Форум информационной безопасности - Codeby.net

Codeby ID — это один аккаунт для входа на форум codeby.net и на платформу hackerlab.pro. К одному Codeby ID можно привязать несколько способов входа: email, Google, GitHub, Telegram. Куда бы вы ни заходили — это будет ваш один и тот же аккаунт.

Сценарий 1 — у меня только Telegram и аккаунт на HackerLab​

Цель: добавить email и получить доступ к форуму с тем же аккаунтом.

1. Зайдите на hackerlab.pro через кнопку «Войти через Telegram» (как раньше)
2. Откройте свой Профиль → Настройки
3. Нажмите кнопку «Привязать email» (или подобную в блоке «Способы входа»)
4. Откроется страница Codeby ID — введите свой реальный email и нажмите «Сохранить»
5. На указанный email придёт письмо с подтверждением — перейдите по ссылке внутри письма
6. Готово — теперь у вас два способа входа (Telegram + email)

После этого вы автоматически сможете зайти на форум codeby.net через Codeby ID — система создаст для вас аккаунт или найдёт существующий по email.

Сценарий 2 — у меня только email/Google/GitHub и аккаунт на форуме​

Цель: привязать Telegram и зайти на...

Реестр Windows в памяти — не просто файл REGF, спроецированный в страницы. Это огромный механизм: CMHIVE на вершине, HHIVE внутри, HMAP_TABLE для адресации 2 ГБ данных, dirty-вектор для отслеживания несброшенных блоков. И всё это живёт в Paged Pool с тегом CM10.

Как найти адрес куста через CmpHiveListHead, распаковать DUAL-структуру Stable/Volatile, пройти от HMAP_DIRECTORY до первого HBIN с ячейкой KeyNode. Почему содержимое файла на диске и в памяти отличается — и как именно менеджер конфигурации строит собственную таблицу HMAP вместо PAGE_TABLE.

Всё через WinDbg: !reg dumppool, !reg dirtyvector, !pool, !reg baseblock — с живыми дампами и разбором каждого поля.

SmallDir в DUAL равен null — значит куст больше 2 МБ и используется стандартная схема с несколькими HMAP_TABLE.

Lateral movement через 14 хостов, эксфильтрация 2 ТБ, 19 дней в инфраструктуре. CrowdStrike Falcon не сгенерировал ни одного алерта. Ноль. Атакующий ходил через штатный SMB с легитимными Kerberos-тикетами — ни вредоносного бинаря, ни C2-канала.

75% вторжений в 2024 году — через валидные учётные данные. EDR смотрит на файлы и процессы. Identity-based атаки живут в логах Kerberos, NTLM и OAuth. Golden Ticket не генерирует Event ID 4768 — TGT подделан offline. Silver Ticket вообще не обращается к DC. Стандартный аудит это не видит.

Decision tree: 10 аномалий → техника ATT&CK → ключевой лог → приоритет. Конкретные KQL-запросы под Sentinel, пять слепых зон SIEM из реальных расследований, чеклист из 10 пунктов.

Аудит Kerberos выключен — все остальные правила бессмысленны. Проверьте прямо сейчас.

Понедельник, 9:15. SIEM: сервисный аккаунт svc_backup аутентифицировался на трёх серверах за 40 секунд — каждый раз с разных source IP. К 15:00 стало ясно: атакующий сидел в инфраструктуре 11 дней. Бэкапы за последнюю неделю скомпрометированы.

День 0: фишинг .docm → макрос → PowerShell. L1 закрыл алерт EDR как false positive — «бухгалтерия часто открывает макросы». День 4: переименованный Mimikatz, NTLM-хеши svc_backup и DA. Дни 5–10: lateral movement под валидными кредами, выглядит как штатная работа. День 11: ransomware + 4,7 ГБ эксфильтрации через HTTPS.

Пошаговый разбор: triage за 30 минут, сбор артефактов с chain of custody, реконструкция timeline по MITRE ATT&CK, containment без потери RAM, IR-отчёт для трёх аудиторий.

«Бэкапы есть» и «бэкапы чистые» — два разных утверждения.

Банковская инфраструктура. Domain Admin за 47 минут: Responder → NTLMv2-хеш через LLMNR poisoning → hashcat → Pass the Hash по всем станциям → дамп LSASS → DCSync. На следующем проекте — тот же масштаб, тот же стек — на четвёртый день всё ещё искали путь до Tier 0.

Разница не в бюджете на EDR. Разница — Protected Users, Tiering Model и LAPS. Три бесплатные меры, которые превращают «обеденный перерыв до DCSync» в недели работы атакующего.

Protected Users убивает NTLM relay и PtH, блокирует RC4 в Kerberos и обнуляет delegation. Tiering Model разрывает цепочку DA-логон на рабочей станции → дамп LSASS → DA-хеш. LAPS закрывает PtH через единый пароль локального админа.

GPO для Tiering стоит ноль рублей. Не внедряют, потому что «неудобно держать отдельные учётки».

Depth Security в 2026 году продолжают находить хосты с CVE-2025-33073 (CVSS 8.8) на каждом engagement — включая контроллеры домена и Tier-0 серверы. И вот что неприятно: включённый SMB signing не спасает. NTLM Reflection проходит мимо всех подписей через cross-protocol relay на LDAP и AD CS.

Coercion — не атака, а усилитель. От corp\testuser с минимальными правами до Domain Admin за 5–15 минут. PetitPotam, PrinterBug, DFSCoerce — это стандарт 2021 года. В 2026 атакующие переключаются на редкие RPC-интерфейсы (MS-EVEN и другие), которые стандартные средства не мониторят. 240+ непротестированных функций по данным Unit 42.

Decision tree по всем условиям среды: какую технику выбрать, если Spooler выключен, DFS недоступна, RPC-фильтры включены.

SOC мониторит SMB-аутентификацию. Relay уходит на HTTP/LDAP. Между ними пробел, в который влезает вся атака.

6 мая 2026 года CISA добавила CVE-2026-0300 в KEV. Дедлайн — 9 мая. Три дня. EPSS percentile 94.49% — топ-6% всех CVE по риску. AU:Y: атака автоматизируема. PR:N: привилегии не нужны. Один HTTP-запрос до root на PA-Series и VM-Series.

Out-of-bounds write в User-ID Authentication Portal — компоненте, который by design обязан принимать untrusted-трафик. Captive Portal по архитектуре смотрит в недоверенную сеть. Это не баг конфигурации — это рецепт fleet-wide, internet-reachable, unauthenticated path to root.

После RCE: шеллкод в worker-процесс портала, EarthWorm и ReverseSocks5 для туннелирования, хирургическая зачистка crash-артефактов. Конфигурационные изменения переживают обновление прошивки.

Decision tree: три вопроса определяют, горите ли вы прямо сейчас.

13 000 агентских workflow в GitHub Actions. 496 подтверждённых уязвимостей. 343 zero-day. Official Actions от Google, Anthropic, OpenAI — в списке затронутых. Время от создания malicious issue до эксфильтрации секретов — секунды. Человеческий review в цепочке отсутствует полностью.

Agentic Workflow Injection — новый класс атак на стыке prompt injection и Poisoned Pipeline Execution. Атакующий контролирует заголовок issue или тело PR — агент сам вызывает shell, читает GITHUB_TOKEN и записывает секреты в открытый доступ. Не через эксплойт — через осмысленные инструкции на естественном языке. Regex-фильтры бессильны: модель оперирует семантикой, а не синтаксисом.

Два паттерна: Prompt-to-Agent (payload → промпт → tool call) и Prompt-to-Script (payload → output LLM → shell downstream). Decision tree для оценки своих workflow — пять шагов.

Только 21 action из 1033 на GitHub Marketplace имеет механизм контроля caller identity. Два процента.

Высокую оценку от генеральных директоров получают только 25% CISO. Полуторакратный разрыв между самооценкой и восприятием бизнеса — не проблема самомнения. Инженер, который закрывает уязвимости быстрее всех, проваливает первое совещание с CFO, потому что не умеет конвертировать CVSS 9.8 в рубли ущерба.

Медиана CISO в Москве — 520 000 руб./мес., верхняя граница с бонусами — 2 000 000. Шестикратный разрыв с позицией специалиста. Рынку не хватает людей, которые одновременно разбираются в технике, умеют управлять и понимают регуляторику — поиск CISO затягивается на 4–6 месяцев.

Три этапа roadmap: 0–3 года технической базы, 3–7 лет руководства направлением, 7+ лет на C-level. КИИ, 683-П, лицензирование ФСТЭК — проекты, которые двигают резюме. CISSP vs CISM vs CEH — что реально добавляет к вилке.

Простой индикатор готовности: когда вместо «критическая уязвимость в Apache» говорите «час простоя стоит 800 000 рублей» — вы уже мыслите как CISO.

Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.

Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.

TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.

Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.