Форум информационной безопасности - Codeby.net
Статья Модели зрелости информационной безопасности: CMMC, C2M2, SSE-CMM и BSIMM — выбор фреймворка и self-assessment
Gap-анализ по CMMC, C2M2, SSE-CMM и BSIMM в 12 организациях дал один итог: dormant accounts и flat network числились «Implemented» в Excel — и ломались за час на внутреннем пентесте.Автор разбирает, почему self-assessment врёт: фреймворк выбирается по инерции, оценка проводится «по памяти» без верификации. CMMC Level 2 требует 110 контролей по NIST SP 800-171 — аудитор смотрит не на политику, а на лог и конфигурацию. C2M2 MIL1 в домене Threat and Vulnerability Management означает, что `nmap -sV` даёт полную картину без evasion.
Радиальная диаграмма в PDF не детектирует T1078 — пентест опровергает скоркарту быстрее, чем её читает CISO.Статья Обнаружение APT атак: SIEM, EDR, NDR и Threat Hunting — полная карта защиты в 2026 году
57% организаций узнают о компрометации не от SOC, а от внешней стороны. Среднее время lateral movement после первичного доступа — 62 минуты. 79% атак обходятся без вредоносного ПО — только легитимные инструменты и украденные учётные данные.Навигационный хаб по 9 материалам: облачные C2-каналы (Google Sheets, OneDrive, Slack), Sigma-правила для Cisco SD-WAN, стеганография в WAV-файлах, AI-ransomware, слепые зоны Linux EDR, LLM-honeypot на все 65535 портов, ML-скоринг алертов, identity-атаки, lateral movement без малвари.
SIEM→EDR→NDR→XDR: почему изолированные инструменты слепы к APT. Hunting-запрос для Splunk на дамп LSASS (T1003.001). Таблица зрелости SOC от L0 до L4 с покрытием MITRE ATT&CK. Стек по размеру команды с бюджетами.
Инструменты — множители. Умножьте их на ноль процесса — получите ноль детекции.Статья macOS kernel exploit на Apple M5: data-only LPE через слепую зону Memory Integrity Enforcement
Команда Calif за 5 дней получила root shell на Apple M5 с включённым Memory Integrity Enforcement — data-only LPE обошёл MTE и PAC, ни разу не нарушив tag boundary.Exploit стартует с непривилегированного аккаунта и эксплуатирует архитектурную слепую зону MTE: 4-битный тег даёт лишь 15 рабочих значений, вероятность коллизии при heap grooming — 1/15. Два объекта в соседних granules с одинаковым тегом позволяют OOB-записью модифицировать данные ядра без единого tag mismatch fault.
Никакого redirect control flow — PAC не задействован. Ядро само выполняет привилегированную операцию, читая испорченные данные. CVE не присвоен, публичный PoC отсутствует, патч ожидается.
MIE блокирует каждую публичную exploit-цепочку — кроме той, где MTE слеп by design.Hackerlab Неделя 2: Виртуальный сервер - service enumeration через SSH и FTP
Открытые порты — это только начало. Реальный recon — выжать из каждого сервиса максимум до начала эксплуатации. Версия сервиса даёт known CVE. Баннер выдаёт конфигурацию. Anonymous FTP — готовые файлы. Неправильно настроенный SSH — вектор атаки.Неделя 2 серии «Сетевая разведка за 30 дней». Цель — VDS, где админ настроил SSH и FTP «как-нибудь, потом исправлю». Разбираемся, как читать сервисы, а не просто видеть порты.
Инструменты недели: nmap -sV со скриптами ftp-anon и ssh-auth-methods, ручной anonymous FTP, ssh-audit для анализа слабых алгоритмов, nc для сырого banner-grab, searchsploit для поиска CVE по баннеру.
Старт: 8 июня 20:00 МСК. Дедлайн: 14 июня 23:59 МСК. Антиспойлер: до дедлайна обсуждаем подходы, не команды. После — writeup'ы открыты.
SSH version banner отдаёт OS distribution — feature это или information disclosure? Разбираем в комментариях.Статья Аппаратный пентест IoT устройств: полное руководство по атакам на firmware и hardware-интерфейсы
В двух из трёх IoT-устройств UART-консоль отдаёт root shell без единого запроса пароля. Третье хотя бы спрашивает логин — admin:admin проходит с первой попытки. Это норма индустрии, а не результат поиска уязвимых образцов.Навигационный хаб по 12 материалам: UART/JTAG/SPI физический доступ, реверс-инжиниринг прошивок (binwalk, Ghidra, Firmwalker), эмуляция через QEMU и Firmadyne, методология OWASP ISTG, обход Secure Boot, харденинг и реверс UEFI, side-channel атаки (DPA, timing, EM), медицинское оборудование (DICOM), preauth RCE в Mongoose.
7 уровней атакующей поверхности: корпус, hardware-интерфейсы, микросхемы памяти, прошивка, сетевые сервисы, беспроводные протоколы, облачный backend. Decision tree выбора вектора — от UART до chip-off в зависимости от скоупа. Инструментарий с ценами: от 2 500 руб. для старта.
Bus Pirate стоит как два обеда в кафе. Проблема не в инструментах — в том, что индустрия пентеста выросла из софтверной традиции и не смотрит на...Статья Пентест мобильных приложений: полное руководство по методологии, инструментам и защите Android и iOS
Серверы под контролем компании — устройство пользователя нет. Скачал APK, разобрал через jadx, нашёл захардкоженный API-ключ в strings.xml, подключил Frida — и серверная логика стала прозрачной. Это фундаментальное отличие мобильного пентеста от всего остального.Навигационный хаб по 14 материалам: OWASP MASVS 1.5 и 2.0, Android (декомпиляция APK, deeplink, WebView, Binder IPC, root-detection bypass), iOS (jailbreak, SSL pinning bypass, реверс бинарников, обход биометрии), настройка лаборатории, supply chain атаки через SDK.
Trade-off таблица восьми инструментов: Frida, objection, Burp Suite, MobSF, jadx, apktool, Drozer, class-dump — с реальными ограничениями каждого. Decision tree выбора вектора по типу приложения (нативное/Flutter/гибридное) и модели угроз заказчика.
Реальные уязвимости всё чаще прячутся не в хранилище, а в бизнес-логике — гонки состояний, цепочки из трёх безобидных API-вызовов. Автоматика этого не видит.Статья Я поднял ловушку для хакеров и за 4 часа поймал ботнет, который живёт с 2018 года
Оставил SSH-дверь приоткрытой на дешёвом VPS с Cowrie-ловушкой и просто смотрел. Через несколько минут постучались. За четыре часа — почти 7 000 атак, 75 уникальных IP из 30 стран. И семь адресов из разных стран с одним и тем же бэкдор-ключом.SHA256 всех семи закачек совпал до байта. Ключ с подписью mdrfckr, команда rm -rf .ssh && echo "ssh-rsa..." >> authorized_keys — это Outlaw/Shellbot, ботнет с 2018 года. Семь IP сами жертвы: их когда-то взломали тем же приёмом, теперь они сканируют интернет за своих хозяев.
Топ паролей: 123456, 123, 1234 — и объяснение, почему Passw0rd с заглавной буквой ломается за секунды, а случайные 16 символов — дольше жизни Солнца. Как поднять такую же ловушку самому: VPS, Cowrie через Docker, переброс портов.
Противник — не хакер в худи, а конвейер автоматики, который круглосуточно долбит 123456 по всем адресам подряд.Анонс Обсуждай задачи и переписывайся прямо в HackerLab: встроили форум и личные сообщения
HackerLab запустил форум-виджет с прямой интеграцией Codeby: обсуждение задач, подсказки и личная переписка теперь живут прямо на странице таска — без переключения вкладок.Что внутри: живое обсуждение рядом с заданием, цитирование в один клик, загрузка скриншотов и файлов прямо в тред, реакции, онлайн-статусы, закреплённые сообщения. Свежие ответы подтягиваются автоматически.
Личные сообщения встроены в виджет: бейдж непрочитанных, поиск собеседника по имени, редактирование отправленного. Авторизация через Codeby ID. На мобильном всё адаптировано: список и переписка, долгое нажатие открывает действия с сообщением.
CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее. Попробуйте виджет и расскажите, что удобно и чего не хватает.Статья Атаки через украденные учётные данные: kill chain от стилер-лога до domain admin
Stealc-лог за $20 на Telegram-маркетплейсе — и через 11 шагов атакующий держит domain admin. Verizon DBIR 2025: украденные учётные данные — initial access в 22% утечек. IBM X-Force: инфостилеры обогнали ransomware, 32% всего malware в 2024.Kill chain начинается с LummaC2 или Rhadamanthys: стилер сливает Passwords.txt, Cookies.txt и сессионные токены Okta/Azure AD. IAB проверяет VPN/RDP-доступ через crackmapexec, перепродаёт «готовый вход» за $500–5000. Дальше — password spraying по AD: `kerbrute passwordspray users.txt 'Summer2024!'`, T1110.003, без единого lockout.
Пароль меняют — куку не отзывают. Живая сессия из стилер-лога обходит MFA полностью.Статья Скрытые каналы передачи данных C2: DNS tunneling и HTTP covert channels от настройки до детекта
На red team в финансовом секторе dnscat2 через TXT-записи двое суток гнал команды и сливал хеши NTDS.dit — Suricata молчала, SIEM ни алерта. DNS и HTTP получают карт-бланш от файрвола по умолчанию.MITRE T1071.004 и T1572 — это не теория. iodine создаёт виртуальный интерфейс dns0, кодирует данные в поддомены до 63 байт на метку, Cobalt Strike DNS beacon переключается на DNS как fallback при блокировке HTTPS. OilRig применял туннелинг для картирования сети, Decoy Dog два года гнал Pupy RAT через TXT-записи.
Детект строится на аномалиях: энтропия поддоменов выше 3.5 бит, NXDomain-шторм, запросы длиннее 52 символов, один домен получает 1000+ запросов в час.
SOC смотрит HTTP-прокси — канал уходит через корпоративный резолвер без единого Windows Event Log.