Форум информационной безопасности - Codeby.net
Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья AI фишинг атаки на малый бизнес: detection, аудит и защита в 2026
AI-фишинг на малый бизнес: 54% кликабельность против 12% у классического. За 5 минут и 5 промптов — то, на что раньше уходило 16 часов красной команды.Двадцать инцидентов в Microsoft Sentinel — ни одного алерта от SEG. DMARC в режиме p=none, базовый EOP, один IT-специалист на всё. Бухгалтер открыла «акт сверки» с реальными реквизитами контрагента. Векторы: AiTM через Evilginx2 обходит push MFA на 100%, ClickFix через Win+R запускает rundll32 с WebDAV — Defender for Business молчит. Deepfake-голос директора — $150 и 20 минут.
Аудит за 4 часа: SPF/DKIM/DMARC p=reject, KQL-правило для аномальных логинов, SPL для inbox-правил пересылки. Бюджетный стек от 380 000 руб./год. GoPhish-симуляция: нормальный click rate после первой кампании — 25–40%, цель после трёх кварталов — ниже 15%.
Приоритет №1 — FIDO2 для финансового отдела: единственное, что останавливает AiTM.Hackerlab ❗️Подписка PRO на HackerLab со скидкой 20% только до конца дня
Сегодня последний день, когда можно оформить PRO со скидкой.
Подписка открывает доступ сразу к нескольким направлениям обучения и практики:
• курс «SQL Injection Master» с лабораторией и сертификатом за успешную сдачу экзамена
• курс «Введение в ИБ» с лабораторией
• курс «Основы Linux»
• доступ ко всем заданиям платформы
• Pro-лаборатории комплексными сценариями
Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.Статья Обход EDR российские решения: PT Sandbox, Kaspersky EDR и SEKOIA — тестируем с позиции Red Team
Kaspersky EDR Expert, PT Sandbox и SEKOIA XDR глазами Red Team: где слепые пятна, какие техники обхода живые, а какие уже мертвы.Каждый второй «обзор EDR» — пересказ маркетинговых PDF. Ни слова о том, что реально детектируется. Исправляем: Direct Syscalls без доработки call stack Kaspersky уже ловит. Классический DLL Injection и Process Hollowing — в сигнатурах у всех трёх. BYOVD остаётся рабочим при наличии admin-прав, но шумный. BYOI через прерванный инсталлятор — атака класса, а не продукта.
Инкрементальная методология: сначала RWX-аллокация, потом запись, потом execution — замеряем точку срабатывания. Canary-тест vs стелс-тест на VirtualProtect RW→RX. Сводная таблица 10 техник с оценкой по трём решениям.
PE-sieve для картирования хуков ntdll и код C для точной локализации момента детектирования.Статья Техники руткитов: полная классификация, матрица обнаружения и противодействие
Руткиты — менее 1% малвари, но ProjectSauron пять лет жил в инфраструктурах незамеченным. Полная карта техник от Ring 3 до Ring -2 с методами обнаружения каждого уровня.Четыре уровня — четыре принципиально разных подхода к детекту. Ring 3: IAT hooking, LD_PRELOAD, inline hooking. Ring 0: DKOM отсоединяет процесс из ActiveProcessLinks — планировщик его видит, NtQuerySystemInformation нет. Ring -1: EPT-abuse показывает сканеру чистый код, процессор исполняет пропатченный. Ring -2: BlackLotus обходит Secure Boot, имплант переживает переустановку ОС.
DirtyMoe вырос с 10 000 до 100 000 машин пока антивирусы молчали. UNC3886 в 2024-м использовала публичный Reptile с GitHub на VMware ESXi — APT-группа с госресурсами выбрала готовый LKM вместо кастомной разработки. Матрица: 6 методов обнаружения против 4 уровней, 8 техник MITRE ATT&CK.
Чеклист 8 уровней защиты и навигатор по 7 spoke-статьям кластера.Статья Российские WAF и NGFW сравнение: PT AF, UserGate и Континент глазами пентестера
PT Application Firewall, UserGate NGFW и Континент WAF глазами пентестера: разбор архитектуры, реального поведения и техник обхода — без пересказа даташитов.WAF в мониторинге — дорогой логгер. NGFW вместо WAF — архитектурная ошибка, которую эксплуатируют в первую очередь. PT AF стабильно ловит базовые инъекции, но ML-модуль часто выключают через неделю. Chunked encoding с chunk extensions — по-прежнему рабочий вектор против ряда продуктов.
Пять техник обхода с командами: sqlmap с tamper-скриптами, chunked TE с extensions, HTTP Request Smuggling через расхождение Content-Length/Transfer-Encoding, Protocol Tunneling (T1572) через chisel/ligolo-ng мимо UserGate, IP-фрагментация через Scapy. IDOR и Broken Access Control (94% приложений по OWASP) — слепое пятно любого WAF.
Пятишаговая методология fingerprinting → определение режима → кодировки → логирование → документирование bypass.Статья Сертификация ФСТЭК и ФСБ: как требования к средствам защиты информации меняют выбор решения
Сертификат ФСТЭК или ФСБ — и чем они отличаются: одно правило, которое расставляет всё по местам. Разбор глазами того, кто настраивал Dallas Lock под класс К1.ФСТЭК — некриптографическая защита (МЭ, АВЗ, СОВ, Dallas Lock, Secret Net). ФСБ — СКЗИ (КриптоПро, ViPNet). Один продукт может нести оба сертификата. Класс СКЗИ — не только свойство продукта, но и среды: КриптоПро CSP в КС3 требует сертифицированного СЗИ от НСД рядом.
Приказ №117 с 1 марта 2026 года: критические уязвимости — устранение за 24 часа, сертифицированного патча в эти 24 часа почти никогда нет. Расхождение версий в реестре ФСТЭК — главная находка при аудите. Семишаговый чеклист для объекта КИИ и таблица типичных СЗИ с практическими ограничениями.
Для SIEM отдельных требований ФСТЭК пока нет — и что это значит на практике.Статья Импортозамещение ИБ решения сравнение: честный обзор российских SIEM, EDR и сканеров глазами пентестера
Splunk отключился за ночь. SIEM показал пустую консоль. Три года тестирования российского стека глазами пентестера — без маркетинга, с результатами Red Team проектов.MaxPatrol SIEM ловит Discovery и Lateral Movement, но миграция 200+ правил со Splunk — 6-12 месяцев ручной работы. KUMA нативна в стеке Kaspersky, но парсеры сторонних источников придётся дописывать руками. RuSIEM на одном проекте выдал единственный алерт на сканирование — весь остальной kill chain прошёл насквозь.
Кастомный дампер lsass обходит Kaspersky EDR Expert там, где Mimikatz блокируется. ViPNet EDR не среагировал на PowerShell reverse shell с AMSI bypass. Три связки по уровню защиты: боевая, оптимальная и «для галочки». Миграция послойно: сначала сканер, затем EDR, последним SIEM.
Bash-чеклист инвентаризации правил Splunk перед переходом.Статья Linux для пентестера: полное руководство по инструментам, техникам и автоматизации в 2026 году
Семь из десяти сетей скомпрометированы за 48 часов. Каждая атака начиналась с терминала Linux. Карта всего kill chain — от первого nmap до secretsdump.py и персистенса через systemd.Kali vs Parrot vs BlackArch — выбор ящика для инструментов, а не самих инструментов. Связка masscan + nmap: сначала широкий охват, потом -sV -sC по конкретным хостам. SUID через GTFOBins, sudo -l, capabilities, docker-группа — шесть векторов до root с командами для каждого.
Bash-пайплайн subfinder + httpx + nuclei в одну команду, Python через Impacket для lateral movement из Linux в AD, `/etc/shadow` и `grep -rli 'password'` по `/opt/` — именно так находятся AWS-ключи в `.env`. Три тренда: eBPF-агенты, облачные цели, ИИ-аудит.
Хаб-навигатор по 6 статьям форума + маппинг на MITRE ATT&CK.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team