Форум информационной безопасности - Codeby.net
Статья NAC в SCADA: как защитить OT-сеть от внутренних угроз
Внутренние угрозы в OT-сети редко начинаются с громкой атаки. Намного чаще это сервисный ноутбук подрядчика, временная инженерная станция или неучтённое устройство, которое оказалось в технологическом сегменте без нормального контроля доступа. В статье разбираем, почему для SCADA этого уже достаточно, чтобы создать риск для процесса, оборудования и всей логики эксплуатации.
Вы увидите, почему NAC в промышленной среде нельзя внедрять по офисному шаблону: устаревшие устройства не поддерживают современные схемы аутентификации, критичные узлы нельзя случайно изолировать, а жёсткая политика без подготовки сама становится источником проблем. Разберём, как работает поэтапный подход - от пассивного обнаружения до режима наблюдения, оповещения и точечного ограничения доступа.
Отдельно посмотрим на практическую сторону: чем отличаются Forescout, Cisco ISE и Claroty, как связать NAC с SIEM и SOC, и какую роль такой...Статья Python для форензики: Автоматизация анализа логов и артефактов (Pandas, RegEx)
Python в DFIR - это не “приятный бонус”, а способ выжить в море логовВ статье разберём, как автоматизировать рутинный разбор Syslog, Windows Event Log, Apache access log и артефактов файловой системы, когда счёт идёт на десятки гигабайт событий, а ответ по инциденту нужен уже через час.
Покажем, как собрать хаос из разных источников в одну понятную хронологиюВы увидите, как использовать Pandas, regex, datetime, python-evtx и Python-скрипты для нормализации логов, извлечения IOC, построения timeline, корреляции событий и поиска реальных следов атаки без ручного копания в CSV и Excel.
Внутри - не теория ради теории, а готовые практические сценарииРазберём скрипты для анализа логонов 4624/4625, Apache-логов, MFT, IOC extraction, корреляции firewall/auth/endpoint-событий и генерации HTML-отчётов. Это материал для тех, кто хочет не просто читать логи, а превращать их в рабочие выводы и отчёты.
Статья Adversarial Attacks против статических PE-классификаторов: где feature-space атака превращается в реальный malware обходах
Статические ML-классификаторы давно стали привычной частью malware detection, но вместе с точностью и скоростью они принесли новую проблему - поверхность для adversarial attacks. В этой статье разбираем, почему модель, которая уверенно ловит вредоносные PE-файлы на датасете, может начать ошибаться после вполне допустимых модификаций самого бинарника.
Вы увидите, как устроен этот разрыв между feature space и реальным PE-файлом: почему FGSM и PGD хорошо показывают хрупкость classifier на уровне признаков, но не всякая успешная атака из пространства признаков переживает перенос в рабочий исполняемый файл. Отдельно разберём practical evasion-техники - append attack, section injection и import manipulation - и посмотрим, какие PE-артефакты они двигают, почему это влияет на verdict модели и где заканчивается красивая robustness на бумаге, а начинается реальная проблема для static ML detection.Статья PWN: Buffer Overflow с обходом ASLR через ret2libc
PWN: Buffer Overflow с обходом ASLR через ret2libcОбычного переполнения буфера уже давно недостаточно, чтобы просто записать shellcode в стек и забрать управление. В реальной эксплуатации всё упирается в защитный профиль бинарника: NX запрещает исполнение из данных, ASLR ломает фиксированные адреса, а значит эксплоит приходится собирать уже не грубой силой, а аккуратной логикой.
В статье разберём полный путь ret2libc: как читать защиты через checksec, как находить уязвимую функцию, определять точный offset, получать утечку адреса из libc через PLT/GOT и вычислять базу библиотеки для текущего запуска процесса.
Дальше соберём рабочую ROP-цепочку до system("/bin/sh"), разберём выравнивание стека, поиск гаджетов и оформим всё это в полноценный эксплоит на Pwntools - сначала локально, потом с прицелом на удалённую эксплуатацию.Статья Forensics: Анализ PCAP трафика с Wireshark | Network Challenge
Network Forensics - это не про абстрактные пакеты, а про восстановление истории атакиВ этой статье вы узнаете, как из одного pcap-файла собрать полную картину инцидента: кто с кем общался, какие протоколы использовались, где началась подозрительная активность и в какой момент обычный трафик превращается в улику.
Разберём практический пайплайн анализа в Wireshark: от общей картины к точечным артефактамПокажем, как использовать Protocol Hierarchy, Conversations, Endpoints, I/O Graphs и display filters, чтобы быстро отсечь шум, выделить HTTP и DNS, восстановить TCP-сессии, вытащить POST-данные, куки, токены и другие следы действий атакующего.
Отдельно разберём то, за что сетевую форензику любят в CTF и DFIR-практикеВы увидите, как искать флаги, креды, подозрительные домены, DNS-эксфильтрацию и переданные файлы, а главное - как вручную восстанавливать картину атаки даже тогда, когда автоматические...
CTF ⚠️Новая про-лаборатория — Shadow Pipeline
Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.
Что внутри:
- 3 ВМ, 6 этапов
- сценарий с постепенным развитием доступа
- отличный формат для тренировки логики, разведки и работы во внутренних сетях
Лаборатория доступна по подписке ПРО вместе с сотнями CTF-задач и курсами:
- Введение в информационную безопасность
- SQL Injection Master
Залетай и проверь, насколько хорошо ты умеешь двигаться по сети
https://hackerlab.pro/Статья Lateral Movement в Windows: техники и detection
Lateral Movement в Windows: как атакующие двигаются по сети и как это ловитьГоризонтальное перемещение - тот этап, на котором локальная компрометация перестаёт быть историей про один хост. Как только атакующий начинает использовать SMB, WMI, DCOM, RDP или WinRM, инцидент быстро растёт в масштабе и затрагивает уже не одну машину, а целые сегменты инфраструктуры.
В статье разберём основные техники lateral movement в Windows: Pass-the-Hash, WMI, DCOM, PsExec, SMB, RDP, WinRM и PowerShell Remoting. Посмотрим, какие права и данные аутентификации для этого обычно нужны, как выглядит механика удалённого выполнения и почему одни способы шумят сильнее, а другие почти сливаются с обычным администрированием.
Отдельно пройдёмся по defensive-части: какие Windows Event ID и Sysmon-события действительно полезны, как выглядят артефакты каждой техники, почему lateral movement плохо ловится одной сигнатурой и как строить...Статья BOLA (Broken Object Level Authorization): Практические эксплойты и защита API (OWASP API Top 10)
BOLA в API: как одна забытая проверка превращается в утечку, takeover и privilege escalationBOLA остаётся одной из самых опасных уязвимостей API: сервер видит валидный токен, принимает запрос, но не проверяет, имеет ли пользователь право работать именно с этим объектом. В результате одна подмена ID может открыть доступ к чужим данным, настройкам, документам или даже к действиям от имени другого пользователя.
В статье разберём, как BOLA возникает в REST и GraphQL API, чем она отличается от IDOR и как её искать на практике через Burp Suite, Repeater, Intruder и Autorize. Пройдёмся по вложенным объектам, batch-endpoint’ам и тем местам, где object-level access control ломается неочевидно, но очень стабильно.
Отдельно посмотрим на последствия и защиту: когда BOLA превращается в account takeover, массовую эксфильтрацию или вертикальное повышение привилегий, и какие подходы реально помогают это закрывать - от...MAX следит за VPN? Реверс-инжиниринг против официальных пояснений — кто врёт?
Мессенджер-шпион или паранойя? APK MAX вскрыли — и нашли кое-что интересное.Исследователь разобрал MAX v26.4.3 через mitmproxy и декомпиляцию: приложение тихо пингует Telegram, WhatsApp, госуслуги и проверяет ваш внешний IP — при каждом сворачивании экрана.
Официальный ответ: "это для WebRTC и push-уведомлений". Но почему тогда ICMP вместо STUN/TURN, зачем пинговать gosuslugi.ru, и почему модуль включается удалённо — точечно для конкретных аккаунтов?
Технический разбор с трафиком, бинарным протоколом и открытыми вопросами, на которые официальный ответ так и не ответил.Статья Living off the Land Binaries (LOLBins): атаки и detection
LOLBins: как атакующие используют системные утилиты WindowsЛегитимные бинарники Windows - certutil, mshta, rundll32, regsvr32 - в 2026 году остаются одним из самых популярных способов обхода антивирусов и EDR. Вместо собственной малвари атакующие используют инструменты, которые уже присутствуют в системе и считаются доверенными.
В статье разберём, как работают Living off the Land Binaries, почему они так эффективны для обхода защиты и какие утилиты используются чаще всего. Посмотрим реальные цепочки атак: загрузка payload через системные инструменты, запуск кода без отдельного бинарника и закрепление через стандартные механизмы Windows. Отдельно разберём практическую сторону detection engineering: какие события Sysmon нужно логировать, какие Sigma-правила помогают обнаруживать злоупотребления LOLBins и как строить threat hunting через KQL и SPL, чтобы находить такие техники до того, как они...