Форум информационной безопасности - Codeby.net

Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC

  • 3
  • 0
Три монитора на тёмном антистатическом столе ночью: дамп базы данных с кириллицей, граф кошельков и красный терминал с ошибкой бэкдора. Рука в синей перчатке на клавиатуре под жёсткой лампой.


💰 Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.

Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.

Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.

💡 Маппинг на MITRE ATT&CK и detection checklist.

Статья APT28 кампания PRISMEX: анализ цепочки заражения, облачный C2 и detection для SOC

  • 145
  • 0
Обгоревшая материнская плата на антистатическом коврике с маркировкой уязвимости на текстолите. Под платой тлеет скрученный лист RTF-документа, жёсткий свет лампы выхватывает следы термического пов...


🐻 APT28 зарегистрировала WebDAV-домены за 14 дней до патча CVE-2026-21509. 72 часа — 29 писем с реальных госаккаунтов по девяти странам. Эксплойт готов раньше, чем фикс Microsoft.

Открыл RTF → Shell.Explorer.2 через OLE инициирует WebDAV → загружается LNK → CVE-2026-21513 обходит MSHTML sandbox → шеллкод. Без макросов. Protected View не спасает. Два варианта после: MiniDoor пересылает входящую почту через SMTP с DeleteAfterSubmit, PRISMEX-цепочка прячет .NET-payload в PNG методом Bit Plane Round Robin и грузит Covenant Grunt через Filen.io.

COM hijacking EhStorShell.dll, scheduled task OneDriveHealth, CLR hosting fileless — модульная архитектура, где компоненты взаимозаменяемы. Октябрь 2025: wiper уничтожил все файлы в %USERPROFILE%.

💡 Sigma-правило, IOC-таблица и маппинг на MITRE ATT&CK.

Статья GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера

  • 181
  • 0
Три монитора на тёмном рабочем столе в 3 ночи: дизассемблер, сравнение бинарников с красными строками и терминал с сообщением об ошибке сегментации.


💀 CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.

babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола — ломает поле и создаёт новые. Last-write-wins парсинг в gitrpcd: инжектированный rails_env=test перезаписывает production — sandbox отключается. custom_hooks_dir указывает на контролируемую директорию. Произвольные shell-команды от git-пользователя.

Методология Wiz: AI-augmented реверс через IDA MCP ускорил декомпиляцию закрытых бинарников на порядок. Но обнаружение уязвимости — человеческий инсайт: semicolon в shared header это точка инъекции, last-write-wins превращает field injection в override security-полей.

💡 IoC для GHES-администраторов и patch diffing для n-day research.

Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку

  • 257
  • 0
Схема CI/CD-пайплайна на тёмной бумаге с этапами BUILD, SAST, SCA, DAST, DEPLOY. Рядом лежит YubiKey, сцену освещает холодное синеватое свечение монитора.


⚙️ DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.

Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.

Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.

💡 Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.

Статья Attack-Defense CTF организация: от gameserver до автоматизации SLA

  • 272
  • 0
Схема сетевой топологии на тёмном антистатическом коврике с зелёными рукописными пометками. Позади — ноутбук с терминалом и светящиеся янтарные индикаторы сетевого коммутатора.


⚔️ Attack-Defense CTF изнутри: чекер с race condition на 40-й минуте, gameserver под нагрузкой и ферма флагов против ручного curl — побеждает инфраструктура, не навык взлома.

Gameserver: controller + checker master + submission + web на PostgreSQL. NAT masquerading — без него команда закрывает все IP кроме gameserver одним правилом iptables. Vulnbox: Docker Compose, первый час — бэкап до любых изменений, иначе сломанный патч без отката.

Написание чекеров: рандомизация данных обязательна, race condition в PUT/GET убивается нагрузочным тестом на 50 тиков до старта. Ферма флагов S4DFarm или DestructiveFarm: эксплойт в stdout, ферма сама раскидывает на все команды. Tulip для перехвата чужих эксплойтов из PCAP.

💡 Таблица ролей команды и статусы SLA: OK / DOWN / FAULTY / FLAG_NOT_FOUND.

Статья RCE уязвимости в AI-платформах: CVE-2026-40933 и CVE-2026-40911 — от allowlist bypass до eval() injection

  • 294
  • 0
Разрезанный навесной замок с рассыпанными штифтами на чёрном антистатическом коврике. На стали выгравирована надпись с идентификатором уязвимости, рядом — фрагмент платы с обгоревшей дорожкой.


💀 CVE-2026-40933 (CVSS 9.9) и CVE-2026-40911 (CVSS 10.0): npx -c в Custom MCP Flowise выполняет произвольный shell-код, eval() в AVideo отдаёт браузеры всех пользователей анонимному атакующему.

Три слоя защиты Flowise — allowlist, validateCommandInjection(), validateArgsForLocalFileAccess() — не разбирают семантику аргументов. npx проходит как легитимная команда, npx -c "reverse shell" — тоже. ~7 000 публично доступных инстансов на момент disclosure.

AVideo: два eval()-sink в script.js, WebSocket-токены без валидации, ретрансляция payload каждому подключённому пользователю. Попался администратор — полный контроль над платформой. 14+ CVE в MCP-среде по данным OX Security — один паттерн, разные платформы: Flowise, LibreChat, WeKnora.

💡 IoC для SIEM, transport type switch через Burp и чеклист для пентеста LLM-инфраструктуры.

Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году

  • 282
  • 0
Руководитель по безопасности за двумя мониторами: на экране терминал с иерархией карьерного пути, рядом панель SIEM. Янтарный свет лампы освещает стол с ключом безопасности и кофе.


📈 CISO в России: 500 000 руб. в Москве, до 2 млн с бонусами в топ-компаниях. Шестикратный разрыв с инженером — это не вопрос стажа, а вопрос смены мышления.

Инженер с десятилетним опытом проваливает собеседование, потому что не умеет говорить с CFO на языке бизнес-потерь. Руководитель с пятью годами получает оффер с расчётом ROI от SIEM в цифрах. Roadmap на 7–12 лет: специалист (0–3 года) → руководитель отдела с КИИ и регуляторикой (3–7 лет) → CISO как бизнес-партнёр (7+).

CISSP упоминается в большинстве CISO-вакансий крупных компаний, CEH — деньги на ветер. Три ошибки, которые тормозят карьеру: ждут повышения вместо того чтобы взять ответственность, игнорируют нетворкинг, пренебрегают регуляторикой ФСТЭК/ФСБ/ЦБ. Половина офферов на CISO до hh.ru вообще не доходит.

💡 Таблица навыков: что добирать инженеру, GRC-менеджеру и IT-директору.

Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов

  • 369
  • 0
Мини-компьютер с янтарным дисплеем внутри проволочной клетки в форме венериной мухоловки на тёмном антистатическом коврике. Сзади монитор с логами SSH-сессий в сине-зелёном свечении.


🍯 LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.

Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.

Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.

💡 Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.

Статья Организация CTF соревнований: форматы, скоринг и античит на практике

  • 372
  • 0
На центральном экране — дашборд CTF-платформы HackerLab.pro с турнирной таблицей и категориями заданий (forensics, pwn, web, crypto, reverse, osint)


🏁 Скорборд лёг на 40-й минуте: SQLite под нагрузкой динамического скоринга и 300+ участников. Организация CTF — инженерная задача, а не «закинул таски и открыл регистрацию».

Три формата — три разных инфраструктуры. Jeopardy: CTFd на PostgreSQL, per-team флаги через соль, rate limit 10 попыток в минуту. Attack-Defense: VLAN + WireGuard, gameserver с чекерами на каждый тик, Ansible для деплоя vulnbox — и если gameserver в одной сети с vulnbox, атакующий правит себе очки напрямую.

Динамический скоринг: формула decay в CTFd, таск за 500 очков после 30 решений стоит 65. Античит: per-team флаги делают шаринг очевидным, синхронные сабмиты с разницей менее 30 секунд — эвристика для расследования. Чеклист из 8 пунктов перед стартом.

💡 Начинайте с Jeopardy на 20 тасков — три соревнования до первого Attack-Defense.

Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации

  • 435
  • 0
Распечатка DNS-зонного файла на тёмной бумаге, критическая строка обведена янтарным маркером. Рядом лежит перьевая ручка, на экране ноутбука светится вывод терминала.


🌐 Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.

staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.

Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.

💡 can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
51 114
Сообщения
344 962
Пользователи
148 739
Новый пользователь
LenyaVoronin