Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Форензика и OSINT
"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Один номер +7 — четыре часа работы — граф из 14 аккаунтов, двух email и следов в трёх утечках. PhoneInfoga, HLR-запросы, GetContact, реестр ЦНИИС: цепочка от голых цифр к верифицированному профилю без единого нелегального запроса.
Методология строится по MITRE ATT&CK Reconnaissance: T1589 (Gather Victim Identity Information), T1593.001 (Social Media), T1596 (Open Technical Databases). HLR-запрос через smsc.ru возвращает MCC/MNC и статус SIM — active/absent/unknown. PhoneInfoga на Go агрегирует carrier, регион, breach-хиты. WhatsApp-аватар идёт в reverse image search через Search4Faces.
GetContact деанонимизирует не цель — а вас: ваша контактная книга уходит на серверы сервиса при установке.
AIS-спуфинг у берегов Ливии: 14 санкционных танкеров транслировали фиктивные заходы в Хор-эз-Зубайр, пока физически грузились в другой точке — Lloyd's List Intelligence зафиксировал схему в первом полугодии 2024.
Методология детекции строится на трёхкомпонентном скоринге: AIS Gaps (разрывы у известных STS-зон), Position Spoofing (физически невозможные маршруты), STS Transfers (два судна ближе 500 м вне порта). Балкер Handysize с осадкой 8–10 м в грузу против 3–5 м в балласте — изменение через AIS-разрыв у Тобрука или Мисураты сразу даёт HIGH-риск.
Верификация — через Sentinel Hub SAR-снимки и Equasis для раскрытия цепочки владения.
AIS молчит — судно «чистое». Но SAR-снимок Sentinel Hub покажет его у ливийского берега.
Танкер Cathay Phoenix 11 дней транслировал ложные координаты у берегов Японии — пока спутник фиксировал его у терминала Козьмино. Теневой флот (600–1 300 судов, 4,1 млн барр./сутки) использует AIS-спуфинг, клонирование MMSI и going dark как стандартный kill chain.
AIS проектировалась для предотвращения столкновений — без криптоверификации и аутентификации передатчика. Экипаж вводит координаты вручную, MarineTraffic агрегирует без валидации. По MITRE ATT&CK — T1565.002 (Transmitted Data Manipulation). Коммерческое GNSS-оборудование военного класса позволяет рисовать геометрические петли в треке, маскируя реальный маршрут.
SOC мониторит сетевые логи — теневой флот работает в RF-диапазоне 162 МГц, где Windows Event Log молчит навсегда.
CVE-2025-5777 (CitrixBleed 2, CVSS 9.3) попала в CISA KEV 10 июля — due date для патча: следующий день. EPSS 0.7145, top 5%, рабочие PoC на GitHub от пяти авторов, nuclei-template от ProjectDiscovery уже в руках атакующих.
CVSS без KEV и EPSS ломает приоритизацию: CVE-2022-21882 имеет CVSS 7.0, но EPSS 0.8914 — top 1% по вероятности эксплуатации. SOC держит её в хвосте очереди, пока атакующий использует T1068 для privilege escalation после первичного доступа.
Статья даёт конкретный OSINT-конвейер: curl к JSON-каталогу CISA KEV + API FIRST для EPSS-обогащения, inthewild.io для подтверждения активной эксплуатации, nuclei-templates для проверки экспозиции
Фокус на 3% CVE с наивысшим EPSS перехватывает 80% эксплуатируемых уязвимостей — объём работ падает в 30 раз.
Домен из фишинга бухгалтерии розничной сети на 80 человек сидел в URLhaus 48 часов — до того, как письмо дошло до ящика. Три минуты на блокировку в NGFW против трёх рабочих дней разбора постфактум.
Один аналитик собирает рабочую TI-программу для SMB за два часа в неделю без коммерческих подписок. Фиды abuse.ch (URLhaus, Feodo Tracker) дают чистый C2 и malware-URL сигнал прямо в blocklist firewall. AlienVault OTX — широкий охват, но без фильтрации по отрасли генерирует шум. AbuseIPDB — только для ручной проверки, не для автоблокировки.
Малый бизнес атакуют не напрямую — через него лезут к крупному подрядчику. Сканеру всё равно, какая у вас выручка.
Bitwarden.exe был заблокирован два часа — мастер-пароль из 24 символов всё равно читался через strings в heap V8. CVE-2023-32784 идёт дальше: KeePass отдаёт пароль даже после завершения процесса.
WinPmem снимает полный образ RAM за минуты. В рендер-процессе Bitwarden (флаг --no-zygote) V8 не зануляет heap при блокировке — строка живёт до переаллокации. KeePass через .NET-аллокатор оставляет фрагменты пароля в дампе через T1055 или Task Manager «Create Dump File». BW-dump и PoC для CVE-2023-32784 автоматизируют извлечение.
CVSS 5.5 у CVE-2023-38840 усыпляет бдительность — но два часа после блокировки пароль в RAM.
Танкер SKIPPER (IMO: 9304667) провёл 200 дней без AIS-передач, подделал позицию на 1 200 морских миль и «нарисовал» себя у Гайаны — пока грузился на венесуэльском терминале Сан-Хосе. Те же техники работают вдоль ливийского побережья и у банки Хёрдс близ Мальты.
Методология раскрытия: IMO-номер как единственный постоянный якорь идентичности → проверка через Equasis и IMO GISIS → выгрузка маршрутной истории за 90–180 дней в MarineTraffic → импорт треков в QGIS с временными метками. Ключевой индикатор — изменение осадки через AIS-разрыв: ушло в балласте, вернулось гружёным без легитимных портовых заходов.
Транспондер молчит — судно работает. Разрыв в AIS это не баг покрытия, а сигнал.
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.
Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.