Форум информационной безопасности - Codeby.net

Статья MinerSearch: обнаружение майнера в Windows — от ручного анализа до автоматического удаления

  • 16
  • 0
Планшет для пентеста на тёмном антистатическом коврике. На ярком экране — интерфейс MinerSearch с деревом процессов, строкой обнаружения майнера и красной кнопкой завершения процесса.


🔍 XMRig три недели молчал в антивирусе: conhost.exe из C:\ProgramData\Microsoft\Crypto\ держал CPU на 87% через process hollowing и порт 3333 — пока Process Explorer не выдал аномалию.

Kill chain типичного криптомайнера: PowerShell-загрузчик через T1190, закрепление по T1053.005 в планировщике задач, masquerading под svchost.exe из %AppData%. Семейство Smominru совмещает XMRig с DDoS и проксированием — машина уходит в ботнет незаметно.

MinerSearch бьёт по этапам 3–5 ATT&CK: проверяет цифровые подписи служб, сканирует Run-ключи реестра, ищет процессы вне System32.

💡 Антивирус молчит — майнер работает в process hollow. Детект по пути процесса, а не сигнатуре.

Статья OpenCTI vs MISP: сравнение open-source TI-платформ для корпоративного SOC

  • 18
  • 0
Два монитора стоят друг напротив друга на чёрном столе в тёмном зале SOC: слева интерфейс с таблицей индикаторов, справа граф знаний с узлами ATT&CK.


🔍 MISP агрегировал 47 TI-фидов и слал IoC в Splunk — пока L3-аналитик не спросил: «Какие техники ATT&CK мы не покрываем?» MISP на этот вопрос не проектировался. OpenCTI — да, но ценой Elasticsearch, Redis, RabbitMQ и недель настройки коннекторов.

MISP работает по модели «индикатор + флаг to_ids → действие в детекции». PyMISP гонит IP, хеши, домены в Splunk через lookup-таблицы, в Palo Alto NGFW — через блоклисты. Для IoC-driven SOC этого хватает. Но граф «хеш → малварь → intrusion set → ATT&CK-техника» в MISP архитектурно не core: модель данных плоская, атрибуция — как карта метро в Excel.

💡 50+ фидов без decay-политики топят SIEM в ложных срабатываниях — MISP об этом не предупредит.

Статья Пентест с нуля: практический роадмап инструментов и методологий в 2026 году

  • 174
  • 0
Три изогнутых монитора освещают тёмный стол синим и янтарным светом. На центральном экране — граф роадмапа с узлами инструментов пентеста и временной шкалой на 12 месяцев.


🗺️ Тридцать стажёров, одна ошибка: ставят Kali, запускают nmap -sV — и зависают. Роадмап 2026 привязывает каждый инструмент к этапу MITRE ATT&CK и конкретному месяцу с измеримым результатом.

Kill chain диктует порядок обучения жёстче любого куррикулума. Nmap (T1046) → Metasploit (T1190) → LinPEAS/WinPEAS (T1068) → Mimikatz T1003.001 → CrackMapExec Pass-the-Hash T1550.002. Пропустить звено — значит не понять следующее. Без хеша CrackMapExec бесполезен, без доступа к хосту Mimikatz не запустится.

Роадмап честно называет сроки: без IT-бэкграунда — 12–18 месяцев до джуниорской позиции, с опытом в администрировании — 8–12. Покрываются веб, инфраструктура, AD, облака AWS/Azure.

💡 Большинство новичков учат инструменты — роадмап учит цепочке зависимостей между ними.

Статья Шпионское ПО для iPhone: как коммерческие инструменты слежки стали оружием киберпреступников

  • 155
  • 0
Треснувший экран iPhone светится в темноте, сквозь трещину видны строки повреждённого системного лога. Над разбитым стеклом поднимается тонкая струйка дыма.


🔐 Pegasus, Predator, DevilsTongue — инструменты уровня спецслужб утекли на теневой рынок. Zero-click цепочка от iMessage до полного контроля iPhone теперь доступна без контракта с NSO Group — достаточно бюджета на хороший автомобиль.

Форензика sysdiagnose-дампов через MVT выдаёт IOC-паттерны Pegasus и Predator там, где пять лет назад их никто не ждал: корпоративный шпионаж, stalkerware, экономические конфликты. FORCEDENTRY (CVE-2021-30860) атаковал iMessage через JBIG2-stream, BLASTPASS шёл через PassKit/ImageIO — каждый закрытый вектор NSO заменяла новым.

Kill chain укладывается в MITRE T1189 → T1203 → T1068 → T1056.001/T1113/T1123 → T1041.

💡 SOC смотрит на Windows Event Log — Pegasus работает в iOS sandbox молча, не оставляя следов на периметре.

Статья Quick OSINT Bot: полный разбор возможностей и практика использования для разведки

  • 154
  • 0
Веер тёмных матовых карточек на металлической поверхности с силуэтами телефона, иконками мессенджеров и схемой связей. Тусклый свет лампы и бирюзовый отблеск монитора создают атмосферу цифровой раз...


🕵️ Quick OSINT Bot за 40 минут закрыл первичную разведку по 12 телефонам фейковых аккаунтов: номер → Telegram → VK → базы утечек. MITRE T1589.001/T1593.001 без единого пакета в сторону цели.

Бот покрывает фазу Reconnaissance: поиск по номеру телефона, Telegram username/user ID, email, нику, госномеру авто и фото. Под капотом — агрегация из баз утечек и открытых реестров RU-сегмента. Стартовая точка для Maltego и socid-extractor.

Ограничения жёсткие: закрытые базы без audit trail, нет экспорта JSON/CSV, нет визуализации графа связей. Оператор видит все запросы — OPSEC требует отдельного Telegram-аккаунта и VPN.

💡 75% вторжений используют валидные credentials (CrowdStrike 2025) — OSINT-бот показывает, что враг знает о цели ещё до первого пакета.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 458
Сообщения
346 734
Пользователи
160 981
Новый пользователь
follfoll0