Форум информационной безопасности - Codeby.net
Статья Атаки на endpoint management системы: разбор TTP 2026 и detection для SOC
CVE-2026-1731 (CVSS 9.9) в BeyondTrust Remote Support эксплуатировалась в ransomware-кампаниях Qilin и Akira до выхода патча — CISA дала 3 дня на устранение pre-auth RCE (CWE-78), пока атакующие уже шли по kill chain.BeyondTrust-сервер после эксплойта становится готовым C2: агент на каждом хосте принимает команды без доп. аутентификации — MITRE T1072. Далее Impacket smbexec и Pass-the-Hash (T1550.002) через NTLM-хеши из памяти сервисных процессов. CVE-2025-24054 добивает через .library-ms файлы и утечку NTLMv2.
SOC не трогает RMM-трафик — он baseline. Ransomware-группы живут внутри подписанного агента неделями.Статья UEBA для обнаружения инсайдеров: настройка поведенческой аналитики и интеграция с SIEM
Бухгалтер за три часа выгрузила 4.7 ГБ — в 12 раз больше нормы. DLP молчала: файлы не выходили за периметр. Алерт утонул в 300 срабатываниях за день, 295 из которых — false positive. Данные ушли к конкуренту через неделю.DLP видит контент и канал. UEBA видит поведение: baseline пользователя, peer group, отклонения. Первое обращение к нехарактерному ресурсу детектируется за дни до exfiltration — на этапе T1039/T1005, а не T1052.001.
Splunk SPL и Microsoft Sentinel KQL для обнаружения аномального объёма выгрузки (3-sigma по peer group), новых паттернов доступа (join kind=leftanti за 30 дней), пересечения DLP-алерта и поведенческой аномалии — risk-based alerting.
Peer group по department/title режет false positive в разы. Одна ошибка в группировке — весь detection pipeline слепнет.Writeup Pentest Machines | GreenEdge | HackerLab
Домашняя страница сразу выводит вывод команды id — приглашение к CMD injection. Форма обратной связи feedback.php принимает произвольные команды без фильтрации. Цепочка: shell → стабилизация → PrivEsc через capabilities.Reverse shell через PHP fsockopen на порт 4444 с URL-кодированием пейлоада — сервер сбрасывает соединение без него. Netcat слушает на атакующей машине. Shell нестабильный: python3.10 нашёлся на сервере и позволил запустить pty.spawn для полноценного терминала.
LinPEAS после загрузки через wget (curl отсутствует) подсвечивает главное: python3.10 имеет capability cap_setuid=ep. Одна команда os.setuid(0) + os.system("/bin/bash") — и вы root без эксплойта ядра и без sudo.
Нестандартная версия Python как вектор privilege escalation встречается редко — capabilities проще пропустить, чем SUID-биты.
cap_setuid=ep на интерпретаторе — полноценный путь к root. LinPEAS находит это за секунды.Вакансия Ищу ментора / Senior Red Teamer (обучение разработке софта)
Ищу наставника-практика для системного обучения Red Team: кастомный инструментарий, целевой OSINT и понимание низкоуровневых процессов Windows. Формат — асинхронная переписка без созвонов, с code review и пошаговым roadmap.Направления обучения: написание автоматизированного кода для Security Awareness и эмуляции угроз, целевой OSINT для построения сценариев тестирования, механизмы работы защитных решений (AV/EDR) и проектирование логики кода под Windows. Нужен единый вектор от простого к сложному, а не набор разрозненных ссылок.
Требования к наставнику: практикующий Red Teamer или Threat Actor Emulator с опытом кастомного инструментария. Язык — C/C++, C#, Go, Nim или Python. Способность объяснять системно через фундаментальную логику.
Формат: roadmap на месяц вперёд, еженедельная проверка кода, оплата по факту (2 000 ₽/нед.). Соблюдение дедлайнов с моей стороны гарантировано.
tg: @hmanbodyСтатья Защита от инсайдерских угроз: access review, offboarding и политики ИБ на практике
Аккаунт уволенного 11 месяцев назад — с доступом к финансовым отчётам через SharePoint и действующим VPN-сертификатом. HR закрыл заявку в день ухода, IT получил тикет через неделю, IAM-команда не узнала вообще.Типовой kill chain инсайдера не требует эксплойтов: T1078 (Valid Accounts) даёт initial access бесплатно, T1213 — навигацию по SharePoint и Confluence без единого алерта, T1567.002 — эксфильтрацию через облако. BloodHound за первый час находит вложенные AD-группы с membership от пяти реорганизаций, а группы `all-employees-full-access` в Okta живут годами.
EDR молчит — инсайдер использует легитимные права. Окно в 11 месяцев закрывает только IAM, не SIEM.Статья Secrets scanning масштабирование организации: оркестрация пайплайнов, покрытие источников и валидация
Gitleaks на монорепо с 480 сервисами вернул 14 000 алертов — реальных секретов оказалось 340. Три дня ручного разбора, и security-чемпионы перестали смотреть на дашборд вообще. Вот архитектура, которая режет шум в 40 раз.Трёхслойная оркестрация: detect-secrets как pre-commit hook проверяет только diff за миллисекунды, TruffleHog v3 с флагом --only-verified на PR-этапе валидирует секреты через AWS IAM и GitHub API, scheduled deep scan прогоняет полную git-историю по расписанию. Каждый слой — своя скорость и глубина.
Покрытие выходит за пределы кода: CI/CD-переменные, Terraform и CloudFormation, Confluence, Jira, Slack.
Alert fatigue убивает программу secrets scanning быстрее, чем отсутствие сканера — без валидации через API инструмент просто замолкает.