Форум информационной безопасности - Codeby.net
Статья ConnectWise ScreenConnect уязвимости: разбор CVE, цепочки атак и практическая защита RMM
ConnectWise ScreenConnect: один запрос — и тысячи эндпоинтов в чужих руках.На момент раскрытия CVE-2024-1709 в феврале 2024 года в интернете висело 18 188 уязвимых ScreenConnect-инстансов, почти 8 800 из них — без патча. Для MSP это не worst-case, это game over: один торчащий наружу сервер превращается в точку входа во всю управляемую инфраструктуру.
В статье — разбор трёх ключевых CVE: auth bypass через path confusion в SetupWizard.aspx (CVSS 10.0), zip slip в InstallExtension для RCE и ViewState injection 2025 года. Полный kill chain от Shodan-разведки до ransomware, кейсы Kimsuky и ToddlerShark, готовые Sigma-правила и Sysmon-фильтры для детекта.
Практический материал для SOC-аналитиков, MSP-инженеров и red team операторов, работающих с RMM-платформами.Статья Написание C2 фреймворка на Python: от архитектуры до обхода EDR
C2 фреймворк на Python с нуля: почему ваш Sliver палится за три секунды.YARA-правила для Sliver публикуются на следующий день после релиза. Beacon Cobalt Strike разобран до байта. Mythic ловится одним Suricata-правилом по паттерну JSON-трафика. Любой публичный C2 — это IoC, который вендор уже добавил в сигнатуры.
В статье — пошаговая разработка собственного command and control: Team Server с очередью задач и CLI оператора, агент с beacon loop и jitter, расширяемый диспетчер задач через декораторы, обфускация трафика под легитимный JS, маскировка через Cookie и malleable profiles. Плюс лабораторный стенд с Defender, Elastic EDR, Suricata и Zeek для итеративного тестирования.
Практический гайд для red team операторов и offensive-разработчиков, которые хотят понимать как устроена C2-инфраструктура, а не запускать чужие бинарники.Статья Обход AMSI и антивирусных хуков: практическое руководство для offensive-разработчика 2025–2026
Обход AMSI и антивирусных хуков 2026: почему один трюк больше не работает.Бикон ожил — и через тридцать секунд тишина. EDR срезал соединение, в SOC уже смотрят на алерт. В 2026 году стандартный набор «AMSI patch + Invoke-Mimikatz» — билет в один конец: Defender ловит патчинг по сигнатурам, CrowdStrike мониторит ETW из ядра, SentinelOne анализирует stack trace.
В статье — четыре слоя защиты Windows и актуальные техники обхода: hardware breakpoints вместо классического AMSI-патча, AMSI Write Raid через writable entry в CLR, indirect syscalls со stack spoofing и BYOVD для kernel callbacks. С рабочим кодом на C/C++ и сравнением против Defender, CrowdStrike и SentinelOne.
Практический гайд для red team операторов, которые хотят понимать, почему срабатывает детект, а не слепо копировать bypass-ы с GitHub.Статья Форензика Windows: пошаговый разбор артефактов при расследовании инцидента
Форензика Windows: как по следам в системе восстановить полный сценарий атаки.Event Log покажет факт логона, но промолчит про запущенный бинарник. Prefetch подтвердит запуск, но не скажет, откуда файл взялся на диске. MFT хранит временные метки, но без контекста из реестра они — просто цифры. Ни один артефакт сам по себе полной картины не даёт.
В статье — пошаговый разбор пяти ключевых артефактов Windows: Event Logs, $MFT, реестр, Prefetch и Amcache/ShimCache. С конкретными командами Eric Zimmerman Tools (EvtxECmd, MFTECmd, PECmd, AmcacheParser), сценарием реконструкции lateral movement через PsExec, super timeline в Plaso и бонусом — артефакты, о которых молчат русскоязычные гайды: SRUM, PCA, WDI StartupInfo.
Практическое руководство для DFIR-аналитиков, SOC-специалистов и red team операторов, которым нужно видеть инцидент с обеих сторон баррикад.Статья Атаки на Active Directory аутентификацию: Kerberoasting и AS-REP Roasting от разведки до детекта
Kerberoasting и AS-REP Roasting: как выпотрошить Active Directory без единого эксплойта.В восьми из десяти внутренних пентестов обычная доменная учётка даёт прямой путь к повышению привилегий. Ни один антивирус не пикнет — всё, что делает атакующий, это легитимные запросы к KDC, предусмотренные самим протоколом Kerberos. Штатная функция, а не уязвимость.
В статье — полный цикл атак на AD-аутентификацию: разведка SPN через LDAP и BloodHound, запрос TGS через Impacket и Rubeus, офлайн-крекинг в Hashcat (режимы 13100, 18200, 19700), связка с DCSync и Golden Ticket. Плюс Purple Team-часть: детект по Event ID 4769/4768 с готовыми Splunk-запросами и honeypot SPN с нулевым false positive.
Практический гайд для пентестеров, Red Team и SOC-аналитиков, которые хотят видеть атаку с обеих сторон — от запроса билета до алерта в...Статья Сетевая разведка из Linux: nmap, masscan, netcat и tcpdump — практические сценарии для пентеста
Сетевая разведка из Linux: nmap, masscan, netcat и tcpdump в одной связке.80% успешных векторов атаки рождаются на этапе разведки, а не в момент запуска эксплойта. Криво просканировал периметр — дальше можно не продолжать.
В статье — полный цикл сетевой разведки на четырёх инструментах: как masscan находит живые порты за минуты, nmap раскрывает версии и уязвимости, tcpdump верифицирует находки, а netcat грабит баннеры. С привязкой к MITRE ATT&CK и сценарием «DMZ за 30 минут».
Практический гайд для пентестеров, которые хотят закрыть 90% задач фазы разведки на любом инфраструктурном проекте.Статья Обход AMSI, ETW, userland hooks и kernel callbacks: практическое руководство для offensive-разработчика в 2026 году
AMSI, ETW, хуки, kernel callbacks — четыре уровня защиты Windows и конкретные техники их обхода.Патч AmsiScanBuffer в 2025-м? EDR ловит вас ещё на VirtualProtect. Unhooking ntdll? Kernel ETW TI плевать на ваш userland. Direct syscalls? Call stack вас выдаёт. Каждый «универсальный bypass» ломается о следующий уровень детекта.
В статье — полная вертикаль обхода: от hardware breakpoints через NtContinue без следов в памяти до блокировки загрузки amsi.dll через хук NtCreateSection, indirect syscalls с легитимным адресом возврата и BYOVD для нейтрализации kernel callbacks. С кодом и честным указанием, где каждый подход детектируется.
Не набор трюков, а система: порядок операций для импланта, который минимизирует IoC на каждом этапе.Статья AI Ransomware 2026: разбор тактик из отчётов M-Trends и Arctic Wolf для пентестеров
⏱ 22 секунды. Столько длится hand-off от брокера доступа к ransomware-оператору в 2026 году.
Пока ваш SOC 47 минут триажит «низкоприоритетный» PowerShell-алерт, атакующие уже дампят LSASS, двигаются латерально и добираются до бэкапов. M-Trends 2026 зафиксировал: доля prior compromise как вектора заражения удвоилась за год — с 15% до 30%.
В статье — разбор AI-ускоренного kill chain с маппингом на MITRE ATT&CK, три критических CVE в Fortinet (CVSS 9.8), практика эмуляции hand-off через Sliver и Sigma-правила для детектирования цепочки IAB → lateral movement.
Конкретные команды, тайминги и сценарии для Red Team — чтобы ваш пентест моделировал атаки этого года, а не прошлого.FAQ 📌 Добро пожаловать на Codeby - Гайд для новых участников
Первые 15 минут, которые определят твой путь в кибербезопасности.Зарегистрировался на Codeby и не знаешь, с чего начать? Десятки разделов, ранговая система, тысячи участников — легко потеряться.
Мы собрали пошаговый гайд: как устроено сообщество, где задавать вопросы, чтобы получить ответ за минуты, и какие разделы прокачают тебя от новичка до практика — через CTF, статьи и живое общение.
Три простых шага сегодня — и ты уже часть сообщества, а не молчаливый наблюдатель.Статья Портфолио по информационной безопасности без опыта: пошаговая сборка с нуля до оффера
Ноль опыта в ИБ? Вот как собрать портфолио, которое принесёт оффер за 90 дней.Резюме без портфолио летит в корзину. Резюме со ссылкой на живой GitHub — уходит в шортлист. Это не теория: автор прошёл этот путь сам и провёл через него пятерых менти — от нуля до трудоустройства.
В статье — конкретный чеклист: как оформить GitHub-профиль, развернуть home lab за вечер, писать CTF write-ups, которые впечатляют, и собрать Python-проекты для резюме. Плюс пошаговый план на 12 недель с измеримыми результатами каждую неделю.
Хватит читать «развивайте скиллы» — откройте терминал и начните документировать.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team