Форум информационной безопасности - Codeby.net
Статья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.
EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.Статья Зрелость процессов информационной безопасности vs бюджеты: как выстроить защиту без карго-культа
Финтех вложил 80 млн в SIEM, EDR и аутсорс-SOC — пентестер получил доменного админа за 4 часа. SIEM покрывал 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs, EDR отсутствовал на контроллерах домена.Mandiant M-Trends 2025: 57% компаний узнают об инциденте от внешних сторон. Медиана — 11 дней в сети до обнаружения. IBM X-Force: среднее время между публикацией CVE и патчем — 29 месяцев. CrowdStrike фиксирует: 75% вторжений в 2024-м через Valid Accounts (T1078) — дефолтный SIEM это не детектирует.
Разница между уровнями зрелости — не в бюджете.
SOC смотрит на алерты — APT работает через легитимный вход. Инструменты без процессов дороже, чем их отсутствие.Статья Технические меры защиты ПДн по ФСТЭК: что реально требуется и как реализовать
Аттестат ФСТЭК подписан, техпроект красивый — а папка с ПДн клиентов открыта с правами Everyone:Full Control. Межсетевой экран в permit any/any «временно». SIEM слеп четыре месяца. С оборотными штрафами цена такого разрыва — проценты от выручки.Приказ ФСТЭК №21 делит меры на 15 групп: ИАФ, УПД, РСБ, АВЗ, СОВ — каждая закрывает конкретные техники MITRE ATT&CK. УЗ-3 требует СЗИ не ниже 6 класса, УЗ-1 — не ниже 4-го. Завышение типа угроз «для перестраховки» поднимает УЗ и бюджет втрое — без реального снижения риска.
Статья разбирает маппинг мер на ATT&CK: ИАФ.4 блокирует T1110 Brute Force, СОВ — T1190 и T1071, РСБ — T1562.
Проверяющий открывает не документы — он смотрит права на папку с ПДн и журнал SIEM.Статья Пентест SCADA систем: от Modbus-разведки до контроля ПЛК в production-среде
Обычный SYN-скан без --max-rate положил Siemens S7-300 за 40 секунд — оператор нажал аварийную остановку, простой 22 минуты. Modbus TCP (порт 502) не имеет аутентификации: function code 0x06 исполняется без вопросов от любого узла в сети.В OT-среде kill chain идёт через Shodan (`port:502 product:Siemens`), Redpoint NSE и PLCScan для fingerprinting, затем — lateral movement через инженерную станцию с двумя интерфейсами в DMZ. Industroyer эксплуатировал легитимные IEC 60870-5-104 команды плюс CVE-2015-5374 против Siemens SIPROTEC.
Приоритет защиты в ICS — Safety → Availability → Integrity, а не CIA как в IT.
EDR в OT — редкость из-за real-time constraints. ПЛК зависает от 50 пакетов/сек, а патч ждут 29 месяцев.Статья Лаборатория для мобильного пентеста: от эмулятора до перехвата трафика за один вечер
Три часа на финтех-аудите ушли не на поиск IDOR, а на борьбу со стендом: Android 14 монтировал /system read-only, сертификат Burp не попадал в системное хранилище, Frida-сервер падал из-за несовпадения архитектуры с AVD.Рабочий стек выглядит так: rootAVD интегрирует Magisk в образ эмулятора через `rootAVD.bat ListAllAVDs` (только cmd.exe, не PowerShell), сертификат Burp кладётся в `/system/etc/security/cacerts/` через Magisk-модуль, Frida-сервер версии строго под API эмулятора стартует через `adb push` и `adb shell chmod 755`.
Genymotion даёт root из коробки и экономит 20 минут, но ARM-трансляция без допнастройки ломает половину APK.
Эмулятор проваливает Play Integrity даже с Magisk — приложение молча блокирует запуск до первого экрана.Writeup Pentest Machine | Письмо | HackerLab (WriteUp)
Письмо, которое отдаёт root: захватываем машину через Tar.Сервис, который просто «читает архивы», кажется безобидным? А зря — одна symlink-ссылка внутри tar-архива превращает невинную распаковку в чтение /etc/passwd и кражу приватного SSH-ключа.
В этом разборе: разведка nmap, эксплуатация symlink-уязвимости (CWE-61), вход по угнанному ключу и финальная эскалация до root через sudo tar.
Пошаговый разбор машины с HackerLab для пентестеров, которые хотят набить руку на реальных техниках.Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.Статья Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют одним порогом по всей инфраструктуре — brute-force и плановая ротация паролей дают идентичный алерт. Атакующий эксплуатирует это через T1562.011: генерирует шквал ложных срабатываний, пока T1070 зачищает следы.
Трёхстадийный пайплайн — pre-filter → Isolation Forest scoring → contextual enrichment с TI-фидами и AD-ролями — снижает FP-рейтинг с 40% до 8%.
SOC мониторит правила — APT работает в шуме. Lateral movement прячется среди FP-алертов, пока аналитик выгорает.Я заказчик Слова, которые превращаются в рубли. Время писать и зарабатывать!
Ищем авторов: преврати свой опыт в ИБ в статьи и доход.Решил crackme, собрал свой стенд для пентеста или разобрал свежую атаку? Не дай этим знаниям пылиться в заметках.
Codeby приглашает авторов писать о хакерских техниках, поиске уязвимостей и защите — для аудитории, которая в теме. Взамен: живой нетворкинг, заинтересованные читатели и оплата от 600 ₽ за 1000 знаков.
Уникальный материал, свои скриншоты, чистота по Главреду 8+ — и твоя статья выходит на крупнейшем ИБ-форуме. Телеграм @The_Codeby.