Форум информационной безопасности - Codeby.net

Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости

  • 135
  • 0
Схема сегментации по модели Пёрду на плотной бумаге с уровнями от SIS до корпоративной сети. Красная аннотация обводит отсутствующую DMZ, рядом лежит перьевая ручка и латунный пресс-папье.


⚙️ На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.

NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.

💡 Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.

Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS

  • 105
  • 0
Крупный план промышленного ПЛК Modicon на чёрном антистатическом коврике со следами термического повреждения и щупом в серийном порту. Резкий белый свет выхватывает выжженные контакты из глубокой т...


💣 Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.

Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.

💡 Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.

Статья Охота на угрозы RMM-инструменты: fingerprinting C2-инфраструктуры через Shodan, Censys и Netlas

  • 180
  • 0
Крест-манипулятор из тёмной стали лежит на чёрном мате, пять натянутых тросов уходят в тень. Конус настольной лампы выхватывает гравировку, вокруг — бирюзовый отсвет монитора и размытые огни.


🔍 NetSupport, ScreenConnect, SimpleHelp — атакующие разворачивают self-hosted C2 на VPS и прячутся за подписанными бинарниками. SOC ловит агента на эндпоинте, пока сервер управления остаётся слепым пятном.

Fingerprinting через Shodan, Censys и Netlas переворачивает логику: те же инструменты, которые атакующий использует по T1596.005, работают против его инфраструктуры. MurmurHash3 от favicon панели, комбинация http.headers.server + http.status_code, JARM-отпечаток TLS — три независимых сигнатуры дают кластер C2 одним запросом.

Свежий self-signed сертификат на IP из AS дешёвого хостера, домен младше 14 дней, порт 443 с заголовками ScreenConnect — это уже actionable IOC.

💡 EDR молчит — агент подписан вендором. Охота начинается не на хосте, а в Shodan.

Статья EDR bypass macOS: цепочка XPC + NIB injection для отключения CrowdStrike и Kandji

  • 229
  • 0
Разобранная материнская плата MacBook на тёмном рабочем столе с подключённым диагностическим зондом. Монитор отображает код уязвимости в монохромном свечении.


💣 XPC + NIB injection отключает CrowdStrike Falcon и Kandji MDM на macOS без sudo и kernel-эксплойтов — от имени стандартного пользователя. CVE-2026-39118 на руках, Apple архитектуру менять отказался.

Red team финтех-компании упёрлась в Falcon через 60 секунд после initial access: перекомпиляция, шифрование шеллкода, обфускация — агент ловил по поведению. Выход нашли через исследование XM Cyber: слабая XPC-валидация (Team ID не верифицируется), NIB injection и злоупотребление kernel trust cache дают полное отключение EDR и MDM.

💡 Falcon мониторит exec/mmap через ES Framework — но XPC-канал между его же компонентами остаётся слепой зоной.

Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента

  • 178
  • 0
Разрезанное промышленное реле на чёрном антистатическом коврике с обнажёнными медными катушками. На корпусе выгравирована маркировка уязвимости, из разлома поднимается тонкая струйка дыма.


💣 Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.

Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.

💡 SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.

Статья Asset Management для пентестера: полная карта атакуемой инфраструктуры и охота на забытые активы

  • 254
  • 0
Распечатанная карта инфраструктуры на кремовой бумаге с рукописными узлами сети и пометками инструментов разведки. Рядом лежат компас и перьевая ручка, мягкий оконный свет.


🗺️ Большинство организаций не знает, чем владеет буквально. В 9 из 10 проектов заказчик не видит собственной инфраструктуры целиком. Забытый dev-сервер, VPN-концентратор пятилетней давности, S3-бакет от уволившегося подрядчика — всё это реальные точки входа.

Навигационный хаб по 15 материалам: пассивная разведка через robots.txt, sitemap и .well-known; subdomain enumeration через Amass, Subfinder и dnsx; Passive DNS и CT-логи; Shadow IT от забытого поддомена до initial access; EASM-платформы и connectorless-перечисление; сравнение Shodan, Censys, FOFA и Netlas; SpiderFoot vs Recon-ng vs Amass; PhoneInfoga.

Decision tree по выбору стека: 1-3 домена за 1-2 дня — ручной workflow; корпорация с десятками доменов — автоматизированный pipeline; red team — continuous discovery через Certstream.

💡 Качественная инвентаризация определяет результат пентеста задолго до первого эксплойта. CMDB показывает узлы — пентестер видит пути.

Статья robots.txt, sitemap и .well-known: пассивная разведка веб-инфраструктуры без единого скана

  • 367
  • 0
Аналитический стол у окна с мягким дневным светом. На планшете открыт файл robots.txt с выделенными служебными путями, рядом лежит схема архитектуры сайта от руки.


🕵️ Один GET-запрос к /robots.txt вскрыл staging-среду финтех-сервиса: Swagger UI, два admin-эндпоинта и карту внутреннего API — ноль алертов в WAF, ноль записей в IDS, ноль подозрений у SOC.

MITRE T1593 (Search Open Websites/Domains) — техника, которую штатный стек мониторинга не видит в принципе. Директива Disallow в robots.txt — не инструкция «куда не ходить», а перечень самого интересного: /admin, /api/v2/internal, /staging. Wayback Machine добавляет историю: curl к архиву покажет удалённые пути, которые до сих пор живут на сервере.

OWASP A05:2021 Security Misconfiguration — корень проблемы.

💡 SOC ловит сканы и брутфорс — пассивная разведка через control files остаётся слепой зоной любого стека.

Статья Обнаружение мобильного шпионского ПО в корпоративной среде: от слепых зон MDM до network-based detection

  • 332
  • 0
Смартфон на тёмной антистатической подложке с форензик-дашбордом на экране, отображающим данные об обнаружении шпионского ПО. Янтарный боковой свет подчёркивает грань корпуса, рядом USB-адаптер для...


🕵️ Intune рапортовал «compliant» — пока iPhone финдиректора три недели сливал записи микрофона на C2 через HTTPS. Pegasus-класс имплантов не отражается как приложение, не триггерит jailbreak-detection и проходит все compliance-проверки.

MDM-решения — Intune, Jamf Pro, Workspace ONE — проектировались для управления конфигурацией, а не детекции компрометации. Kernel-level имплант с T1573 (Encrypted Channel) и certificate pinning невидим для MDM полностью. MTD-вендоры Lookout и Zimperium закрывают массовый stalkerware, но против свежей эксплойт-цепочки Pegasus работают с отставанием.

💡 SOC видит зелёную галочку Intune — имплант работает ниже уровня, который MDM вообще способен наблюдать.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 544
Сообщения
346 882
Пользователи
161 179
Новый пользователь
Collapse0641