Форум информационной безопасности - Codeby.net
Статья Безопасность подключённых автомобилей: пентест мобильного приложения от реверса APK до удалённых команд
APK мобильного приложения MyAudi или NissanConnect — это вход в тот же backend, что управляет замками и двигателем. IDOR по VIN-номеру, захардкоженный client_secret в Retrofit-классе, deprecated /v1/ без rate limiting — и fleet-wide unlock реален.jadx декомпилирует APK за минуты: grep по https:// вскрывает карту OEM API, assets/ отдаёт конфигурационные JSON с APN-credentials. OAuth client_secret прямо в коде (T1552.001) позволяет генерировать токены в обход UI. Frida + objection ломают certificate pinning — кастомный хук на OkHttp CertificatePinner открывает трафик в Burp.
Три реалистичных сценария из публичных исследований Curry et al.
SOC смотрит на CAN-шину и IVI — атака идёт через Google Play APK и живой /v1/ endpoint без авторизации.Статья Анализ вредоносного ПО на Python: разбор стилера от распаковки до C2-адреса
Python-стилеры — 32% всех семейств 2024 года по IBM X-Force. BlankGrabber и XillenStealer упакованы PyInstaller, сливают Chromium-пароли, Discord-токены и крипто-кошельки через Telegram Bot API — и большинство разборов обрывается на VirusTotal.Полный цикл вскрытия: strings -a suspect.exe | grep -iE "MEIPASS|pyimod" подтверждает упаковщик, pyinstxtractor вытаскивает .pyc из overlay-секции с энтропией выше 7.5, pycdc декомпилирует байткод Python 3.9+ обратно в читаемый исходник.
Малварь детектируется по поведению на эндпоинте — но C2-адрес живёт только в байткоде, до первого сетевого запроса.Статья Подготовка к OSCP в 2025: дорожная карта, лучшие лабы и типичные ошибки кандидатов
Автор провалил OSCP с 60 баллами из 70 — потерял 5 часов в rabbit hole LFI-цепочки на третьей standalone-машине. Вторая попытка: 14 часов, чистый пас. Разница — не количество машин на HTB, а перестроенный процесс.Формат 2025 изменился: OSCP+ требует ресертификации каждые 3 года, AD-сет стартует в assumed breach с выданными кредами, бонусные баллы за упражнения убраны. Metasploit разрешён ровно на одной цели — после первого использования msfconsole «привязывается». AI-инструменты под полным запретом.
Дорожная карта — 90 дней: фаза 1 закрывает Linux privesc (SUID, T1548.001), PortSwigger SQLi/LFI-лабы и WinPEAS до покупки PEN-200. Фаза 2 — лабсеть OffSec плюс GOAD для AD.
PEN-200 покрывает ~30% экзамена. Остальное — практика до старта подписки.Статья Курс по реверс-инжинирингу в 2025: SANS FOR610, OTUS, Hex Rays Academy и бесплатные альтернативы
SANS FOR610 стоит $8 900 — но Xavier Mertens учит «делать малварь счастливой»: подменяешь DNS через INetSim, образец стучит на C2, и T1055.012 Process Hollowing читается как открытая книга.Обзор сравнивает FOR610, OTUS, Hex Rays Academy и бесплатные альтернативы по двум осям: теория (MITRE T1027.002, T1622, T1497.001) и практика — реальные семплы против учебных заглушек. Разбор охватывает x64dbg, Ghidra, ProcDot и стратегию сдачи GREM с open-book индексом на 40 страниц.
Kaspersky RE101 отдаёт базу бесплатно, OpenSecurityTraining2 закрывает ARM-пробел, который FOR610 игнорирует — Rust/Go-малварь и Apple Silicon в 2025 уже не экзотика, а стандарт боевых семплов.
FOR610 молчит про ARM и Go-малварь — именно там сейчас живут свежие семплы в дикой природе.Статья Микросегментация сети Zero Trust: практическое руководство по внедрению
В 3 из 5 аудитов Zero Trust внутри «защищённых» сегментов стояло правило permit any any — lateral movement шёл беспрепятственно. CISA 2025 прямо фиксирует: ошибки проектирования политик обнуляют все инвестиции в микросегментацию.Атакующий после T1078 (Valid Accounts) запускает T1046/T1018/T1049, затем движется через T1021 Remote Services — и классический VLAN с ACL не останавливает ни один шаг. East-west трафик периметровые средства не видят, всё внутри считается доверенным.
VLAN есть, отчёт красивый — а permit any any внутри сегмента даёт атакующему полный east-west.Статья Ransomware за 60 минут: как Akira и Medusa/Storm-1175 ускорили атаки и как их детектировать
Akira и Storm-1175/Medusa ускорили lateral movement до 62 минут — рекорд 51 секунда. VPN без MFA, CVE-2023-20269 + CVE-2020-3259 на Cisco ASA, затем CVE-2023-27532 дампит Veeam-пароли в cleartext.Akira идёт по жёсткому playbook: brute force через SSL VPN → Veeam-Get-Creds.ps1 → RDP lateral movement → AnyDesk C2 → WinRAR + Rclone exfiltration → шифрование. Storm-1175 использует zero-day в веб-приложениях и разворачивает Medusa RaaS менее чем за 24 часа. MITRE T1021.001, T1562.001, T1486 — весь набор.
MTTR выше 4 часов — обе группировки финишируют до первого алерта. AnyDesk IT-отдела и AnyDesk Akira в логах неразличимы.Резюме OSINT аналитика
OSINT-специалист с 2-летним опытом и ~20 закрытыми кейсами: раскрытие анонимности мошенника, сбор доказательств для налоговой, проверка контрагентов.Поиск людей — аналитика по фото, номеру и любому аутентификатору личности. Проверка на утечки — скомпрометированные учётные данные, уязвимая инфраструктура, конфиденциальные данные в открытом доступе. Госреестры — юрлица, ИП, ЕГРЮЛ, ЕГРИП, суды, исполнительные производства. Сеть — полная инфраструктура через DNS, сканеры и баннеры.
Дополнительно: метаданные файлов, сбор крипто-транзакций, мониторинг, репутация и надёжность, архив интернета.
Форматы работы: полное досье, деанонимизация, проверка на утечки, due diligence контрагентов.
Составляю полноценные отчёты с ссылками и скринами. Знаю границы своих возможностей. Цены договорные.Контакты: @qntm_osint / @asdfrhzx (Telegram) или личка на форуме.
Статья Phantom Stealer и Phantom Project: разбор MaaS-кита с инфостилером, криптером и RAT
Phantom Project — MaaS-кит из трёх компонентов (стилер + криптер + RAT), форк Stealerium с BouncyCastle и SQLite внутри. Group-IB зафиксировала 5 волн фишинга по логистике Европы; F6 связала инфраструктуру с Agent Tesla через общий Yandex SMTP.Infection chain стартует с ISO-образа в RAR-архиве: Windows монтирует диск автоматически, жертва кликает на «Bank transfer confirmation» — и .NET-бинарь 6,5 МБ уходит в память. Криптер (MITRE T1027.002) снимает детект; RAT закрепляется через T1219. Каналы эксфильтрации — Telegram, Discord, SMTP, Zulip, GoFile.
75% вторжений используют valid credentials — EDR молчит, пока стилер уже слил сессионные токены.Статья Стеганография в изображениях: техники LSB, DCT и palette-манипуляций — от атаки до детекта
Сотрудник General Electric прятал турбинные расчёты внутри обычной картинки — DLP видела JPEG с котиком, ничего аномального. LSB, DCT и palette-манипуляции обходят контентную фильтрацию, IDS и AV одновременно.LSB-внедрение меняет младший бит пикселя на 1 — разница в значении канала максимум единица, глаз не замечает. DCT-стеганография работает в JPEG через модификацию частотных коэффициентов (T1027.003 + T1001.002). Малварь скачивает картинку с CDN, парсит биты — для сети это обычный GET к легитимному хосту.
Детект: chi-square тест выявляет выравнивание пар (2k, 2k+1) в каналах — реализовано в zsteg.
AV не сканирует пиксельные данные на shellcode — payload живёт в изображении, пока малварь не вызовет T1140.Статья Детектирование инфостилеров: IOC, SIEM-правила и реагирование на credential leak
Lumma-стилер слил 47 валидных корпоративных пар логин/пароль на Russian Market — за 48 часов до credential stuffing по VPN-шлюзу. IBM X-Force 2025: инфостилеры — 32% всего malware, 6 000 свежих учёток в dark web ежедневно.Заражение идёт через ClickFix-фишинг или поддельные инсталляторы на личном BYOD-устройстве. Стилер копирует SQLite-базу Login Data (T1555.003), перехватывает cookie сессий, конфиги VPN и SSH-токены, упаковывает в архив и эксфильтрует через Telegram Bot API или HTTP POST на свежий C2-домен (T1041).
EDR молчит: заражение на личном ноутбуке, корпоративный хост чист. Detection живёт в сетевом трафике и мониторинге утечек.