Форум информационной безопасности - Codeby.net
Статья Machine learning в кибербезопасности: как ML-scoring сократил триаж SOC с тысяч алертов до десятков
3 847 алертов за смену — lateral movement по легитимной учётке нашли через 48 часов по жалобе пользователя. Isolation Forest поднимает аналогичный паттерн до risk score 94/100 за секунды.Правила корреляции линейны: условие, порог, действие. Valid Accounts (T1078) — каждый логин выглядит нормально, порога нет. ML строит baseline и измеряет отклонения. Три алгоритма под три задачи: Isolation Forest для агрегированных метрик аутентификации, Autoencoder для UEBA и time-series, One-Class SVM для индивидуального baseline привилегированных учёток.
contamination=0.02 — 2% аномалий. При 50 000 событий в сутки это 1 000 эскалаций — порог risk_score калибруется под пропускную способность L1. Из восьми внедрений пять деактивированы за три месяца: не занимались feature engineering. CVE-2025-32434 в PyTorch (CVSS 9.3): RCE при загрузке модели — ML-пайплайн такой же артефакт инфраструктуры, как любое ПО.
ML в SOC — процесс, а не продукт. Переобучение каждые 2-4...Статья IR Playbook для security-команды: как построить процесс реагирования на инциденты с нуля
9:15 утра — vssadmin delete shadows /all на трёх серверах. Четыре человека, ни у одного нет общего понимания: кто изолирует, кто снимает дампы, кто звонит юристам. Бэкап-сервер в том же VLAN.Severity matrix с SLA: P1 — containment за 15 минут без звонка CISO, иначе теряете час пока ransomware идёт дальше. Российский контекст: 24 часа для уведомления Роскомнадзора, 3 часа для ГосСОПКА по значимым объектам КИИ — задержка с классификацией стоит процентов от выручки. Дежурный аналитик выключил питание вместо сетевой изоляции — ключи шифрования из RAM ушли вместе с питанием.
Sigma-правило: lsass.exe + GrantedAccess 0x1010/0x1410 без фильтра — 200 ложных алертов в день, через неделю его игнорируют. Двойной сброс krbtgt: первый убивает текущий пароль, второй — Golden Ticket с предыдущим.
Playbook без квартальных учений — художественная литература.Статья Пентест как сервис (PTaaS): сравнение платформ, модели работы и когда платформа заменяет классический проект
Классика за четыре дня — SQL injection до lateral movement во внутреннюю сеть. PTaaS за месяц — 47 уязвимостей веб-периметра, но не прикоснулась к AD. Это про «когда что применять», а не «что лучше».Deployment velocity gap: при еженедельных деплоях окно обнаружения при годовом пентесте — 180 дней. Баг из января всплывёт при следующем тестировании через полгода. PDF, описывающий призрак: система уже не та, что при скоупинге.
Hybrid — стандарт зрелых платформ. Autonomous — не видит business logic, не адаптируется к кастомной ролевой модели. Провайдер не объясняет, какие артефакты покрывают какие контроли SOC 2 — compliance-обещание пустое. Ни один PTaaS не дошёл до domain admin.
Середина рынка — «Nessus + ручная Top 10 за $20K» — сжимается. Через два-три года: senior с глубокими цепочками или оператор PTaaS.Статья SSRF атака на облачные credentials: эксплуатация metadata endpoint от IMDSv1 до постэксплуатации
PDF-генератор принял http://169.254.169.254 как URL документа. Три GET-запроса — JSON с AccessKeyId, SecretAccessKey и SessionToken. Одиннадцать минут от SSRF до aws s3 ls.IMDSv1 не требует заголовков — любой GET с инстанса возвращает IAM credentials. IMDSv2 блокирует базовый SSRF, но HttpTokens: optional оставляет IMDSv1 в качестве fallback. На каждом втором cloud-пентесте тикет в Jira создан полгода назад, а optional до сих пор стоит. Кампания марта 2025: автоматизированный перебор шести параметров и четырёх subpath с ASN 34534 — ковровая бомбардировка EC2 в поиске SSRF.
WAF на строку 169.254.169.254 пропускает decimal (2852039166), hex (0xA9FEA9FE), octal и DNS rebinding. GuardDuty ловит exfiltration по source IP — работайте с украденными credentials через свой EC2 в том же регионе. 452% рост SSRF-атак 2023→2024.
Одна команда: aws ec2 modify-instance-metadata-options --http-tokens required.Статья Банковский троян Casbaneiro: техники уклонения от детекции и механизмы самораспространения
Casbaneiro 2023: трёхкратный рост активности у трояна, которого списали со счетов. Четыре криптоалгоритма, два метода через доверенные PE, UAC bypass, Dead Drop через YouTube — это поддерживаемый продукт с версионированием.Строковая таблица уничтожается после каждого обращения — в memory dump строки живут доли секунды. XOR с зависимостью от предыдущего байта, ключ конструируется из десятков фрагментов в рантайме. AutoIt-скрипт вызывает экспортируемую функцию вида F0x000102030405... через DllCall в контексте подписанного PE. DLL side-loading через Oracle Java kinit.exe — unsigned jli.dll без подписи Oracle.
Самораспространение через Outlook MAPI: письма из легитимного ящика, SPF/DKIM/DMARC проходят. Horabot 2025 — динамически генерируемый PDF с уникальным PIN ломает сигнатурный детект. WhatsApp и ClickFix как дополнительные каналы.
«Нацелен на Латинскую Америку» — устарело: семплы из Испании и США с 2023 года.Статья Обход антифрод систем: как атакующие уклоняются от фрод-мониторинга и где защита слепа
ML-движок за семизначный ценник пропускал CNP-транзакции до 150 000 рублей без алерта. Четыре часа — три уровня антифрода обойдены. Главный зазор: система откалибрована под минимизацию false positives.Конвейер: JS-коллектор → feature extraction → rule engine → ML scoring (0.3/0.7 пороги) → decision. Device fingerprint spoofing требует консистентности: Canvas указывает Intel, WebGL возвращает NVIDIA — флаг. Residential proxy — минимальное требование, datacenter IP убивает любую маскировку.
Behavioral hijacking 4th-gen ботов: запись и воспроизведение реальных сессий, а не генерация «человекоподобных» движений. ML деградирует через data drift — окно между новым паттерном и переобучением. Slow-drip: 5 транзакций блокируют — проводим 4. Граф-анализ единственный механизм, делающий цену атаки выше её выгоды.
LLM-боты 5-го поколения: синтетическое адаптивное поведение в реальном времени — через год-два.Статья Мисконфигурация облака как вектор атаки: S3-бакеты, снапшоты и storage AWS/Azure/GCP
S3-бакет с продакшн-бэкапами БД за три минуты — aws s3 ls --no-sign-request. SQL-дампы с PII, ключи API платёжного шлюза, .env с credentials от RDS. Бакет висел больше года.Три сценария: только чтение (T1530 — терабайты за часы, среднее время обнаружения 200+ дней), запись (подмена ассетов, supply chain через статику, S3 bucket takeover через устаревшую DNS-запись), ransomware через SSE-C с ключом атакующего. Публичные EBS-снапшоты — часто продуктивнее открытых бакетов: .env с DB credentials, SSH-ключи, Docker registry tokens.
CloudTrail: data events (GetObject, PutObject, ListObjects) выключены по умолчанию. CSPM пропускает cross-account wildcard IAM, shadow IT бакеты и signed URL утечки. Логирование без анализа = отсутствие логирования.
Пока ownership бакета не закреплён за конкретным инженером — CSPM генерирует шум, а не защиту.Статья Анатомия реестра Windows[1] - формат файлов REGF на диске
Реестр Windows под микроскопом: бинарный формат REGF — это сложная файловая система без официальной спецификации за 30 лет. Открыли HxD, наложили структуру — и реестр стал читаем как книга.Иерархия трёх уровней: HBASE_BLOCK (4 КБ заголовок с контрольной суммой и временем записи) → контейнеры HBIN (также 4 КБ, могут объединяться до 64 КБ) → ячейки CELL с сигнатурами nk/vk/sk/db. Знак первого дворда ячейки — занята или свободна: NEG от 0xFFFFFF78 даёт реальный размер 0x88. Исследователь Матеуш Юрчик потратил два года и нашёл 57 уязвимостей.
Пять способов получить куст SAM/SYSTEM/SECURITY: LiveCD, reg save от админа, смена ACL в Regedit, psexec -sid, VDI-образ через 7-ZIP. Удалённые из реестра ключи остаются в REGF на диске — артефакт для криминалистики.
Исходник парсера на FASM с рекурсивным обходом дерева узлов — во вложении.Статья Threat hunting lateral movement: SIEM-запросы и поиск бокового перемещения во время инцидента
EDR сработал через 40 минут — атакующий уже на трёх соседних машинах. Тикет закрыт, все довольны. Но разница между закрытым тикетом и закрытым инцидентом — это и есть threat hunting lateral movement.62 минуты — среднее время breakout по CrowdStrike 2025, рекорд 51 секунда. 79% атак без malware: hands-on-keyboard, net.exe, WMI — файловых IOC нет. Один source IP → 5+ хостов за 10 минут — поведенческий IOC. RC4 (0x17) в AES-домене — как бензиновый двигатель в Tesla: работает, но сразу видно.
Decision tree: алерт на T1003.001 → ищем Logon Type 3 с source скомпрометированного хоста. EventID 7045 → корреляция с предшествующим 4624 Type 3. RC4 Kerberos → 4769 без baseline lookup бесполезен. Pivot от известного хоста, рекурсивный обратный pivot — минимум 2-3 уровня.
Без 30-дневного baseline любое правило из таблицы — сотни ложных срабатываний в день.Статья Пентест облачной инфраструктуры: методология, инструменты и реальные цепочки атак
Read-only IAM-ключи «для аудита» — через четыре часа полный доступ к production-бакету с ПДн. Ни одного эксплойта, ни одной CVE. Только iam:PassRole на забытой dev-роли и штатные API-вызовы AWS.80% облачных инцидентов — ошибки конфигурации, не уязвимости ПО. Вектор: от сетевых дыр к IAM-цепочкам. ScoutSuite — карта аккаунта за 30 минут, Prowler — compliance + логирование, Pacu iam__privesc_scan — ~20 известных цепочек привилегий. ScoutSuite цепочки не видит, только точки.
IMDSv1 (HttpTokens=optional) + SSRF → temporary credentials роли → Secrets Manager → RDS: три команды, данные клиентов.
Overprivileged Lambda + iam:PassRole → AdminAccess за две API-команды. CloudTrail видит AssumeRole и CreateAccessKey — видит ли SOC? GuardDuty срабатывает мгновенно на credentials EC2 с внешнего IP. Compliance-аудит ≠ пентест: если нет ни одной эксплуатированной цепочки — это был аудит.