Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
IAB-брокер продаёт доступ к сети клиента — пока вы ещё не начали engagement. Exploit, RAMP, DarkForums: десятки лотов в неделю, Domain Admin за $2–5k, медианное время до обнаружения — 11 дней по Mandiant M-Trends 2025.
Рынок работает по модели разделения труда: IAB делает T1190/T1078 через stealer-логи Redline/Lumma или эксплуатирует VPN-шлюзы, закрепляется Cobalt Strike beacon — и продаёт. Akira и Play конвертируют купленный доступ в зашифрованную инфраструктуру за дни.
Артефакты IAB-компрометации: backdoor-аккаунты в AD, аномальные RDP/VPN-сессии вне рабочих часов, web shell по CWE-22.
SOC ловит lateral movement — IAB уходит до него. Доступ продан, пока в Windows Event Log тишина.
Mattermost с дефолтным incoming webhook слил AWS-ключи через curl в три строки — и initial access в облако появился раньше, чем пентестер добрался до контроллера домена.
Корпоративные мессенджеры — слепое пятно большинства программ аудита. Kill chain идёт через T1566.003 (Spearphishing via Service), T1552.008 (Chat Messages) и T1213.005 (Messaging Applications). Electron-клиенты Slack и Mattermost перехватываются через mitmproxy с transparent-режимом — certificate pinning там реализован непоследовательно.
Recon стартует с fingerprinting: Rocket.Chat отдаёт версию через /api/info без аутентификации, Matrix/Synapse — через /_matrix/federation/v1/version.
WAF и EDR молчат, пока AWS-ключи утекают в plaintext через чат #devops.
EchoLeak (CVE-2025-32711, CVSS 9.3) взломала Microsoft 365 Copilot через одно письмо в Outlook — zero-click, без компрометации учётки. Aim Labs задокументировали первую production prompt injection с полной эксфильтрацией данных из M365.
RAG-архитектура Copilot тянет контекст через Microsoft Graph и наследует права жертвы — почта, Teams, SharePoint, OneDrive. LLM не различает системные инструкции и вредоносный payload в письме: indirect prompt injection (OWASP LLM01:2025) выполняется как штатная задача. Следом Varonis нашли SearchLeak — цепочку CVE-2026-42824, кража данных по одной ссылке.
SOC видит обычную работу с AI-помощником — Copilot эксфильтрует данные от имени пользователя, Windows Event Log молчит.
MiniPlasma поднимает low-priv до NT AUTHORITY\SYSTEM на полностью пропатченном Windows 11 — через CVE-2020-17103 в cldflt.sys, которой шесть лет. EPSS 97-й перцентиль, PoC Форшоу запустился без единой правки.
Race condition в `HsmOsBlockPlaceholderAccess`: два потока атакуют состояние placeholder через `CfAbortHydration`, в окне между проверкой прав и записью второй поток подменяет путь на `HKU\.DEFAULT` — куст SYSTEM. Далее `Volatile Environment` → SYSTEM shell. MITRE T1068, AC:H, PR:L.
Три предыдущих эксплойта серии Chaotic Eclipse уже подтверждены в реальных атаках.
cldflt.sys загружен по умолчанию на всех Windows 11 — EDR видит user-mode, ядро пишет в SYSTEM hive молча.
Сисадмин поймал брутфорс по Event ID 4625 — серия на три DC за 12 минут, T1110 по MITRE ATT&CK — и без единого ИБ-курса заблокировал источник, собрал логи и написал отчёт. Через полгода он работал в SOC.
IT-бэкграунд покрывает 30–60% требований конкретной ИБ-роли. Сисадмин знает, почему Kerberoasting работает — ему не объясняют, что такое SPN. Разработчик с сотней API-эндпоинтов увидит SQL-инъекцию быстрее выпускника курса «ИБ с нуля». DevOps за день прикрутит Semgrep в GitLab CI — потому что знает, куда вставить stage.
Рынку не хватает 50 000 специалистов — но один из десяти проходит техническое собеседование.
CVE-2026-42897 в OWA: crafted-письмо без вложений и ссылок захватывает аутентифицированную сессию Exchange — CISA даёт 14 дней до дедлайна 29 мая, патча нет.
Root cause — CWE-79: Exchange Server не санитизирует HTML при рендеринге в OWA. CVSS 8.1, PR:N, UI:R — атакующий без аутентификации доставляет обфусцированный JavaScript стандартным SMTP. Жертва открывает письмо, скрипт исполняется в контексте браузерной сессии: T1114.002 (Remote Email Collection), BEC-пересылка, inbox rules.
Стандартный Exchange-playbook слеп: нет веб-шелла (T1505.003), нет аномального IIS-процесса, нет подозрительного outbound. EDR на хосте Exchange и IDS на периметре молчат.
SOC ищет артефакты на сервере — компрометация CVE-2026-42897 происходит целиком в браузере жертвы.
За два часа работы с TGStat и Telethon анонимный Telegram-канал превратился в конкретного сотрудника — через корреляцию юзернейма на четырёх платформах и анализ форвардных цепочек из слитого дампа.
Статья разбирает реальный OSINT-цикл по MITRE T1593.001 и T1213.005: от единственной зацепки — юзернейма в логах — до графа связей. Инструменты с флагами: Maigret (soxoj/maigret, ~3000 платформ), Telethon 1.36+ с rate-limit ~200-300 вызовов в минуту, TGStat для первичной разведки каналов.
Отдельный блок — запуск через Termux на Android 7.0+: F-Droid сборка, RAM от 3 ГБ, изолированный Telegram-аккаунт обязателен.
Русскоязычные обзоры дают списки из 50 ботов — ни одной воспроизводимой команды.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.