Форум информационной безопасности - Codeby.net

847 КБ, энтропия 7.92, IAT — два символа. Ghidra выдал один гигантский блок арифметики. Декомпилятор не врал — реального кода ещё не существовало. Payload распаковывался через четыре техники ATT&CK.

Decision tree: энтропия .text < 6.5 и IAT > 20 → статика; энтропия > 7.0 и IAT пустой → динамика + распаковка. Dynamic API Resolution (T1027.007) — IAT содержит только LoadLibraryA и GetProcAddress, вызовы через хеши имён функций. Software Packing (T1027.002) — DiE определяет по сигнатуре, кастомные пакеры — только ручным анализом stub.

ScyllaHide патчит PEB автоматически против IsDebuggerPresent. HW breakpoint on execution на первый байт VirtualAlloc-региона — вход в распакованный код. Scylla дампит с восстановленным IAT. Python-скрипт XOR-декрипта строк → C2-адреса на выходе за 30 минут.

Инструменты вторичны — методология вокруг ATT&CK-паттернов первична.

Журнал пересмотра прав за квартал — аудитор спрашивает, тишина. Оценка блока упала с 0.85 до 0.41 за час. Один пропущенный процесс — и весь блок в «частичном несоответствии».

ГОСТ Р 57580 и 683-П — не взаимозаменяемые документы. Пять процессов, где банки стабильно теряют баллы: управление доступом (журнал пересмотра), логирование (АБС пишет в файл на локальном диске), управление инцидентами (table-top exercises не проводились), уязвимости (отчёт ложится в папку до следующего аудита).

PCI DSS покрывает часть ГОСТ 57580 уровня 2, но ГОСТ добавляет бумагу там, где PCI DSS просто спрашивает «сделано?». ОУД4 для ДБО при трёх релизах в квартал — боль без разъяснений ЦБ по частоте. Sigma-правила: dormant-аккаунты с привилегиями и brute force под парольную политику.

Compliance как процесс — ежеквартальный пересмотр прав в календаре, а не папка за две недели до аудитора.

Четверг 14:23 — svhost.exe обращается к lsass.exe из SWIFT-сегмента. Одна лишняя буква «v». 11 дней медианный dwell time, 57% узнают от ЦБ. Threat hunting начинается с гипотез, а не алертов.

60+ группировок на российский финансовый сектор, 65% атак в финансах — ransomware. Valid Accounts (T1078) — атакующий входит через легитимные ключи, антивирус молчит. SPL-запрос на lsass.exe с GrantedAccess без whitelist → 300 алертов за смену и аналитик перестаёт смотреть. CV < 0.1 при count > 50 — beaconing даже с jitter.

EID 1102 в банке — критический алерт без исключений. Golden Ticket: TGS без предшествующего AS-REQ, EncryptionType 0x17 в AES-среде. NTLM Logon Type 3 в Kerberos-сети — lateral movement. Impossible travel — сессия из Москвы и Амстердама с разницей 20 минут.

Без 30 дней baseline и тюнинга whitelist — правила парализуют SOC, а не защищают.

В трёх случаях из четырёх Blue Team не может конвертировать Red Team отчёт в детекшн-правила. «Оператор получил domain admin за 4 дня» — факт без маршрута к действию.

TTP-based отчёт меняет суть: не «мы вас взломали», а «вот точки, где ваш стек слеп». Detection Rate 25%, Block Rate 0%, MTTD 47 минут — при рекорде lateral movement 51 секунда. ATT&CK Navigator heatmap: красный/жёлтый/зелёный для CISO, JSON-layer для SOC-инженера.

Шаблон находки: ATT&CK ID → тактика → действие оператора → артефакты → причина gap → Sigma-правило → D3FEND-контрмера. T1566.001 не детектирован → D3-ISVA + D3-CSPP + ссылка на sigma. 192 правила SigmaHQ для T1059.001 — Blue Team получает файл, конвертируемый в Splunk/Elastic за минуты.

Machine-readable JSON экспорт — отчёт как часть pipeline, а не PDF на SharePoint.

Три символа в .pgpass — root PostgreSQL и SSH на четырёх серверах. Ни одного эксплойта, ни одного CVE. Только знание файловой системы Linux и find с правильными флагами.

.bash_history хранит mysql -u admin -pPassword123 и sshpass -p 'qwerty' в открытом виде. .pgpass, .my.cnf, .netrc, .aws/credentials — стандартные стоянки паролей. Один grep по /etc/ и /var/www/.env даёт четыре production-пароля за одну команду. /proc/[PID]/environ раскрывает DB_PASSWORD и API_KEY без чтения конфигов.

Decision tree первых 60 секунд: уровень привилегий → наличие auditd → порядок действий. LinPEAS вызывает поведенческий алерт в CrowdStrike за секунды — ручной точечный сбор неотличим от легитимной активности. auditd видит каждый open() на /etc/shadow с вашим UID и timestamp.

Vault-миграция идёт медленно — .env с правами 644 живут ещё пять-семь лет.

9 Мая – день памяти, уважения и благодарности тем, кто прошёл через тяжелейшие испытания и подарил нам возможность жить, учиться, работать и строить будущее.

Пусть этот день напоминает о ценности мира, силе единства, уважении к истории и важности беречь то, что действительно дорого.

Желаем Вам и Вашим близким здоровья, спокойствия, добра и мира.

С Днём Победы!

Команда Codeby

23 уникальных crash-а за три месяца AFL++ против закрытого парсера. Coverage застрял на 2000 путей — правильные seed-ы вытащили на 3400+. 80% усилий не в ожидании crash-ей, а в работе с покрытием.

AFL++ QEMU-mode для binary-only (1000–15000 exec/s с persistent mode), libFuzzer для source-based in-process фаззинга. CMPLOG перехватывает магические числа и подсказывает мутатору. Словарь из 40 токенов поднял покрытие с 18% до 52% за два часа. Decision tree: плато наступило — причина застоя → seed, словарь или ручной harness для непокрытой ветки.

Crash triage: afl-tmin минимизирует, Casr дедуплицирует по стеку. Маппинг ASan на CWE: heap-buffer-overflow (CWE-122) — высокая эксплуатируемость, null-dereference (CWE-476) — обычно DoS. Без анализа покрытия — работа вслепую, и persistent mode это не компенсирует.

Sydr-fuzz комбинирует символьное исполнение с AFL++ для глубоких путей.

eBPF-агент видит execve и connect, но пропускает ptrace-инъекцию в легитимный процесс. Три механизма сбора телеметрии Linux EDR — и у каждого своя слепая зона.

eBPF (менее 2% CPU, ring buffer с 5.8+), auditd (монопольный режим или неполные данные, legacy с 2.6+), LKM (полный доступ, риск kernel panic). LD_PRELOAD hijacking — два из трёх коммерческих агентов пропустили. ptrace injection не создаёт нового процесса — execve-хук молчит. Отключение eBPF-программы через bpf(BPF_PROG_DETACH) с CAP_SYS_ADMIN ослепляет агент. CVE-2025-32463 в sudo (CVSS 9.3, CISA KEV) даёт root.

Falco (CNCF, real-time eBPF), osquery (SQL polling, short-lived процессы пропускает), Wazuh (legacy + auditd). Decision tree по инфраструктуре. Fingerprinting агента: ps aux, bpftool prog list, lsmod — три команды определяют стратегию evasion.

eBPF-rootkitы не закрывает ни один open-source HIDS.

C++ Red Team Developer

Привет! Мы — СПЕЦПО, аккредитованная IT-компания из Санкт-Петербурга в сфере информационной безопасности. Расширяем команду offensive security и берём людей, готовых развиваться вместе с нами.Не имеет значения, есть ли у вас пара лет коммерческого опыта или вы только заканчиваете обучение — главное, что вы горите сферой и не боитесь сложных задач.

Чем предстоит заниматься
— Разработка собственного offensive-инструментария под Windows на C / C++
— Работа на уровне WinAPI / NtAPI, системное программирование
— Низкоуровневые вставки на MASM
— Использование LLVM и обфускаторов
— Реверс и исследование актуального ВПО

Что важно
— Уверенный C под Windows: WinAPI / NtAPI, понимание устройства ОС
— Современный C++ (17, 20), базовый MASM
— Практика с IDA Pro / Binary Ninja, x64dbg, PEStudio, dnSpy
— Способность самостоятельно разобраться в чужом бинарнике или незнакомом API

Перспективы компании. Мы — молодая, но амбициозная команда, и сейчас находимся в той точке, где каждый новый человек напрямую влияет на то, какой компанией мы станем через год-два. Это редкий шанс зайти в проект на этапе формирования: влиять на процессы, выбирать стек, строить инфраструктуру...

Один параметр в URL — баланс чужого счёта. Банк прошёл PCI DSS месяц назад, использовал OAuth 2.0 и API Gateway от крупного вендора. BOLA остаётся уязвимостью №1 уже который год.

OWASP API Top 10: BOLA (подмена account_id в GET-запросе), BFLA (вызов /api/internal/refund с пользовательским токеном без проверки роли), race condition через single-packet attack в Burp — два одновременных списания до обновления баланса. JWT algorithm confusion: RS256→HS256 с публичным ключом через jwt_tool -X a.

WAF не видит BOLA и BFLA — запросы синтаксически легитимны. PCI DSS не проверяет, может ли User A увидеть баланс User B — буквально вне скоупа. Burp Autorize автоматизирует подстановку токенов. Decision tree: два аккаунта → BOLA/BFLA первыми, платёжные эндпоинты → race condition.

Shadow API (v1/ при живой v3/) — вектор без fraud-detection и rate limiting.