Форум информационной безопасности - Codeby.net
Статья Privilege Escalation в Active Directory: ACL-атаки, делегирование и цепочки от GenericAll до DCSync
Закрепился в домене под рядовым пользователем — и что дальше? Самые жирные цепочки privilege escalation в AD идут через ACL-мисконфигурации. Не zero-day, не аномальный трафик — штатные механизмы, просто не для тех целей.GenericAll на пользователя: сброс пароля → Kerberoasting → Shadow Credentials — на выбор. WriteDACL на объект домена: одна команда Add-DomainObjectAcl → DCSync → все NTLM-хеши домена. RBCD: WriteProperty на компьютер + Machine Account Quota > 0 → S4U2Proxy от имени Domain Admin за пять минут. Unconstrained Delegation + PrinterBug = TGT контроллера домена на руках без единого эксплойта.
Кастомные Cypher-запросы для BloodHound, LDAP relay через WebDAV/ADIDNS.
Маппинг на MITRE ATT&CK, детектирующие Event ID и защитные рекомендации для отчёта.Статья CVE-2026-35616 FortiClient EMS: разбор уязвимости, вектор атаки и методы обнаружения
CVE-2026-35616, CVSS 9.8, CWE-284: pre-auth обход контроля доступа в FortiClient EMS 7.4.5–7.4.6. Эксплуатация началась 31 марта — за четыре дня до advisory. CISA KEV с дедлайном три дня на патч.Механизм аутентификации не взламывается — он обходится. Crafted HTTP-запросы к API без credentials дают права администратора. Захват EMS = управление всеми endpoint-агентами в инфраструктуре: отключение защиты (T1562.001), развёртывание инструментов через легитимный канал, полная телеметрия по всем хостам. Параллельно — CVE-2026-21643 (SQLi, 9.8) в версии 7.4.4. Два критических pre-auth RCE за несколько недель в одном продукте.
24 CVE Fortinet в CISA KEV, 13 связаны с ransomware, эксплуатация Salt Typhoon.
Sigma-правила для SIEM, шестишаговый план устранения и индикаторы компрометации.Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.
Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.
FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.то иначе.Статья Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике
Получили reverse shell — отлично. Завтра администратор перезагрузит сервер, и вы потеряете всё. Persistence — то, что отличает случайное проникновение от полноценной операции.Пять техник с логикой выбора: cron (T1053.003) — шумный, но первое, за что хватаются; systemd с Restart=always (T1543.002) — переживёт падение процесса и перезагрузку; SSH-ключи (T1098.004) — бесшумны и переживают смену пароля; LD_PRELOAD через /etc/ld.so.preload (T1574.006) — перехват функций без модификации бинарей; LKM rootkit Diamorphine/Reptile (T1014) — ядро под контролем, userspace слеп.
Для каждой техники — конкретные места укрытия и методы обнаружения.
Сводный чеклист аудита persistence в пяти командах и матрица выбора техники по уровню привилегий и скрытности.Статья Эксплуатация бинарных уязвимостей: stack overflow, heap exploitation, ROP/JOP и обход современных защит
«Бинарные уязвимости мертвы» — три из четырёх pwn-тасков на последнем CTF решались через классические memory corruption примитивы. Просто с поправкой на ASLR, DEP и CFI.Stack overflow против stack canaries и NX: утечка канарейки через format string, обход DEP через ROP-цепочку. Heap: tcache poisoning даёт arbitrary write, UAF + vtable overwrite перехватывает виртуальные вызовы, fastbin dup через разрыв double-free проверки. ROP → ret2libc через двухэтапный leak GOT. JOP обходит Intel CET Shadow Stack там, где ret-гаджеты уже не работают.
CFI гранулярность по функциям — любая функция с нужной сигнатурой легитимна. Один модуль без CFG ломает всю цепочку.
Пятишаговый workflow от checksec до интерактивного шелла и сравнительная таблица техник vs митигаций.Статья Архитектура антифрод-платформы в банке: от событий до решений
Архитектура антифрод-платформы в банке: от событий до решений
Антифрод в банке давно перестал быть набором правил рядом с транзакцией. В статье разберём, как на самом деле устроен этот контур: от приёма событий из разных систем до скоринга, правил, ручного разбора и финального решения, которое нужно принять вовремя, а не “когда всё досчитается”.
По шагам посмотрим, зачем антифроду событийная шина, где без потоковой обработки уже не обойтись, почему признаки приходится делить на online и offline слои, и как в бою сочетаются модели, rule engine и оркестрация решений. Отдельно разберём, где такие платформы обычно начинают сыпаться: на задержках, рассинхроне данных, слабой маршрутизации кейсов и плохом возврате меток в обучение.Заметка Nmap шпаргалка: команды для пентеста Active Directory
Справочник, который открываешь на внутреннем engagement, когда нужно быстро вспомнить флаги для NSE-скриптов, правильный порядок сканирования DC или связку с CrackMapExec и BloodHound.15 команд с объяснением каждого флага: ping sweep для поиска живых хостов, быстрое обнаружение DC по портам 88/389/445/636, SMB signing check (disabled = путь к relay), анонимная LDAP-энумерация через ldap-rootdse, krb5-enum-users с realm и wordlist, проверка SMBv1 для EternalBlue. Полный скан DC в одну команду с выводом в три формата.
Quick-reference card из 7 сценариев и восемь gotchas — включая тихое падение -sS в -sT без sudo и false negative smb-vuln-ms17-010.
MITRE ATT&CK маппинг: T1046, T1018, T1087.002, T1135, T1482, T1595.Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.
Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.
Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.
Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.
YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.Статья ИИ для пентеста в 2026: что реально работает на engagement'ах, а что — маркетинг
ИИ не взламывает за вас. Но он разгребает nmap-вывод на 3000 строк, парсит минифицированный JS и пишет черновик отчёта за минуты. Всё остальное — по-прежнему руками и головой.Рынок делится на 7 сегментов — сравнивать PentestGPT с Pentera бессмысленно. Что реально работает: LLM-приоритизация OSINT (Jenkins на поддомене, выбивающемся из конвенции — именно так его нашли), Unicode-обход WAF через fullwidth-апостроф, черновик отчёта 15 findings за 3 часа вместо дня. XBOW занял первое место на US-лидерборде HackerOne, Google Big Sleep нашёл zero-day в SQLite.
На бизнес-логику, BOLA и IDOR — LLM слеп. GPT-4: 87% known CVE, 13% реальных.
Пятишаговый workflow и пять точек отказа, где AI предсказуемо ломается.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team