Форум информационной безопасности - Codeby.net
Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.Статья Российские WAF и NGFW сравнение: PT AF, UserGate и Континент глазами пентестера
PT Application Firewall, UserGate NGFW и Континент WAF глазами пентестера: разбор архитектуры, реального поведения и техник обхода — без пересказа даташитов.WAF в мониторинге — дорогой логгер. NGFW вместо WAF — архитектурная ошибка, которую эксплуатируют в первую очередь. PT AF стабильно ловит базовые инъекции, но ML-модуль часто выключают через неделю. Chunked encoding с chunk extensions — по-прежнему рабочий вектор против ряда продуктов.
Пять техник обхода с командами: sqlmap с tamper-скриптами, chunked TE с extensions, HTTP Request Smuggling через расхождение Content-Length/Transfer-Encoding, Protocol Tunneling (T1572) через chisel/ligolo-ng мимо UserGate, IP-фрагментация через Scapy. IDOR и Broken Access Control (94% приложений по OWASP) — слепое пятно любого WAF.
Пятишаговая методология fingerprinting → определение режима → кодировки → логирование → документирование bypass.Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.Статья Импортозамещение ИБ решения сравнение: честный обзор российских SIEM, EDR и сканеров глазами пентестера
Splunk отключился за ночь. SIEM показал пустую консоль. Три года тестирования российского стека глазами пентестера — без маркетинга, с результатами Red Team проектов.MaxPatrol SIEM ловит Discovery и Lateral Movement, но миграция 200+ правил со Splunk — 6-12 месяцев ручной работы. KUMA нативна в стеке Kaspersky, но парсеры сторонних источников придётся дописывать руками. RuSIEM на одном проекте выдал единственный алерт на сканирование — весь остальной kill chain прошёл насквозь.
Кастомный дампер lsass обходит Kaspersky EDR Expert там, где Mimikatz блокируется. ViPNet EDR не среагировал на PowerShell reverse shell с AMSI bypass. Три связки по уровню защиты: боевая, оптимальная и «для галочки». Миграция послойно: сначала сканер, затем EDR, последним SIEM.
Bash-чеклист инвентаризации правил Splunk перед переходом.Статья Linux для пентестера: полное руководство по инструментам, техникам и автоматизации в 2026 году
Семь из десяти сетей скомпрометированы за 48 часов. Каждая атака начиналась с терминала Linux. Карта всего kill chain — от первого nmap до secretsdump.py и персистенса через systemd.Kali vs Parrot vs BlackArch — выбор ящика для инструментов, а не самих инструментов. Связка masscan + nmap: сначала широкий охват, потом -sV -sC по конкретным хостам. SUID через GTFOBins, sudo -l, capabilities, docker-группа — шесть векторов до root с командами для каждого.
Bash-пайплайн subfinder + httpx + nuclei в одну команду, Python через Impacket для lateral movement из Linux в AD, `/etc/shadow` и `grep -rli 'password'` по `/opt/` — именно так находятся AWS-ключи в `.env`. Три тренда: eBPF-агенты, облачные цели, ИИ-аудит.
Хаб-навигатор по 6 статьям форума + маппинг на MITRE ATT&CK.Вакансия Эксперт по информационной безопасности
Эксперт по информационной безопасности — Газпромнефть-Региональные продажи, Санкт-Петербург. 190 000–217 000 руб. + годовой бонус до 20%.Работа в Agile-командах на стыке ИБ и разработки: формирование требований безопасности к ИТ-системам, техническая проработка защитных решений, участие в расследовании инцидентов. Стек знаний: DLP, WAF, IDS/IPS, SIEM, сканеры уязвимостей, TCP/IP, Windows/Linux-администрирование.
Требуется опыт от года в ролях эксперт ИБ / AppSec / DevSecOps, знание языков программирования, понимание OWASP, NIST, ISO, ФСТЭК. График 5/2, офис у метро, гибридный формат после испытательного срока. ТК РФ, соцпакет.
Статья MaxPatrol SIEM vs KUMA: сравнение архитектуры, правил корреляции и интеграций для SOC-аналитика
MaxPatrol SIEM vs KUMA: параллельная эксплуатация в боевых SOC-средах — не по даташитам, а по количеству бессонных ночей. Слепые пятна обеих систем глазами пентестера.XP + PDQL против визуального редактора — разные философии написания правил корреляции. Автоподавление в KUMA элегантно, но атакующий, знающий механику 100 срабатываний за минуту, может намеренно загнать детект в стоп-лист через T1562.006. MaxPatrol с моделью активов ловит аномальные входы под Valid Accounts (T1078) точнее, KUMA с periodical-правилами через correlator-ng перехватывает поведенческие аномалии нативно.
Security Software Discovery (T1518.001) — слепое пятно обеих: wmic-запрос к SecurityCenter2 SIEM не видит. Матрица выбора: гетерогенная среда → MaxPatrol; Kaspersky на эндпоинтах и Kubernetes → KUMA.
Сводная таблица по 15 критериям и рекомендация по Atomic Red Team для пилота.Статья Cloud Pentesting: методология тестирования облачной инфраструктуры
Cloud Pentesting: методология тестирования облачной инфраструктуры
Облачный пентест не заканчивается сканом публичных IP. Основной риск часто лежит глубже: в IAM-ролях, trust policy, metadata service, CI/CD-токенах, секретах и межаккаунтных связях, которые не видны классическому сетевому подходу.
В материале разбираем методологию cloud pentest: как строить разведку, проверять IAM-цепочки, искать риск в AssumeRole, оценивать SSRF к IMDS и понимать, когда отдельная misconfiguration превращается в рабочий attack path.
В финале разберём, как из разрозненных misconfigurations собрать понятную цепочку: от исходной identity до production-impact. Без длинных чеклистов - только то, что помогает доказать риск, показать blast radius и дать команде понятный маршрут исправления. 🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team