Форум информационной безопасности - Codeby.net
Статья Расследование инсайдерских инцидентов: форензика рабочих станций, анализ USB-активности и облачных хранилищ
DLP-алерт сработал в понедельник — но инсайдер готовился две недели: LNK-файлы, ShellBags и USN Journal хранят полный kill chain до переустановки ОС.Форензика рабочей станции строится на артефактах Windows, которые инсайдер не может удалить вручную. Prefetch-файлы фиксируют запуск 7z.exe с точностью до секунды, LNK-файлы сохраняют серийный номер USB-тома, ShellBags — полное дерево навигации по внешним носителям. Всё парсится EZTools в CSV до суперхронологии через Plaso.
Параллельно — аудит T1114.003: правила форварда в Exchange и M365 обнаруживаются KQL-запросом к MailboxAuditLog.
DLP видит финальную отправку — артефакты рабочей станции раскрывают двухнедельную подготовку, которую UEBA пропустила.Статья Утечки данных Россия 2026: 4,5 млрд записей за три года — как детектировать утечку до штрафа
4,5 млрд записей за три года — и 48% инцидентов без установленного объёма компрометации. С 30 мая 2025 повторная утечка ПДн бьёт оборотным штрафом 1–3% выручки, минимум 25 млн руб.InfoWatch фиксирует 592 инцидента в 2024-м при взрывном росте объёма — один мегаслив перекрывает сотню мелких. Kill chain типичный: Shodan-разведка периметра → эксплуатация веб-уязвимости → дамп БД → credential stuffing из аутентификационных записей.
Detection до штрафа требует UEBA на аномальный SELECT-объём, DLP-контроль облачных хранилищ (рост случайных утечек до 10%), алертинг на Rclone/exfil-паттерны. Уведомление в РКН — 24 часа на первичное, 72 — на развёрнутый отчёт.
IBM считает средний цикл инцидента 258 дней — РКН узнаёт из Telegram раньше, чем SOC закрывает тикет.Статья theHarvester — инструмент разведки: от выбора источников до карты внешней поверхности атаки
theHarvester за 6 минут собрал 47 email-адресов и 31 поддомен на Red Team-контракте — среди них staging-API с открытым Swagger UI и дефолтными кредами. Subfinder по тому же домену выдал только 18 поддоменов.Инструмент агрегирует Hunter.io, PGP-серверы и LinkedIn-парсинг через Google — источники, которые subdomain enumeration-тулзы не покрывают. В пассивном режиме IDS/IPS не срабатывают, в логах цели — тишина. Email-адреса уходят в credential stuffing и фишинг, поддомены — в Nuclei/httpx. MITRE T1596.001; флаг `-c` переключает в DNS-брутфорс и оставляет следы.
Антипаттерн `-b all` сжигает API-квоты и вызывает rate limiting у Google уже после 10 запросов.
Nuclei без карты поверхности атаки пропустит забытые staging-серверы — именно там живут дефолтные креды.Writeup Web | ByteNews | HackerLab
Новостной сайт ByteNews, пользователь john, 4 поста — явно администратор. Форма логина с математической CAPTCHA. SQLi не проходит. Вывод: нас заставляют брутить, но не через ffuf — через собственный скрипт с автоматическим решением капчи.Логика атаки: сессия GET к captcha.php → сохранение PNG чанками (иначе изображение ломается) → pytesseract с psm 7 распознаёт математическое выражение → regex оставляет только цифры и операторы → eval() считает ответ → POST на /auth.php с username, password из словаря и captcha-ответом в рамках той же сессии.
Детект успеха — отсутствие слова "captcha" в ответе сервера. Словарь: xato-net-10-million-passwords-100 из SecLists. После нахождения пароля — авторизация под john и флаг.
Чанковая запись изображения — нетривиальный момент: прямая запись ломает PNG. Сессия обязательна — без неё CAPTCHA и ответ относятся к разным запросам.Заметка Как я делаю новый дизайн форума
Форум Codeby переделывается — не косметически, а по сути: как читаем, ищем рабочий ответ и находим вакансию. Четыре боли текущего движка: мобайл с шапкой на первом экране, длинные треды без карты и статуса решения, раздробленные таксономии, плоский список вакансий без вилки и грейда.Концепт: лента знаний с конструктором по темам (Pentest, AppSec, DFIR, Reverse), форматам и уровню; ридер для лонгридов с оглавлением и подсветкой кода; карта треда с прыжком к лучшим ответам; карточки вакансий с фасетами. Под новым слоем — тот же XenForo: архив, ссылки и поиск живут. ИИ — два помощника: выжимка треда с указателями на посты и разбор кода по кнопке.
Сейчас кликабельный прототип. Новый слой надевается на старое содержимое и откатывается за секунду.Статья Атака Evil Twin на точку доступа: detection-playbook от deauth до алерта в SIEM
Evil Twin с парковки: за 12 минут — поддельная AP, через 22 — сброс паролей в AD. WIDS молчал два месяца после обновления инфраструктуры. Шесть комплектов доменных учёток ушли через captive portal.Атакующий клонирует SSID через hostapd-wpe, шлёт deauth-фреймы aireplay-ng от имени легитимной AP — клиенты отваливаются и переподключаются к Rogue AP. dnsmasq перехватывает DNS, iptables редиректит HTTP. В WPA Enterprise hostapd-wpe поднимает фейковый RADIUS, захватывает MSCHAPv2-хеши — дальше hashcat. MITRE T1557.004, T1056.003, T1111.
SOC смотрит в Windows Event Log — Evil Twin живёт в эфире. WIDS отключён? Kill chain закрыт за 22 минуты.Статья Vaultjacking: фишинг Google Password Manager через один PIN — от AiTM до полного vault dump
Vaultjacking: один AiTM-поток + шестизначный PIN от Google Password Manager — и атакующий получает полный vault dump со всеми паролями и synced passkeys жертвы. Persistence переживает смену пароля.Стандартный AiTM через Evilginx2 перехватывает сессию Google — но куки живут минуты, DBSC привязывает их к TPM. Vaultjacking добавляет JavaScript-шим (T1056.002), рендерящий PIN-модалку под нативный Google UI. После перехвата PIN атакующий join'ит своё устройство к Security Domain жертвы и через `trusted_vault` API получает Security Domain Secret — ключ ко всему хранилищу.
SOC видит «новый вход на Windows» — стандартное уведомление. Push на существующие устройства Google не шлёт.Статья Операционализация Threat Intelligence: от сырых IOC до детектирующих правил SIEM
L1-аналитик закрыл алерт как FP — через 3 дня тот же IP оказался активным C2, с которого атакующий управлял lateral movement 14 часов. Mandiant M-Trends 2025: медианное обнаружение — 11 дней, 57% узнают об инциденте от внешней стороны.Разрыв между TI-подпиской и реальным детектом — это операционализация. Коммерческий фид выдаёт тысячи IOC в сутки без контекста TTPs и отраслевой релевантности. Pyramid of Pain Дэвида Бьянко объясняет почему: хеши и IP меняются за минуты, а фиды работают именно там.
Выбор между атомарными IOC и Sigma-правилами зависит от зрелости SOC. Свежий C2-домен — в lookup и на блокировку.
FP по IOC старше 30 дней — не шум детекта, а сломанный TI-пайплайн без ротации.Статья Threat intelligence feeds сравнение: бесплатные и коммерческие IOC-фиды для SOC
847 алертов за ночь — и только три реальных хита. Аналитик L1 потратил четыре часа на CDN-узлы Cloudflare и CGNAT-пулы, пока ThreatFox тихо поймал C2-callback к loader-инфраструктуре операторов Play (CISA AA23-352A).Разбор восьми фидов — Abuse.ch, AlienVault OTX, CISA KEV, Spamhaus, MISP CIRCL OSINT против Recorded Future, CrowdStrike Falcon Intelligence, Mandiant — с реальными метриками: freshness, FP rate, TTL decay, покрытие MITRE ATT&CK. Интеграция тестировалась в Splunk ES, Microsoft Sentinel и RuSIEM через STIX/TAXII 2.1 и REST API.
Некурированный IP-фид за неделю поднимает FP rate до 40% — Abuse.ch с узким фокусом бьёт Recorded Future по точности в C2-нише.Статья EASM платформы: как строится цифровой отпечаток организации методами connectorless-перечисления
ИТ-отдел насчитал 87 субдоменов — connectorless-перечисление через CT-логи, Passive DNS и Shodan вернуло 240. На трёх торчали дефолтные креды.EASM-платформы строят цифровой отпечаток без единого запроса к внутренней инфраструктуре. Техники T1596.001 (Passive DNS), T1593.002 (Shodan/Censys) и Certificate Transparency дают полную карту внешней поверхности — включая staging-окружения и legacy API, о которых забыли создатели.
Цепочка: WHOIS → reverse WHOIS по registrant email → ASN lookup → IP-диапазоны в Censys → открытые порты и баннеры.
SOC мониторит периметр — атакующий уже собрал карту через публичные логи. Забытый staging — готовый foothold без единого алерта.