Форум информационной безопасности - Codeby.net
Статья Микросегментация сети Zero Trust: практическое руководство по внедрению
В 3 из 5 аудитов Zero Trust внутри «защищённых» сегментов стояло правило permit any any — lateral movement шёл беспрепятственно. CISA 2025 прямо фиксирует: ошибки проектирования политик обнуляют все инвестиции в микросегментацию.Атакующий после T1078 (Valid Accounts) запускает T1046/T1018/T1049, затем движется через T1021 Remote Services — и классический VLAN с ACL не останавливает ни один шаг. East-west трафик периметровые средства не видят, всё внутри считается доверенным.
VLAN есть, отчёт красивый — а permit any any внутри сегмента даёт атакующему полный east-west.Статья Ransomware за 60 минут: как Akira и Medusa/Storm-1175 ускорили атаки и как их детектировать
Akira и Storm-1175/Medusa ускорили lateral movement до 62 минут — рекорд 51 секунда. VPN без MFA, CVE-2023-20269 + CVE-2020-3259 на Cisco ASA, затем CVE-2023-27532 дампит Veeam-пароли в cleartext.Akira идёт по жёсткому playbook: brute force через SSL VPN → Veeam-Get-Creds.ps1 → RDP lateral movement → AnyDesk C2 → WinRAR + Rclone exfiltration → шифрование. Storm-1175 использует zero-day в веб-приложениях и разворачивает Medusa RaaS менее чем за 24 часа. MITRE T1021.001, T1562.001, T1486 — весь набор.
MTTR выше 4 часов — обе группировки финишируют до первого алерта. AnyDesk IT-отдела и AnyDesk Akira в логах неразличимы.Резюме OSINT аналитика
OSINT-специалист с 2-летним опытом и ~20 закрытыми кейсами: раскрытие анонимности мошенника, сбор доказательств для налоговой, проверка контрагентов.Поиск людей — аналитика по фото, номеру и любому аутентификатору личности. Проверка на утечки — скомпрометированные учётные данные, уязвимая инфраструктура, конфиденциальные данные в открытом доступе. Госреестры — юрлица, ИП, ЕГРЮЛ, ЕГРИП, суды, исполнительные производства. Сеть — полная инфраструктура через DNS, сканеры и баннеры.
Дополнительно: метаданные файлов, сбор крипто-транзакций, мониторинг, репутация и надёжность, архив интернета.
Форматы работы: полное досье, деанонимизация, проверка на утечки, due diligence контрагентов.
Составляю полноценные отчёты с ссылками и скринами. Знаю границы своих возможностей. Цены договорные.Контакты: @qntm_osint / @asdfrhzx (Telegram) или личка на форуме.
Статья Phantom Stealer и Phantom Project: разбор MaaS-кита с инфостилером, криптером и RAT
Phantom Project — MaaS-кит из трёх компонентов (стилер + криптер + RAT), форк Stealerium с BouncyCastle и SQLite внутри. Group-IB зафиксировала 5 волн фишинга по логистике Европы; F6 связала инфраструктуру с Agent Tesla через общий Yandex SMTP.Infection chain стартует с ISO-образа в RAR-архиве: Windows монтирует диск автоматически, жертва кликает на «Bank transfer confirmation» — и .NET-бинарь 6,5 МБ уходит в память. Криптер (MITRE T1027.002) снимает детект; RAT закрепляется через T1219. Каналы эксфильтрации — Telegram, Discord, SMTP, Zulip, GoFile.
75% вторжений используют valid credentials — EDR молчит, пока стилер уже слил сессионные токены.Статья Стеганография в изображениях: техники LSB, DCT и palette-манипуляций — от атаки до детекта
Сотрудник General Electric прятал турбинные расчёты внутри обычной картинки — DLP видела JPEG с котиком, ничего аномального. LSB, DCT и palette-манипуляции обходят контентную фильтрацию, IDS и AV одновременно.LSB-внедрение меняет младший бит пикселя на 1 — разница в значении канала максимум единица, глаз не замечает. DCT-стеганография работает в JPEG через модификацию частотных коэффициентов (T1027.003 + T1001.002). Малварь скачивает картинку с CDN, парсит биты — для сети это обычный GET к легитимному хосту.
Детект: chi-square тест выявляет выравнивание пар (2k, 2k+1) в каналах — реализовано в zsteg.
AV не сканирует пиксельные данные на shellcode — payload живёт в изображении, пока малварь не вызовет T1140.Статья Детектирование инфостилеров: IOC, SIEM-правила и реагирование на credential leak
Lumma-стилер слил 47 валидных корпоративных пар логин/пароль на Russian Market — за 48 часов до credential stuffing по VPN-шлюзу. IBM X-Force 2025: инфостилеры — 32% всего malware, 6 000 свежих учёток в dark web ежедневно.Заражение идёт через ClickFix-фишинг или поддельные инсталляторы на личном BYOD-устройстве. Стилер копирует SQLite-базу Login Data (T1555.003), перехватывает cookie сессий, конфиги VPN и SSH-токены, упаковывает в архив и эксфильтрует через Telegram Bot API или HTTP POST на свежий C2-домен (T1041).
EDR молчит: заражение на личном ноутбуке, корпоративный хост чист. Detection живёт в сетевом трафике и мониторинге утечек.Статья Мисконфигурация облака как вектор атаки: полная карта угроз и защиты AWS, Azure и GCP
99% облачных инцидентов — вина клиента, не провайдера. Облачные вторжения выросли на 37% в 2025 году. Атаки с использованием валидных credentials — плюс 71%. Мисконфигурация облака — самый дешёвый вектор: не нужны эксплойты, хватает curl.Навигационный хаб по 9 материалам: открытые S3/Azure Blob/GCP Storage, SSRF к metadata endpoint (169.254.169.254), эскалация привилегий AWS IAM, credential theft и account takeover, CVE-2026-40175 в Axios, безопасность Terraform/CloudFormation, мисконфигурации Salesforce, атаки на serverless Lambda.
Kill chain из 6 этапов с маппингом MITRE ATT&CK: T1619 → T1078.004 → T1552.005 → T1530 → T1098.003. Чеклист 12 действий для немедленного аудита: Block Public Access, IMDSv2, Object Lock, аудит EBS-снапшотов. Таблица инструментов: Prowler, ScoutSuite, Trivy, Pacu — с реальными ограничениями каждого.
Security-команда мониторит трафик и...Статья КИИ и персональные данные: совмещение требований ФЗ-187 и ФЗ-152 для операторов критической инфраструктуры
СКУД на подстанции хранил биометрию 340 сотрудников — и это одновременно ЗОКИИ по ФЗ-187 и ИСПДн с биометрическими ПДн по ФЗ-152. Два регулятора, два реестра, два комплекта документов — и ни один не закрыт.Акт категорирования ФСТЭК фиксирует систему как объект КИИ, но политика обработки ПДн биометрию не учитывает вовсе. При инциденте оператор обязан уведомить и ГосСОПКА, и Роскомнадзор — с разными сроками и форматами. Приказ ФСТЭК №239 закрывает технические меры, но не касается правовых оснований обработки, согласий субъектов и локализации баз данных по ст. 18 ФЗ-152.
Приказ №239 не закрывает ФЗ-152. Уголовка по ст. 274.1 УК РФ — до 10 лет — идёт отдельно от оборотных штрафов за утечку ПДн.Статья Модели зрелости информационной безопасности: CMMC, C2M2, SSE-CMM и BSIMM — выбор фреймворка и self-assessment
Gap-анализ по CMMC, C2M2, SSE-CMM и BSIMM в 12 организациях дал один итог: dormant accounts и flat network числились «Implemented» в Excel — и ломались за час на внутреннем пентесте.Автор разбирает, почему self-assessment врёт: фреймворк выбирается по инерции, оценка проводится «по памяти» без верификации. CMMC Level 2 требует 110 контролей по NIST SP 800-171 — аудитор смотрит не на политику, а на лог и конфигурацию. C2M2 MIL1 в домене Threat and Vulnerability Management означает, что `nmap -sV` даёт полную картину без evasion.
Радиальная диаграмма в PDF не детектирует T1078 — пентест опровергает скоркарту быстрее, чем её читает CISO.Статья Обнаружение APT атак: SIEM, EDR, NDR и Threat Hunting — полная карта защиты в 2026 году
57% организаций узнают о компрометации не от SOC, а от внешней стороны. Среднее время lateral movement после первичного доступа — 62 минуты. 79% атак обходятся без вредоносного ПО — только легитимные инструменты и украденные учётные данные.Навигационный хаб по 9 материалам: облачные C2-каналы (Google Sheets, OneDrive, Slack), Sigma-правила для Cisco SD-WAN, стеганография в WAV-файлах, AI-ransomware, слепые зоны Linux EDR, LLM-honeypot на все 65535 портов, ML-скоринг алертов, identity-атаки, lateral movement без малвари.
SIEM→EDR→NDR→XDR: почему изолированные инструменты слепы к APT. Hunting-запрос для Splunk на дамп LSASS (T1003.001). Таблица зрелости SOC от L0 до L4 с покрытием MITRE ATT&CK. Стек по размеру команды с бюджетами.
Инструменты — множители. Умножьте их на ноль процесса — получите ноль детекции.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
