Форум информационной безопасности - Codeby.net
Статья Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика
Учётка svc_backup тихо ходила по 12 серверам 36 часов — Event ID 4624 Type 3 в логах, тишина в алертах. NTDS.dit скопирован, три файловых сервера зашифрованы. Не хватило одного: корреляции.SMB lateral movement (T1021.002) оставляет чёткий след — 4624 Type 3 с NtLmSsp и KeyLength=0, 4648 с явными кредентиалами, 5145 на ADMIN$/C$. Splunk-правило: dc(ComputerName) > 3 за 15-минутное окно от одного TargetUserName плюс explicit_creds > 0 — и алерт готов.
PsExec детектируется через Event ID 7045 с рандомным 4-символьным именем сервиса (Impacket-default), 5145 на ADMIN$ и дочерними процессами от psexesvc.exe.
4624 Type 3 пишется на цели, 4648 — на источнике. Корреляция по имени юзера, не по хосту — иначе правило слепое.Статья Свой асинхронный сканер портов на Python: asyncio, сокеты и парсинг баннеров
Asyncio-сканер на 80 строк Python закрыл /24 за 47 секунд — без nmap, без root, из-под www-data на pivot-хосте с заблокированным бинарным трафиком через reverse-SSH туннель.TCP connect scan через asyncio.open_connection + asyncio.Semaphore(300) — полное рукопожатие без raw sockets. MITRE T1046 в чистом виде: 1024 порта на 254 хостах, баннеры SSH и HTTP за один проход, asyncio.wait_for гасит зависшие корутины на дропающем файрволе.
Семафор критичен: превысишь ulimit -n 1024 — получишь OSError errno 24 и нулевые результаты без видимых ошибок. Старт с N=300, таймаут connect 2.0 с, баннер 1.0 с. Для SOCKS-прокси — N≤100.
SOC видит nmap в сигнатурах — Python connect scan в pcap выглядит как легитимный сервисный трафик.Статья Лаборатория для Wi-Fi пентеста: от адаптера с monitor mode до detection-стенда
ALFA AWUS036ACH, направленная антенна в сторону офиса — за 35 минут airodump-ng взял WPA2-PSK handshake, hashcat за ночь вскрыл пароль. Гостевой VLAN не изолирован: утром пятницы — полный доступ к корпоративному сегменту.Статья разбирает полный стенд: от выбора чипсета (RTL8812AU vs MT7612U vs MT7921AUN) до kill chain по MITRE ATT&CK — T1669, T1040, T1557.004. Разбор драйверов, monitor mode, packet injection через aireplay-ng и mdk4, PMKID-атаки и beacon flooding.
Detection-сторона: как WIDS закрывает три этапа деаутентификации, которые SOC пропустил полностью. Корреляция алертов в SIEM, IOC беспроводных атак, hardening — изоляция VLAN, контроль rogue AP по T1200.
SOC мониторит эндпоинты — атака живёт в эфире. WIDS отсутствовал, Windows Event Log молчал всё время.Статья DDoS-атаки на DNS: water torture, NXDOMAIN flood и защита серверов
Mirai-ботнет уложил Dyn в 2016-м через water torture: IoT-устройства долбили рекурсоры случайными поддоменами вида a1b2c3.target.com — кэш бесполезен, каждый запрос уходит к авторитативнику. Twitter, Reddit, GitHub — оффлайн.Water torture эксплуатирует T1499.002/T1499.003: объём трафика скромный, но CPU рекурсора уходит в потолок от cache miss storm. NXDOMAIN flood бьёт по рекурсору любыми несуществующими доменами, water torture целится через него в конкретный авторитативный сервер. DNSSEC иронично усиливает amplification до 54x (T1498.002, US-CERT TA13-088A).
SOC видит volume spike — water torture его не даёт. Атака прячется за легитимным трафиком, пока CPU уже в 100%.Резюме Начальник отдела ИБ 19 лет опыта ищу работу в Красноярске или дистант/варианты
Начальник отдела информационной безопасности, 19 лет опыта в единой экосистеме металлургической и добывающей отрасли. Управление командой до 10 человек, 700+ систем под контролем, 88 ЗОКИИ, 35 систем ПДн.Ключевая экспертиза: защита КИИ и АСУТП по приказам ФСТЭК №235, №239, №237; ФЗ-187, 152-ФЗ, Указы Президента №250, №166. Контроль более 1500 заявок на доступ в год, экспертиза портфеля из 600+ инвестиционных проектов с ИТ/ИБ-составляющей. Бюджетирование и закупки по 223-ФЗ.
Технический стек: Astra Linux, ALD Pro 2.3.0, zVirt, VMware, Zabbix, СКДПУ-НТ, ПК СВ Брест, Active Directory, SAP ERP. Стандарты: ISO 27xxx, ITIL, COBIT, PDCA.
Локация: Красноярск / готов к командировкам. Формат: офис / удалённо / гибрид. Желаемая з/п: от 350 тыс. руб. на руки.
Награждён «Лучший работник» — успешное внедрение единого процесса ТО систем защиты АСУТП на 11 производственных площадках.Статья Subdomain enumeration инструменты: полный маппинг внешней поверхности атаки через amass, subfinder и dnsx
Subfinder за 40 секунд вытащил 312 субдоменов финтех-площадки в passive-режиме. Amass добавил 180 уникальных. DNS brute-force через dnsx с wordlist-ом Assetnote — ещё 47, включая staging с открытым Jenkins без аутентификации.Полный recon-пайплайн: subfinder -d target.com -all → amass enum --passive → dnsx-брутфорс. Passive-фаза покрывает T1596.001 и T1595.003 по MITRE ATT&CK, не генерируя трафика к цели. API-ключи Censys, SecurityTrails и VirusTotal в provider-config.yaml увеличивают выдачу в 2–3 раза.
Subfinder и amass пересекаются на 60–70% — остальное уникальные находки каждого.
Staging-сервер не в scope документации — но он в DNS. Jenkins без авторизации не попадёт в Shodan, зато попадёт в wordlist-брутфорс.Статья FASM - многоязычный интерфейс программ Win-MUI
Многоязычный интерфейс — обязательное требование заказчиков. Готовые решения либо платные, либо раздувают размер программы, либо хранят строки внутри скомпилированных DLL. Разбираем два метода на WinAPI без сторонних библиотек.Метод 1: двойные ресурсы в PE-файле. Один и тот же ID диалога и меню описывается дважды — для LCID_RUSSIAN (0x0419) и LCID_ENGLISH (0x0409). Загрузчик Windows сам выбирает нужный по предпочтительному языку через GetSystemPreferredUILanguages(). SetThreadPreferredUILanguages() подменяет его до создания окна — тогда интерфейс переключается без перезапуска программы.
Метод 2: внешние .LNG-файлы в формате INI. FindNextFile() перебирает все LNG в директории, GetPrivateProfileString() читает строки по числовым ключам в цикле, SendMessage() перезаписывает элементы окна. Добавить новый язык — создать файл рядом с EXE.
Строковые ключи 3001=Процессор вместо имён позволяют читать все строки в одном цикле. Осмысленные имена — ад при сотнях строк.Статья Типы инсайдерских угроз: malicious, negligent и compromised — индикаторы, kill chain и модели риска
Учётка бухгалтера в 2:47 ночи запустила PsExec — DLP молчал четыре дня, пока compromised insider сливал финотчётность на Dropbox. Один тикет, 40 человеко-часов реагирования и полный пересмотр модели привилегированного доступа.Malicious, negligent и compromised — три разных kill chain, три разных набора индикаторов. Malicious инсайдер эксфильтрует 300 МБ за 14 дней мелкими порциями — DLP слеп к такому ритму. Negligent сотрудник копирует данные в ChatGPT «для быстрого анализа» — классические политики этот канал не покрывают.
Compromised insider — внешний атакующий за рулём легитимной сессии.
SOC ловит все три типа одним правилом — именно поэтому compromised insider сидит в сети незамеченным неделями.Статья Stalkerware обнаружение на Android: технические отличия от коммерческого spyware и индикаторы компрометации
Три APK без иконок в launcher, wake lock каждые 15 минут и HTTP к shared-хостингу — stalkerware на Android оставляет грубые артефакты. Pegasus не оставляет ничего: ни DeviceAdmin, ни записей в pm list packages.Stalkerware цепляется за DeviceAdminReceiver и Accessibility Services — проверяется через adb shell dumpsys device_policy и adb shell settings get secure enabled_accessibility_services. В logcat виден RECORD_AUDIO, аномальные wake lock'и, HTTPS к дешёвым хостингам. MITRE T1036, T1056.001, T1113 — весь набор без единого kernel-эксплойта.
SOC ищет сложные TTPs — stalkerware детектируется через adb за 3 минуты, но его не ищут.