Форум информационной безопасности - Codeby.net

Статья Утечка данных через Zendesk: kill chain, detection gap и чеклист для SOC

  • 205
  • 0
Распечатанный журнал аудита на плотной бумаге, освещённый мягким дневным светом. Строки API-запросов выделены синим маркером, рядом лежит перьевая ручка.


🕵️ Scattered Lapsus$ Hunters удерживала доступ к Zendesk Discord 58 часов — 8,4 млн тикетов, сканы паспортов, $3,5 млн выкупа. Вектор: BPO-агент, T1195 + T1078, без единого CVE.

Kill chain начинается не в Zendesk, а у аутсорсера: фишинг-кит под Okta крадёт OTP, сессия захвачена, Zenbar открыт. Дальше — T1213 через `/api/v2/tickets` и Incremental Export API: 700 req/min на Enterprise, никакого архитектурного лимита на объём выгрузки авторизованным агентом.

Detection gap: SIEM видит легитимный HTTPS из Zendesk-диапазона — T1567 в чистом виде.

💡 SOC мониторит эндпоинты — эксфильтрация идёт через helpdesk API. Windows Event Log молчит все 58 часов.

Статья Cloud Security платформы 2026: сравнение AI-driven CNAPP по реальному detection-покрытию

  • 240
  • 0
Тёмный SOC-центр с изогнутым видеоэкраном, отображающим граф атак в мультиоблачной среде. Красная линия бокового перемещения соединяет узлы AWS, Azure и GCP, экраны — единственный источник света.


🔍 Четыре CNAPP-платформы показывали compliance score 92%+ — и все четыре пропустили сервисный аккаунт с sts:AssumeRole на prod и неограниченным s3:GetObject. Ни одна не выстроила identity chain до T1530.

Финтех-аудит 2026 года вскрыл разрыв между feature checkbox и реальным detection-покрытием. Wiz, CrowdStrike Falcon Cloud, Defender for Cloud, Orca и Prisma Cloud — у каждого свой AI-движок, но глубина attack path analysis критически различается.

CSPM без CIEM-корреляции слеп к lateral movement через overprivileged roles.

💡 Зелёный compliance score — худший индикатор защищённости: attack path через IAM-цепочку невидим без графовой корреляции.

Статья Сервисы OSINT в 2026 году: практический обзор инструментов для разведки

  • 224
  • 0
Ноутбук на тёмном рабочем столе светит сине-зелёным экраном с терминалом разведки. Рядом патч-корды и USB-хаб, на втором мониторе интерфейс Shodan в янтарном свете.


🔍 SpiderFoot нашёл 4 субдомена с чужим WHOIS — theHarvester вытащил 3 dev-email, которых SpiderFoot не увидел. Один инструмент закрывает 60% картины. Какую комбинацию собрать под реальный black box?

Обзор 8 инструментов — Shodan, SpiderFoot, theHarvester, Recon-ng, Maltego, Intelligence X, Sherlock, OSINT Framework — по MITRE ATT&CK Reconnaissance: T1596.005, T1593.001, T1596.001. Каждый закрывает свою нишу kill chain: от `org:"Company" port:27017` без единого пакета к цели до графа связей в Maltego.

💡 OSINT-разведка молчит в логах цели — но именно она определяет, куда пойдёт initial access.

Статья Google Dorks для разведки внешней поверхности атаки: от пассивного recon к pre-exploitation

  • 229
  • 0
Руки в перчатках держат вскрытый сетевой модуль под лупой. Рядом лежит распечатка поискового запроса с параметрами фильтрации файлов и диагностический экран с зелёным текстом об обходе авторизации.


🔍 За 11 минут на внешнем пентесте финтех-компании запрос site:target.com filetype:env "DB_PASSWORD" вернул credentials от продакшн-базы — хост dev-payments не был в скоупе, потому что заказчик о нём забыл.

Google Dorking — MITRE T1593.002: каждый запрос уходит на серверы Google, а не к цели. Ноль записей в access-логах жертвы. Операторы filetype:env, intitle:"index of", inurl:admin покрывают kill chain от scoping до credential exposure (T1552.001) — до того, как один пакет коснётся инфраструктуры.

💡 IBM X-Force: 6000 утёкших учёток в день — не взломы, а проиндексированные конфиги. Nmap здесь лишний.

Статья Pitney Bowes: утечка данных в третий раз за 7 лет — хронические провалы IR

  • 223
  • 0
Стеклянная доска с временной шкалой трёх инцидентов и пометками об отсутствии выводов. На столе лежит распечатка тепловой карты MITRE ATT&CK с выделенными техниками атак.


🚨 Ryuk в 2019-м, Maze через 7 месяцев, ShinyHunters в 2026-м — 8,2 млн записей Salesforce. Pitney Bowes взламывали трижды, потому что postmortem ни разу не стал инженерной задачей.

Ryuk зашифровал почтовые системы через T1566/T1133, Maze вернулся и прошёл Lateral Movement до скриншотов внутренних каталогов — до Impact не дошло, но Credential Access и Discovery уже отработали. ShinyHunters закрыли триаду: фишинг → T1078 Valid Accounts → эксфильтрация CRM.

Чеклист провалов: неполная ротация credentials после Ryuk, отсутствие MFA на Salesforce, нет детекции аномального доступа к CRM (UEBA).

💡 Maze «остановили до шифрования» — но lateral movement и эксфильтрация уже завершились. Impact — последняя фаза, не единственная.

Статья Agentic AI red team безопасность: design flaws и attack vectors инструментов тестирования

  • 208
  • 0
Плата с OLED-экраном светится янтарным в конусе настольной лампы, вокруг — расплетённые шлейфы и дымок канифоли. Глубокий тёмно-бирюзовый фон поглощает тени.


🧠 Palo Alto Unit 42 воспроизвели атаки на CrewAI и AutoGen — и обнаружили, что те же design flaws сидят в самих red-team инструментах: PyRIT, DeepTeam, LangChain-harness уязвимы к prompt injection через tool output и excessive agency (OWASP LLM01:2025, LLM06:2025).

Reverse prompt injection переворачивает kill chain: целевой агент вставляет мета-инструкции в response — Scoring Engine обрабатывает их как системные, выдаёт «безопасно» при реальных дырах. MITRE ATT&CK T1562.001 — Defense Evasion прямо внутри assessment pipeline. Компрометация model_callback даёт T1552.001: API-ключи LLM-провайдеров, system prompts, tool schemas.

💡 SOC смотрит на целевые агенты — но сканер, уязвимый к атакам, которые ищет, не попадает ни в один threat model.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 718
Сообщения
347 106
Пользователи
161 486
Новый пользователь
Sektor_2