Форум информационной безопасности - Codeby.net

Статья OSINT Telegram инструменты: методики разведки и запуск через Termux на Android

  • 37
  • 0
Смартфон на тёмном антистатическом коврике с открытым терминалом Termux, отображающим команду OSINT-разведки. Рядом лежит распечатка графа пересылок с четырьмя связанными аккаунтами.


🕵️ За два часа работы с TGStat и Telethon анонимный Telegram-канал превратился в конкретного сотрудника — через корреляцию юзернейма на четырёх платформах и анализ форвардных цепочек из слитого дампа.

Статья разбирает реальный OSINT-цикл по MITRE T1593.001 и T1213.005: от единственной зацепки — юзернейма в логах — до графа связей. Инструменты с флагами: Maigret (soxoj/maigret, ~3000 платформ), Telethon 1.36+ с rate-limit ~200-300 вызовов в минуту, TGStat для первичной разведки каналов.

Отдельный блок — запуск через Termux на Android 7.0+: F-Droid сборка, RAM от 3 ГБ, изолированный Telegram-аккаунт обязателен.

💡 Русскоязычные обзоры дают списки из 50 ботов — ни одной воспроизводимой команды.

Статья ATT&CK Navigator: от визуализации TTP до приоритизации детектирования

  • 34
  • 0
Планшет на тёмном антистатическом коврике отображает тепловую карту MITRE ATT&CK Navigator с ячейками в голубом, янтарном и красном цветах. Боковой свет подчёркивает глянцевый металлический корпус.


🧠 На purple team в финансовой организации 23 правила SIEM закрыли лишь 19 техник из 201 — ATT&CK Navigator за вечер построил heat map gaps, которую CISO читал без переводчика.

ATT&CK Navigator — client-side SPA: вы подаёте JSON-слой со score-полями и comment-атрибутами (имена SIEM-правил), он рисует heat map. Никаких коннекторов к SIEM — только скрипт-генератор и layer format 4.5.

В purple team workflow инструмент появляется трижды: до упражнения — red team фиксирует scope (APT29 + FIN7), во время — blue team тегирует задетектированные техники, после — два слоя мержатся через layer expression в composite map: зелёное = покрыто, красное = слепая зона.

💡 SOC считает правила — Navigator считает gaps. 90% матрицы остаётся невидимой при формально «работающем» SIEM.

Статья Расследование сетевых атак с помощью NTA: от аномалии в трафике до полной цепочки атаки

  • 35
  • 0
1784195163870.webp


🔍 NTA-платформа подняла алерт средней критичности: 847 DNS-запросов к одному поддомену за 30 минут. EDR молчал — svchost.exe выглядел легитимным. Через 4 часа расследования выяснилось: DNS-туннель T1071 гнал данные наружу уже 11 дней, 340 МБ через TXT-записи.

tshark вскрыл паттерн: поддомены вида `aGVsbG8gd29ybGQ.data.update-srv[.]xyz` содержали Base64-строки, объём ответов превышал запросы в 8 раз — классика обратного C2-канала. Второй кейс — SMB lateral movement в 2:40 ночи в субботу: impacket secretsdump через RemoteOperations, обращения к C$ share и файлам SAM/SYSTEM на четырёх серверах, с которыми хост раньше никогда не общался.

💡 EDR чист, антивирус молчит — атака живёт в сети. Без записи трафика 340 МБ ушли бы незамеченными.

Статья Bulkhead: автообнаружение path traversal при container escape через семантический анализ

  • 92
  • 0
Рука в синей перчатке держит логический щуп над платой с перепутанными шлейфами. Диагностический терминал отображает коды уязвимостей зелёным мерцающим текстом.


🧨 Bulkhead вскрывает 27 CVE в контейнерных рантаймах: CVE-2024-0132 (CVSS 9.0) в NVIDIA Container Toolkit и CVE-2025-31133 в runc эксплуатируют одну архитектурную слепоту — кросс-граничное разрешение путей на стыке контейнер-хост.

PaTra — не веб-traversal с `../` в URL. Атакующий размещает symlink в контейнере, привилегированный хостовой процесс рантайма разрешает его и уходит в хостовую ФС: читает `/etc/shadow`, перезаписывает бинарники, получает root (MITRE T1611). TOCTOU-вектор (CWE-367, CWE-362) делает статический анализ слепым — окно гонки в микросекунды.

Bulkhead предлагает мультиагентную LLM-систему с формальной верификацией патчей для автообнаружения PaTra.

💡 Статический анализ видит корректную проверку — уязвимость живёт в тайминге между check и use.

Статья Multi-Party Computation для защиты данных в облаке: принципы работы и векторы атак

  • 91
  • 0
Распечатанная схема трёхстороннего протокола пороговой подписи ECDSA на светлом столе. Латунное пресс-папье и перьевая ручка лежат рядом при мягком дневном свете.


🔐 MPC-протокол на threshold ECDSA защищал платёжную систему AWS трёх организаций — пока red-team не показал, что semi-honest модель рассыпается при первом malicious-участнике в облаке.

Авторы развернули threshold ECDSA на MP-SPDZ, отказавшись от Intel SGX (CacheZoom, SGX-Step, AsyncShock) и HSM как единой точки доверия. Semi-honest протокол работал неделю — до момента, когда скомпрометированная VM начала произвольно модифицировать shares, не нарушая внешнего flow.

Malicious-secure варианты — SPDZ, MASCOT, BDOZ — требуют MAC-аутентификации долей и ZK-proofs: overhead 10–100x по латентности.

💡 Semi-honest MPC выглядит безопасно в whitepaper — облачный провайдер с гипервизорным доступом ломает модель без единого криптографического следа.

Статья Linux Kernel Privilege Escalation 2026: Fragnesia и Dirty Frag — от PoC до эксплуатации

  • 146
  • 0
Обгоревший чип памяти на разобранной плате под лупой в руках в перчатках. Диагностический терминал отображает «CVE-2026-43284 · DIRTY FRAG» зелёным моноширинным шрифтом.


🐧 Четыре LPE за две недели: CVE-2026-31431 (CopyFail, EPSS 0.96) и CVE-2026-43284 (Dirty Frag, CVSS 8.8) атакуют page cache Linux без race condition — root shell с вероятностью близкой к 100%.

Все четыре CVE — потомки Dirty Pipe (CVE-2022-0847): splice() подставляет ссылку на page-cache страницу в skb frag, ESP-приёмник выполняет in-place дешифрование поверх неё. Setuid-бинарь /usr/bin/sudo отравлён в RAM — файл на диске нетронут, dmesg молчит, SELinux не срабатывает. CopyFail уже в CISA KEV с дедлайном 15 мая.

Fragnesia (CVE-2026-46300) живёт в ядре с версии 3.9 — с 2013 года. PoC для выхода из пода Amazon EKS через CVE-2026-43284 уже на GitHub.

💡 EDR мониторит syscall-аномалии — page cache poisoning не пишет на диск и не триггерит ни один стандартный alert.

Статья Атаки APT на сетевое оборудование: как FSB Center 16 десять лет компрометирует маршрутизаторы

  • 146
  • 0
Маршрутизатор Cisco на тёмном антистатическом коврике с консольным кабелем. Дисплей устройства светится янтарным текстом, синий акцентный свет подчёркивает вентиляционные решётки корпуса.


📡 FSB Center 16 (Berserk Bear) десять лет компрометирует маршрутизаторы через CVE-2018-0171 и SNMP с дефолтным community string «public» — и сливает конфиги тысяч устройств критической инфраструктуры.

ФБР (IC3, август 2025) зафиксировало масштабную кампанию: GetBulk-запросы на UDP/161 по широким диапазонам IP, эксплуатация Cisco Smart Install (TCP/4786, без аутентификации) через CVE-2018-0171. Часть конфигов не просто скачана — модифицирована для persistence. MITRE T1602.002 + T1190, без единого zero-day.

💡 EDR молчит, Windows Event Log пуст — имплант живёт в прошивке роутера на границе IT/OT.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 851
Сообщения
347 336
Пользователи
161 868
Новый пользователь
Volker