Форум информационной безопасности - Codeby.net

Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena

  • 62
  • 0
AiTM фишинг-прокси Evilginx перехватывает session cookie Microsoft 365 в обход MFA — схема атаки и детектирование


🎣 Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.

AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.

Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.

💡 FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.
то иначе.

Статья Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике

  • 82
  • 0
Матрёшка на тёмном антистатическом коврике: внешняя оболочка приоткрыта, внутри фигурка с кабелем и Raspberry Pi. Янтарный дисплей светится в тени, боке из огней серверной стойки.


🔒 Получили reverse shell — отлично. Завтра администратор перезагрузит сервер, и вы потеряете всё. Persistence — то, что отличает случайное проникновение от полноценной операции.

Пять техник с логикой выбора: cron (T1053.003) — шумный, но первое, за что хватаются; systemd с Restart=always (T1543.002) — переживёт падение процесса и перезагрузку; SSH-ключи (T1098.004) — бесшумны и переживают смену пароля; LD_PRELOAD через /etc/ld.so.preload (T1574.006) — перехват функций без модификации бинарей; LKM rootkit Diamorphine/Reptile (T1014) — ядро под контролем, userspace слеп.

Для каждой техники — конкретные места укрытия и методы обнаружения.

💡 Сводный чеклист аудита persistence в пяти командах и матрица выбора техники по уровню привилегий и скрытности.

Статья Эксплуатация бинарных уязвимостей: stack overflow, heap exploitation, ROP/JOP и обход современных защит

  • 77
  • 0
Исследователь за тёмной рабочей станцией с двумя мониторами: на экранах — дизассемблер GDB, дамп памяти и схема кучи. Синевато-зелёное свечение мониторов в полутёмной комнате.


💥 «Бинарные уязвимости мертвы» — три из четырёх pwn-тасков на последнем CTF решались через классические memory corruption примитивы. Просто с поправкой на ASLR, DEP и CFI.

Stack overflow против stack canaries и NX: утечка канарейки через format string, обход DEP через ROP-цепочку. Heap: tcache poisoning даёт arbitrary write, UAF + vtable overwrite перехватывает виртуальные вызовы, fastbin dup через разрыв double-free проверки. ROP → ret2libc через двухэтапный leak GOT. JOP обходит Intel CET Shadow Stack там, где ret-гаджеты уже не работают.

CFI гранулярность по функциям — любая функция с нужной сигнатурой легитимна. Один модуль без CFG ломает всю цепочку.

💡 Пятишаговый workflow от checksec до интерактивного шелла и сравнительная таблица техник vs митигаций.

Статья Архитектура антифрод-платформы в банке: от событий до решений

  • 110
  • 0
1776643583165.webp

Архитектура антифрод-платформы в банке: от событий до решений
🏦 Антифрод в банке давно перестал быть набором правил рядом с транзакцией. В статье разберём, как на самом деле устроен этот контур: от приёма событий из разных систем до скоринга, правил, ручного разбора и финального решения, которое нужно принять вовремя, а не “когда всё досчитается”.

⚙️ По шагам посмотрим, зачем антифроду событийная шина, где без потоковой обработки уже не обойтись, почему признаки приходится делить на online и offline слои, и как в бою сочетаются модели, rule engine и оркестрация решений. Отдельно разберём, где такие платформы обычно начинают сыпаться: на задержках, рассинхроне данных, слабой маршрутизации кейсов и плохом возврате меток в обучение.

Заметка Nmap шпаргалка: команды для пентеста Active Directory

  • 222
  • 1
Кодовый замок на тёмном антистатическом коврике с выгравированными номерами портов на циферблате. На размытом экране ноутбука светится зелёный терминал с результатами сканирования.


📡 Справочник, который открываешь на внутреннем engagement, когда нужно быстро вспомнить флаги для NSE-скриптов, правильный порядок сканирования DC или связку с CrackMapExec и BloodHound.

15 команд с объяснением каждого флага: ping sweep для поиска живых хостов, быстрое обнаружение DC по портам 88/389/445/636, SMB signing check (disabled = путь к relay), анонимная LDAP-энумерация через ldap-rootdse, krb5-enum-users с realm и wordlist, проверка SMBv1 для EternalBlue. Полный скан DC в одну команду с выводом в три формата.

Quick-reference card из 7 сценариев и восемь gotchas — включая тихое падение -sS в -sT без sudo и false negative smb-vuln-ms17-010.

💡 MITRE ATT&CK маппинг: T1046, T1018, T1087.002, T1135, T1482, T1595.

Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость

  • 240
  • 1
Ключ YubiKey и устройство Flipper Zero на тёмном антистатическом коврике. Экран Flipper светится зелёным текстом, позади — янтарное свечение терминала на ноутбуке.


🔐 MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.

Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.

Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.

💡 Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.

Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать

  • 151
  • 1
Смартфон экраном вниз на тёмном антистатическом коврике с трещиной на стекле и зелёным свечением текста. Рядом кабель USB-C, в боке — устройство Flipper Zero с тусклым дисплеем.


📱 CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.

APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.

Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.

💡 YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.

Статья ИИ для пентеста в 2026: что реально работает на engagement'ах, а что — маркетинг

  • 268
  • 0
Стальная крестовина марионетки с обрезанными нитями над разобранной платой. Экран ноутбука отбрасывает бирюзовый свет терминала на сцену.


🤖 ИИ не взламывает за вас. Но он разгребает nmap-вывод на 3000 строк, парсит минифицированный JS и пишет черновик отчёта за минуты. Всё остальное — по-прежнему руками и головой.

Рынок делится на 7 сегментов — сравнивать PentestGPT с Pentera бессмысленно. Что реально работает: LLM-приоритизация OSINT (Jenkins на поддомене, выбивающемся из конвенции — именно так его нашли), Unicode-обход WAF через fullwidth-апостроф, черновик отчёта 15 findings за 3 часа вместо дня. XBOW занял первое место на US-лидерборде HackerOne, Google Big Sleep нашёл zero-day в SQLite.

На бизнес-логику, BOLA и IDOR — LLM слеп. GPT-4: 87% known CVE, 13% реальных.

💡 Пятишаговый workflow и пять точек отказа, где AI предсказуемо ломается.

Статья Sandbox escape в AI-агентах 2026: разбираем CVE-2026-39888 и CVE-2026-34208

  • 218
  • 1
Матрёшки на тёмном антистатическом коврике: внешняя с гравировкой CVE-2026-39888, внутренняя с платой и зелёным светодиодом. Янтарный свет лампы, боке, глубокие тени.


🧩 Апрель 2026-го принёс два advisory, разносящих иллюзию безопасной изоляции в AI-агентах. CVE-2026-39888 (CVSS 9.9) — побег из PraisonAI через frame traversal. CVE-2026-34208 (CVSS 10.0) — prototype mutation в SandboxJS без аутентификации.

PraisonAI: AST-блоклист subprocess-режима содержит 11 атрибутов вместо 30+. Цепочка __traceback__ → tb_frame → f_back → f_builtins извлекает неограниченный exec — полный RCE на хосте. SandboxJS: this.constructor.call() мутирует хостовые глобалы, и отравление живёт между сессиями разных пользователей.

Аналогичный класс уязвимостей (CBSE) найден в Claude Code, Gemini CLI и Codex CLI — архитектурная проблема, а не единичный баг.

💡 Шестишаговый чеклист аудита sandbox AI + MITRE ATT&CK маппинг T1059.006, T1059.007, T1611.

Статья AI инструменты для пентеста: METATRON, Claude MCP и LLM-ассистенты на практике

  • 251
  • 0
Raspberry Pi с OLED-экраном на тёмном антистатическом коврике, рядом светится зелёный светодиод. На фоне — размытый ноутбук с терминалом в тёплом янтарном свете.


🤖 Прогнал с десяток AI-ассистентов через реальные пентест-сценарии. Часть сэкономила часы рутины на разведке. Другие галлюцинировали, выдавая несуществующие CVE и команды, которые роняли терминал.

METATRON — единственный полностью локальный вариант (Ollama + Mistral), годится для NDA-проектов где облако под запретом. Claude MCP — human-in-the-loop: управляешь nmap и sqlmap на естественном языке, но описание инструмента в системном промпте — вектор prompt injection. CyberStrikeAI уже применялась в реальной кампании против FortiGate — порог входа для атакующих падает.

Трёхшаговый workflow: разведка через METATRON/MCP → верификация каждого CVE через searchsploit → генерация отчёта. Эксплуатация — только вручную.

💡 Сравнительная таблица шести инструментов и четыре случая когда LLM подводит.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
50 957
Сообщения
344 709
Пользователи
148 470
Новый пользователь
Аксч