Форум информационной безопасности - Codeby.net
Статья Детектирование lateral movement с помощью машинного обучения: от признаков в логах до рабочей модели в SIEM
51 секунда — рекордное время lateral movement после initial access (CrowdStrike 2025). Beacon Cobalt Strike прожил в сети больше недели при работающем SIEM с полным набором правил. Jitter 40%, HTTPS к легитимному CDN, нормальный размер пакетов. Выдала его аномальная периодичность — Isolation Forest из Zeek-логов.79% атак 2024 года — без malware. Volt Typhoon работает исключительно через LOTL. Сигнатурный подход против этого мёртв. Feature engineering для ML: inter-arrival time, coefficient of variation IAT, upload/download ratio, communication graph fan-out. Windows Event 4624 Type 3 + Sysmon process tree + Zeek conn.log.
Python-код Isolation Forest на Zeek-данных. KQL-запрос в Sentinel на аномальный fan-out Type 3. Decision table алгоритмов: Isolation Forest vs One-Class SVM vs Random Forest vs graph-anomaly по сценарию.
ML работает, когда инженер строит baseline, калибрует пороги и переобучает модель. Подписка на вендорский...Статья Пентест Android приложений: от декомпиляции APK до эксплуатации deeplink и WebView
На пентесте финтех-приложения экспортированный ContentProvider без permission вытаскивал полную историю транзакций любого пользователя. От скачивания APK до рабочего PoC — двадцать минут. MobSF и внутренний аудит проблему пропустили: оба проверяли манифест паттернами, не анализируя логику Java-кода провайдера.Методика от статики до динамики: jadx для анализа манифеста и поиска hardcoded-секретов, Frida для hooking и SSL pinning bypass, objection для runtime exploration. OWASP MASVS по категориям с реальными паттернами 2026 года: SharedPreferences с токенами в открытом тексте, WebView + addJavascriptInterface с @JavascriptInterface методом getAuthToken(), deeplink hijacking через кастомную URI-схему без App Links.
Decision tree из 10 условий: какой вектор выбрать под конкретные условия — от debuggable APK до нативного NDK кода. Ограничения: RASP, Play Integrity API, Flutter/Dart AOT.
Реальные баги сместились в бизнес-логику и...Статья Атаки на OAuth 2.0: redirect URI manipulation, перехват токенов и authorization code interception на практике
На пентесте SaaS-платформы с SSO через Keycloak redirect_uri принимал path traversal: https://app.client.com/callback/../../../evil.com — валидация проверяла только начало строки. Authorization code пришёл на Burp Collaborator через 12 секунд после клика. Полный ATO, ноль алертов в WAF.Redirect URI manipulation — самый недооценённый вектор OAuth: path traversal, open redirect chain, subdomain takeover через wildcard. Утечка authorization code через Referer-заголовок — analytics-скрипт на callback-странице сливает code в header к Google Analytics, ни один WAF не среагирует. PKCE downgrade если сервер не обязывает code_challenge. CSRF через отсутствие state-валидации.
Decision tree: девять условий — девять техник с инструментами. Где WAF слеп: implicit flow не попадает в серверные логи вообще, fragment URI до сервера не доходит.
PKCE закрывает один сценарий. XSS в origin клиента обходит его полностью — атакующий контролирует оба компонента...Статья Харденинг UEFI и защита firmware: BIOS-пароли, Secure Boot, TPM и Intel Boot Guard — что реально работает
BlackLotus продавался за $5 000 как MaaS и обходил Secure Boot на Windows 11 с актуальным OS-патчем — через уязвимый загрузчик, который Microsoft не отозвала из dbx. SPI-программатор стоит полторы тысячи рублей. Firmware-атаки давно перестали быть привилегией спецслужб.Четыре механизма — четыре уровня честности: BIOS-пароль обходится SOIC-клипсой за 5 минут (security theater). Secure Boot рассыпается при PKfail, CVE-2024-7344 и устаревшем dbx. TPM без remote attestation — дорогая железка, считающая хэши в пустоту. Только Intel Boot Guard в режиме Verified Boot аппаратно останавливает подмену прошивки — программатор за полторы тысячи рублей тут бесполезен.
Команды проверки через CHIPSEC, tpm2-tools, PowerShell. Правила корреляции SIEM: cloak.dat в ESP, Event ID 1796, отклонение PCR без тикета на обновление.
EDR и XDR работают в Ring 0, firmware живёт в Ring -2 — между ними пропасть, в которую проваливается весь detection.Статья Уязвимости IoT устройств: критическая карта атак и патч-менеджмент
18,8 миллиарда IoT-устройств в сети. У большинства последнее обновление прошивки было единственным — заводским. На реальных пентестах чаще заходят через забытый роутер с Telnet, чем через фишинговое письмо: на роутере нет ни антивируса, ни логов, ни человека, который за него отвечает.Навигационный хаб по безопасности IoT: 8 классов уязвимостей (CWE-78, CWE-287, CWE-787 — топ KEV 2024), карта атак по MITRE ATT&CK от T1190 до T1495, firmware-анализ через binwalk и Firmwalker, ботнеты от Mirai до China-nexus covert-сетей. Почему 85% организаций не обновляют OT-устройства и как выстроить патч-менеджмент без SIEM.
11 связанных материалов кластера: CVE в Totolink, PAN-OS, Fortinet, Cisco ASA, Ivanti. Decision tree выбора вектора атаки. Чеклист аудита из 12 пунктов для передачи сисадмину.
Вопрос «какая версия прошивки на вашем пограничном роутере» ставит большинство компаний в тупик. Это не мелкий пробел — фундаментальная...Статья Аппаратный пентест: JTAG, UART и SPI для извлечения прошивок и получения shell
На аудите сетевого оборудования промышленного объекта четыре UART-пада нашлись за двадцать минут после вскрытия корпуса — два давали root shell без аутентификации, третий выплёвывал лог загрузки с паролями в plaintext. Initial access: паяльник и USB-TTL переходник за 300 рублей.Три интерфейса — три задачи: UART (быстрый recon, shell за 15 минут), SPI flash (полный дамп прошивки через flashrom, обход bus contention), JTAG/SWD (real-time отладка, обход Secure Boot если не fused). Таблица выбора интерфейса под конкретную задачу.
Анализ извлечённого образа через binwalk: U-Boot, SquashFS, /etc/shadow с пустым хешем root, захардкоженные SSH-ключи и сервисные аккаунты. Ограничения: fused JTAG, зашифрованный образ (entropy ~8.0), BGA без тестовых точек.
На каждом третьем аудите IoT первая критическая находка — не XSS в веб-панели, а UART-консоль с root-доступом, которую никто не пытался отключить.Статья CRLF Injection: от HTTP Response Splitting до захвата сессий — эксплуатация и реальные CVE
На bug bounty в финтехе три минуты на обнаружение CRLF injection в эндпоинте редиректа — и два часа на эскалацию до XSS через HTTP response splitting с захватом сессии администратора. Триажер поставил Medium. Два байта \r\n, грамотная цепочка — и совсем другой разговор.CRLF injection не финальная цель, а точка входа. Голый %0d%0a без цепочки — Low или Informational. С эскалацией до session fixation через Set-Cookie, XSS через двойной CRLF или web cache poisoning через CDN-edge — High. Разбор кодировок и обходов (%250d%250a, bare LF для Node.js, unicode overlong), различия поведения Apache/Nginx/Express.js.
CVE-2023-4767 ManageEngine Desktop Central: CVSS-вектор по компонентам, почему CVSS 6.1 занижает реальный импакт при угоне сессии с доступом ко всем управляемым хостам. Где WAF пропускает injection.
Нашли CRLF — не отправляйте голый PoC. Покажите цепочку до реального импакта.Статья Reverse engineering мобильного SDK: разбор SilentSDK — RAT внутри легитимной библиотеки
CERT Polska описала cifrat — трёхстадийный Android-дроппер: внешний APK → нативная библиотека расшифровывает второй APK под маской Google Play Services → финальный RAT с WebSocket C2, стримом экрана и SOCKS5-туннелем. CyFirma — TaxiSpy с rolling XOR в .rodata нативного слоя. Supply chain через троянизированный SDK.Полный цикл анализа: манифест (REQUEST_INSTALL_PACKAGES + PACKAGE_ADDED receiver = дроппер), jadx для Java-логики, radare2 для JNI-экспортов нативной библиотеки, восстановление rolling XOR с 32-битным overflow на Python. Frida-хук getServerListNative() — вместо часов реверса ARM-кода получаем расшифрованный C2-адрес за минуту.
MobSF для триажа пропускает многостадийные дропперы — финальный RAT не существует в APK до выполнения. Только комбинация четырёх методов даёт полную картину.
Три шага аудита стороннего SDK занимают час и закрывают основной объём supply chain-угроз. Этот час никто не закладывает в...Статья Device Bound Session Credentials Chrome: как DBSC в Chrome 146 ломает kill chain кражи сессий
Инфостилеры — №1 среди малвари (32%, IBM X-Force 2025). Сценарий: стилер собирает сессионные куки за выходные, в понедельник атакующий импортирует их в браузер и заходит в корпоративный аккаунт — мимо MFA, мимо пароля, мимо всех контролей. В апреле 2026 года Google включил DBSC в Chrome 146: сессионная кука привязывается к TPM устройства.DBSC меняет фундаментальное свойство куки: из bearer-токена она становится proof-of-possession. TTL короткоживущей куки — 10 минут. Refresh без TPM-ключа невозможен — украденная кука протухнет до использования.
Но DBSC — не серебряная пуля: только Chrome на Windows, только приложения с серверной частью, не работает при RAT и insider threat. Sigma-правило на GeoIP-аномалию для приложений без DBSC. Чеклист из семи пунктов для SOC.
Если атакующий уже на вашем хосте — TPM ему не враг, а союзник.Статья Реверс-инжиниринг UEFI-прошивки: от дампа SPI-flash до анализа DXE-драйверов в Ghidra
На аппаратном пентесте серверной платформы снял дамп SPI-flash и обнаружил в DXE-томе модуль, которого не было в эталонной прошивке вендора. Два дня реверса через Ghidra — кастомный драйвер интегратора, не закладка. Но путь от подозрения до вердикта потребовал полного цикла анализа UEFI-прошивки.Workflow из четырёх этапов: flashrom/CHIPSEC (дамп SPI-flash) → binwalk (энтропия, границы регионов) → UEFITool (навигация по иерархии FV, извлечение модулей по GUID) → Ghidra с efiXplorer (автоматическая разметка Boot Services, Runtime Services, протоколов).
Паттерны для поиска: SMM callout через CommBuffer без проверки указателей, DXE-драйверы без UI Name секции, модули с обращениями к EFI_SIMPLE_FILE_SYSTEM_PROTOCOL из DXE-фазы. Сравнение дампа с эталоном — базовый метод обнаружения имплантов.
Ghidra с efiXplorer опустил порог входа до уровня: умеешь реверсить PE на Windows — разберёшься с DXE-драйвером за день.