Форум информационной безопасности - Codeby.net
Статья MinerSearch: обнаружение майнера в Windows — от ручного анализа до автоматического удаления
XMRig три недели молчал в антивирусе: conhost.exe из C:\ProgramData\Microsoft\Crypto\ держал CPU на 87% через process hollowing и порт 3333 — пока Process Explorer не выдал аномалию.Kill chain типичного криптомайнера: PowerShell-загрузчик через T1190, закрепление по T1053.005 в планировщике задач, masquerading под svchost.exe из %AppData%. Семейство Smominru совмещает XMRig с DDoS и проксированием — машина уходит в ботнет незаметно.
MinerSearch бьёт по этапам 3–5 ATT&CK: проверяет цифровые подписи служб, сканирует Run-ключи реестра, ищет процессы вне System32.
Антивирус молчит — майнер работает в process hollow. Детект по пути процесса, а не сигнатуре.Статья OpenCTI vs MISP: сравнение open-source TI-платформ для корпоративного SOC
MISP агрегировал 47 TI-фидов и слал IoC в Splunk — пока L3-аналитик не спросил: «Какие техники ATT&CK мы не покрываем?» MISP на этот вопрос не проектировался. OpenCTI — да, но ценой Elasticsearch, Redis, RabbitMQ и недель настройки коннекторов.MISP работает по модели «индикатор + флаг to_ids → действие в детекции». PyMISP гонит IP, хеши, домены в Splunk через lookup-таблицы, в Palo Alto NGFW — через блоклисты. Для IoC-driven SOC этого хватает. Но граф «хеш → малварь → intrusion set → ATT&CK-техника» в MISP архитектурно не core: модель данных плоская, атрибуция — как карта метро в Excel.
50+ фидов без decay-политики топят SIEM в ложных срабатываниях — MISP об этом не предупредит.Статья Пентест с нуля: практический роадмап инструментов и методологий в 2026 году
Тридцать стажёров, одна ошибка: ставят Kali, запускают nmap -sV — и зависают. Роадмап 2026 привязывает каждый инструмент к этапу MITRE ATT&CK и конкретному месяцу с измеримым результатом.Kill chain диктует порядок обучения жёстче любого куррикулума. Nmap (T1046) → Metasploit (T1190) → LinPEAS/WinPEAS (T1068) → Mimikatz T1003.001 → CrackMapExec Pass-the-Hash T1550.002. Пропустить звено — значит не понять следующее. Без хеша CrackMapExec бесполезен, без доступа к хосту Mimikatz не запустится.
Роадмап честно называет сроки: без IT-бэкграунда — 12–18 месяцев до джуниорской позиции, с опытом в администрировании — 8–12. Покрываются веб, инфраструктура, AD, облака AWS/Azure.
Большинство новичков учат инструменты — роадмап учит цепочке зависимостей между ними.Статья Шпионское ПО для iPhone: как коммерческие инструменты слежки стали оружием киберпреступников
Pegasus, Predator, DevilsTongue — инструменты уровня спецслужб утекли на теневой рынок. Zero-click цепочка от iMessage до полного контроля iPhone теперь доступна без контракта с NSO Group — достаточно бюджета на хороший автомобиль.Форензика sysdiagnose-дампов через MVT выдаёт IOC-паттерны Pegasus и Predator там, где пять лет назад их никто не ждал: корпоративный шпионаж, stalkerware, экономические конфликты. FORCEDENTRY (CVE-2021-30860) атаковал iMessage через JBIG2-stream, BLASTPASS шёл через PassKit/ImageIO — каждый закрытый вектор NSO заменяла новым.
Kill chain укладывается в MITRE T1189 → T1203 → T1068 → T1056.001/T1113/T1123 → T1041.
SOC смотрит на Windows Event Log — Pegasus работает в iOS sandbox молча, не оставляя следов на периметре.Статья Quick OSINT Bot: полный разбор возможностей и практика использования для разведки
Quick OSINT Bot за 40 минут закрыл первичную разведку по 12 телефонам фейковых аккаунтов: номер → Telegram → VK → базы утечек. MITRE T1589.001/T1593.001 без единого пакета в сторону цели.Бот покрывает фазу Reconnaissance: поиск по номеру телефона, Telegram username/user ID, email, нику, госномеру авто и фото. Под капотом — агрегация из баз утечек и открытых реестров RU-сегмента. Стартовая точка для Maltego и socid-extractor.
Ограничения жёсткие: закрытые базы без audit trail, нет экспорта JSON/CSV, нет визуализации графа связей. Оператор видит все запросы — OPSEC требует отдельного Telegram-аккаунта и VPN.
75% вторжений используют валидные credentials (CrowdStrike 2025) — OSINT-бот показывает, что враг знает о цели ещё до первого пакета.Статья Zero-click эксплойт: kill chain Pegasus и Predator — от iMessage до полной компрометации устройства
NSO Group роняла IMTranscoderAgent через 27 PSD-файлов под видом .gif — жертва не открыла ни одного вложения. FORCEDENTRY (CVE-2021-30860, CVSS 7.8, CWE-190) обошёл BlastDoor через JBIG2-декодер CoreGraphics и дал полный RCE без единого клика.Kill chain: iMessage автопарсит вложения до показа уведомления — 748-байтовые PSD готовят heap layout, PDF с JBIG2-потоком триггерит integer overflow. Далее sandbox escape → T1005 Collection → T1041 Exfiltration по зашифрованному C2-каналу.
Forensic-артефакт CASCADEFAIL фиксируется в DataUsage.sqlite.
BlastDoor был правильным ответом — NSO Group просто переписала эксплойт под его внутренности.Статья macOS Red Team инструменты: Mythic, Sliver, Poseidon и кастомные имплантаты для offensive-операций
Sliver-имплант на x86_64 сгорел за секунды — XProtect опознал сигнатуру мгновенно. Три дня до стабильного C2: кастомный Go-имплант с jitter 30–50% и HTTPS-профилем под трафик Slack API обошёл CrowdStrike Falcon на macOS Sonoma.Разбор реального red team-проекта против финтех-компании: 80% парка на macOS под Jamf MDM, Falcon на каждой машине. Статья проводит через kill chain — от fingerprinting (sw_vers, ps aux | grep falcon, анализ LaunchDaemons) до persistence через LaunchAgent и Dylib Hijacking T1574.004.
Mythic + Poseidon-агент на Go, Sliver с пересборкой под arm64, обход AMFI на Apple Silicon — с ограничениями по каждому EDR.
Falcon ловит beacon на второй минуте по DNS-паттерну — EDR слепнет только после смены транспорта на HTTPS с легитимным профилем.Статья Пентест беспроводных сетей: атаки через SDR, ESP32 и Wi-Fi Pineapple на нестандартное оборудование
HackRF One нашёл три ESP32 с кастомной прошивкой там, где airodump-ng видел «Unknown» — логистический оператор, склад, IoT-датчики температуры и полная слепота стандартного тулкита.Aircrack-ng и пара Alfa-адаптеров закрывают 802.11, но реальный эфир говорит на LoRa, Zigbee и Sub-GHz. ESP32 Marauder за $15 делает deauth и beacon flood скрытно со спичечный коробок. Wi-Fi Pineapple MkVII разворачивает Evil Twin с KARMA и captive portal. HackRF One перекрывает 1 MHz — 6 GHz и вскрывает всё, что вне Wi-Fi.
Kismet фильтрует Espressif OUI (24:0A:C4, 84:CC:A8) и ловит аномальные beacon frames — минимум IE, нет ответов на probe requests.
SOC смотрит в Windows Event Log — ESP32 на складе три месяца в эфире, ни одного алерта.Вакансия Вакансия DevSecOps в Золотое Яблоко
«Золотое Яблоко» ищет DevSecOps-инженера в Департамент кибербезопасности e-commerce. Компания входит в число крупнейших beauty-ритейлеров России и аккредитована как IT-компания.Формат работы: гибрид — офисы в Москве и Екатеринбурге. Официальное трудоустройство, персональное предложение по зарплате.
Условия: ДМС со стоматологией, частичная компенсация питания при работе из офиса, бонусы от компании и партнёров.
Компания ориентирована на нестандартные подходы и ищет специалистов, готовых реализовывать идеи в области безопасности разработки на масштабе федерального e-commerce.
Подать заявку: https://job.goldapple.ru/vacancy/69d86b9b981c6b68ba3eac7a-devsecops-inzhenerСтатья WebSocket Security: тестирование real-time приложений
WebSocket — двусторонний канал поверх TCP. После HTTP-handshake с кодом 101 заголовки больше не передаются, SOP не действует, встроенной аутентификации нет. Всё это — поверхность атаки, которую разработчики системно недооценивают.Разведка: поиск WS-эндпоинтов через JS-конструкторы new WebSocket(), схемы ws:// и wss://, библиотеки Socket.IO и SignalR. Перебор путей через ffuf с заголовками Upgrade, websocat для быстрой проверки.
Уязвимости: отсутствие проверки Origin → CSWSH (аналог CSRF для WebSocket); слепое доверие идентификаторам во фреймах → IDOR; XSS через Pub/Sub-бродкаст; SQLi и Command Injection в параметрах сообщений — WAF их не видит, трафик идёт внутри TLS после handshake. Ошибки JWT: смена алгоритма RS256→HS256, просроченные токены.
Инструменты: Burp Suite WebSocket History и Repeater, wscat, websocat, WebSocket Smuggler.
Большинство WAF инспектируют только фазу HTTP handshake — всё, что внутри фреймов, проходит мимо.