Форум информационной безопасности - Codeby.net
Статья Мисконфигурация облака как вектор атаки: S3-бакеты, снапшоты и storage AWS/Azure/GCP
S3-бакет с продакшн-бэкапами БД за три минуты — aws s3 ls --no-sign-request. SQL-дампы с PII, ключи API платёжного шлюза, .env с credentials от RDS. Бакет висел больше года.Три сценария: только чтение (T1530 — терабайты за часы, среднее время обнаружения 200+ дней), запись (подмена ассетов, supply chain через статику, S3 bucket takeover через устаревшую DNS-запись), ransomware через SSE-C с ключом атакующего. Публичные EBS-снапшоты — часто продуктивнее открытых бакетов: .env с DB credentials, SSH-ключи, Docker registry tokens.
CloudTrail: data events (GetObject, PutObject, ListObjects) выключены по умолчанию. CSPM пропускает cross-account wildcard IAM, shadow IT бакеты и signed URL утечки. Логирование без анализа = отсутствие логирования.
Пока ownership бакета не закреплён за конкретным инженером — CSPM генерирует шум, а не защиту.Статья Анатомия реестра Windows[1] - формат файлов REGF на диске
Реестр Windows под микроскопом: бинарный формат REGF — это сложная файловая система без официальной спецификации за 30 лет. Открыли HxD, наложили структуру — и реестр стал читаем как книга.Иерархия трёх уровней: HBASE_BLOCK (4 КБ заголовок с контрольной суммой и временем записи) → контейнеры HBIN (также 4 КБ, могут объединяться до 64 КБ) → ячейки CELL с сигнатурами nk/vk/sk/db. Знак первого дворда ячейки — занята или свободна: NEG от 0xFFFFFF78 даёт реальный размер 0x88. Исследователь Матеуш Юрчик потратил два года и нашёл 57 уязвимостей.
Пять способов получить куст SAM/SYSTEM/SECURITY: LiveCD, reg save от админа, смена ACL в Regedit, psexec -sid, VDI-образ через 7-ZIP. Удалённые из реестра ключи остаются в REGF на диске — артефакт для криминалистики.
Исходник парсера на FASM с рекурсивным обходом дерева узлов — во вложении.Статья Threat hunting lateral movement: SIEM-запросы и поиск бокового перемещения во время инцидента
EDR сработал через 40 минут — атакующий уже на трёх соседних машинах. Тикет закрыт, все довольны. Но разница между закрытым тикетом и закрытым инцидентом — это и есть threat hunting lateral movement.62 минуты — среднее время breakout по CrowdStrike 2025, рекорд 51 секунда. 79% атак без malware: hands-on-keyboard, net.exe, WMI — файловых IOC нет. Один source IP → 5+ хостов за 10 минут — поведенческий IOC. RC4 (0x17) в AES-домене — как бензиновый двигатель в Tesla: работает, но сразу видно.
Decision tree: алерт на T1003.001 → ищем Logon Type 3 с source скомпрометированного хоста. EventID 7045 → корреляция с предшествующим 4624 Type 3. RC4 Kerberos → 4769 без baseline lookup бесполезен. Pivot от известного хоста, рекурсивный обратный pivot — минимум 2-3 уровня.
Без 30-дневного baseline любое правило из таблицы — сотни ложных срабатываний в день.Статья Пентест облачной инфраструктуры: методология, инструменты и реальные цепочки атак
Read-only IAM-ключи «для аудита» — через четыре часа полный доступ к production-бакету с ПДн. Ни одного эксплойта, ни одной CVE. Только iam:PassRole на забытой dev-роли и штатные API-вызовы AWS.80% облачных инцидентов — ошибки конфигурации, не уязвимости ПО. Вектор: от сетевых дыр к IAM-цепочкам. ScoutSuite — карта аккаунта за 30 минут, Prowler — compliance + логирование, Pacu iam__privesc_scan — ~20 известных цепочек привилегий. ScoutSuite цепочки не видит, только точки.
IMDSv1 (HttpTokens=optional) + SSRF → temporary credentials роли → Secrets Manager → RDS: три команды, данные клиентов.
Overprivileged Lambda + iam:PassRole → AdminAccess за две API-команды. CloudTrail видит AssumeRole и CreateAccessKey — видит ли SOC? GuardDuty срабатывает мгновенно на credentials EC2 с внешнего IP. Compliance-аудит ≠ пентест: если нет ни одной эксплуатированной цепочки — это был аудит.Статья MITRE ATT&CK на практике: как строить сценарии Red Team и измерять покрытие техник
47 техник по профилю реальной группировки через инфраструктуру финансовой организации — SOC задетектировал 12. Четверть. «У нас есть покрытие ATT&CK» и «мы реально детектируем угрозы» — разные утверждения.Decision tree профилирования: финансовый сектор + Azure/AWS → T1078.004 и T1562.008 первыми. Каждый инструмент маппится на технику: mimikatz → T1003.001, BloodHound → T1069.002, Fsi.exe → T1059 + T1218. LOLBAS-бинари подписаны Microsoft — application whitelisting пропустит, нужен поведенческий контекст.
Три точки отказа: логирование не включено на хосте, логи не доезжают до SIEM, Sigma-правило не сконвертировано под backend. В половине purple team упражнений — пункт «б». Navigator fidelity score без проверки доставки логов — самообман. 81% интерактивных вторжений CrowdStrike — malware-free.
Правило есть, логов нет — на бумаге зелёный, по факту красный.Статья Reverse engineering бинарного кода: системная методология анализа через MITRE ATT&CK
847 КБ, энтропия 7.92, IAT — два символа. Ghidra выдал один гигантский блок арифметики. Декомпилятор не врал — реального кода ещё не существовало. Payload распаковывался через четыре техники ATT&CK.Decision tree: энтропия .text < 6.5 и IAT > 20 → статика; энтропия > 7.0 и IAT пустой → динамика + распаковка. Dynamic API Resolution (T1027.007) — IAT содержит только LoadLibraryA и GetProcAddress, вызовы через хеши имён функций. Software Packing (T1027.002) — DiE определяет по сигнатуре, кастомные пакеры — только ручным анализом stub.
ScyllaHide патчит PEB автоматически против IsDebuggerPresent. HW breakpoint on execution на первый байт VirtualAlloc-региона — вход в распакованный код. Scylla дампит с восстановленным IAT. Python-скрипт XOR-декрипта строк → C2-адреса на выходе за 30 минут.
Инструменты вторичны — методология вокруг ATT&CK-паттернов первична.Статья Требования ИБ в финансовых организациях: ГОСТ Р 57580, PCI DSS и Банк России — практика выполнения
Журнал пересмотра прав за квартал — аудитор спрашивает, тишина. Оценка блока упала с 0.85 до 0.41 за час. Один пропущенный процесс — и весь блок в «частичном несоответствии».ГОСТ Р 57580 и 683-П — не взаимозаменяемые документы. Пять процессов, где банки стабильно теряют баллы: управление доступом (журнал пересмотра), логирование (АБС пишет в файл на локальном диске), управление инцидентами (table-top exercises не проводились), уязвимости (отчёт ложится в папку до следующего аудита).
PCI DSS покрывает часть ГОСТ 57580 уровня 2, но ГОСТ добавляет бумагу там, где PCI DSS просто спрашивает «сделано?». ОУД4 для ДБО при трёх релизах в квартал — боль без разъяснений ЦБ по частоте. Sigma-правила: dormant-аккаунты с привилегиями и brute force под парольную политику.
Compliance как процесс — ежеквартальный пересмотр прав в календаре, а не папка за две недели до аудитора.Статья Threat hunting в банке: IOC, SIEM-правила и поиск APT-активности в финансовой сети
Четверг 14:23 — svhost.exe обращается к lsass.exe из SWIFT-сегмента. Одна лишняя буква «v». 11 дней медианный dwell time, 57% узнают от ЦБ. Threat hunting начинается с гипотез, а не алертов.60+ группировок на российский финансовый сектор, 65% атак в финансах — ransomware. Valid Accounts (T1078) — атакующий входит через легитимные ключи, антивирус молчит. SPL-запрос на lsass.exe с GrantedAccess без whitelist → 300 алертов за смену и аналитик перестаёт смотреть. CV < 0.1 при count > 50 — beaconing даже с jitter.
EID 1102 в банке — критический алерт без исключений. Golden Ticket: TGS без предшествующего AS-REQ, EncryptionType 0x17 в AES-среде. NTLM Logon Type 3 в Kerberos-сети — lateral movement. Impossible travel — сессия из Москвы и Амстердама с разницей 20 минут.
Без 30 дней baseline и тюнинга whitelist — правила парализуют SOC, а не защищают.Статья Red team отчёт MITRE ATT&CK: как документировать пентест для Blue Team и бизнеса
В трёх случаях из четырёх Blue Team не может конвертировать Red Team отчёт в детекшн-правила. «Оператор получил domain admin за 4 дня» — факт без маршрута к действию.TTP-based отчёт меняет суть: не «мы вас взломали», а «вот точки, где ваш стек слеп». Detection Rate 25%, Block Rate 0%, MTTD 47 минут — при рекорде lateral movement 51 секунда. ATT&CK Navigator heatmap: красный/жёлтый/зелёный для CISO, JSON-layer для SOC-инженера.
Шаблон находки: ATT&CK ID → тактика → действие оператора → артефакты → причина gap → Sigma-правило → D3FEND-контрмера. T1566.001 не детектирован → D3-ISVA + D3-CSPP + ссылка на sigma. 192 правила SigmaHQ для T1059.001 — Blue Team получает файл, конвертируемый в Splunk/Elastic за минуты.
Machine-readable JSON экспорт — отчёт как часть pipeline, а не PDF на SharePoint.Статья Артефакты Linux для пентестера: от credentials до следов атаки
Три символа в .pgpass — root PostgreSQL и SSH на четырёх серверах. Ни одного эксплойта, ни одного CVE. Только знание файловой системы Linux и find с правильными флагами..bash_history хранит mysql -u admin -pPassword123 и sshpass -p 'qwerty' в открытом виде. .pgpass, .my.cnf, .netrc, .aws/credentials — стандартные стоянки паролей. Один grep по /etc/ и /var/www/.env даёт четыре production-пароля за одну команду. /proc/[PID]/environ раскрывает DB_PASSWORD и API_KEY без чтения конфигов.
Decision tree первых 60 секунд: уровень привилегий → наличие auditd → порядок действий. LinPEAS вызывает поведенческий алерт в CrowdStrike за секунды — ручной точечный сбор неотличим от легитимной активности. auditd видит каждый open() на /etc/shadow с вашим UID и timestamp.
Vault-миграция идёт медленно — .env с правами 644 живут ещё пять-семь лет.