Форум информационной безопасности - Codeby.net
Статья APT28 кампания PRISMEX: анализ цепочки заражения, облачный C2 и detection для SOC
APT28 зарегистрировала WebDAV-домены за 14 дней до патча CVE-2026-21509. 72 часа — 29 писем с реальных госаккаунтов по девяти странам. Эксплойт готов раньше, чем фикс Microsoft.Открыл RTF → Shell.Explorer.2 через OLE инициирует WebDAV → загружается LNK → CVE-2026-21513 обходит MSHTML sandbox → шеллкод. Без макросов. Protected View не спасает. Два варианта после: MiniDoor пересылает входящую почту через SMTP с DeleteAfterSubmit, PRISMEX-цепочка прячет .NET-payload в PNG методом Bit Plane Round Robin и грузит Covenant Grunt через Filen.io.
COM hijacking EhStorShell.dll, scheduled task OneDriveHealth, CLR hosting fileless — модульная архитектура, где компоненты взаимозаменяемы. Октябрь 2025: wiper уничтожил все файлы в %USERPROFILE%.
Sigma-правило, IOC-таблица и маппинг на MITRE ATT&CK.Статья GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера
CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола — ломает поле и создаёт новые. Last-write-wins парсинг в gitrpcd: инжектированный rails_env=test перезаписывает production — sandbox отключается. custom_hooks_dir указывает на контролируемую директорию. Произвольные shell-команды от git-пользователя.
Методология Wiz: AI-augmented реверс через IDA MCP ускорил декомпиляцию закрытых бинарников на порядок. Но обнаружение уязвимости — человеческий инсайт: semicolon в shared header это точка инъекции, last-write-wins превращает field injection в override security-полей.
IoC для GHES-администраторов и patch diffing для n-day research.Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.Статья Attack-Defense CTF организация: от gameserver до автоматизации SLA
Attack-Defense CTF изнутри: чекер с race condition на 40-й минуте, gameserver под нагрузкой и ферма флагов против ручного curl — побеждает инфраструктура, не навык взлома.Gameserver: controller + checker master + submission + web на PostgreSQL. NAT masquerading — без него команда закрывает все IP кроме gameserver одним правилом iptables. Vulnbox: Docker Compose, первый час — бэкап до любых изменений, иначе сломанный патч без отката.
Написание чекеров: рандомизация данных обязательна, race condition в PUT/GET убивается нагрузочным тестом на 50 тиков до старта. Ферма флагов S4DFarm или DestructiveFarm: эксплойт в stdout, ферма сама раскидывает на все команды. Tulip для перехвата чужих эксплойтов из PCAP.
Таблица ролей команды и статусы SLA: OK / DOWN / FAULTY / FLAG_NOT_FOUND.Статья RCE уязвимости в AI-платформах: CVE-2026-40933 и CVE-2026-40911 — от allowlist bypass до eval() injection
CVE-2026-40933 (CVSS 9.9) и CVE-2026-40911 (CVSS 10.0): npx -c в Custom MCP Flowise выполняет произвольный shell-код, eval() в AVideo отдаёт браузеры всех пользователей анонимному атакующему.Три слоя защиты Flowise — allowlist, validateCommandInjection(), validateArgsForLocalFileAccess() — не разбирают семантику аргументов. npx проходит как легитимная команда, npx -c "reverse shell" — тоже. ~7 000 публично доступных инстансов на момент disclosure.
AVideo: два eval()-sink в script.js, WebSocket-токены без валидации, ретрансляция payload каждому подключённому пользователю. Попался администратор — полный контроль над платформой. 14+ CVE в MCP-среде по данным OX Security — один паттерн, разные платформы: Flowise, LibreChat, WeKnora.
IoC для SIEM, transport type switch через Burp и чеклист для пентеста LLM-инфраструктуры.Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году
CISO в России: 500 000 руб. в Москве, до 2 млн с бонусами в топ-компаниях. Шестикратный разрыв с инженером — это не вопрос стажа, а вопрос смены мышления.Инженер с десятилетним опытом проваливает собеседование, потому что не умеет говорить с CFO на языке бизнес-потерь. Руководитель с пятью годами получает оффер с расчётом ROI от SIEM в цифрах. Roadmap на 7–12 лет: специалист (0–3 года) → руководитель отдела с КИИ и регуляторикой (3–7 лет) → CISO как бизнес-партнёр (7+).
CISSP упоминается в большинстве CISO-вакансий крупных компаний, CEH — деньги на ветер. Три ошибки, которые тормозят карьеру: ждут повышения вместо того чтобы взять ответственность, игнорируют нетворкинг, пренебрегают регуляторикой ФСТЭК/ФСБ/ЦБ. Половина офферов на CISO до hh.ru вообще не доходит.
Таблица навыков: что добирать инженеру, GRC-менеджеру и IT-директору.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Организация CTF соревнований: форматы, скоринг и античит на практике
Скорборд лёг на 40-й минуте: SQLite под нагрузкой динамического скоринга и 300+ участников. Организация CTF — инженерная задача, а не «закинул таски и открыл регистрацию».Три формата — три разных инфраструктуры. Jeopardy: CTFd на PostgreSQL, per-team флаги через соль, rate limit 10 попыток в минуту. Attack-Defense: VLAN + WireGuard, gameserver с чекерами на каждый тик, Ansible для деплоя vulnbox — и если gameserver в одной сети с vulnbox, атакующий правит себе очки напрямую.
Динамический скоринг: формула decay в CTFd, таск за 500 очков после 30 решений стоит 65. Античит: per-team флаги делают шаринг очевидным, синхронные сабмиты с разницей менее 30 секунд — эвристика для расследования. Чеклист из 8 пунктов перед стартом.
Начинайте с Jeopardy на 20 тасков — три соревнования до первого Attack-Defense.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab