Форум информационной безопасности - Codeby.net
Статья macOS Red Team инструменты: Mythic, Sliver, Poseidon и кастомные имплантаты для offensive-операций
Sliver-имплант на x86_64 сгорел за секунды — XProtect опознал сигнатуру мгновенно. Три дня до стабильного C2: кастомный Go-имплант с jitter 30–50% и HTTPS-профилем под трафик Slack API обошёл CrowdStrike Falcon на macOS Sonoma.Разбор реального red team-проекта против финтех-компании: 80% парка на macOS под Jamf MDM, Falcon на каждой машине. Статья проводит через kill chain — от fingerprinting (sw_vers, ps aux | grep falcon, анализ LaunchDaemons) до persistence через LaunchAgent и Dylib Hijacking T1574.004.
Mythic + Poseidon-агент на Go, Sliver с пересборкой под arm64, обход AMFI на Apple Silicon — с ограничениями по каждому EDR.
Falcon ловит beacon на второй минуте по DNS-паттерну — EDR слепнет только после смены транспорта на HTTPS с легитимным профилем.Статья Пентест беспроводных сетей: атаки через SDR, ESP32 и Wi-Fi Pineapple на нестандартное оборудование
HackRF One нашёл три ESP32 с кастомной прошивкой там, где airodump-ng видел «Unknown» — логистический оператор, склад, IoT-датчики температуры и полная слепота стандартного тулкита.Aircrack-ng и пара Alfa-адаптеров закрывают 802.11, но реальный эфир говорит на LoRa, Zigbee и Sub-GHz. ESP32 Marauder за $15 делает deauth и beacon flood скрытно со спичечный коробок. Wi-Fi Pineapple MkVII разворачивает Evil Twin с KARMA и captive portal. HackRF One перекрывает 1 MHz — 6 GHz и вскрывает всё, что вне Wi-Fi.
Kismet фильтрует Espressif OUI (24:0A:C4, 84:CC:A8) и ловит аномальные beacon frames — минимум IE, нет ответов на probe requests.
SOC смотрит в Windows Event Log — ESP32 на складе три месяца в эфире, ни одного алерта.Вакансия Вакансия DevSecOps в Золотое Яблоко
«Золотое Яблоко» ищет DevSecOps-инженера в Департамент кибербезопасности e-commerce. Компания входит в число крупнейших beauty-ритейлеров России и аккредитована как IT-компания.Формат работы: гибрид — офисы в Москве и Екатеринбурге. Официальное трудоустройство, персональное предложение по зарплате.
Условия: ДМС со стоматологией, частичная компенсация питания при работе из офиса, бонусы от компании и партнёров.
Компания ориентирована на нестандартные подходы и ищет специалистов, готовых реализовывать идеи в области безопасности разработки на масштабе федерального e-commerce.
Подать заявку: https://job.goldapple.ru/vacancy/69d86b9b981c6b68ba3eac7a-devsecops-inzhenerСтатья WebSocket Security: тестирование real-time приложений
WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.
Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.
Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.
Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.Статья SpiderFoot vs Recon-ng vs Amass: сравнение инструментов пассивной разведки для картирования внешней поверхности атаки
Amass passive-режим вернул 1000+ поддоменов за час — живых меньше трети. Recon-ng через модуль VirusTotal добил записи, которых Amass не видел. SpiderFoot в headless-режиме поднял корпоративные email из breach-баз. Три инструмента, три разных результата.На black box engagement с одним доменом и 48 часами до активной фазы ни один инструмент не дал полной картины в одиночку. Amass строит DNS-граф зависимостей через CT-логи, passive DNS и SecurityTrails — но без фильтрации шум перекрывает сигнал. Recon-ng обогащает данные через API-модули. SpiderFoot автоматизирует OSINT по T1596.001, T1589.002 и T1591.002.
Amass возвращает сотни записей — но без post-processing реально полезных меньше 30%.Статья Безопасность корпоративной Wi-Fi сети: WIDS/WIPS, hardening 802.1X и detection rogue AP
Evil twin проработал три недели в переговорной зоне: BSSID отличался на один октет, сигнал был на 8 dBm мощнее корпоративной AP — WIDS молчал, потому что whitelist BSSID никто не настроил. Утекли учётки 14 сотрудников.Цепочка атаки: airodump-ng собирает BSSID и каналы, hostapd-wpe разворачивает evil twin и перехватывает EAP-хэши через PEAP/MSCHAPv2 на поддельном RADIUS. Классика MITRE T1557 — без физического доступа, из парковки или кафе через стену.
Hardening: whitelist BSSID с порогом RSSI выше -65 dBm = Critical, dedicated sensor mode вместо background scanning (MTTD 30–90 сек против 20+ мин), валидация сертификата RADIUS на клиентах.
WIDS включён — но без whitelist BSSID это генератор тишины, а не алертов.Статья Метрики информационной безопасности: что реально измерять security-команде
Дашборд показывал MTTD = 4 часа — красная команда просидела в сети 11 дней без единого алерта, используя legitimate credentials и обходя шумные TTPs.Метрика «1 247 832 заблокированных атаки» выглядит убедительно на слайде CFO — и не говорит ровно ничего о реальной защищённости. Атакующий через T1562.001 отключает EDR-агент, а «покрытие EDR: 100%» остаётся зелёным. T1070.001 обнуляет MTTD для конкретного хоста — детектировать нечего, логов нет.
MTTD считают от первого алерта SIEM, а не от реального initial access — разрыв достигает 3–5x. В Splunk lookup-таблица `incident_timeline` с полем `first_compromise_ts` даёт честную картину.
SOC оптимизирует метрики по видимым инцидентам — слепые зоны в расчёт не входят.Статья Беспроводная разведка Wi-Fi сетей: что видит атакующий с парковки и как SOC это ловит
Alfa AWUS036ACH в monitor mode, Kismet с GPS — и за 12 минут с парковки: 47 BSSID, три «скрытых» сети, принтер с открытой точкой доступа. SOC заказчика не поймал ни одного алерта.Пассивная разведка через airodump-ng и Kismet не отправляет ни байта в эфир — только слушает 802.11 beacon и probe request фреймы. Адаптер в monitor mode вскрывает WPA2-Personal рядом с Enterprise-зоной, MAC вендоров, паттерны активности клиентов. IDS на проводном сегменте слепа: всё происходит до появления в Windows Event Log.
Детектирование строится на WIDS с корреляцией по BSSID-аномалиям и неожиданным probe request.
Проводной IDS молчит 12 минут — атакующий уже знает всю топологию беспроводной сети.Как обыграть казино Китайской теоремой об остатках: разбор Lucky Duck C@s1no с StudentCTF 2025
StudentCTF 2025, категория crypto — ни одна команда не взяла на квалах. Lucky Duck ******: блэкджек с LFSR под капотом, 40-битный регистр, секретные taps. Цель — баланс от 1 000 до 1 000 000.Каждая выдаваемая карта — это остаток от деления state по модулю текущей длины колоды. Четыре копии каждой карты в 208-карточной колоде дают 4 кандидата на остаток за каждое наблюдение. Семь карт — 16 384 ветки. На каждой ветке: нормализация модулей через НОД и восстановление state через Китайскую теорему об остатках.
Два восстановленных state = 80 бит выхода LFSR. Берлекэмп–Мэсси за пять строк на Sage вытаскивает секретные taps. Дальше — полное предсказание колоды, оптимальная стратегия ставок, миллион за 10–15 минут.
Тот же класс уязвимостей: Bitcoin-кошельки на Android (2013), PHP mt_rand() для токенов сброса пароля, PlayStation 3 ECDSA с фиксированным nonce.Статья Пассивный OSINT реконнект без следов: архитектура скрытого сбора данных для пентестеров
За 4 часа — 47 поддоменов, staging-сервер и оргструктура команды разработки: всё через Certificate Transparency, SecurityTrails и Wayback Machine. В логах заказчика — ноль записей.Пассивный OSINT покрывает MITRE ATT&CK T1593, T1596, T1590 до первого SYN-пакета. crt.sh отдаёт поддомены без касания цели, SecurityTrails восстанавливает историю DNS-миграций, метаданные PDF раскрывают имена и роли разработчиков. Граница пассивного — запрос идёт к третьей стороне, а не к ns1.target.com.
theHarvester с флагом -b dns уже активная разведка — он резолвит через DNS цели. SpiderFoot «из коробки» смешивает модули: SOC замечает через 12 минут.
Blue Team смотрит в WAF и EDR — пассивный OSINT живёт в crt.sh и Wayback Machine, куда алерты не приходят.