Форум информационной безопасности - Codeby.net
Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
Разработка Red Team инструментов: коммерческий C2 за $10 000 детектируется за 12 секунд, кастомный имплант живёт месяцами. Карта всей дисциплины — от loader'а до kernel rootkit'а.Cobalt Strike, Nighthawk, Brute Ratel, Sliver, Mythic, Havoc — матрица выбора с весовыми критериями. Архитектура: loader → redirector → teamserver, стейджинг в два слоя, транспорты DNS/HTTP/SMB. Выбор языка: C для минимального бинаря, Rust для производства, Nim за скорость разработки, Go — только для серверной части.
Process injection 2025: classic injection ловится любым EDR, thread pool injection через NtSetInformationWorkerFactory — пока в слепой зоне. Direct syscalls, indirect syscalls, unhooking ntdll — и почему AMSI-патч уже сам стал сигнатурой. Sleep с шифрованием стека и heap, stack spoofing, runtime polymorphism — принципы SECFORCE.
Таблица детектируемости 5 injection-техник и навигатор по 7 spoke-статьям кластера.Статья Мисконфигурации Salesforce: находим и закрываем до утечки — разбор атак и пошаговый аудит
Апрель 2026: McGraw Hill — 13,5 млн записей, Amtrak — 2,1 млн. Ни zero-day, ни сложной эксплуатации — только Guest User с включённым API Enabled и Sharing Rules без ограничений.Каждый сайт Experience Cloud имеет Guest User, который существует даже при отключённой гостевой авторизации. API Enabled на профиле — и атакующий через Aura-эндпоинт и GraphQL вытягивает Contact, Account, Case без единого логина. AuraInspector (Google Mandiant) автоматизирует весь цикл, GraphQL снимает ограничение в 2000 записей.
Пошаговый аудит: SOQL-запрос к ObjectPermissions для перечисления доступных Guest User объектов, проверка OWD Default External Access, тестирование Aura-эндпоинтов через Burp Suite, чеклист hardening из 8 мер. Маппинг на MITRE ATT&CK: T1190, T1078.004, T1213.004, T1530.
Secure Guest User Record Access и отключение self-registration — два шага, которые закрывают эскалацию из просмотра в аутентифицированную сессию.Статья OWASP Top 10 для LLM 2025: полный разбор изменений с позиции атакующего
OWASP Top 10 для LLM 2025: diff с версией 2023 — три новые категории, три удалённые, и ни один русскоязычный ресурс не даёт этот список с маппингом на MITRE ATT&CK.RAG стал стандартом — и две из трёх новых категорий прямо связаны с ним. System Prompt Leakage (LLM07) — отдельный класс с 2025 года: credentials в промпте, правила фильтрации, внутренняя логика агента. Vector and Embedding Weaknesses (LLM08) — Weaviate без аутентификации = прямая запись embedding-ов. Unbounded Consumption — Denial of Wallet вместо DoS: система работает, кошелёк заказчика нет.
Сводная таблица 2023 vs 2025, маппинг всех категорий на MITRE ATT&CK и MITRE ATLAS, пятишаговый чеклист red team оценки с конкретными Garak-командами и payload для indirect prompt injection через RAG-пайплайн.
Insecure Plugin Design удалили — риски переехали в три другие категории.Статья AI инструменты для пентеста: какая LLM реально работает в offensive security
Честный разбор AI-инструментов для пентеста: GPT-4 — 87% на CVE с описанием, self-hosted 32B — нестабильный tool calling, autonomous success rate — 21% без человека.Маркетинг обещает «autonomous pentesting за минуты». Реальность: LLM максимально эффективен на разведке и перечислении (T1595.002, T1046), проседает на многошаговых цепочках и латеральном движении, теряет контекст к седьмому шагу. Excalibur — $28.50 против $50,000 ручного пентеста AD-среды на пять хостов.
4800 тестов self-hosted моделей через Ollama: модели меньше 20B не тянут стабильный tool calling, Qwen 32B и gemma3:27b — минимальная рабочая планка. Три шага workflow: nmap → LLM-приоритизация → nuclei-шаблоны → генерация отчёта за секунды. Галлюцинации CVE, prompt injection через MCP и утечка данных через облачные API — три риска, которые закрывают сделку с облаком на NDA-проектах.
Сравнительная таблица 7 AI red team-инструментов с фазами kill chain.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.Статья Аналитик SOC с чего начать: инструменты, навыки и план выживания в первые 90 дней
Первое дежурство в SOC: 47 алертов, тимлид ушёл на звонок, непонятно куда смотреть. Это — онбординг, который дают через три месяца, но нужен в первый день.71% аналитиков сталкиваются с выгоранием. Причина не в сложности — в отсутствии структуры. Конкретный 90-дневный план: недели 1–2 — читаем закрытые тикеты и смотрим за чужим триажем, недели 3–6 — самостоятельная обработка low/medium с первыми SPL-запросами, недели 7–12 — полный цикл и первые корреляционные правила.
Разбор реального алерта за 8 минут: Tor exit node, 47 попыток RDP на контроллер домена, маппинг T1110 → T1078, тикет с рекомендациями. Key Event ID, домашняя лаба из трёх VM за выходные, чек-лист из 8 навыков для самопроверки перед собеседованием.
Сертификации с реальной отдачей: Security+ и BTL1 против стопки бесполезных бумаг.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.Статья Data Protection в облаке: шифрование, KMS, tokenization
Data Protection в облаке: шифрование, KMS и токенизация
Данные в облаке редко живут только в одной базе. Они уходят в бакеты, резервные копии, очереди, логи, тестовые дампы и отчёты. В статье разберём, как не потерять контроль над ПДн, платёжными данными и служебными секретами после первой же выгрузки.
Поговорим про шифрование в хранении и передаче: где хватает server-side encryption, когда нужен client-side подход, зачем выносить ключи в KMS, как работает DEK/KEK и почему право `decrypt` должно быть редким исключением, а не стандартной ролью приложения.
Отдельно разберём токенизацию: как заменить исходные значения токенами, сократить чувствительный контур и не пустить настоящие данные в логи, очереди, BI-выгрузки и интеграции. Материал для тех, кто хочет защищать данные не галочками в облаке, а нормальной архитектурой.Статья Сниффинг трафика и MITM-атаки: Wireshark, tcpdump и Ettercap в реальных сценариях
На каждом втором внутреннем пентесте учётные данные появляются ещё до первого эксплойта — достаточно включить интерфейс в режим прослушивания. tcpdump, Wireshark, Ettercap: пошагово с реальным выводом терминала.В плоской корпоративной сети 30 минут пассивного сниффинга дают больше, чем любой скан: VLAN-структура, принтеры на голом HTTP, внутренние порталы без шифрования, broadcast-протоколы с именами хостов. ARP-отравление двух хостов — и весь трафик между ними проходит через вас.
Три инструмента с реальными примерами: tcpdump с BPF-фильтрами и захватом POST с паролями в ASCII, Wireshark с display filters и Follow TCP Stream, Ettercap для ARP spoofing с выводом перехваченных credentials в реальном времени. Маппинг на MITRE ATT&CK: T1040, T1557, T1557.002.
Защита: DAI, DHCP Snooping, мониторинг ARP-аномалий через Suricata.