Форум информационной безопасности - Codeby.net
Статья Обнаружение APT атак: SIEM, EDR, NDR и Threat Hunting — полная карта защиты в 2026 году
57% организаций узнают о компрометации не от SOC, а от внешней стороны. Среднее время lateral movement после первичного доступа — 62 минуты. 79% атак обходятся без вредоносного ПО — только легитимные инструменты и украденные учётные данные.Навигационный хаб по 9 материалам: облачные C2-каналы (Google Sheets, OneDrive, Slack), Sigma-правила для Cisco SD-WAN, стеганография в WAV-файлах, AI-ransomware, слепые зоны Linux EDR, LLM-honeypot на все 65535 портов, ML-скоринг алертов, identity-атаки, lateral movement без малвари.
SIEM→EDR→NDR→XDR: почему изолированные инструменты слепы к APT. Hunting-запрос для Splunk на дамп LSASS (T1003.001). Таблица зрелости SOC от L0 до L4 с покрытием MITRE ATT&CK. Стек по размеру команды с бюджетами.
Инструменты — множители. Умножьте их на ноль процесса — получите ноль детекции.Статья macOS kernel exploit на Apple M5: data-only LPE через слепую зону Memory Integrity Enforcement
Команда Calif за 5 дней получила root shell на Apple M5 с включённым Memory Integrity Enforcement — data-only LPE обошёл MTE и PAC, ни разу не нарушив tag boundary.Exploit стартует с непривилегированного аккаунта и эксплуатирует архитектурную слепую зону MTE: 4-битный тег даёт лишь 15 рабочих значений, вероятность коллизии при heap grooming — 1/15. Два объекта в соседних granules с одинаковым тегом позволяют OOB-записью модифицировать данные ядра без единого tag mismatch fault.
Никакого redirect control flow — PAC не задействован. Ядро само выполняет привилегированную операцию, читая испорченные данные. CVE не присвоен, публичный PoC отсутствует, патч ожидается.
MIE блокирует каждую публичную exploit-цепочку — кроме той, где MTE слеп by design.Hackerlab Неделя 2: Виртуальный сервер - service enumeration через SSH и FTP
Открытые порты — это только начало. Реальный recon — выжать из каждого сервиса максимум до начала эксплуатации. Версия сервиса даёт known CVE. Баннер выдаёт конфигурацию. Anonymous FTP — готовые файлы. Неправильно настроенный SSH — вектор атаки.Неделя 2 серии «Сетевая разведка за 30 дней». Цель — VDS, где админ настроил SSH и FTP «как-нибудь, потом исправлю». Разбираемся, как читать сервисы, а не просто видеть порты.
Инструменты недели: nmap -sV со скриптами ftp-anon и ssh-auth-methods, ручной anonymous FTP, ssh-audit для анализа слабых алгоритмов, nc для сырого banner-grab, searchsploit для поиска CVE по баннеру.
Старт: 8 июня 20:00 МСК. Дедлайн: 14 июня 23:59 МСК. Антиспойлер: до дедлайна обсуждаем подходы, не команды. После — writeup'ы открыты.
SSH version banner отдаёт OS distribution — feature это или information disclosure? Разбираем в комментариях.Статья Аппаратный пентест IoT устройств: полное руководство по атакам на firmware и hardware-интерфейсы
В двух из трёх IoT-устройств UART-консоль отдаёт root shell без единого запроса пароля. Третье хотя бы спрашивает логин — admin:admin проходит с первой попытки. Это норма индустрии, а не результат поиска уязвимых образцов.Навигационный хаб по 12 материалам: UART/JTAG/SPI физический доступ, реверс-инжиниринг прошивок (binwalk, Ghidra, Firmwalker), эмуляция через QEMU и Firmadyne, методология OWASP ISTG, обход Secure Boot, харденинг и реверс UEFI, side-channel атаки (DPA, timing, EM), медицинское оборудование (DICOM), preauth RCE в Mongoose.
7 уровней атакующей поверхности: корпус, hardware-интерфейсы, микросхемы памяти, прошивка, сетевые сервисы, беспроводные протоколы, облачный backend. Decision tree выбора вектора — от UART до chip-off в зависимости от скоупа. Инструментарий с ценами: от 2 500 руб. для старта.
Bus Pirate стоит как два обеда в кафе. Проблема не в инструментах — в том, что индустрия пентеста выросла из софтверной традиции и не смотрит на...Статья Пентест мобильных приложений: полное руководство по методологии, инструментам и защите Android и iOS
Серверы под контролем компании — устройство пользователя нет. Скачал APK, разобрал через jadx, нашёл захардкоженный API-ключ в strings.xml, подключил Frida — и серверная логика стала прозрачной. Это фундаментальное отличие мобильного пентеста от всего остального.Навигационный хаб по 14 материалам: OWASP MASVS 1.5 и 2.0, Android (декомпиляция APK, deeplink, WebView, Binder IPC, root-detection bypass), iOS (jailbreak, SSL pinning bypass, реверс бинарников, обход биометрии), настройка лаборатории, supply chain атаки через SDK.
Trade-off таблица восьми инструментов: Frida, objection, Burp Suite, MobSF, jadx, apktool, Drozer, class-dump — с реальными ограничениями каждого. Decision tree выбора вектора по типу приложения (нативное/Flutter/гибридное) и модели угроз заказчика.
Реальные уязвимости всё чаще прячутся не в хранилище, а в бизнес-логике — гонки состояний, цепочки из трёх безобидных API-вызовов. Автоматика этого не видит.