Форум информационной безопасности - Codeby.net
Hackerlab Неделя 3: GreenEdge - web reconnaissance, directory + vhost
Главный сайт — только то, что вам решили показать. Реальная поверхность атаки: скрытые директории, vhosts, admin-панели по нестандартным путям. Неделя 3 серии «Сетевая разведка за 30 дней».Цель: GreenEdge — внутренний портал с «нестабильными компонентами». Инструменты недели: gobuster с флагом -x php,html,txt для directory brute force, ffuf с фильтром -fc 404 когда сервер отдаёт 200 на несуществующее, ffuf через Host header для vhost enumeration на одном IP, wfuzz для перебора параметров API-эндпоинтов.
Wordlist — не «больше = лучше»: SecLists под конкретную задачу даёт результат за 5 минут вместо часа с medium-списком. Vhost enumeration часто оказывается ключом, когда gobuster по основному хосту ничего не находит.
Старт: 15 июня 20:00 МСК. Дедлайн: 21 июня 23:59. Антиспойлер: до дедлайна — инструменты и подходы, конкретные пути и vhosts — в writeup после.
gobuster vs ffuf: оба нужны. Один пропускает то, что замечает другой — особенно при нестандартных кодах ответа.Статья Пентест macOS в 2026: kill chain от fingerprinting до persistence на Apple Silicon
На финтех-пентесте 14 из 18 хостов оказались macOS Sequoia на M3 — Cobalt Strike beacon и Rubeus не запустились вообще. Весь kill chain пришлось перестраивать с нуля под Apple Silicon.Fingerprinting начинается с uname -m и csrutil status — без знания arm64 vs x86_64 и статуса SIP потеряешь часы на payload'ы, которые не стартуют. Rosetta 2 проверяется через arch -x86_64 /usr/bin/true, а не pgrep oahd — тот даёт false negative. Gatekeeper молчит, если файл доставлен через curl или корпоративный файловый сервер: quarantine-атрибут просто не выставляется.
Большинство пентестеров пропускают macOS в scope — именно поэтому там нет EDR и детектов.Статья Threat intelligence для малого бизнеса: бесплатные инструменты, OSINT-источники и минимальная TI-программа без бюджета
Домен из фишинга бухгалтерии розничной сети на 80 человек сидел в URLhaus 48 часов — до того, как письмо дошло до ящика. Три минуты на блокировку в NGFW против трёх рабочих дней разбора постфактум.Один аналитик собирает рабочую TI-программу для SMB за два часа в неделю без коммерческих подписок. Фиды abuse.ch (URLhaus, Feodo Tracker) дают чистый C2 и malware-URL сигнал прямо в blocklist firewall. AlienVault OTX — широкий охват, но без фильтрации по отрасли генерирует шум. AbuseIPDB — только для ручной проверки, не для автоблокировки.
Малый бизнес атакуют не напрямую — через него лезут к крупному подрядчику. Сканеру всё равно, какая у вас выручка.Статья Кибербезопасность критической инфраструктуры: полная карта защиты энергосетей, SCADA и OT-систем
Оператор водоочистной станции в Олдсмаре увидел, как курсор двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия до уровня яда. Не было сегментации, не было мониторинга, не было MFA. Между 15 000 жителей и катастрофой — один внимательный сотрудник.Навигационный хаб по 9 материалам кластера: атаки на SCADA, сегментация OT по Purdue Model и Zero Trust, пентест Modbus, lateral movement из IT в OT, kill chain до ПЛК, иранские APT, ransomware в OT, VNC без аутентификации.
7 принципиальных отличий OT от IT: приоритет доступности, протоколы без аутентификации, цикл патчинга 29 месяцев, сканирование = риск аварии, жизненный цикл 25 лет, слепота стандартных EDR. IEC 62443, NERC CIP, NIST CSF 2.0 с адаптацией под промышленные среды. Чеклист 12 мер защиты критической инфраструктуры.
Air gap — миф. На каждом объекте найдётся Historian, dual-homed инженерная станция или забытый VPN-туннель вендора.Статья Извлечение паролей из памяти: как мастер-ключи менеджеров паролей оседают в RAM-дампе
Bitwarden.exe был заблокирован два часа — мастер-пароль из 24 символов всё равно читался через strings в heap V8. CVE-2023-32784 идёт дальше: KeePass отдаёт пароль даже после завершения процесса.WinPmem снимает полный образ RAM за минуты. В рендер-процессе Bitwarden (флаг --no-zygote) V8 не зануляет heap при блокировке — строка живёт до переаллокации. KeePass через .NET-аллокатор оставляет фрагменты пароля в дампе через T1055 или Task Manager «Create Dump File». BW-dump и PoC для CVE-2023-32784 автоматизируют извлечение.
CVSS 5.5 у CVE-2023-38840 усыпляет бдительность — но два часа после блокировки пароль в RAM.Статья TLS харденинг конфигурация: cipher suites, certificate pinning и типичные ошибки
HAProxy финтех-компании три года принимал TLS 1.0 с TLS_RSA_WITH_3DES_EDE_CBC_SHA — пока пентест 2025 года не показал downgrade-атаку за 4 часа. SIEM молчал: никто не мониторил TLS handshake с устаревшей версией. MITRE T1562.010, OWASP A02:2021.Nginx стоял идеально — TLS 1.3, AEAD, HSTS preload. Балансировщик вне scope аудита открывал путь для перехвата сессионных токенов. В статье — cipher suites для nginx и HAProxy, отключение CBC-режима (BEAST, Lucky13), ECDHE-only key exchange с x25519, настройка OCSP stapling и DH-параметров.
Qualys SSL Labs показывает A+ — а трафик HAProxy→nginx идёт plain HTTP внутри сегмента.Статья Detection Engineering: Sigma и YARA правила для детекции стеганографии и облачного C2 APT28
APT28 держала 42 хоста украинских военных структур под контролем — IOC-фиды молчали. C2 шёл через Icedrive, Filen и Koofr, шеллкод прятался в PNG. SigmaHQ (8000+ правил) не покрывает ни один из этих провайдеров.Operation Phantom Net Voxel: BEARDSHELL опрашивает Icedrive API каждые 4 часа, имя директории — FNV1a-хеш hardware fingerprint. COVENANT тянет C2-адреса из PNG через стеганографию T1027.003, трафик — ChaCha20-Poly1305 поверх TLS на порту 443.
Статья закрывает оба gap-а: Sigma-правило детектирует DNS-запросы к облачным провайдерам от non-browser процессов (svchost.exe на Icedrive — немедленный триггер), YARA бьёт по энтропийным аномалиям PNG, а не байт
SOC мониторит исполняемые файлы — PNG с шеллкодом sandbox не запустит, AV не сработает, DLP пропустит.Статья Управление поверхностью атаки: как инвентаризировать внешние активы и находить забытые точки входа
На пентесте финтех-компании скоуп содержал 12 доменов — passive recon вскрыл 47 забытых поддоменов: staging-API без аутентификации, Jenkins с дефолтными кредами, три dev-окружения с debug-режимом. Два актива дали initial access без единого эксплойта.ASM-подход меняет логику работы: вместо nmap по выданному скоупу вы сами строите карту внешних активов через MITRE T1590, T1596, T1595. Subfinder агрегирует 40+ источников CT-логов и DNS-дампов, Amass строит граф связей через ASN и WHOIS — разница между ними 15–30% дополнительных поддоменов.
Пентестер закрыл 12 доменов из скоупа — и не тронул 47 реальных точек входа. ASM — это не сканер, это смена вопроса.Статья OT пентест критической инфраструктуры: kill chain от корпоративной сети до ПЛК
На шести из восьми OT-пентестов путь от корпоративного VLAN до ПЛК насосной станции проходил через один неуправляемый коммутатор без ACL — никакого ICS-IDS, никакого файрвола, один L2-свитч и ты в одном broadcast-домене с контроллером.Полный kill chain: пассивная разведка SCADA через Shodan/S7scan, ARP-спуфинг в плоской сети, захват S7comm-трафика в Wireshark — пароль CPU S7-300 восстанавливается тривиально. Финал — Modbus FC16 Write Multiple Registers напрямую на ПЛК без единого эксплойта, с маппингом на MITRE ATT&CK ICS T0836/T0855.
Claroty и Dragos развёрнуты на 15–20% объектов КИИ — остальные слепы.
CrowdStrike на инженерной станции видит всё — и пропускает Modbus FC16, летящий мимо неё прямо в регистры контроллера.Статья VNC без аутентификации в промышленных системах: от разведки Shodan до контроля HMI
40 секунд от Shodan до насосной станции: VNC без аутентификации на Wonderware InTouch открыл прямой доступ к HMI водоочистных сооружений — nmap -p 5900-5910 --script vnc-info, затем vncviewer, и физический процесс под контролем.На реальном пентесте три VNC-сервера на портах 5900–5902 работали без пароля. Kill chain по MITRE ATT&CK: T1596.005 — разведка через Shodan с запросом port:5900 "Authentication: (1) None", T1133 — прямое подключение, T1113 — скриншоты мнемосхемы, T1489 — модификация уставок давления мышкой через GUI.
IDS молчит — VNC-трафик легитимен. От initial access до физического воздействия один шаг, без C2 и payload.