Форум информационной безопасности - Codeby.net
Статья Аналитик SOC с чего начать: инструменты, навыки и план выживания в первые 90 дней
Первое дежурство в SOC: 47 алертов, тимлид ушёл на звонок, непонятно куда смотреть. Это — онбординг, который дают через три месяца, но нужен в первый день.71% аналитиков сталкиваются с выгоранием. Причина не в сложности — в отсутствии структуры. Конкретный 90-дневный план: недели 1–2 — читаем закрытые тикеты и смотрим за чужим триажем, недели 3–6 — самостоятельная обработка low/medium с первыми SPL-запросами, недели 7–12 — полный цикл и первые корреляционные правила.
Разбор реального алерта за 8 минут: Tor exit node, 47 попыток RDP на контроллер домена, маппинг T1110 → T1078, тикет с рекомендациями. Key Event ID, домашняя лаба из трёх VM за выходные, чек-лист из 8 навыков для самопроверки перед собеседованием.
Сертификации с реальной отдачей: Security+ и BTL1 против стопки бесполезных бумаг.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.Статья Data Protection в облаке: шифрование, KMS, tokenization
Data Protection в облаке: шифрование, KMS и токенизация
Данные в облаке редко живут только в одной базе. Они уходят в бакеты, резервные копии, очереди, логи, тестовые дампы и отчёты. В статье разберём, как не потерять контроль над ПДн, платёжными данными и служебными секретами после первой же выгрузки.
Поговорим про шифрование в хранении и передаче: где хватает server-side encryption, когда нужен client-side подход, зачем выносить ключи в KMS, как работает DEK/KEK и почему право `decrypt` должно быть редким исключением, а не стандартной ролью приложения.
Отдельно разберём токенизацию: как заменить исходные значения токенами, сократить чувствительный контур и не пустить настоящие данные в логи, очереди, BI-выгрузки и интеграции. Материал для тех, кто хочет защищать данные не галочками в облаке, а нормальной архитектурой.Статья Сниффинг трафика и MITM-атаки: Wireshark, tcpdump и Ettercap в реальных сценариях
На каждом втором внутреннем пентесте учётные данные появляются ещё до первого эксплойта — достаточно включить интерфейс в режим прослушивания. tcpdump, Wireshark, Ettercap: пошагово с реальным выводом терминала.В плоской корпоративной сети 30 минут пассивного сниффинга дают больше, чем любой скан: VLAN-структура, принтеры на голом HTTP, внутренние порталы без шифрования, broadcast-протоколы с именами хостов. ARP-отравление двух хостов — и весь трафик между ними проходит через вас.
Три инструмента с реальными примерами: tcpdump с BPF-фильтрами и захватом POST с паролями в ASCII, Wireshark с display filters и Follow TCP Stream, Ettercap для ARP spoofing с выводом перехваченных credentials в реальном времени. Маппинг на MITRE ATT&CK: T1040, T1557, T1557.002.
Защита: DAI, DHCP Snooping, мониторинг ARP-аномалий через Suricata.Статья Аналитик SOC: полный гайд для старта в профессии — от первого алерта до Tier 3
Аналитик SOC: от первой ночной смены с сотнями алертов до Tier 3 — онбординг, которого не дают на курсах. Написано тем, кто провёл через это два десятка стажёров.Типичный алерт: «Multiple failed RDP logon attempts followed by successful login from external IP». Что смотреть, в каком порядке и что писать в тикете — разбор пошагово. Разница между «что-то подозрительное» и «4625 EventCode, 47 попыток с src_ip 185.x.x.x на DC01 за 03:14–03:22 UTC» — это разница между закрытым и проваленным инцидентом.
Структура Tier 1–3 с реальными задачами и инструментами, пять ошибок новичков, SPL-запрос для Splunk, маппинг алертов на MITRE ATT&CK в ежедневной работе и дорожная карта от нуля до первой смены.
Сравнительная таблица Tier 1–3 и карьерные треки после SOC.Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп
Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».
Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.
Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X
Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.
Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.
Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов
79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.
Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.
MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.