Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Статья Расследование инсайдерских инцидентов: форензика рабочих станций, анализ USB-активности и облачных хранилищ

  • 311
  • 0
Мужчина в мятой рубашке сидит в полутёмном офисе перед монитором с реестром Windows и файлом экспорта данных, рука тянется к USB-накопителю. На краю стола — коробка с личными вещами.


🕵️ DLP-алерт сработал в понедельник — но инсайдер готовился две недели: LNK-файлы, ShellBags и USN Journal хранят полный kill chain до переустановки ОС.

Форензика рабочей станции строится на артефактах Windows, которые инсайдер не может удалить вручную. Prefetch-файлы фиксируют запуск 7z.exe с точностью до секунды, LNK-файлы сохраняют серийный номер USB-тома, ShellBags — полное дерево навигации по внешним носителям. Всё парсится EZTools в CSV до суперхронологии через Plaso.

Параллельно — аудит T1114.003: правила форварда в Exchange и M365 обнаруживаются KQL-запросом к MailboxAuditLog.

💡 DLP видит финальную отправку — артефакты рабочей станции раскрывают двухнедельную подготовку, которую UEBA пропустила.

Статья EASM платформы: как строится цифровой отпечаток организации методами connectorless-перечисления

  • 264
  • 0
Схема DNS-зон от руки на кремовой бумаге: дерево поддоменов с ветками, отмеченными синим маркером. Латунный пресс-папье и перьевая ручка на светлом столе.


🔍 ИТ-отдел насчитал 87 субдоменов — connectorless-перечисление через CT-логи, Passive DNS и Shodan вернуло 240. На трёх торчали дефолтные креды.

EASM-платформы строят цифровой отпечаток без единого запроса к внутренней инфраструктуре. Техники T1596.001 (Passive DNS), T1593.002 (Shodan/Censys) и Certificate Transparency дают полную карту внешней поверхности — включая staging-окружения и legacy API, о которых забыли создатели.

Цепочка: WHOIS → reverse WHOIS по registrant email → ASN lookup → IP-диапазоны в Censys → открытые порты и баннеры.

💡 SOC мониторит периметр — атакующий уже собрал карту через публичные логи. Забытый staging — готовый foothold без единого алерта.

Статья Quick OSINT Bot: полный разбор возможностей и практика использования для разведки

  • 934
  • 0
Веер тёмных матовых карточек на металлической поверхности с силуэтами телефона, иконками мессенджеров и схемой связей. Тусклый свет лампы и бирюзовый отблеск монитора создают атмосферу цифровой раз...


🕵️ Quick OSINT Bot за 40 минут закрыл первичную разведку по 12 телефонам фейковых аккаунтов: номер → Telegram → VK → базы утечек. MITRE T1589.001/T1593.001 без единого пакета в сторону цели.

Бот покрывает фазу Reconnaissance: поиск по номеру телефона, Telegram username/user ID, email, нику, госномеру авто и фото. Под капотом — агрегация из баз утечек и открытых реестров RU-сегмента. Стартовая точка для Maltego и socid-extractor.

Ограничения жёсткие: закрытые базы без audit trail, нет экспорта JSON/CSV, нет визуализации графа связей. Оператор видит все запросы — OPSEC требует отдельного Telegram-аккаунта и VPN.

💡 75% вторжений используют валидные credentials (CrowdStrike 2025) — OSINT-бот показывает, что враг знает о цели ещё до первого пакета.

Статья Пассивный OSINT реконнект без следов: архитектура скрытого сбора данных для пентестеров

  • 354
  • 0
Схема пассивной разведки на плотной бумаге с узлами поддоменов и стрелками потоков данных. Латунное пресс-папье и перьевая ручка в мягком оконном свете.


🕵️ За 4 часа — 47 поддоменов, staging-сервер и оргструктура команды разработки: всё через Certificate Transparency, SecurityTrails и Wayback Machine. В логах заказчика — ноль записей.

Пассивный OSINT покрывает MITRE ATT&CK T1593, T1596, T1590 до первого SYN-пакета. crt.sh отдаёт поддомены без касания цели, SecurityTrails восстанавливает историю DNS-миграций, метаданные PDF раскрывают имена и роли разработчиков. Граница пассивного — запрос идёт к третьей стороне, а не к ns1.target.com.

theHarvester с флагом -b dns уже активная разведка — он резолвит через DNS цели. SpiderFoot «из коробки» смешивает модули: SOC замечает через 12 минут.

💡 Blue Team смотрит в WAF и EDR — пассивный OSINT живёт в crt.sh и Wayback Machine, куда алерты не приходят.

Статья PhoneInfoga установка и запуск: пошаговое руководство для Windows, Linux и Android

  • 409
  • 0
Руки исследователя на светлом столе рядом с чашкой кофе. На экране планшета — интерфейс PhoneInfoga с таблицей результатов анализа номера.


🔍 PhoneInfoga v2.x на Go автоматизирует OSINT по утёкшим номерам: оператор, тип линии, Google-дорки, привязанные соцсети — всё по одной команде. 14 млн номеров из утечки Free (2024) ждут своих аналитиков.

Инструмент закрывает MITRE T1593.002, T1596.002 и T1589.002 на этапе Reconnaissance — от поиска через Search Engines до пассивного DNS. Результаты передаются в Maltego или theHarvester для граф-анализа и раскрутки email-адресов.

Установка на Linux — curl-скрипт + `sudo install ./phoneinfoga /usr/local/bin/`. Windows — нативный .exe без зависимостей, Defender блокирует по эвристике: добавьте в исключения. Android — Termux + proot-distro, root не нужен.

💡 Все русскоязычные гайды ссылаются на мёртвую Python-версию. Видите `pip install -r requirements.txt` — закрывайте.

Статья OSINT по номеру телефона: инструменты и методики поиска информации в 2026 году

  • 625
  • 0
Смартфон на тёмном столе светится терминалом с результатами сканирования номера. Рядом лежит блокнот со схемами, янтарный свет лампы выхватывает сцену из темноты.


🕵️ PhoneInfoga вытащила полный цифровой профиль за 4 часа — ФИО, три соцсети, корпоративный email — из единственной зацепки: мобильного номера в переписке мессенджера.

Номер телефона — pivot-элемент OSINT по MITRE T1589/T1593: он связывает WhatsApp, Telegram, VK, Avito и базы утечек в одну точку. PhoneInfoga определяет оператора и регион через реестр Минцифры, затем пробивает номер по Have I Been Pwned — утечка Facebook 2019 года содержит 509 млн записей с геолокацией.

Google-дорки по шаблону site:avito.ru «+79XXXXXXXXX» поднимают объявления из кеша — номер, опубликованный в 2019-м, до сих пор индексируется.

💡 Аналитики проверяют email — но номер телефона живёт годами и тянет за собой весь цифровой след.

Статья OSINT разведка атакуемой поверхности автопроизводителей: Shodan, Censys и CT-логи на практике

  • 289
  • 0
Монитор отображает таблицу перечисления субдоменов из CT-логов с записями staging-ota и telematics-api. На столе лежит карточка с синтаксисом Shodan-запросов и перьевая ручка в мягком дневном свете.


🔍 Red team запросил CT-логи автопроизводителя — crt.sh вернул 400+ субдоменов за 20 минут: staging OTA-сервис, дилерский портал с Basic Auth, два API-шлюза телематики. Половины не было в asset inventory заказчика. Ноль пакетов в сторону цели.

Разведка строится последовательно: crt.sh (T1596.003) даёт субдомены через wildcard-запрос с jq-парсингом, Shodan — баннеры и порты по org/ASN-фильтрам, Censys — корреляцию сертификатов с бизнес-юнитами. Automotive-инфраструктура особенно уязвима: заводы, дилерские сети, OTA, телематика, fleet management — каждый юнит заказывал сертификаты годами без единого реестра.

💡 Asset inventory заказчика покрывал меньше половины реальной поверхности — CT-логи знают больше, чем CISO.

Статья Картирование внешней атакуемой поверхности организации: Passive DNS, CT-логи и охота на Shadow IT

  • 483
  • 1
Распечатанный граф инфраструктуры на кремовой бумаге: узлы субдоменов расходятся от корневого домена, часть обведена синими чернилами с пометкой про Shadow IT. Рядом лежит перьевая ручка.


🔍 На pre-engagement пентесте crt.sh вернул 47 субдоменов — ИТ-отдел знал о 28. В оставшихся 19: Jenkins без авторизации, staging ERP и dev-среды с истёкшими сертификатами. Ни одного актива в CMDB.

Passive DNS (T1596.001) и CT-логи по RFC 6962 раскрывают то, что активный скан пропустит: удалённые записи, облачные хвосты, shadow IT. Subfinder агрегирует passive DNS из десятков источников, dnsx резолвит массово, crt.sh через jq выдаёт все SAN — включая internal-tools и staging-домены.

Blue team закрывает dangling DNS — вектор subdomain takeover. NIST CSF 2.0 ID.AM-01 требует непрерывного мониторинга активов.

💡 DNS brute-force зависит от словаря. CT покрывает каждое имя, для которого выписывался сертификат — разница принципиальная.

Статья Триаж скомпрометированного Linux-хоста: сбор артефактов и построение таймлайна инцидента

  • 274
  • 0
Распечатанный форензик-таймлайн на кремовой бумаге с колонками временных меток и путей файлов. Рядом лежит перьевая ручка, мягкий дневной свет падает слева.


🐧 Ubuntu 22.04 в DMZ сливает 2.3 ГБ наружу: у аналитика 40 минут до вопроса «что утекло?» — один необдуманный reboot уничтожит fileless-малварь, расшифрованные credentials и весь RAM-артефакт безвозвратно.

Статья ведёт через порядок волатильности RFC 3227: сначала дамп памяти через LiME (`insmod lime-$(uname -r).ko`), затем `ps auxwf` для дерева процессов — если `nginx` порождает `/bin/sh` с `curl` на внешний IP, это pivot point. `lsof -i -u root` вытащит удалённый бинарь из `/proc/[PID]/exe` пока процесс жив.

Дальше — persistence-артефакты: crontab, systemd-юниты, `.bash_history`, `/dev/shm`.

💡 SOC видит алерт на C2 — но fileless-пейлоад живёт только в RAM и исчезает при reboot раньше, чем откроют тикет.

Статья OSINT мониторинг уязвимостей для Blue Team: конвейер от KEV CISA до приоритизации патчинга

  • 342
  • 0
Распечатанный отчёт о приоритизации уязвимостей с таблицей CVE и статусами KEV на кремовой бумаге. Рядом перьевая ручка, латунная линейка и чашка эспрессо в мягком утреннем свете.


🔍 Сканер выдаёт 4 000 CVE, патч-окно — 20 часов в месяц. IBM X-Force фиксирует 29 месяцев между публикацией CVE и её устранением — за это время T1588.005 уже в деле, эксплойты готовы. Конвейер от CISA KEV до EPSS решает задачу: найти правильные 20 CVE из 4 000.

CVSS статичен и слеп к реальности — CVE с оценкой 9.8 может не иметь публичного эксплойта, а CVE 6.5 с рабочим PoC эксплуатируется третий месяц. NIST перешёл к выборочному обогащению NVD: приоритет — KEV CISA, остальные CVE висят без данных неопределённо долго.

💡 CVSS 9.8 без эксплойта ждёт. CVE 6.5 из KEV — патчится сегодня. Аналитики до сих пор путают severity с риском.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 696
Сообщения
347 078
Пользователи
161 446
Новый пользователь
polimb