Форум информационной безопасности - Codeby.net
Writeup Pentest Machine | Письмо | HackerLab (WriteUp)
Письмо, которое отдаёт root: захватываем машину через Tar.Сервис, который просто «читает архивы», кажется безобидным? А зря — одна symlink-ссылка внутри tar-архива превращает невинную распаковку в чтение /etc/passwd и кражу приватного SSH-ключа.
В этом разборе: разведка nmap, эксплуатация symlink-уязвимости (CWE-61), вход по угнанному ключу и финальная эскалация до root через sudo tar.
Пошаговый разбор машины с HackerLab для пентестеров, которые хотят набить руку на реальных техниках.Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.Статья Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют одним порогом по всей инфраструктуре — brute-force и плановая ротация паролей дают идентичный алерт. Атакующий эксплуатирует это через T1562.011: генерирует шквал ложных срабатываний, пока T1070 зачищает следы.
Трёхстадийный пайплайн — pre-filter → Isolation Forest scoring → contextual enrichment с TI-фидами и AD-ролями — снижает FP-рейтинг с 40% до 8%.
SOC мониторит правила — APT работает в шуме. Lateral movement прячется среди FP-алертов, пока аналитик выгорает.Я заказчик Слова, которые превращаются в рубли. Время писать и зарабатывать!
Ищем авторов: преврати свой опыт в ИБ в статьи и доход.Решил crackme, собрал свой стенд для пентеста или разобрал свежую атаку? Не дай этим знаниям пылиться в заметках.
Codeby приглашает авторов писать о хакерских техниках, поиске уязвимостей и защите — для аудитории, которая в теме. Взамен: живой нетворкинг, заинтересованные читатели и оплата от 600 ₽ за 1000 знаков.
Уникальный материал, свои скриншоты, чистота по Главреду 8+ — и твоя статья выходит на крупнейшем ИБ-форуме. Телеграм @The_Codeby.Статья Workload Identity в Kubernetes: SPIFFE/SPIRE, pod identity и отказ от long-lived credentials
SSRF в микросервисе дёрнул IMDS на 169.254.163.254, атакующий вытащил IAM-ключ из метаданных EC2, за 47 минут выгрузил клиентские данные из S3. Ключ создан 14 месяцев назад и ни разу не ротировался. Проблема не в SSRF — в статичном IAM-ключе, которому не было причин существовать.SPIFFE/SPIRE: вместо секретов каждый workload получает X.509-сертификат с TTL 1 час через аттестацию окружения. IRSA на AWS, GKE Workload Identity, Entra Workload ID — нативные механизмы привязки ServiceAccount к IAM-роли без AKIA*-ключей в env-переменных. IMDSv2 с hop limit = 1 закрывает доступ к IMDS из подов без hostNetwork.
Detection в SIEM: baseline маппингов SA → IAM Role через kubectl + jq, burst запросов к STS (10+ за минуту от одного пода), Falco-правило на connect() к 169.254.163.254. Attack paths при workload identity: T1611 escape to host, T1098.006 новый ClusterRoleBinding, JWT-SVID replay за окно TTL.
Short-lived credentials...Статья Nginx reverse proxy: безопасность C2 и detection-чеклист для SOC
Шесть недель C2-канал Cobalt Strike через два Nginx-redirector'а — ноль алертов. Трафик маскировался под API-запросы к SaaS-порталу. На postmortem'е выяснилось: команда защиты не знала, какие артефакты оставляет Nginx в роли C2 redirector без расшифровки TLS.Механика: location с proxy_pass направляет URI из Malleable C2 Profile на team server, всё остальное — 302 redirect на microsoft.com. try_files как двойное дно: существующий файл отдаётся клиенту, несуществующий URI проксируется на C2. Аналитик проверил домен руками, увидел redirect на легитимный ресурс — закрыл тикет.
Detection без расшифровки TLS: JA3-хеши C2-фреймворков в базах, σ интервалов < 5 сек при среднем > 30 сек — beaconing, один хост на «News»-домен — аномалия, crafted URI возвращает не 404 — try_files с fallback на C2. Мониторинг новых location-блоков в /etc/nginx/ через auditd.
IP из алерта — расходный узел. За redirector'ом скрывается инфраструктура, которую вы ещё не видите.