Форум информационной безопасности - Codeby.net

Статья Анализ вредоносных документов: разбор макросов Office и эксплойтов в PDF с извлечением payload

  • 216
  • 0
Разобранный USB-накопитель с отпаянным чипом памяти лежит рядом с распечаткой документа с подсвеченными строками VBA-макроса. Жёсткий конус света от лампы, глубокие тени, надпись CVE-2021-40444 на...


📨 GenAI удвоил поток фишинговых .docm и .pdf — IBM X-Force фиксирует 32% инфостилеров среди всего малвари 2024 года. Пока аналитик разбирает одно вложение, в очереди ещё 49.

Workflow начинается с oleid и mraptor из пакета oletools 0.60.2: AutoOpen-триггеры, XLM-макросы, External Relationships — всё до запуска образца. olemeta вскрывает метаданные: реальный Author, путь C:\Users\ivan.petrov\Desktop\payload_builder\ — артефакты разработчика прямо в файле. olevba -a даёт таблицу подозрительных ключевых слов, Shell, PowerShell, T1059.001.

Для PDF — pdfid и pdf-parser Дидье Стивенса: /JS, /OpenAction, /EmbeddedFile без единого запуска.

💡 Метаданные olemeta сдают разработчика малвари чаще, чем сам payload — аналитики их пропускают.

Статья CUPS RCE уязвимость: полный разбор цепочки CVE-2024-47176 и эксплуатация print spooler

  • 159
  • 0
Запечатанный конверт с бордовой сургучной печатью на чёрном антистатическом коврике. Сквозь печать продет сетевой кабель с коннектором RJ45, от сломанного воска поднимается тонкая струйка дыма.


💣 CVE-2024-47176 превращает cups-browsed в точку входа: один UDP-пакет на порт 631 — и демон сам подключается к IPP-серверу атакующего, регистрирует подставной принтер. От пакета до shell через foomatic-rip — меньше двух минут.

Цепочка из трёх CVE (CVE-2024-47176, CVE-2024-47075, CVE-2024-47175) работает только вместе. cups-browsed слушает UDP INADDR_ANY:631 без аутентификации, libcupsfilters принимает IPP-атрибуты без валидации, libppd записывает их в PPD без экранирования — атакующий инжектирует директиву FoomaticRIPCommandLine с произвольной командой.

Итог — shell от имени lp. Не root, но достаточно для T1105 и reverse shell.

💡 Print server без EDR и патчей — идеальный pivot. CUPS забывают обновлять, потому что «принтеры и так работают».

Статья DLP защита от инсайдеров: настройка политик для email, мессенджеров и облака

  • 147
  • 0
Женщина за кухонным столом в полутьме смотрит в экран ноутбука с текстом политики DLP. Телефон рядом показывает черновик письма со списком данных.


🕵️ Менеджер три месяца сливал выписки VIP-клиентов через личный Gmail — DLP молчала. Политика проверяла вложения .xlsx/.csv, а данные уходили в теле письма. Ponemon/Proofpoint 2022: средняя стоимость инсайдерского инцидента — $15,38 млн, рост 34% за два года.

Проблема не в отсутствии DLP, а в том, как настроены политики. Regex на номера карт и слово «конфиденциально» — не защита: инсайдер знает триггеры. Реальный контроль строится на трёх уровнях одновременно — контентный анализ через EDM/IDM fingerprinting, контекстный (время, устройство, получатель) и поведенческий UEBA с отклонениями от baseline.

💡 DLP-система стояла, лицензии оплачены — а канал утечки был легитимным. Инсайдер не ломает систему, он использует её штатно.

Статья Управление жизненным циклом Non-Human Identities: автоматизация provisioning, ротации и отзыва через policy-as-code

  • 131
  • 0
Распечатанный документ с правилами политики на светлом столе, строки кода выделены синим маркером. Латунное пресс-папье и перьевая ручка лежат рядом в мягком дневном свете.


🔐 28,65 млн захардкоженных секретов в GitHub за 2025 год — плюс 34% к прошлому году. AI-credentials выросли на 81%. Соотношение NHI к human identities в cloud-native достигает 144:1, а 85% организаций не способны остановить атаку через машинные аккаунты.

Kill chain через скомпрометированный NHI маппится на MITRE T1078.004 → T1552.005 → T1098.001: утёкший API-ключ из CI/CD-лога даёт Initial Access, затем Instance Metadata Service отдаёт временные credentials IAM-роли, атакующий добавляет резервные ключи — и ротация исходного секрета уже ничего не решает.

💡 SOC ловит аномальные логины людей — NHI работает от легитимного машинного трафика. 292 дня до обнаружения.

Статья Карьера в кибербезопасности 2026: roadmap от новичка до пентестера

  • 156
  • 0
Ноутбук с терминалом на тёмном антистатическом коврике, рядом USB-устройства и учебник пентестера. Тёплый свет настольной лампы выхватывает сцену из глубоких угольных теней.


🧠 20 кандидатов, ни один не объяснил TCP three-way handshake — зато у каждого в резюме «прошёл курс по кибербезопасности». Дефицит ИБ-специалистов в России — до 100 000 человек, вакансий к 2027 году станет в 1,6 раза больше.

Roadmap разбит по месяцам: 1–3 — TCP/IP, VLAN, ARP, MITRE T1046, AD-аутентификация и PowerShell; 4–6 — веб-пентест, OWASP Top 10 (A01, A03, A05), DVWA, Juice Shop; 7–12 — Active Directory-атаки, BloodHound, Mimikatz, написание отчётов.

Зарплатные вилки — реальные, с HeadHunter 2024–2025: junior-пентестер в Москве от 70 000 ₽, Red Team-оператор senior — до 480 000 ₽. Главный фактор роста — не сертификаты, а портфолио из bug bounty и CTF.

💡 Работодатели проверяют TCP-стек руками, а не диплом — курс без практики обнуляется на первом интервью.

Статья Оценка киберрисков критической инфраструктуры: методология и фреймворки для OT/ICS

  • 135
  • 0
Схема модели Пурдью на плотной бумаге с уровнями от нуля до четырёх, красная линия пересекает границу уровней. Латунный пресс-папье и перьевая ручка на дубовом столе в мягком дневном свете.


⚙️ CVSS 6.5 на historian-сервере подстанции 110 кВ — и прямой канал до RTU, управляющих коммутационным оборудованием. Никаких ACL между Purdue Level 3 и Level 4. Физический импакт: обесточивание 40 тысяч жителей.

IT-фреймворки ломаются в OT: Modbus TCP не имеет аутентификации, любой узел с доступом к порту 502 отправляет FC16 и перезаписывает регистры PLC. EDR-агенты не ставятся на Siemens S7-1200, SIEM слеп к трафику на Purdue Level 1–2, а firmware на SIS не обновляли годами — остановка стоит десятки миллионов.

💡 CVSS считает риск в IT-метриках — в OT Medium может означать каскадное отключение района.

Статья ClickFix атака через SQL-инъекцию CMS: разбор кампании Ghost CMS (CVE-2026-26980) и техники обнаружения

  • 215
  • 0
Разобранная серверная плата на чёрном рабочем столе, окружённая распечатками терминала. Экран ноутбука светится зелёным текстом, руки в перчатках держат логический щуп.


💣 CVE-2026-26980 (CVSS 9.4): один HTTP-запрос к публичному Content API Ghost CMS — и атакующий забирает Admin API Key без единого credential. За 3 месяца после патча 700+ доменов, включая Harvard и Oxford, стали раздатчиками инфостилеров через ClickFix-цепочку.

Blind SQLi в модуле slug-filter-order.js: значение параметра slug подставляется напрямую в ORDER BY через конкатенацию вместо параметризованного binding. PR:N, UI:N — зайти может кто угодно из интернета. PoC n0bitaemon/CVE-2026-26980-PoC и EDB-52555 публичны. Cloudflare WAF в дефолте пропускает вектор — ordering-параметры не попадают в ruleset.

💡 SOC смотрит на PowerShell на эндпоинте — компрометация произошла на уровне CMS за 5 шагов до этого.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 755
Сообщения
347 161
Пользователи
161 579
Новый пользователь
НегрСаакян