Форум информационной безопасности - Codeby.net
Статья TCP/IP стек протоколов для хакера: флаги, рукопожатие и реальные атаки
Полгода назад на внутреннем пентесте мы перехватили TCP-сессию между сервером мониторинга и управляющей консолью — sequence number оказался предсказуемым, RST-инъекция сработала с первого пакета. 12 минут от обнаружения порта до разрыва чужого соединения.TCP/IP стек для хакера — не через академические модели, а через конкретные атаки. SYN-скан: почему open/closed/filtered — это три разных ответа на уровне флагов. FIN/NULL/XMAS — где работает, где stateful firewall убивает на корню. SYN flood: почему в 2025 году почти мёртв, и что с этим делать. RST-инъекция — самая неприятная слепая зона IDS: инжектированный RST с корректным sequence number неотличим от легитимного завершения сессии.
Фильтры Wireshark для каждого типа атаки, таблица флагов с применением, Scapy-скрипт для лаборатории.
Понимание TCP начинается когда открываешь Wireshark и руками разбираешь, почему Nmap показал filtered вместо closed.Статья Атаки на сетевые протоколы при пентесте: эксплуатация SMB, FTP, SNMP и SMTP
38 минут от первого SNMP-запроса до пароля domain-админа. Nmap показал порт 161/udp с дефолтной community string — и устройство выдало имена хостов, интерфейсы и процессы. Два перехода по SMB-шарам, файл passwords.xlsx в открытом виде. Три сервиса, ни один не настроили.SMB relay через Responder + ntlmrelayx — пассивная атака без подбора паролей, работает пока жертва сама обращается к несуществующему ресурсу. SNMP v2c с community string "public" на коммутаторах даёт полную карту сети при практически нулевой обнаруживаемости. SMTP RCPT TO — список валидных email без единой ошибки в логах.
Decision tree по выбору вектора, таблица что видит SIEM по каждой технике и где слепая зона.
SNMP enumeration и SMB relay — наименее обнаруживаемые техники. Брутфорс FTP — самая заметная. Поэтому пассивные техники идут первыми.Статья DFIR инструменты 2025: Velociraptor, KAPE, EZ Tools и Autopsy — настройка лаборатории и сбор артефактов
Понедельник, 9:15. Три алерта на Event ID 7045 на хостах бухгалтерии. К 10:00 — восемь машин: lateral movement прямо сейчас. Задача — за час собрать артефакты с 30+ хостов без перезагрузки и без потери chain of custody.Velociraptor — VQL-hunt на тысячи хостов одновременно, live-данные в реальном времени. KAPE — триаж одного хоста за 15 минут через EDR или USB. EZ Tools — MFTECmd находит Timestomp по расхождению $SI и $FN timestamps, PECmd вытаскивает историю запусков из Prefetch, EvtxECmd ловит очистку логов через Event ID 1102. Autopsy — единственный в стеке, кто видит удалённые файлы в unallocated space.
Инструменты не конкурируют — работают последовательно. От первого алерта до итогового отчёта — 11 часов.
Проблема DFIR в 2025 не в инструментарии. Проблема — в мышечной памяти.Статья Метрики управления уязвимостями: MTTP, SLA по severity, coverage rate и реальная эффективность VM-программы
Дашборд VM-программы показывает «80% критикалов закрыто». Восемьдесят процентов считались по Low и Medium на рабочих станциях с автопатчем через WSUS. Среднее время от публикации CVE до устранения — 29 месяцев. Среднее время нахождения атакующего в сети — 11 дней.MTTP для Critical на периметральных сервисах выше 11 дней — атакующий быстрее вашей VM-команды. Агрегированный MTTP скрывает это: Critical закрывается за 45 дней, Low за 3 (автопатч), среднее — 14, выглядит прилично.
SQL-запрос расчёта MTTP по severity с фильтром активных хостов. SLA-пороги с override: CVE в CISA KEV → 7 дней независимо от CVSS. EPSS > 0.5 при CVSS ≥ 7.0 → 14 дней. Coverage rate — где врёт и как аудировать знаменатель.
Coverage rate 98% от неполного CMDB — не реальное покрытие. 200 Lambda-функций в знаменатель не попали.Статья Защита от zero-day уязвимостей: playbook для SOC, когда патча ещё нет
Понедельник, 9:15. CVE в CISA KEV, EPSS Top 5%, эксплуатация активна, автоматизируема, патча нет. В ту же неделю — CVE-2026-22769, hardcoded credentials в Dell RecoverPoint, CVSS 10.0, тоже без исправления. EDR на appliance не стоит и стоять не может.Time-to-exploit упал до двух дней. Среднее время устранения — 29 месяцев. Playbook «получили CVE — накатили патч» разваливается на втором шаге, когда патча не существует в природе.
Decision tree для первых 6 часов: KEV + EPSS + SSVC → изоляция management-интерфейсов → ретроспективный threat hunting за 30–90 дней. Виртуальный патч работает только при CWE-20, бесполезен при CWE-287 и CWE-798. Поведенческие SIEM-корреляции без сигнатур — единственный рабочий инструмент.
Если инфраструктура не готова к ситуации, когда патча не существует — она сломается в первый же zero-day инцидент.Статья Детектирование lateral movement через доверенные учётки: обнаружение горизонтального перемещения без вредоносного кода
Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.75% вторжений — через валидные учётные данные. Breakout time — 62 минуты. EDR без контекста аутентификации не отличает wmic process list от wmic process call create. Это задача для корреляции событий и поведенческого baseline.
Event ID 4624/4648/4672/4776 — что каждый фиксирует и на каком хосте. PtH-артефакт seclogo и почему 4776 важнее, чем 4624. Low-and-slow sweep, credential rotation, jump host — как атакующий обходит пороговые правила. CVE-2025-24054 — NTLM-хеш без Mimikatz и LSASS.
Большинство SOC не мониторят Event ID 4776. А это единственное событие, которое ловит PtH до состоявшейся аутентификации.Статья Пентест банкоматов и POS-терминалов: jackpotting, shimming и detection для SOC
Волна jackpotting по США, 2024–2025. Ploutus выдаёт более 100 купюр в минуту. Восстановление одного заражённого банкомата — свыше $25 000. Application whitelist на сотнях ATM стоит в audit mode с момента установки. Замок верхней панели — одинаковый на всей серии.Два вектора: малварный jackpotting через подмену msxfs.dll и персистентность в Userinit, и black-box — отключить системный блок, подключить одноплатник к шине диспенсера, опустошить кассеты за 10 минут. XFS-команды не требуют аутентификации бэкенда — процессинг не видит ни одной транзакции.
Таблица из 8 SIEM-алертов с приоритетами, Suricata-правило на нетипичные исходящие с ATM, hardening-чеклист из 12 пунктов для IT-подразделения.
ATM перестал отправлять логи в SIEM — это алерт, а не «проблема с сетью». Всегда.Статья Расследование кибератаки: полная карта Incident Response от обнаружения до отчёта
57% организаций узнают о компрометации от внешней стороны — партнёра, регулятора или журналиста. Не от своего SIEM. Медиана нахождения атакующего в сети до обнаружения — 11 дней. За это время — полный kill chain от фишинга до шифрования инфраструктуры.Карта темы из 9 подтем: от первых 30 минут triage до IR-отчёта и разбора реальных атак. NIST vs SANS — чем отличаются и когда какой выбирать. Три стратегии сдерживания, которые не останавливают бизнес. Минимальный DFIR-стек с инструментами и условиями применения.
7 ошибок, которые уничтожают доказательства — каждая из реальных расследований. Чеклист из 16 пунктов для команды. Маппинг ransomware kill chain на MITRE ATT&CK.
Инструмент без понимания, что он должен показать — дорогой шум. Героизм не масштабируется. Процесс — масштабируется.Статья Динамический анализ бинарных файлов: Frida, PIN и DynamoRIO — от трассировки до распаковки
Упакованный Themida бинарь. Ghidra — шум, IDA Pro разваливает границы функций, x64dbg — антиотладочные проверки каждые десять инструкций. Три часа статического анализа, ноль выхлопа. Frida-хук на VirtualAlloc, дамп RWX-страницы — двадцать минут до чистого payload.Три DBI-фреймворка, три разных задачи. Frida — точечные перехваты и обход антиотладки, шесть строк JavaScript вместо часов ручной работы в отладчике. DynamoRIO — полная трассировка через JIT code cache, coverage-guided фаззинг с AFL++ и WinAFL, детектор shellcode. Intel PIN — instruction-level профилирование и трассировки для символьных движков.
Все три работают в user space — ни один не невидим. Timing через rdtsc, целостность кода, артефакты в памяти, direct syscalls — таблица векторов детекта для каждого фреймворка.
Натягивать Frida Stalker на полную трассировку — скрипт на 500 строк, который криво делает то, что DynamoRIO-клиент на 30 строк C делает...Статья Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.
Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.
Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.