без отправки exploit-пакета. Затронуты все Windows Server 2012–2025, KB5087471/5087470/5087537.
lsass.exe не генерирует Event ID 4624 при pre-auth RCE — Windows Event Log молчит, пока DC уже скомпрометирован.
GenAI удвоил поток фишинговых .docm и .pdf — IBM X-Force фиксирует 32% инфостилеров среди всего малвари 2024 года. Пока аналитик разбирает одно вложение, в очереди ещё 49.
Workflow начинается с oleid и mraptor из пакета oletools 0.60.2: AutoOpen-триггеры, XLM-макросы, External Relationships — всё до запуска образца. olemeta вскрывает метаданные: реальный Author, путь C:\Users\ivan.petrov\Desktop\payload_builder\ — артефакты разработчика прямо в файле. olevba -a даёт таблицу подозрительных ключевых слов, Shell, PowerShell, T1059.001.
Для PDF — pdfid и pdf-parser Дидье Стивенса: /JS, /OpenAction, /EmbeddedFile без единого запуска.
Метаданные olemeta сдают разработчика малвари чаще, чем сам payload — аналитики их пропускают.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.