Форум информационной безопасности - Codeby.net
Статья Сниффинг трафика и MITM-атаки: Wireshark, tcpdump и Ettercap в реальных сценариях
На каждом втором внутреннем пентесте учётные данные появляются ещё до первого эксплойта — достаточно включить интерфейс в режим прослушивания. tcpdump, Wireshark, Ettercap: пошагово с реальным выводом терминала.В плоской корпоративной сети 30 минут пассивного сниффинга дают больше, чем любой скан: VLAN-структура, принтеры на голом HTTP, внутренние порталы без шифрования, broadcast-протоколы с именами хостов. ARP-отравление двух хостов — и весь трафик между ними проходит через вас.
Три инструмента с реальными примерами: tcpdump с BPF-фильтрами и захватом POST с паролями в ASCII, Wireshark с display filters и Follow TCP Stream, Ettercap для ARP spoofing с выводом перехваченных credentials в реальном времени. Маппинг на MITRE ATT&CK: T1040, T1557, T1557.002.
Защита: DAI, DHCP Snooping, мониторинг ARP-аномалий через Suricata.Статья Аналитик SOC: полный гайд для старта в профессии — от первого алерта до Tier 3
Аналитик SOC: от первой ночной смены с сотнями алертов до Tier 3 — онбординг, которого не дают на курсах. Написано тем, кто провёл через это два десятка стажёров.Типичный алерт: «Multiple failed RDP logon attempts followed by successful login from external IP». Что смотреть, в каком порядке и что писать в тикете — разбор пошагово. Разница между «что-то подозрительное» и «4625 EventCode, 47 попыток с src_ip 185.x.x.x на DC01 за 03:14–03:22 UTC» — это разница между закрытым и проваленным инцидентом.
Структура Tier 1–3 с реальными задачами и инструментами, пять ошибок новичков, SPL-запрос для Splunk, маппинг алертов на MITRE ATT&CK в ежедневной работе и дорожная карта от нуля до первой смены.
Сравнительная таблица Tier 1–3 и карьерные треки после SOC.Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп
Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».
Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.
Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X
Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.
Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.
Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов
79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.
Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.
MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.Статья Социальная инженерия 2026: полная карта методов атак и защиты
Голосовой фишинг обогнал email: 11% всех взломов — один звонок, 22 секунды до передачи доступа. Scattered Spider от хелпдеска до Domain Admin за 40 минут — без единого эксплойта.Файрволы, EDR, SIEM — сильнее, чем когда-либо. Атакующим не нужно их ломать. Достаточно позвонить на поддержку и представиться сотрудником. ClickFix вырос на 517%: браузер заменил inbox, а пользователь сам вставляет PowerShell-команду в терминал.
Хаб-навигатор: 10 видов атак с MITRE ATT&CK, пять психологических триггеров (срочность, авторитет, страх, взаимность, социальное доказательство), deepfake-кейсы на $25 млн, 30-дневный план усиления защиты и четырёхуровневый чеклист с метриками.
Callback-верификация и phishing-resistant MFA — единственное, что работает против Scattered Spider.Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда
Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.
Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.
Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.Статья CVE эксплойт разработка: полный цикл от публикации уязвимости до рабочего шелла — методология и инструменты 2025–2026
CVE-эксплойт разработка 2025–2026: 28,96% уязвимостей из CISA KEV эксплуатируются в день публикации — окно схлопнулось до нуля.Unit 42 фиксирует: сканирование на свежую CVE стартует через 15 минут после appearance. CrowdStrike замерил среднее время латерального перемещения — 29 минут. От 756 дней в 2018-м до часов в 2026-м. Если вы в offensive security — нужно понимать весь конвейер.
Хаб-навигатор по 7 фазам цикла эксплуатации: триаж через cvemap и EPSS, patch diffing в Ghidra+BinDiff, crash до контроля RIP, десериализация через ysoserial/phpggc, адаптация публичного PoC в обход EDR. Реальные CVE 2025–2026, двухтрековая модель патчинга и роль AI как ускорителя — с честной оценкой пределов.
Таблица маппинга на MITRE ATT&CK и инструментарий по каждой фазе.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team