Форум информационной безопасности - Codeby.net
Статья Кибератаки на юридические фирмы: kill chain вымогателей и detection-чеклист для SOC
Группировка Play слила данные Dallis Law Firm — одна из семи жертв за неделю. ALPHV/BlackCat вынесла 3,6 ТБ из HWL Ebsworth за 72 часа: от spearphishing-вложения до шифрования через T1566.001 → T1078 → T1213 → T1490 → T1486.Kill chain стартует в 09:15 понедельника — партнёр открывает «график заседаний» с макросом. К 02:00 вторника атакующие уже в iManage или NetDocuments: один аккаунт без matter-сегрегации — доступ ко всему хранилищу. В 03:00 среды: vssadmin delete shadows /all /quiet, bcdedit, запуск шифровальщика.
SOC-чеклист: алерты на массовый доступ к DMS ночью, запуск 7z.exe с ключом -p, обращения к vssadmin и wmic shadowcopy.
Юрфирма хранит данные уровня Fortune 500 — при защите уровня SMB без IR-плана.Статья Защита от DDoS-атак 2026: сравнение стратегий, detection и чеклист для SOC
340 Gbps UDP-флуда в 9:15 — и ровно в 10:10 WAF фиксирует 2400 rps на эндпоинт авторизации. Пока SOC разгребал NTP reflection/amplification (T1498.002), L7-вектор T1499.003 уже шёл в обход.Многовекторная атака — классическая дымовая завеса: volumetric-удар по L3/L4 отвлекает дежурную смену, второй вектор стартует в окно хаоса. Финтех из постмортема потерял 55 минут и миллионы на незавершённых транзакциях. DDoS-as-a-Service платформы опустили порог входа ниже Netflix-подписки.
Статья разбирает архитектурные стратегии 2026 — cloud scrubbing (DDoS-Guard, Qrator), on-premise (Arbor TMS, Radware DefensePro), гибрид по модели Kentik и BGP blackholing.
SIEM без корреляции T1498+T1499 как единого инцидента видит два алерта вместо одной атаки.Статья Аудит соответствия ФЗ-152: чеклист внутренней проверки и подготовка к инспекции Роскомнадзора
РКН приходит через 10 дней — реестр ИСПДн не обновлялся год, согласия для мобильного приложения не оформлены, поручение облачному провайдеру отсутствует. Чеклист из 12 пунктов и detection-правила для SIEM, чтобы закрыть дыры до визита инспектора.Инспектор РКН не идёт сразу в серверную — первые 30 минут чисто документарные: реестр на pd.rkn.gov.ru, приказ по ст. 22.1, политика на сайте без авторизации, 5–10 случайных согласий против фактических полей CRM. Расхождение между задекларированными целями и реальными потоками ПДн — первое замечание в акте.
Большинство замечаний в актах РКН — про бумаги, а не про железо. SIEM настроен, СрЗИ сертифицированы, поручение провайдеру не подписано.Статья Пентест OT ICS систем: моделирование распространения ransomware от IT-сети до контроллера
За 4 часа assumed breach с учётки инженера АСУ ТП — до holding registers ПЛК: два из трёх OT-мониторинговых инструментов показали чистый dashboard, пока мы уже сидели на контроллерах.Kill chain шёл по Purdue сверху вниз: historian на Windows Server 2012 R2 с дефолтными credentials SQL Server, dual-homed engineering workstation — и вот уже Modbus-трафик читается напрямую. MITRE T1210, SMB relay, RDP без NLA — классика, которая в OT работает годами без патчей.
Защита строится на сегментации каждого уровня Purdue, мониторинге Modbus/S7 аномалий через Dragos или Nozomi, LAPS на всех Windows-хостах OT и запрете dual-homing на EWS.
OT-мониторинг видит аномалию через 2 часа после компрометации контроллера — не до.Writeup Web | Flag shop | HackerLab
Маркетплейс с балансом $100, товарами и формой продажи. Купил Bad USB — $20 ушли, товара нет. Сканирование нашло /sell — можно выставлять свои товары с уникальным ID. Пазл сложился: Race Condition.Механика: создаём товар с ценой $-99 (три символа, отрицательное число — при вычитании система прибавит сумму к балансу). Регистрируем второй аккаунт, берём его session cookie. Python-скрипт запускает 100 потоков одновременно на покупку товара через POST /buy/ID. Запускаем 5-6 раз — баланс растёт.
Race Condition срабатывает, потому что сервер не блокирует параллельные транзакции атомарно: между проверкой баланса и его списанием успевают пройти десятки запросов. Сервер «думает», что у нас достаточно средств, и выполняет все операции.
После накопления баланса покупаем секретный девайс — флаг получен.
Ключевой шаг — отрицательная цена + многопоточность. Без второго аккаунта покупка собственного товара заблокирована.Статья Детальный разбор цифровых подписей РЕ-файлов
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.Статья Пентест АСУ ТП: kill chain от корпоративной сети до регистров контроллера
За 14 часов — от корпоративной сети до holding-регистров ПЛК нефтехимии: три DMZ-прыжка, забытая VPN-учётка инженера и шлюз с паролем из трёх символов. Ни одного алерта.Kill chain стартует с Shodan: `port:502 country:RU` отдаёт Modbus-устройства, `product:"Schneider Electric"` — конкретные вендоры. Nmap с `-sT -T2 --max-retries 1` и скриптами `modbus-discover, s7-info` даёт fingerprint без зависания S7-300. Дальше — FC03 (Read Holding Registers) и FC06 (Write Single Register) через порт 502/TCP без какой-либо аутентификации.
Evasion строится не на обходе EDR-хуков, а на мимикрии под легитимный HMI-опрос — Claroty и Nozomi работают по baseline аномалий.
IT-SOC смотрит в Windows Event Log — Sandworm и XENOTIME идут через OT напрямую, минуя эндпоинты.Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.