Форум информационной безопасности - Codeby.net
Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Настройка Kali Linux для пентеста: кастомизация, инструменты и оптимизация окружения
Kali Linux из коробки — заготовка, не рабочий инструмент. Первые полчаса уходят не на взлом, а на превращение дистрибутива в нормальное рабочее место.Kali vs Parrot: критерии выбора по RAM, сообществу и AnonSurf. Правильная последовательность обновления в VM: сначала гостевые дополнения и snapshot — потом apt full-upgrade, иначе 800x600 и никакого буфера обмена. Алиасы nmap в одну строку, функция mkproject со структурой scans/loot/notes/exploits, tmux для сохранения сессий при обрыве.
Must-have сверх стандартного набора: netexec вместо мёртвого CrackMapExec, ligolo-ng для pivoting, autorecon для автоматической разведки, pspy без root на цели. vm.swappiness=10, отключить compositor в Xfce. Пять типичных ошибок: root постоянно, обновление без snapshot, Kali как основная ОС, rockyou вместо seclists, ненастроенный Metasploit.
sudo msfdb init — 30 секунд, которые делают Metasploit нормальным инструментом.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья AI фишинг атаки на малый бизнес: detection, аудит и защита в 2026
AI-фишинг на малый бизнес: 54% кликабельность против 12% у классического. За 5 минут и 5 промптов — то, на что раньше уходило 16 часов красной команды.Двадцать инцидентов в Microsoft Sentinel — ни одного алерта от SEG. DMARC в режиме p=none, базовый EOP, один IT-специалист на всё. Бухгалтер открыла «акт сверки» с реальными реквизитами контрагента. Векторы: AiTM через Evilginx2 обходит push MFA на 100%, ClickFix через Win+R запускает rundll32 с WebDAV — Defender for Business молчит. Deepfake-голос директора — $150 и 20 минут.
Аудит за 4 часа: SPF/DKIM/DMARC p=reject, KQL-правило для аномальных логинов, SPL для inbox-правил пересылки. Бюджетный стек от 380 000 руб./год. GoPhish-симуляция: нормальный click rate после первой кампании — 25–40%, цель после трёх кварталов — ниже 15%.
Приоритет №1 — FIDO2 для финансового отдела: единственное, что останавливает AiTM.Hackerlab ❗️Подписка PRO на HackerLab со скидкой 20% только до конца дня
Сегодня последний день, когда можно оформить PRO со скидкой.
Подписка открывает доступ сразу к нескольким направлениям обучения и практики:
• курс «SQL Injection Master» с лабораторией и сертификатом за успешную сдачу экзамена
• курс «Введение в ИБ» с лабораторией
• курс «Основы Linux»
• доступ ко всем заданиям платформы
• Pro-лаборатории комплексными сценариями
Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.Статья Российские WAF и NGFW сравнение: PT AF, UserGate и Континент глазами пентестера
PT Application Firewall, UserGate NGFW и Континент WAF глазами пентестера: разбор архитектуры, реального поведения и техник обхода — без пересказа даташитов.WAF в мониторинге — дорогой логгер. NGFW вместо WAF — архитектурная ошибка, которую эксплуатируют в первую очередь. PT AF стабильно ловит базовые инъекции, но ML-модуль часто выключают через неделю. Chunked encoding с chunk extensions — по-прежнему рабочий вектор против ряда продуктов.
Пять техник обхода с командами: sqlmap с tamper-скриптами, chunked TE с extensions, HTTP Request Smuggling через расхождение Content-Length/Transfer-Encoding, Protocol Tunneling (T1572) через chisel/ligolo-ng мимо UserGate, IP-фрагментация через Scapy. IDOR и Broken Access Control (94% приложений по OWASP) — слепое пятно любого WAF.
Пятишаговая методология fingerprinting → определение режима → кодировки → логирование → документирование bypass.Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.