Форум информационной безопасности - Codeby.net
Статья Защита от DDoS атак: anycast, scrubbing-центры, rate limiting и автоматизация реагирования
UDP flood на 180 Гбит/с — и NOC-инженер вручную набирает команду активации scrubbing-центра. BGP-конвергенция 4 мин + GRE-туннель 2 мин = платёжный шлюз лежит, четверть месячного SLA-бюджета (99.95% uptime) сгорела.Anycast-сеть из 20 PoP распределила бы атаку автоматически — по 9 Гбит/с на точку, inline scrubbing за 3 мс, без единого BGP-изменения. Многовекторные атаки (T1498.001 + T1499.002) в 2025 году составляют 52% инцидентов — TCP carpet-bombing сменяется DNS amplification за три минуты, пока NOC разгребает первый вектор.
On-demand scrubbing с GRE-туннелем даёт 10–20 Тбит/с ёмкости, но скрытая цена — время диверсии.
Anycast слеп к L7: sub-Gbps HTTP flood проходит 60–120 сек до порога NetFlow-детекции.Статья Вредоносные расширения Chrome: анализ кампании с 108 малварными аддонами и методы обнаружения
108 вредоносных расширений Chrome сливали cookies Facebook Business и токены ChatGPT через CSP-stripping — кампания шла 7 месяцев, пока Cyberhaven не поймала свой аддон версии 24.10.4 за руку.Атака стартовала с OAuth-фишинга: разработчики авторизовывали приложение с правом публикации в Chrome Web Store — MFA обходился полностью, токен давал прямой доступ без повторной аутентификации. Малварный код в service worker делал heartbeat на C2, получал JSON-конфиг и через declarativeNetRequest зачищал заголовок Content-Security-Policy — после чего инжектил скрипты в любую страницу.
Chrome Web Store удалил расширения — но деинсталляции у пользователей не произошло. Миллионы остались скомпрометированы.Статья Пентест браузерных расширений: методология анализа, уязвимости и detection для SOC
Supply chain-атака на Cyberhaven (2024) превратила доверенный Chrome-плагин в инструмент эксфильтрации — один скомпрометированный OAuth-токен разработчика, и вредоносное обновление прошло проверку Web Store.Расширение с permissions cookies + <all_urls> читает HttpOnly cookies любого домена — включая SSO-сессии. Это T1539 без пароля и без MFA. Background service worker уходит во внешний C2, content script перехватывает DOM и буфер обмена (T1115), а SIEM молчит: корреляционных правил под T1176.001 в большинстве корпоративных стеков нет.
EDR видит процессы — но не JavaScript внутри браузера. 4,3 млн заражений через расширения прошли мимо endpoint-защиты.Статья Реагирование на инциденты в промышленных сетях: форензика PLC, TTPs атакующих и восстановление без остановки
Modbus FC 0x10 на реакторе, TIA Portal с учётками инженера в отпуске — SOC увидел аномалию через 12 минут, но TRITON-подобный payload уже переписывал ladder logic Siemens S7.На PLC нет диска для dd и нет ОС для Volatility. Форензика начинается с SPAN-порта и tcpdump, затем — historian OSIsoft PI для timeline, потом побайтовое сравнение OB/FC/FB-блоков с эталоном через TIA Portal. Modbus FC 0x05 и 0x06 EDR не видит: легитимный TCP на порт 502.
Защита строится на Zeek с ICS-плагинами и Claroty вместо слепого SIEM, whitelist Modbus function codes на уровне ACL, верификации .ACD-файлов через RSLogix diff.
В OT приоритет Safety → Availability → Integrity. Изоляция скомпрометированного PLC может убить людей — IT-playbook здесь не работает.Статья Расследование инсайдерских инцидентов: форензика рабочих станций, анализ USB-активности и облачных хранилищ
DLP-алерт сработал в понедельник — но инсайдер готовился две недели: LNK-файлы, ShellBags и USN Journal хранят полный kill chain до переустановки ОС.Форензика рабочей станции строится на артефактах Windows, которые инсайдер не может удалить вручную. Prefetch-файлы фиксируют запуск 7z.exe с точностью до секунды, LNK-файлы сохраняют серийный номер USB-тома, ShellBags — полное дерево навигации по внешним носителям. Всё парсится EZTools в CSV до суперхронологии через Plaso.
Параллельно — аудит T1114.003: правила форварда в Exchange и M365 обнаруживаются KQL-запросом к MailboxAuditLog.
DLP видит финальную отправку — артефакты рабочей станции раскрывают двухнедельную подготовку, которую UEBA пропустила.Статья Утечки данных Россия 2026: 4,5 млрд записей за три года — как детектировать утечку до штрафа
4,5 млрд записей за три года — и 48% инцидентов без установленного объёма компрометации. С 30 мая 2025 повторная утечка ПДн бьёт оборотным штрафом 1–3% выручки, минимум 25 млн руб.InfoWatch фиксирует 592 инцидента в 2024-м при взрывном росте объёма — один мегаслив перекрывает сотню мелких. Kill chain типичный: Shodan-разведка периметра → эксплуатация веб-уязвимости → дамп БД → credential stuffing из аутентификационных записей.
Detection до штрафа требует UEBA на аномальный SELECT-объём, DLP-контроль облачных хранилищ (рост случайных утечек до 10%), алертинг на Rclone/exfil-паттерны. Уведомление в РКН — 24 часа на первичное, 72 — на развёрнутый отчёт.
IBM считает средний цикл инцидента 258 дней — РКН узнаёт из Telegram раньше, чем SOC закрывает тикет.Статья theHarvester — инструмент разведки: от выбора источников до карты внешней поверхности атаки
theHarvester за 6 минут собрал 47 email-адресов и 31 поддомен на Red Team-контракте — среди них staging-API с открытым Swagger UI и дефолтными кредами. Subfinder по тому же домену выдал только 18 поддоменов.Инструмент агрегирует Hunter.io, PGP-серверы и LinkedIn-парсинг через Google — источники, которые subdomain enumeration-тулзы не покрывают. В пассивном режиме IDS/IPS не срабатывают, в логах цели — тишина. Email-адреса уходят в credential stuffing и фишинг, поддомены — в Nuclei/httpx. MITRE T1596.001; флаг `-c` переключает в DNS-брутфорс и оставляет следы.
Антипаттерн `-b all` сжигает API-квоты и вызывает rate limiting у Google уже после 10 запросов.
Nuclei без карты поверхности атаки пропустит забытые staging-серверы — именно там живут дефолтные креды.