Форум информационной безопасности - Codeby.net
Статья Метрики управления уязвимостями: MTTP, SLA по severity, coverage rate и реальная эффективность VM-программы
Дашборд VM-программы показывает «80% критикалов закрыто». Восемьдесят процентов считались по Low и Medium на рабочих станциях с автопатчем через WSUS. Среднее время от публикации CVE до устранения — 29 месяцев. Среднее время нахождения атакующего в сети — 11 дней.MTTP для Critical на периметральных сервисах выше 11 дней — атакующий быстрее вашей VM-команды. Агрегированный MTTP скрывает это: Critical закрывается за 45 дней, Low за 3 (автопатч), среднее — 14, выглядит прилично.
SQL-запрос расчёта MTTP по severity с фильтром активных хостов. SLA-пороги с override: CVE в CISA KEV → 7 дней независимо от CVSS. EPSS > 0.5 при CVSS ≥ 7.0 → 14 дней. Coverage rate — где врёт и как аудировать знаменатель.
Coverage rate 98% от неполного CMDB — не реальное покрытие. 200 Lambda-функций в знаменатель не попали.Статья Защита от zero-day уязвимостей: playbook для SOC, когда патча ещё нет
Понедельник, 9:15. CVE в CISA KEV, EPSS Top 5%, эксплуатация активна, автоматизируема, патча нет. В ту же неделю — CVE-2026-22769, hardcoded credentials в Dell RecoverPoint, CVSS 10.0, тоже без исправления. EDR на appliance не стоит и стоять не может.Time-to-exploit упал до двух дней. Среднее время устранения — 29 месяцев. Playbook «получили CVE — накатили патч» разваливается на втором шаге, когда патча не существует в природе.
Decision tree для первых 6 часов: KEV + EPSS + SSVC → изоляция management-интерфейсов → ретроспективный threat hunting за 30–90 дней. Виртуальный патч работает только при CWE-20, бесполезен при CWE-287 и CWE-798. Поведенческие SIEM-корреляции без сигнатур — единственный рабочий инструмент.
Если инфраструктура не готова к ситуации, когда патча не существует — она сломается в первый же zero-day инцидент.Статья Детектирование lateral movement через доверенные учётки: обнаружение горизонтального перемещения без вредоносного кода
Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.75% вторжений — через валидные учётные данные. Breakout time — 62 минуты. EDR без контекста аутентификации не отличает wmic process list от wmic process call create. Это задача для корреляции событий и поведенческого baseline.
Event ID 4624/4648/4672/4776 — что каждый фиксирует и на каком хосте. PtH-артефакт seclogo и почему 4776 важнее, чем 4624. Low-and-slow sweep, credential rotation, jump host — как атакующий обходит пороговые правила. CVE-2025-24054 — NTLM-хеш без Mimikatz и LSASS.
Большинство SOC не мониторят Event ID 4776. А это единственное событие, которое ловит PtH до состоявшейся аутентификации.Статья Пентест банкоматов и POS-терминалов: jackpotting, shimming и detection для SOC
Волна jackpotting по США, 2024–2025. Ploutus выдаёт более 100 купюр в минуту. Восстановление одного заражённого банкомата — свыше $25 000. Application whitelist на сотнях ATM стоит в audit mode с момента установки. Замок верхней панели — одинаковый на всей серии.Два вектора: малварный jackpotting через подмену msxfs.dll и персистентность в Userinit, и black-box — отключить системный блок, подключить одноплатник к шине диспенсера, опустошить кассеты за 10 минут. XFS-команды не требуют аутентификации бэкенда — процессинг не видит ни одной транзакции.
Таблица из 8 SIEM-алертов с приоритетами, Suricata-правило на нетипичные исходящие с ATM, hardening-чеклист из 12 пунктов для IT-подразделения.
ATM перестал отправлять логи в SIEM — это алерт, а не «проблема с сетью». Всегда.Статья Расследование кибератаки: полная карта Incident Response от обнаружения до отчёта
57% организаций узнают о компрометации от внешней стороны — партнёра, регулятора или журналиста. Не от своего SIEM. Медиана нахождения атакующего в сети до обнаружения — 11 дней. За это время — полный kill chain от фишинга до шифрования инфраструктуры.Карта темы из 9 подтем: от первых 30 минут triage до IR-отчёта и разбора реальных атак. NIST vs SANS — чем отличаются и когда какой выбирать. Три стратегии сдерживания, которые не останавливают бизнес. Минимальный DFIR-стек с инструментами и условиями применения.
7 ошибок, которые уничтожают доказательства — каждая из реальных расследований. Чеклист из 16 пунктов для команды. Маппинг ransomware kill chain на MITRE ATT&CK.
Инструмент без понимания, что он должен показать — дорогой шум. Героизм не масштабируется. Процесс — масштабируется.Статья Динамический анализ бинарных файлов: Frida, PIN и DynamoRIO — от трассировки до распаковки
Упакованный Themida бинарь. Ghidra — шум, IDA Pro разваливает границы функций, x64dbg — антиотладочные проверки каждые десять инструкций. Три часа статического анализа, ноль выхлопа. Frida-хук на VirtualAlloc, дамп RWX-страницы — двадцать минут до чистого payload.Три DBI-фреймворка, три разных задачи. Frida — точечные перехваты и обход антиотладки, шесть строк JavaScript вместо часов ручной работы в отладчике. DynamoRIO — полная трассировка через JIT code cache, coverage-guided фаззинг с AFL++ и WinAFL, детектор shellcode. Intel PIN — instruction-level профилирование и трассировки для символьных движков.
Все три работают в user space — ни один не невидим. Timing через rdtsc, целостность кода, артефакты в памяти, direct syscalls — таблица векторов детекта для каждого фреймворка.
Натягивать Frida Stalker на полную трассировку — скрипт на 500 строк, который криво делает то, что DynamoRIO-клиент на 30 строк C делает...Статья Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.
Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.
Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.Статья IR отчёт по инциденту: структура, timeline и IOC-приложения для бизнеса и техкоманды
Ransomware-кейс закрыт за 52 часа. Containment — 4 часа, ни один критичный хост не потерян. А потом начался второй инцидент — оформление результатов. Страховая отклонила выплату из-за нечёткой хронологии. Регулятор запросил разъяснения. CISO не смог объяснить масштаб ущерба совету директоров.Два документа вместо одного: executive summary на 1–2 страницы для руководства и юристов, технический отчёт с timeline в UTC, root cause по методологии 5 Whys, маппингом на MITRE ATT&CK и IOC-приложениями в STIX 2.1 и YARA.
Root cause — не «пользователь кликнул». Это отсутствие процесса управления привилегированными учётками. Именно эта формулировка ведёт к remediation.
Чеклист из 17 пунктов перед передачей отчёта. Меньше 12 — у вас та же проблема, что у большинства команд.Статья DNS пентест: от разведки и zone transfer до cache poisoning, rebinding и туннелирования
Внутренний пентест банковской сети. dig axfr @ns2.target.bank target.bank — полный дамп зоны с 340+ записями за четыре минуты. Вторичный NS, legacy-BIND, AXFR для любого IP. В дампе — dc01-prod, jenkins-build, vault-backup. До domain admin — три дня.DNS-разведка от пассивного сбора через crt.sh и CT-логи до zone transfer и SRV-записей, выдающих контроллеры домена. Cache poisoning по Камински — механика и почему не работает против современных резолверов. DNS rebinding — доступ к внутренним сервисам через браузер жертвы без присутствия в сети. DNS-туннелирование: iodine и dnscat2, C2 и эксфильтрация через порт 53, который открыт почти везде.
Восемь техник MITRE ATT&CK от разведки до эксфильтрации, слепые зоны стандартного стека защиты, decision tree по инструментам.
Zone transfer, который «не должен работать», работает на каждом пятом внутреннем пентесте.Статья Динамический анализ бинарных файлов: GDB, x64dbg, WinDbg — от брейкпоинта до обхода антиотладки
Три слоя XOR-шифрования, два VirtualAlloc и NtQueryInformationProcess на ProcessDebugPort — реальный сэмпл из инцидента. Коллега параллельно смотрел ELF-дроппер того же семейства в GDB. Один сэмпл, два отладчика, два принципиально разных workflow.Отладчик — не вопрос вкуса. GDB + pwndbg — ELF, CTF-pwn, Linux-малварь. x64dbg + ScyllaHide — Windows PE, распаковка, анализ IAT, автоматический обход антиотладки. WinDbg — kernel-mode, rootkit-анализ, crash dumps. Открыть PE в WinDbg технически можно, но x64dbg быстрее.
Аппаратные брейкпоинты против self-checksumming, ptrace-обход через LD_PRELOAD, ScyllaHide против PEB-проверок. Decision tree по всем техникам антиотладки.
Час в Ghidra на раннем этапе экономит три часа в отладчике. Мышление за аналитика инструменты пока не делают.