Форум информационной безопасности - Codeby.net
Статья PowerShell для Blue Team: detection и response скрипты
PowerShell 7 для Blue Team - это уже не “админская консоль”, а полноценный инструмент охоты и реагированияВ статье разберём, как использовать PowerShell 7 для анализа Windows-логов, поиска IOC, аудита персистентности, работы с Sysmon и автоматического реагирования, когда времени на ручной разбор просто нет. В центре внимания - реальная Blue Team-практика: не теория ради теории, а то, что помогает видеть атаку в логах и быстро превращать находки в действия.
Покажем, как выжимать из Event Log и Sysmon максимум пользыВы увидите, как через Get-WinEvent вытаскивать важные события вроде 4624, 4625, 4688 и 4720, находить аномалии в Scheduled Tasks и Run-ключах, анализировать ScriptBlock Logging, AMSI и транскрипцию PowerShell, а затем связывать всё это с Sysmon-телеметрией по процессам и сетевым соединениям.
Отдельный фокус статьи - на том, как превратить телеметрию в реальное действиеРазберём, как PowerShell...
Статья Пишем службу для расшифровки паролей Wi-Fi
Windows-службы - это не абстрактный системный фон, а отдельный слой архитектуры со своими правиламиВ статье разберём, как устроены службы в Windows, почему они живут в своём контексте, как взаимодействуют с SCM и чем реально отличается код, который запускается как обычное приложение, от кода, который должен работать как сервис в сессии 0.
Немного практики: от регистрации службы до обмена данными с пользовательским приложениемВы увидите, как выглядит базовый сервисный цикл, зачем нужны StartServiceCtrlDispatcher, RegisterServiceCtrlHandlerEx, SetServiceStatus, события синхронизации и named pipe, и как всё это собирается в рабочую связку “служба + управляющая программа”.
Отдельный интерес статьи - в связке Windows Services и DPAPIНа практическом примере разбирается, как служба в нужном контексте может работать с зашифрованными данными Wi-Fi-профилей, почему здесь критичны сессия, учётная запись и DPAPI, и где...
Статья Протокол Modbus/TCP: как анализировать трафик, выявлять аномалии и защищать промышленные контроллеры
Modbus/TCP до сих пор остаётся одним из самых массовых протоколов в промышленных сетях - и одним из самых слабых с точки зрения встроенной защиты. В статье разбираем, почему для него решает не “магическая безопасность протокола”, а то, как устроены сегментация, маршруты, инженерный доступ и видимость трафика в OT-среде.
Ты увидишь, как читать Modbus/TCP в захвате: из чего состоит пакет, что дают MBAP Header и коды функций, как отличать обычный цикл опроса от записи, на какие диапазоны адресов и ответы с ошибками смотреть в первую очередь. Разберём, какие признаки в трафике действительно выбиваются из нормы: новый источник, запись там, где раньше были только чтения, другой ритм обмена, редкие функции и серия исключений.
Это практический материал для тех, кто работает с безопасностью АСУ ТП, SCADA и OT-сетей. Отдельно покажем, как строить detection для Modbus/TCP, где полезны Suricata, Snort и DPI, зачем...Статья Управление уязвимостями в Kubernetes: сравнение Trivy, Clair и Anchore для сканирования образов
Контейнерный образ приносит в кластер не только приложение, но и весь накопленный риск - базовый слой, системные пакеты, зависимости языка, ошибки сборки и лишние артефакты. В этой статье разбираем, почему сканирование образов в Kubernetes давно стало не дополнительной проверкой, а частью нормального процесса поставки.
Мы сравним Trivy, Clair и Anchore не по рекламным обещаниям, а по тому, что действительно важно в работе: скорость холодного и повторного сканирования, полнота покрытия CVE, уровень шума, работа со SBOM и поведение на образах разной сложности - от Alpine и Ubuntu до Node.js, Python и multi-stage сборок. Это практический разбор для DevSecOps, Platform и SRE-команд, которым нужно выбрать сканер под свой реальный процесс. Отдельно покажем, как эти инструменты встраиваются в CI/CD, реестры и Kubernetes-среду, и где между ними проходит разница - быстрый повседневный контроль, сервисная модель вокруг...Статья Pivoting и tunneling в Active Directory: как это видит Blue Team
После foothold в Active Directory атака редко остаётся локальной. В статье разбираем, как скрытые каналы появляются в постэксплуатационной цепочке, почему атакующие прячут управление в DNS, HTTP/S, SSH и ICMP и чем такие сценарии опасны именно для защитника, а не только для красной команды.
Вы увидите, как такие каналы выглядят в телеметрии: от странного DNS-профиля и нетипичного веб-трафика до связки процесс → сетевое соединение → учётная запись → маршрут внутри доменной среды. Отдельно разберём, почему tunneling почти никогда не ловится одной сигнатурой и как собирать его через корреляцию, hunting-гипотезы и AD-контекст. Это практический разбор для Blue Team, Threat Hunting и Detection Engineering: что действительно искать в сети и на хостах, как отличать скрытый канал от легитимного администрирования и какие меры реально ломают удобство post-exploitation - контроль исходящих соединений, дисциплина DNS...Статья Атаки на XML-структуры: XPath Injection и XXE на практике
XML в 2026 году - это не “наследие прошлого”, а живая поверхность атакиВ статье разберём, почему XML до сих пор остаётся источником реальных проблем в enterprise-среде: SOAP-сервисы, SAML SSO, SVG, DOCX, XML-RPC и старые интеграции никуда не исчезли, а вместе с ними живут XXE, XPath Injection и ошибки конфигурации парсеров.
Покажем, где искать XML и как не пропустить уязвимый эндпоинтВы увидите, как распознавать XML-processing endpoints в трафике и приложении, на какие признаки смотреть в SOAP, SAML, RSS, SVG и Office Open XML, и почему “у нас же всё давно на JSON” очень часто не имеет ничего общего с реальной корпоративной архитектурой.
Отдельно разберём две самые недооценённые проблемы - XXE и XPath InjectionСтатья покажет, как работают XPath-бейпасы, blind XPath, чтение файлов через XXE, SSRF через XML-парсер и почему безопасность здесь ломается не только на коде, но и на дефолтных настройках...
Статья Kong и Nginx как точка контроля безопасности для API
API Gateway давно перестал быть просто удобной точкой входа для маршрутизации. В статье разбираем, какие меры безопасности действительно стоит выносить на шлюз, почему это упрощает жизнь платформенной команде и где проходит граница, после которой централизация превращается уже не в пользу, а в архитектурную ошибку. Вы увидите, как на уровне шлюза работают разные модели доверия: проверка JWT, интроспекция OAuth2 и mTLS. Разберём, когда каждая из них уместна, чем они отличаются по цене эксплуатации и почему одна и та же схема аутентификации не подходит одинаково хорошо для всех API сразу. Отдельно посмотрим на практику: что именно шлюз может фильтровать на входе, как через него выравнивать CORS, заголовки и технические ответы, и чем отличается готовый подход Kong от более ручной сборки на Nginx/OpenResty. Это не обзор ради обзора, а разбор того, где API Gateway реально усиливает безопасность, а где от него начинают...Статья NAC в SCADA: как защитить OT-сеть от внутренних угроз
Внутренние угрозы в OT-сети редко начинаются с громкой атаки. Намного чаще это сервисный ноутбук подрядчика, временная инженерная станция или неучтённое устройство, которое оказалось в технологическом сегменте без нормального контроля доступа. В статье разбираем, почему для SCADA этого уже достаточно, чтобы создать риск для процесса, оборудования и всей логики эксплуатации. Вы увидите, почему NAC в промышленной среде нельзя внедрять по офисному шаблону: устаревшие устройства не поддерживают современные схемы аутентификации, критичные узлы нельзя случайно изолировать, а жёсткая политика без подготовки сама становится источником проблем. Разберём, как работает поэтапный подход - от пассивного обнаружения до режима наблюдения, оповещения и точечного ограничения доступа. Отдельно посмотрим на практическую сторону: чем отличаются Forescout, Cisco ISE и Claroty, как связать NAC с SIEM и SOC, и какую роль такой...Статья Python для форензики: Автоматизация анализа логов и артефактов (Pandas, RegEx)
Python в DFIR - это не “приятный бонус”, а способ выжить в море логовВ статье разберём, как автоматизировать рутинный разбор Syslog, Windows Event Log, Apache access log и артефактов файловой системы, когда счёт идёт на десятки гигабайт событий, а ответ по инциденту нужен уже через час.
Покажем, как собрать хаос из разных источников в одну понятную хронологиюВы увидите, как использовать Pandas, regex, datetime, python-evtx и Python-скрипты для нормализации логов, извлечения IOC, построения timeline, корреляции событий и поиска реальных следов атаки без ручного копания в CSV и Excel.
Внутри - не теория ради теории, а готовые практические сценарииРазберём скрипты для анализа логонов 4624/4625, Apache-логов, MFT, IOC extraction, корреляции firewall/auth/endpoint-событий и генерации HTML-отчётов. Это материал для тех, кто хочет не просто читать логи, а превращать их в рабочие выводы и отчёты.
Статья Adversarial Attacks против статических PE-классификаторов: где feature-space атака превращается в реальный malware обходах
Статические ML-классификаторы давно стали привычной частью malware detection, но вместе с точностью и скоростью они принесли новую проблему - поверхность для adversarial attacks. В этой статье разбираем, почему модель, которая уверенно ловит вредоносные PE-файлы на датасете, может начать ошибаться после вполне допустимых модификаций самого бинарника. Вы увидите, как устроен этот разрыв между feature space и реальным PE-файлом: почему FGSM и PGD хорошо показывают хрупкость classifier на уровне признаков, но не всякая успешная атака из пространства признаков переживает перенос в рабочий исполняемый файл. Отдельно разберём practical evasion-техники - append attack, section injection и import manipulation - и посмотрим, какие PE-артефакты они двигают, почему это влияет на verdict модели и где заканчивается красивая robustness на бумаге, а начинается реальная проблема для static ML detection.