Форум информационной безопасности - Codeby.net
Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости
На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.
Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS
Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.
Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.Статья Охота на угрозы RMM-инструменты: fingerprinting C2-инфраструктуры через Shodan, Censys и Netlas
NetSupport, ScreenConnect, SimpleHelp — атакующие разворачивают self-hosted C2 на VPS и прячутся за подписанными бинарниками. SOC ловит агента на эндпоинте, пока сервер управления остаётся слепым пятном.Fingerprinting через Shodan, Censys и Netlas переворачивает логику: те же инструменты, которые атакующий использует по T1596.005, работают против его инфраструктуры. MurmurHash3 от favicon панели, комбинация http.headers.server + http.status_code, JARM-отпечаток TLS — три независимых сигнатуры дают кластер C2 одним запросом.
Свежий self-signed сертификат на IP из AS дешёвого хостера, домен младше 14 дней, порт 443 с заголовками ScreenConnect — это уже actionable IOC.
EDR молчит — агент подписан вендором. Охота начинается не на хосте, а в Shodan.Статья EDR bypass macOS: цепочка XPC + NIB injection для отключения CrowdStrike и Kandji
XPC + NIB injection отключает CrowdStrike Falcon и Kandji MDM на macOS без sudo и kernel-эксплойтов — от имени стандартного пользователя. CVE-2026-39118 на руках, Apple архитектуру менять отказался.Red team финтех-компании упёрлась в Falcon через 60 секунд после initial access: перекомпиляция, шифрование шеллкода, обфускация — агент ловил по поведению. Выход нашли через исследование XM Cyber: слабая XPC-валидация (Team ID не верифицируется), NIB injection и злоупотребление kernel trust cache дают полное отключение EDR и MDM.
Falcon мониторит exec/mmap через ES Framework — но XPC-канал между его же компонентами остаётся слепой зоной.Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента
Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.
SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.