Форум информационной безопасности - Codeby.net
Статья Автоматизация threat intelligence: STIX 2.1, TAXII и интеграция платформ киберразведки с SOC
TAXII-коннектор молча терял 40% IOC — три тысячи индикаторов с confidence выше 80 не доходили до SIEM две недели. Причина: отсутствие пагинации по курсору next в STIX 2.1.Миграция с ручного обмена на автоматизированный TI-пайплайн ломается на деталях реализации. STIX 2.1 добавил нативный confidence score (0–100), объекты infrastructure и grouping, поддержку YARA-паттернов — старые коннекторы с whitelist-парсером всё новое молча отбрасывают. Поле spec_version: "2.1" в ingest pipeline Elastic отсеивает весь STIX 2.0 без единого алерта.
TAXII 2.1 разваливается на шаге пагинации: при шести коллекциях и интервале 5 минут каждая коллекция обновляется раз в 30 минут.
SOC видит тишину в алертах и ищет логику детекта — а данные просто не дошли до SIEM.Статья Приоритизация патчей CISA KEV: OSINT-конвейер для Blue Team от алерта до решения
CVE-2025-5777 (CitrixBleed 2, CVSS 9.3) попала в CISA KEV 10 июля — due date для патча: следующий день. EPSS 0.7145, top 5%, рабочие PoC на GitHub от пяти авторов, nuclei-template от ProjectDiscovery уже в руках атакующих.CVSS без KEV и EPSS ломает приоритизацию: CVE-2022-21882 имеет CVSS 7.0, но EPSS 0.8914 — top 1% по вероятности эксплуатации. SOC держит её в хвосте очереди, пока атакующий использует T1068 для privilege escalation после первичного доступа.
Статья даёт конкретный OSINT-конвейер: curl к JSON-каталогу CISA KEV + API FIRST для EPSS-обогащения, inthewild.io для подтверждения активной эксплуатации, nuclei-templates для проверки экспозиции
Фокус на 3% CVE с наивысшим EPSS перехватывает 80% эксплуатируемых уязвимостей — объём работ падает в 30 раз.Статья Уязвимости ITSM систем: SSRF, SSTI и атаки через интеграции Jira, ServiceNow и Freshservice
Jira Service Management выставлена для подрядчиков — SSRF через batch endpoint Mobile Plugin (CVE-2022-26135) отдаёт IAM-токены за 40 минут. SOC получил алерт через шесть часов.Self-registration на Service Desk — аккаунт за три минуты, затем POST на `/rest/nativemobile/1.0/batch` с payload `@169.254.169.254`. OkHttpClient интерпретирует часть до `@` как userinfo и уходит на внутренний хост. CVSS 6.5, CWE-918, EPSS 0.84 — требует аутентификации, которую закрывает публичная регистрация.
ITSM хранит CMDB, OAuth-токены интеграций GitHub/Slack/PagerDuty и тикеты с кредами в аттачах — T1213, T1552.001, T1199.
ITSM в scope пентеста добавляют последней — а это CMDB, доверенные интеграции и карта всей инфры.Статья Постквантовая криптография NIST: ML-KEM, ML-DSA, SLH-DSA — что менять в инфраструктуре уже сейчас
NIST финализировал три постквантовых стандарта — FIPS 203 (ML-KEM), 204 (ML-DSA), 205 (SLH-DSA). RSA-2048 и ECDH P-256 deprecated к 2035 году. Но harvest-now-decrypt-later работает уже сегодня через T1040 и T1557.HNDL — не академическая модель, а живой TTP: трафик перехватывается сейчас, расшифровывается алгоритмом Шора после появления CRQC. NSA CNSA 2.0 требует software signing на PQC к 2025, networking к 2026. ML-KEM-768 заменяет ECDH в TLS 1.3 и IKEv2 — но публичный ключ вырастает с 32 до 1184 байт.
ML-DSA-65 даёт подпись 3309 байт против 64 байт у ECDSA P-256 — certificate chain раздувается в 50 раз. SLH-DSA (FIPS 205) на хеш-основе страхует от прорыва в MLWE-криптоанализе.
SOC ищет квантовую угрозу в будущем — HNDL собирает ваш трафик прямо сейчас.Статья Украденные учётные данные как точка входа: от инфостилеров до атак уровня nation-state
Muddled Libra прошла от initial access до domain admin за ~40 минут — без единого эксплойта. Только украденные credentials из стилер-лога и встроенные средства Windows. CrowdStrike 2025: 75% вторжений используют T1078 Valid Accounts.Lumma Stealer, StealC — MaaS-подписка от $150/мес с конфигуратором билдера и техподдержкой. ClickFix-кампании вынуждают пользователя самому вставлять PowerShell-команду. Stealer log содержит URL/логин/пароль, cookies к M365 и Slack, hostname с fingerprint — session hijacking обходит TOTP-based MFA без следов shellcode в памяти.
EDR молчит — атакующий зашёл через парадный вход. 48 часов до domain admin при нулевых алертах.Hackerlab Неделя 3: GreenEdge - web reconnaissance, directory + vhost
Главный сайт — только то, что вам решили показать. Реальная поверхность атаки: скрытые директории, vhosts, admin-панели по нестандартным путям. Неделя 3 серии «Сетевая разведка за 30 дней».Цель: GreenEdge — внутренний портал с «нестабильными компонентами». Инструменты недели: gobuster с флагом -x php,html,txt для directory brute force, ffuf с фильтром -fc 404 когда сервер отдаёт 200 на несуществующее, ffuf через Host header для vhost enumeration на одном IP, wfuzz для перебора параметров API-эндпоинтов.
Wordlist — не «больше = лучше»: SecLists под конкретную задачу даёт результат за 5 минут вместо часа с medium-списком. Vhost enumeration часто оказывается ключом, когда gobuster по основному хосту ничего не находит.
Старт: 15 июня 20:00 МСК. Дедлайн: 21 июня 23:59. Антиспойлер: до дедлайна — инструменты и подходы, конкретные пути и vhosts — в writeup после.
gobuster vs ffuf: оба нужны. Один пропускает то, что замечает другой — особенно при нестандартных кодах ответа.Статья Пентест macOS в 2026: kill chain от fingerprinting до persistence на Apple Silicon
На финтех-пентесте 14 из 18 хостов оказались macOS Sequoia на M3 — Cobalt Strike beacon и Rubeus не запустились вообще. Весь kill chain пришлось перестраивать с нуля под Apple Silicon.Fingerprinting начинается с uname -m и csrutil status — без знания arm64 vs x86_64 и статуса SIP потеряешь часы на payload'ы, которые не стартуют. Rosetta 2 проверяется через arch -x86_64 /usr/bin/true, а не pgrep oahd — тот даёт false negative. Gatekeeper молчит, если файл доставлен через curl или корпоративный файловый сервер: quarantine-атрибут просто не выставляется.
Большинство пентестеров пропускают macOS в scope — именно поэтому там нет EDR и детектов.Статья Threat intelligence для малого бизнеса: бесплатные инструменты, OSINT-источники и минимальная TI-программа без бюджета
Домен из фишинга бухгалтерии розничной сети на 80 человек сидел в URLhaus 48 часов — до того, как письмо дошло до ящика. Три минуты на блокировку в NGFW против трёх рабочих дней разбора постфактум.Один аналитик собирает рабочую TI-программу для SMB за два часа в неделю без коммерческих подписок. Фиды abuse.ch (URLhaus, Feodo Tracker) дают чистый C2 и malware-URL сигнал прямо в blocklist firewall. AlienVault OTX — широкий охват, но без фильтрации по отрасли генерирует шум. AbuseIPDB — только для ручной проверки, не для автоблокировки.
Малый бизнес атакуют не напрямую — через него лезут к крупному подрядчику. Сканеру всё равно, какая у вас выручка.Статья Кибербезопасность критической инфраструктуры: полная карта защиты энергосетей, SCADA и OT-систем
Оператор водоочистной станции в Олдсмаре увидел, как курсор двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия до уровня яда. Не было сегментации, не было мониторинга, не было MFA. Между 15 000 жителей и катастрофой — один внимательный сотрудник.Навигационный хаб по 9 материалам кластера: атаки на SCADA, сегментация OT по Purdue Model и Zero Trust, пентест Modbus, lateral movement из IT в OT, kill chain до ПЛК, иранские APT, ransomware в OT, VNC без аутентификации.
7 принципиальных отличий OT от IT: приоритет доступности, протоколы без аутентификации, цикл патчинга 29 месяцев, сканирование = риск аварии, жизненный цикл 25 лет, слепота стандартных EDR. IEC 62443, NERC CIP, NIST CSF 2.0 с адаптацией под промышленные среды. Чеклист 12 мер защиты критической инфраструктуры.
Air gap — миф. На каждом объекте найдётся Historian, dual-homed инженерная станция или забытый VPN-туннель вендора.Статья Извлечение паролей из памяти: как мастер-ключи менеджеров паролей оседают в RAM-дампе
Bitwarden.exe был заблокирован два часа — мастер-пароль из 24 символов всё равно читался через strings в heap V8. CVE-2023-32784 идёт дальше: KeePass отдаёт пароль даже после завершения процесса.WinPmem снимает полный образ RAM за минуты. В рендер-процессе Bitwarden (флаг --no-zygote) V8 не зануляет heap при блокировке — строка живёт до переаллокации. KeePass через .NET-аллокатор оставляет фрагменты пароля в дампе через T1055 или Task Manager «Create Dump File». BW-dump и PoC для CVE-2023-32784 автоматизируют извлечение.
CVSS 5.5 у CVE-2023-38840 усыпляет бдительность — но два часа после блокировки пароль в RAM.