Форензика и OSINT

"Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.

Статья OSINT по номеру телефона: от цифр к полному цифровому профилю — инструменты и методология

  • 995
  • 0
Смартфон на тёмном антистатическом коврике с терминалом PhoneInfoga на экране и граф связей от номера телефона. Рядом блокнот с нарисованной схемой анализа, освещённые тёплой лампой.


🕵️ Один номер +7 — четыре часа работы — граф из 14 аккаунтов, двух email и следов в трёх утечках. PhoneInfoga, HLR-запросы, GetContact, реестр ЦНИИС: цепочка от голых цифр к верифицированному профилю без единого нелегального запроса.

Методология строится по MITRE ATT&CK Reconnaissance: T1589 (Gather Victim Identity Information), T1593.001 (Social Media), T1596 (Open Technical Databases). HLR-запрос через smsc.ru возвращает MCC/MNC и статус SIM — active/absent/unknown. PhoneInfoga на Go агрегирует carrier, регион, breach-хиты. WhatsApp-аватар идёт в reverse image search через Search4Faces.

💡 GetContact деанонимизирует не цель — а вас: ваша контактная книга уходит на серверы сервиса при установке.

Статья OSINT расследование теневого флота: AIS-данные и спутниковые снимки против контрабанды зерна через Ливию

  • 522
  • 0
Транспондер AIS с царапинами на стальном корпусе лежит на тёмном антистатическом коврике. Рядом — распечатка спутникового снимка ливийского побережья с оборванным треком судна.


🕵️ AIS-спуфинг у берегов Ливии: 14 санкционных танкеров транслировали фиктивные заходы в Хор-эз-Зубайр, пока физически грузились в другой точке — Lloyd's List Intelligence зафиксировал схему в первом полугодии 2024.

Методология детекции строится на трёхкомпонентном скоринге: AIS Gaps (разрывы у известных STS-зон), Position Spoofing (физически невозможные маршруты), STS Transfers (два судна ближе 500 м вне порта). Балкер Handysize с осадкой 8–10 м в грузу против 3–5 м в балласте — изменение через AIS-разрыв у Тобрука или Мисураты сразу даёт HIGH-риск.

Верификация — через Sentinel Hub SAR-снимки и Equasis для раскрытия цепочки владения.

💡 AIS молчит — судно «чистое». Но SAR-снимок Sentinel Hub покажет его у ливийского берега.

Статья AIS-спуфинг и теневой флот: как отслеживать контрабанду через MarineTraffic и анализ аномалий судовых треков

  • 397
  • 0
Рабочее место аналитика ночью: изогнутый монитор с картой судовых треков и надписью об AIS-спуфинге, второй экран с аномалиями позиций. Тёмный стол, кофе, блокнот, сине-зелёный свет экранов.


📡 Танкер Cathay Phoenix 11 дней транслировал ложные координаты у берегов Японии — пока спутник фиксировал его у терминала Козьмино. Теневой флот (600–1 300 судов, 4,1 млн барр./сутки) использует AIS-спуфинг, клонирование MMSI и going dark как стандартный kill chain.

AIS проектировалась для предотвращения столкновений — без криптоверификации и аутентификации передатчика. Экипаж вводит координаты вручную, MarineTraffic агрегирует без валидации. По MITRE ATT&CK — T1565.002 (Transmitted Data Manipulation). Коммерческое GNSS-оборудование военного класса позволяет рисовать геометрические петли в треке, маскируя реальный маршрут.

💡 SOC мониторит сетевые логи — теневой флот работает в RF-диапазоне 162 МГц, где Windows Event Log молчит навсегда.

Статья Приоритизация патчей CISA KEV: OSINT-конвейер для Blue Team от алерта до решения

  • 418
  • 0
Восковая печать на конверте, разрезанная скальпелем, с гравировкой CVE-2025-5777. Криминалистическая макросъёмка в тёмных тонах с красным акцентом на сломанном воске.


🔍 CVE-2025-5777 (CitrixBleed 2, CVSS 9.3) попала в CISA KEV 10 июля — due date для патча: следующий день. EPSS 0.7145, top 5%, рабочие PoC на GitHub от пяти авторов, nuclei-template от ProjectDiscovery уже в руках атакующих.

CVSS без KEV и EPSS ломает приоритизацию: CVE-2022-21882 имеет CVSS 7.0, но EPSS 0.8914 — top 1% по вероятности эксплуатации. SOC держит её в хвосте очереди, пока атакующий использует T1068 для privilege escalation после первичного доступа.

Статья даёт конкретный OSINT-конвейер: curl к JSON-каталогу CISA KEV + API FIRST для EPSS-обогащения, inthewild.io для подтверждения активной эксплуатации, nuclei-templates для проверки экспозиции

💡 Фокус на 3% CVE с наивысшим EPSS перехватывает 80% эксплуатируемых уязвимостей — объём работ падает в 30 раз.

Статья Threat intelligence для малого бизнеса: бесплатные инструменты, OSINT-источники и минимальная TI-программа без бюджета

  • 612
  • 2
Распечатанная таблица сравнения на кремовой бумаге с колонками OSINT-источников, рукописными пометками и авторучкой. Мягкий дневной свет из окна, спокойные приглушённые тона.


🔍 Домен из фишинга бухгалтерии розничной сети на 80 человек сидел в URLhaus 48 часов — до того, как письмо дошло до ящика. Три минуты на блокировку в NGFW против трёх рабочих дней разбора постфактум.

Один аналитик собирает рабочую TI-программу для SMB за два часа в неделю без коммерческих подписок. Фиды abuse.ch (URLhaus, Feodo Tracker) дают чистый C2 и malware-URL сигнал прямо в blocklist firewall. AlienVault OTX — широкий охват, но без фильтрации по отрасли генерирует шум. AbuseIPDB — только для ручной проверки, не для автоблокировки.

💡 Малый бизнес атакуют не напрямую — через него лезут к крупному подрядчику. Сканеру всё равно, какая у вас выручка.

Статья Извлечение паролей из памяти: как мастер-ключи менеджеров паролей оседают в RAM-дампе

  • 469
  • 0
Крупный план модуля оперативной памяти SODIMM на чёрном антистатическом коврике. Один чип с трещиной и следами повреждения освещён жёстким белым светом на тёмном фоне.


🔐 Bitwarden.exe был заблокирован два часа — мастер-пароль из 24 символов всё равно читался через strings в heap V8. CVE-2023-32784 идёт дальше: KeePass отдаёт пароль даже после завершения процесса.

WinPmem снимает полный образ RAM за минуты. В рендер-процессе Bitwarden (флаг --no-zygote) V8 не зануляет heap при блокировке — строка живёт до переаллокации. KeePass через .NET-аллокатор оставляет фрагменты пароля в дампе через T1055 или Task Manager «Create Dump File». BW-dump и PoC для CVE-2023-32784 автоматизируют извлечение.

💡 CVSS 5.5 у CVE-2023-38840 усыпляет бдительность — но два часа после блокировки пароль в RAM.

Статья Отслеживание теневого флота AIS: пошаговая OSINT-методология раскрытия контрабанды через Ливию и Средиземноморье

  • 393
  • 0
Потёртый латунный компас с треснувшим стеклом лежит на тёмном мате поверх морской карты с ливийским побережьем. Призрачная красно-синяя стрелка указывает в сторону от основной — намёк на подмену ко...


🕵️ Танкер SKIPPER (IMO: 9304667) провёл 200 дней без AIS-передач, подделал позицию на 1 200 морских миль и «нарисовал» себя у Гайаны — пока грузился на венесуэльском терминале Сан-Хосе. Те же техники работают вдоль ливийского побережья и у банки Хёрдс близ Мальты.

Методология раскрытия: IMO-номер как единственный постоянный якорь идентичности → проверка через Equasis и IMO GISIS → выгрузка маршрутной истории за 90–180 дней в MarineTraffic → импорт треков в QGIS с временными метками. Ключевой индикатор — изменение осадки через AIS-разрыв: ушло в балласте, вернулось гружёным без легитимных портовых заходов.

💡 Транспондер молчит — судно работает. Разрыв в AIS это не баг покрытия, а сигнал.

Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты

  • 460
  • 0
Тёмный зал SOC с изогнутым видеоэкраном, отображающим форензик-таймлайн APFS, поток Unified Log и граф атаки с метками Keychain, FSEvents и Spotlight. Янтарная лампа освещает матовую поверхность ст...


🔍 macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.

Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.

💡 Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 696
Сообщения
347 078
Пользователи
161 446
Новый пользователь
polimb