Форум информационной безопасности - Codeby.net
Статья OSINT разведка атакуемой поверхности автопроизводителей: Shodan, Censys и CT-логи на практике
Red team запросил CT-логи автопроизводителя — crt.sh вернул 400+ субдоменов за 20 минут: staging OTA-сервис, дилерский портал с Basic Auth, два API-шлюза телематики. Половины не было в asset inventory заказчика. Ноль пакетов в сторону цели.Разведка строится последовательно: crt.sh (T1596.003) даёт субдомены через wildcard-запрос с jq-парсингом, Shodan — баннеры и порты по org/ASN-фильтрам, Censys — корреляцию сертификатов с бизнес-юнитами. Automotive-инфраструктура особенно уязвима: заводы, дилерские сети, OTA, телематика, fleet management — каждый юнит заказывал сертификаты годами без единого реестра.
Asset inventory заказчика покрывал меньше половины реальной поверхности — CT-логи знают больше, чем CISO.Статья Защита смартфона от слежки: GrapheneOS, Lockdown Mode и мобильный харденинг для высокорисковых пользователей
CVE-2021-30860 (FORCEDENTRY) — zero-click через iMessage: жертва не нажала ничего, Pegasus уже внутри. GrapheneOS и Lockdown Mode — не паранойя, а инженерный ответ на Cellebrite, Predator и QuaDream.NSO Group, Intellexa, QuaDream — задокументированные вендоры с прайс-листами. FORCEDENTRY эксплуатировал integer overflow в CoreGraphics через JBIG2-PDF, замаскированные под .gif в iMessage. Работало на полностью обновлённых iPhone без единого клика пользователя.
GrapheneOS отвечает hardened_malloc против heap corruption, MTE на Pixel 8+, Duress PIN с уничтожением ключей в Titan M2 и USB-silence в BFU-состоянии.
MDM проверяет версию ОС — Cellebrite вытащит keychain и удалённые сообщения при физическом изъятии.Статья Картирование внешней атакуемой поверхности организации: Passive DNS, CT-логи и охота на Shadow IT
На pre-engagement пентесте crt.sh вернул 47 субдоменов — ИТ-отдел знал о 28. В оставшихся 19: Jenkins без авторизации, staging ERP и dev-среды с истёкшими сертификатами. Ни одного актива в CMDB.Passive DNS (T1596.001) и CT-логи по RFC 6962 раскрывают то, что активный скан пропустит: удалённые записи, облачные хвосты, shadow IT. Subfinder агрегирует passive DNS из десятков источников, dnsx резолвит массово, crt.sh через jq выдаёт все SAN — включая internal-tools и staging-домены.
Blue team закрывает dangling DNS — вектор subdomain takeover. NIST CSF 2.0 ID.AM-01 требует непрерывного мониторинга активов.
DNS brute-force зависит от словаря. CT покрывает каждое имя, для которого выписывался сертификат — разница принципиальная.Статья Обнаружение Shadow IT при пентесте: от забытого поддомена до initial access
Jenkins без аутентификации на ci-old.client.tld — и за два часа reverse shell во внутреннюю сеть финтех-компании. Сервер развернули три года назад, забыли выключить, в реестре активов его не существовало.Атакующий мыслит внешней поверхностью атаки, а не CMDB. Certificate Transparency логи через crt.sh, passive DNS в SecurityTrails и favicon-хеш в Shodan (`http.favicon.hash`) — три слоя разведки, которые вскрывают поддомены вроде dev-api, old-admin, test-2021 до первого пакета к цели. MITRE T1596 и T1590 в чистом виде.
Shadow-активы почти никогда не накрыты WAF, EDR-агентом или SIEM.
Сканер уязвимостей не найдёт то, чего нет в инвентаре. Shadow IT живёт именно там.Статья Persistence на macOS: техники закрепления для Red Team — от LaunchAgents до dylib hijacking
LaunchAgent с именем com.apple.metadata.mdworker-helper.plist пережил перезагрузку и частичную remediation от SOC — 11 дней в финтех-компании с 200 MacBook под Jamf, без единого алерта в SentinelOne и BlockBlock.Четыре техники закрепления на macOS Ventura/Sonoma — LaunchAgents (T1543.001), LaunchDaemons (T1543.004), Login Items и dylib hijacking — разобраны с позиции оператора Mythic Poseidon. Разбор включает OPSEC-правила именования plist, обход MDM-политик Kandji и условия, при которых Apple Silicon + SIP меняют kill chain.
SOC смотрит на новые plist-файлы — но Label внутри старого файла после Plist Modification (T1547.011) остаётся невидимым.Статья Триаж скомпрометированного Linux-хоста: сбор артефактов и построение таймлайна инцидента
Ubuntu 22.04 в DMZ сливает 2.3 ГБ наружу: у аналитика 40 минут до вопроса «что утекло?» — один необдуманный reboot уничтожит fileless-малварь, расшифрованные credentials и весь RAM-артефакт безвозвратно.Статья ведёт через порядок волатильности RFC 3227: сначала дамп памяти через LiME (`insmod lime-$(uname -r).ko`), затем `ps auxwf` для дерева процессов — если `nginx` порождает `/bin/sh` с `curl` на внешний IP, это pivot point. `lsof -i -u root` вытащит удалённый бинарь из `/proc/[PID]/exe` пока процесс жив.
Дальше — persistence-артефакты: crontab, systemd-юниты, `.bash_history`, `/dev/shm`.
SOC видит алерт на C2 — но fileless-пейлоад живёт только в RAM и исчезает при reboot раньше, чем откроют тикет.Статья OSINT мониторинг уязвимостей для Blue Team: конвейер от KEV CISA до приоритизации патчинга
Сканер выдаёт 4 000 CVE, патч-окно — 20 часов в месяц. IBM X-Force фиксирует 29 месяцев между публикацией CVE и её устранением — за это время T1588.005 уже в деле, эксплойты готовы. Конвейер от CISA KEV до EPSS решает задачу: найти правильные 20 CVE из 4 000.CVSS статичен и слеп к реальности — CVE с оценкой 9.8 может не иметь публичного эксплойта, а CVE 6.5 с рабочим PoC эксплуатируется третий месяц. NIST перешёл к выборочному обогащению NVD: приоритет — KEV CISA, остальные CVE висят без данных неопределённо долго.
CVSS 9.8 без эксплойта ждёт. CVE 6.5 из KEV — патчится сегодня. Аналитики до сих пор путают severity с риском.Статья Shift-left на практике: внедрение SAST и DAST в CI/CD без срыва релизов
Bandit с дефолтным конфигом выдал 400+ алертов — команда поставила allow_failure: true и забыла. ZAP ломал окно релиза 40 минутами полного скана — его отключили. SAST и DAST в pipeline есть, но работают как декорация.Статья разбирает реальный DevSecOps-стек: Semgrep на diff в MR за секунды, Trivy на каждый build, Nuclei вместо ZAP full scan в CI — и ZAP baseline только на staging. MITRE T1552.001 (Credentials In Files), T1195.001 (supply chain через PyPI/npm), Poisoned Pipeline Execution T1677 — всё это поверхность атаки самого pipeline, не только приложения.
Если на проекте работает грамотный DevSecOps-пайплайн — типовые SQLi и XSS уже отфильтрованы. Ценность пентестера смещается в бизнес-логику и authorization bypass.Статья OSINT по номеру телефона: от цифр к полному цифровому профилю — инструменты и методология
Один номер +7 — четыре часа работы — граф из 14 аккаунтов, двух email и следов в трёх утечках. PhoneInfoga, HLR-запросы, GetContact, реестр ЦНИИС: цепочка от голых цифр к верифицированному профилю без единого нелегального запроса.Методология строится по MITRE ATT&CK Reconnaissance: T1589 (Gather Victim Identity Information), T1593.001 (Social Media), T1596 (Open Technical Databases). HLR-запрос через smsc.ru возвращает MCC/MNC и статус SIM — active/absent/unknown. PhoneInfoga на Go агрегирует carrier, регион, breach-хиты. WhatsApp-аватар идёт в reverse image search через Search4Faces.
GetContact деанонимизирует не цель — а вас: ваша контактная книга уходит на серверы сервиса при установке.Статья Антифрод-аналитика транзакций: фрод-паттерны и скоринговые правила на практике
Один device fingerprint, 12 карт, интервал 30 секунд — кардинг уже идёт. 43 из 47 алертов за ночь оказались false positive на командировочных транзакциях, четыре реальных кейса принесли 38 тыс. руб. убытка плюс 12 chargeback-диспутов втрое дороже.Velocity-правила — первая линия, но без контекста дают FP-рейтинг 40%+. Скоринговая модель должна считать сигналы в связке: card_hash за 5-минутное окно, количество уникальных карт с одного device_id, интервал менее 10 секунд как маркер автоматизации, BIN-страна против IP-юрисдикции.
Account takeover детектируется через смену device fingerprint за 24 часа до транзакции и превышение среднего чека клиента в 3+ раза.
Chargeback-штрафы по Visa VAMP втрое дороже самого фрода — антифрод это P&L, а не задача безопасников.