Форум информационной безопасности - Codeby.net

Статья LLM бенчмарк кибербезопасность: CyberMetric, NYU CTF Bench и InterCode CTF — где модели упираются в потолок

  • 59
  • 0
Одноплатный компьютер на чёрном антистатическом коврике подключён к диагностическому дисплею с искажённым зелёным текстом. Жёсткий верхний свет выхватывает плату из глубокой тени, красный светодиод...


🧠 GPT-4o берёт 85%+ на CyberMetric-10000 и обгоняет пятилетних специалистов — но ставишь ту же модель перед binary exploitation в NYU CTF Bench: пейлоад синтаксически верный, контекст теряется на третьем шаге, флаг не найден.

CAIBench зафиксировал пропасть в цифрах: на MCQ-тестах LLM выдают свыше 70% успеха, на многошаговых атакующих сценариях — 20–40%. CyberMetric (10 000 вопросов, домены от криптографии до NIST-комплаенса) закрывает энциклопедический пласт, NYU CTF Bench и InterCode CTF — скиловый, причём по-разному: первый смотрит на флаг, второй оценивает работу с обратной связью.

💡 Frontier-модели галлюцинируют не на знаниях — они теряют контекст цепочки действий уже на третьем шаге.

Статья MITRE ATT&CK и ISO 27001: как объединить фреймворки для реальной защиты инфраструктуры

  • 68
  • 0
Распечатанная тепловая карта MITRE ATT&CK на плотной бумаге лежит на светлом столе рядом с перьевой ручкой. В верхнем поле — рукописная пометка чернилами, латунное пресс-папье удерживает угол листа.


🛡️ ISO 27001 с сертификатом на стене и нулём алертов: три дня атакующий гулял по сети через T1021 Remote Services и T1550 — SIEM жевал Windows-логи, аудитор ставил галочку напротив A.8.16.

Gap-анализ реальной ISMS вскрыл классическую ловушку: 93 контроля Annex A покрыты на бумаге, но без ATT&CK-маппинга между ними зияют операционные пустоты. A.8.5 требует MFA — и молчит про кражу OAuth-токенов infostealers. A.8.16 требует мониторинга — без baseline для RDP/SMB/WinRM lateral movement невидим.

Статья даёт таблицу маппинга ISO 27001:2022 → MITRE ATT&CK с конкретными пробелами: T1078, T1190, T1071 C2 через DNS tunneling, T1059 без корреляции PowerShell.

💡 Сертификат ISO 27001 фиксирует governance — APT проходит сквозь него там, где нет TTPs-покрытия.

Статья NetFlow и обнаружение аномалий: практическое руководство для Blue Team

  • 101
  • 0
Макросъёмка тыльной панели маршрутизатора на тёмном антистатическом коврике. Крупные паяные соединения и крошечный OLED-дисплей с зелёными строками статуса NetFlow освещены жёстким голубым боковым...


📡 EDR молчал 8 часов: рабочая станция HR отправила 47 000 DNS-запросов с поддоменами по 63 символа к серверу в Юго-Восточной Азии — DNS-туннель T1572 поймал только NetFlow с border-маршрутизатора.

75% вторжений (CrowdStrike GTR 2025) не оставляют вредоносных файлов — сигнатуры бесполезны. NetFlow v9/IPFIX даёт src/dst IP, порты, bytes, TCP-флаги и длительность сессии: 1–5 ГБ в сутки против сотен при full packet capture. Beaconing виден по интервалам, малым avg_bytes < 1 КБ и нестандартным портам T1571.

Без baseline любой порог — шум. NIST CSF v2.0 DE.AE-01 требует профиль нормального трафика по сегментам: серверный VLAN, DMZ и пользовательские подсети строятся отдельно.

💡 EDR видит процессы — NetFlow видит поведение сети. DNS-туннель живёт там, где агент молчит.

Статья Supply chain attack npm: реверс-инжиниринг двухступенчатого payload от bootstrap до C2

  • 97
  • 0
Схема цепочки атаки на кремовой бумаге, снятая сверху на светлом столе. Карандашные стрелки соединяют узлы цепочки, рядом лежат латунное пресс-папье и перьевая ручка.


🧬 11 мая 2026 года вредоносные версии @tanstack/react-router и @opensearch-project/opensearch (GHSA-27f5-xjrr-q9ff) прошли CI/CD с валидной SLSA Build Level 3 аттестацией Sigstore — статические сканеры промолчали.

Дроппер Stage 1 прячется в optionalDependencies через github:owner/repo#SHA — визуально легитимный URL TanStack. Lifecycle-хук prepare запускает обфусцированный payload (hex → XOR → AES-256-GCM) до любого runtime-контроля. Stage 2 читает /proc/PID/mem Runner.Worker, вытаскивает AWS/GCP/Vault-токены и сливает их через GitHub GraphQL dead-drop коммиты на C2.

💡 SLSA Level 3 подписывает артефакт пайплайна — но не гарантирует, что сам пайплайн не скомпрометирован.

Статья CVE-2026-33032: эксплуатация уязвимости Nginx UI — от auth bypass до полного захвата сервера

  • 96
  • 0
Вскрытый одноплатный сервер на чёрном антистатическом коврике с подключённым UART-пробником. На дисплее — глитч-текст с идентификатором уязвимости, выжженная дорожка ведёт от сетевого разъёма к про...


🔐 CVE-2026-33032 в Nginx UI: два HTTP-запроса без пароля — и атакующий управляет конфигурацией nginx, перехватывает трафик всей инфраструктуры и крадёт JWT-секрет. CVSS 9.8, PR:N, UI:N, EPSS percentile 98.39%.

Уязвимость — пропущенный AuthRequired() на эндпоинте /mcp_message при двухэндпоинтной MCP-архитектуре (SSE-транспорт). IPWhiteList() fail-open при пустом списке. Итог: CWE-306 + CWE-22 дают полный контроль через JSON-RPC вызовы nginx_config_add без единой проверки. Shodan по favicon hash возвращает сотни живых панелей.

Постэксплуатация — upstream-манипуляция для перехвата трафика, credential harvesting через кастомные директивы логирования, кража ключа подписи JWT.

💡 Классический EDR молчит — атака идёт через легитимный API панели, Windows Event Log пуст.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 745
Сообщения
347 148
Пользователи
161 551
Новый пользователь
shnider