Форум информационной безопасности - Codeby.net
Статья Бинарный анализ уязвимостей: полное руководство для пентестера и CTF-игрока
Conficker, Stuxnet, EternalBlue — каждый начинался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Бинарный анализ уязвимостей отделяет того, кто запускает готовый эксплойт из Metasploit, от того, кто вскрывает проприетарный бинарь без исходников.Карта направления из 8 гайдов: статический анализ в Ghidra и IDA, динамический через GDB/x64dbg/WinDbg и DBI-фреймворки, 6 классов бинарных уязвимостей от stack overflow до tcache poisoning, coverage-guided фаззинг, символьное исполнение через angr.
NX, ASLR, Canary, Full RELRO — что каждая защита закрывает и как обходится. Trade-off таблица инструментов. Decision tree выбора метода под задачу: CTF pwn, аудит бинарника, прошивка IoT, упакованная малварь.
Один человек с навыками бинарного анализа в красной команде меняет результат проекта радикальнее, чем ещё два веб-пентестера.Статья Как попасть на стажировку по кибербезопасности в 2026 году: разбор программ, требования и советы
340 резюме на стажировку в SOC. Оффер получили 8 человек. Ни у одного не было коммерческого опыта. Зато у каждого было что-то конкретное: разобранный CTF-таск на GitHub, write-up'ы с TryHackMe, самостоятельно развёрнутый ELK-стек.Восемь активных программ стажировок в ИБ в России на 2026 год — с оплатой, форматом и направлениями. Summ3r of Hack, Solar Start, ВТБ, Angara Security. Что реально спрашивают на отборе и чего не требуют вообще (коммерческий опыт, сертификаты, высокий GPA).
Roadmap подготовки на 3–6 месяцев с разбивкой по месяцам. Портфолио для SOC и для пентеста: что конкретно положить в GitHub. Таблица ошибок при поиске стажировки — пять штук из реальных отборов.
Три write-up'а и один работающий скрипт — уже больше, чем у 80% кандидатов из последней выборки.Статья Атаки на SCADA системы: разбор взломов водоочистных станций и detection-playbook для OT-сети
Январь 2024. CARR зашла в системы управления водоснабжением в Muleshoe, Техас. Перенастроила параметры, вызвала перелив водонапорной башни, выложила видео в открытый доступ. Не zero-day, не кастомный эксплойт — просто VNC с дефолтными кредами.Modbus TCP из 1979 года не предусматривает ни аутентификации, ни шифрования. FC6 меняет уставку процесса без пароля, без токена, без логирования на уровне протокола. ПЛК доверяет всем. Всегда. Патч-менеджмент в OT — окно обслуживания раз в квартал, потому что остановка процесса хлорирования воды угрожает здоровью людей.
Kill chain по MITRE ATT&CK for ICS: дефолтные учётки, открытый remote access, сканирование промышленных портов. Правила корреляции для SIEM, Suricata-правило на запись в Modbus-регистры с нештатного адреса.
Только 20% водных систем в США внедрили базовые меры защиты. Volt Typhoon сидел в инфраструктуре пять лет.Статья Балансировка сложности CTF заданий: от кривой difficulty до борьбы с unintended solutions
Региональный студенческий CTF, 28 тасков. Семь не решила ни одна команда за 48 часов, пять сдали все в первые 40 минут. Лидерборд замер к середине соревнования. Post-mortem показал банальное — дыра в кривой difficulty посередине и отсутствие плейтестинга.Пропорции по уровням, decay-скоринг, категориальный баланс — с конкретными формулами и настройками для CTFd. Unintended solutions: старшеклассник ввёл NaN в поле суммы, atof() вернул IEEE 754 Not a Number, guard-условие с NaN всегда false, флаг получен без intended решения.
Чеклист из 10 контрольных точек перед деплоем таска. Четыре типа unintended с профилактикой. Антигессинг-паттерны: направляющее описание, правило одного поискового запроса, независимость тасков.
Мои оценки сложности ошибаются примерно в четырёх случаях из десяти. Decay компенсирует часть ошибок. Всё остальное — плейтестинг и post-mortem.Статья TCP/IP стек протоколов для хакера: флаги, рукопожатие и реальные атаки
Полгода назад на внутреннем пентесте мы перехватили TCP-сессию между сервером мониторинга и управляющей консолью — sequence number оказался предсказуемым, RST-инъекция сработала с первого пакета. 12 минут от обнаружения порта до разрыва чужого соединения.TCP/IP стек для хакера — не через академические модели, а через конкретные атаки. SYN-скан: почему open/closed/filtered — это три разных ответа на уровне флагов. FIN/NULL/XMAS — где работает, где stateful firewall убивает на корню. SYN flood: почему в 2025 году почти мёртв, и что с этим делать. RST-инъекция — самая неприятная слепая зона IDS: инжектированный RST с корректным sequence number неотличим от легитимного завершения сессии.
Фильтры Wireshark для каждого типа атаки, таблица флагов с применением, Scapy-скрипт для лаборатории.
Понимание TCP начинается когда открываешь Wireshark и руками разбираешь, почему Nmap показал filtered вместо closed.Статья Атаки на сетевые протоколы при пентесте: эксплуатация SMB, FTP, SNMP и SMTP
38 минут от первого SNMP-запроса до пароля domain-админа. Nmap показал порт 161/udp с дефолтной community string — и устройство выдало имена хостов, интерфейсы и процессы. Два перехода по SMB-шарам, файл passwords.xlsx в открытом виде. Три сервиса, ни один не настроили.SMB relay через Responder + ntlmrelayx — пассивная атака без подбора паролей, работает пока жертва сама обращается к несуществующему ресурсу. SNMP v2c с community string "public" на коммутаторах даёт полную карту сети при практически нулевой обнаруживаемости. SMTP RCPT TO — список валидных email без единой ошибки в логах.
Decision tree по выбору вектора, таблица что видит SIEM по каждой технике и где слепая зона.
SNMP enumeration и SMB relay — наименее обнаруживаемые техники. Брутфорс FTP — самая заметная. Поэтому пассивные техники идут первыми.Статья DFIR инструменты 2025: Velociraptor, KAPE, EZ Tools и Autopsy — настройка лаборатории и сбор артефактов
Понедельник, 9:15. Три алерта на Event ID 7045 на хостах бухгалтерии. К 10:00 — восемь машин: lateral movement прямо сейчас. Задача — за час собрать артефакты с 30+ хостов без перезагрузки и без потери chain of custody.Velociraptor — VQL-hunt на тысячи хостов одновременно, live-данные в реальном времени. KAPE — триаж одного хоста за 15 минут через EDR или USB. EZ Tools — MFTECmd находит Timestomp по расхождению $SI и $FN timestamps, PECmd вытаскивает историю запусков из Prefetch, EvtxECmd ловит очистку логов через Event ID 1102. Autopsy — единственный в стеке, кто видит удалённые файлы в unallocated space.
Инструменты не конкурируют — работают последовательно. От первого алерта до итогового отчёта — 11 часов.
Проблема DFIR в 2025 не в инструментарии. Проблема — в мышечной памяти.Статья Метрики управления уязвимостями: MTTP, SLA по severity, coverage rate и реальная эффективность VM-программы
Дашборд VM-программы показывает «80% критикалов закрыто». Восемьдесят процентов считались по Low и Medium на рабочих станциях с автопатчем через WSUS. Среднее время от публикации CVE до устранения — 29 месяцев. Среднее время нахождения атакующего в сети — 11 дней.MTTP для Critical на периметральных сервисах выше 11 дней — атакующий быстрее вашей VM-команды. Агрегированный MTTP скрывает это: Critical закрывается за 45 дней, Low за 3 (автопатч), среднее — 14, выглядит прилично.
SQL-запрос расчёта MTTP по severity с фильтром активных хостов. SLA-пороги с override: CVE в CISA KEV → 7 дней независимо от CVSS. EPSS > 0.5 при CVSS ≥ 7.0 → 14 дней. Coverage rate — где врёт и как аудировать знаменатель.
Coverage rate 98% от неполного CMDB — не реальное покрытие. 200 Lambda-функций в знаменатель не попали.Статья Защита от zero-day уязвимостей: playbook для SOC, когда патча ещё нет
Понедельник, 9:15. CVE в CISA KEV, EPSS Top 5%, эксплуатация активна, автоматизируема, патча нет. В ту же неделю — CVE-2026-22769, hardcoded credentials в Dell RecoverPoint, CVSS 10.0, тоже без исправления. EDR на appliance не стоит и стоять не может.Time-to-exploit упал до двух дней. Среднее время устранения — 29 месяцев. Playbook «получили CVE — накатили патч» разваливается на втором шаге, когда патча не существует в природе.
Decision tree для первых 6 часов: KEV + EPSS + SSVC → изоляция management-интерфейсов → ретроспективный threat hunting за 30–90 дней. Виртуальный патч работает только при CWE-20, бесполезен при CWE-287 и CWE-798. Поведенческие SIEM-корреляции без сигнатур — единственный рабочий инструмент.
Если инфраструктура не готова к ситуации, когда патча не существует — она сломается в первый же zero-day инцидент.Статья Детектирование lateral movement через доверенные учётки: обнаружение горизонтального перемещения без вредоносного кода
Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.75% вторжений — через валидные учётные данные. Breakout time — 62 минуты. EDR без контекста аутентификации не отличает wmic process list от wmic process call create. Это задача для корреляции событий и поведенческого baseline.
Event ID 4624/4648/4672/4776 — что каждый фиксирует и на каком хосте. PtH-артефакт seclogo и почему 4776 важнее, чем 4624. Low-and-slow sweep, credential rotation, jump host — как атакующий обходит пороговые правила. CVE-2025-24054 — NTLM-хеш без Mimikatz и LSASS.
Большинство SOC не мониторят Event ID 4776. А это единственное событие, которое ловит PtH до состоявшейся аутентификации.