codeby_sec | Unsorted

Telegram-канал codeby_sec - Codeby

34787

Крупнейшее ИБ сообщество ру-сегмента Чат: @codeby_one Форум: codeby.net Обучение: codeby.school Пентест: codeby.one CTF: codeby.games VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Номер заявления для регистрации канала в РКН: 5035340278

Subscribe to a channel

Codeby

🔬 Шпион внутри корпуса: как один чиплет крадёт секреты другого

Представьте: атакующему больше не нужен физический доступ к устройству. Ему не нужен EM-пробник, осциллограф или тепловизор. Потому что он уже внутри микросхемы — в буквальном смысле.

Исследователи экспериментально доказали: RF-чиплет, встроенный в гетерогенную 2.5D-упаковку, способен захватывать электромагнитный сигнал, коррелированный с криптографической активностью соседнего вычислительного кристалла. Без единого пробника на поверхности корпуса. Это принципиально новая модель угроз, которой в русскоязычном пространстве пока не посвящено ни одного материала.

Почему это работает?

В 2.5D-архитектурах несколько кристаллов размещены горизонтально на общем кремниевом интерпозере. И вот ключевой момент: этот интерпозер — не инертная подложка, а полупроводниковая среда с конечным сопротивлением и паразитными ёмкостями. Когда вычислительный die выполняет раунд AES, токи потребления создают падение напряжения на паразитных элементах PDN. Эти колебания распространяются по общей подложке и наводят напряжения на проводниках соседнего чиплета.

Инженеры по signal integrity десятилетиями боролись с этим эффектом — substrate coupling — ради целостности сигналов. Теперь тот же механизм работает на атакующего.

В 3D-стеках ситуация ещё острее. Кристаллы уложены вертикально и соединены через TSV — медные столбы диаметром 5–10 мкм, пронизывающие кремний. При расстояниях между слоями порядка 50 мкм паразитная ёмкостная связь достигает единиц фемтофарад — на частотах сотен мегагерц этого хватает для наблюдаемой утечки.

🎯 Три канала утечки, которых нет в монолитных SoC

• Substrate coupling — через общую подложку интерпозера (ёмкостная и резистивная связь)
• TSV coupling — через взаимную индуктивность вертикальных переходников в 3D-стеках
• RF/EM coupling — через ближнее электромагнитное поле при наличии антенного элемента на одном из чиплетов

Самое тревожное — модель угроз. Современные чиплетные системы собираются из компонентов разных вендоров. Вычислительный die от одного производителя, память от другого, коммуникационный чиплет от третьего. Достаточно скомпрометировать один элемент в supply chain — и вредоносный чиплет становится внутренним сенсором, который снимает side-channel трассы с расстояния в сотни микрон. Это на порядки ближе, чем любой внешний пробник.

🛡️ UCIe-интерконнект между чиплетами тоже под ударом: сигналы физически покидают кристалл, проходят через интерпозер и имеют значительно бо́льшую амплитуду, чем внутренние on-chip сигналы. Каждый такой переход — наблюдаемая поверхность атаки.

В полной статье разобрали физику утечек, формальную модель угроз и практический workflow корреляционного анализа трасс.

https://codeby.net/threads/side-channel-ataki-na-chiplety-novaya-fizicheskaya-poverkhnost-ataki-v-2-5d-3d-sistemakh.93732/

Читать полностью…

Codeby

Dsniff: Набор инструментов для сетевого анализа

Dsniff — набор инструментов для перехвата и анализа сетевого трафика. Инструментарий позволяет перехватывать пароли, сессионные cookie, анализировать протоколы прикладного уровня и выполнять различные атаки типа «man-in-the-middle» (MITM) в локальных сетях.


☁️Функциональность
- Перехват паролей и сессионных данных в открытом виде (FTP, Telnet, HTTP, POP, IMAP, SMTP, SNMP, LDAP, NFS, и другие)
- Извлечение cookies, HTTP-заголовков и URL
- Определение протоколов независимо от порта благодаря Deep Packet Inspection (-m)

⬇️Установка
sudo apt install dsniff

Проверка
dsniff -h 


⏺️Базовый перехват на интерфейсе eth0
sudo dsniff -i eth0


⏺️Глубокий анализ пакетов (определение протоколов на любых портах)
sudo dsniff -i eth0 -m


⏺️Исключение HTTPS-трафика из перехвата
sudo dsniff -i eth0 -m "not port 443"


🧿Инструмент необходим для:
- Аудита безопасности локальных сетей
- Обнаружения передачи паролей в открытом виде
- Анализа HTTP-трафика и cookie-сессий
- Демонстрации уязвимостей сетевых протоколов

#dsniff #sniffer #mitm #pentest #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Пять секунд CSS — и лучший ML-детектор фишинга слепнет полностью

Представьте: вы построили систему обнаружения фишинга на нейросетях. Она показывает 100% accuracy на бенчмарках. Публикуете статью, получаете признание. А потом кто-то добавляет на фишинговую страницу пятисекундную задержку отрисовки логотипа — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.

Именно это продемонстрировали исследователи в работе, принятой на IEEE European Symposium on Security and Privacy. Целевая жертва — PhishIntention, один из самых продвинутых визуальных антифишинговых pipeline.

🔍 Как работают визуальные ML-детекторы? Схема простая:

1. Headless-браузер открывает подозрительную страницу и через фиксированный интервал делает скриншот
2. Нейросеть ищет на скриншоте логотипы и формы ввода, сравнивает с базой из 277 известных брендов
3. Если нашла совпадение с брендом, а домен не тот — фишинг

Вся конструкция держится на одном допущении: скриншот корректно отражает содержимое страницы. И именно это допущение оказалось ложным.

⏱ PhishIntention делает снимок через 2 секунды после начала загрузки. Среднее время полной загрузки веб-страницы — 7.2 секунды. Разница в 5.2 секунды — это timing gap, окно, в которое атакующий может спрятать всё самое важное.

Атака выглядит так: логотип и брендинг загружаются в DOM сразу, но визуально скрыты через clip-path с нулевой видимой областью. Через 5+ секунд setTimeout запускает плавное раскрытие. Детектор к этому моменту уже сделал снимок пустой страницы, не нашёл совпадений с брендами и пометил её как безопасную. А реальный пользователь видит полноценный клон PayPal или Google и спокойно вводит пароль.

🎯 Что делает эту атаку особенно опасной:

• Не нужно знать архитектуру детектора — работает в black-box режиме
• Не нужна серверная логика — хватает пары строк CSS и JS
• Не нужны adversarial perturbations — никаких модификаций пикселей
• Пользователь ничего не замечает — страница выглядит нормально

Самое интересное: систематический обзор литературы показал, что ни одна предыдущая работа по adversarial robustness фишинг-детекторов не рассматривала timing-вектор. Все исследователи предполагали, что скриншот захватывается корректно. Никто просто не подумал, что атакующий может сыграть на секундомере.

Фикс кажется очевидным — увеличить время ожидания перед снимком. Но это создаёт новую проблему: при массовом сканировании тысяч URL каждая лишняя секунда ожидания превращается в часы простоя pipeline.

Полный разбор обеих стратегий отложенного рендеринга и возможных контрмер — в статье на форуме.

https://codeby.net/threads/obkhod-ml-detektorov-fishinga-cherez-otlozhennyi-rendering-ot-100-k-0-detektsii.93724/

Читать полностью…

Codeby

Ваши средства защиты вообще работают? Как проверить — и не обмануть себя

Восьмизначный бюджет на NGFW, EDR, SIEM, WAF — а реальной атакой всё это никто не проверял. Знакомо? По данным Picus Red Report 2026, объём атак с шифрованием упал на 38% за год. Атакующие больше не ломятся напролом — они тихо выкачивают данные через легитимные облачные API и доверенные протоколы. Ваш файрвол даже не моргнёт.

Именно поэтому в 2026 году ключевое слово — валидация безопасности. Не «настроено ли по стандарту?», а «остановит ли это реальную атаку прямо сейчас?». Можно пройти аудит, повесить сертификат на стену — и при этом пропустить Kerberoasting в Active Directory без единого алерта. Compliance и реальная защищённость — это два разных мира.

🔍 Сегодня существуют три ключевых метода валидации, и каждый закрывает свой участок:

BAS (Breach and Attack Simulation) — платформа непрерывно прогоняет сотни известных техник по MITRE ATT&CK через ваши контроли. Работает 24/7, безопасна для прода (эмулирует, но не эксплуатирует). Отвечает на вопрос: «Видит ли SIEM эту технику? Блокирует ли EDR?». Стоимость — от $30K в год.

Автоматизированный пентест — не просто сканер, а инструмент, который строит полные цепочки атак. Нашёл уязвимость → проэксплуатировал → двинулся дальше по сети. Показывает, как далеко пройдёт атакующий. Запускается периодически — раз в неделю или месяц.

Ручное тестирование — живой Red Team, который находит то, что автоматизация в принципе не увидит: уязвимости бизнес-логики, социальную инженерию, нестандартные цепочки через доверенные отношения между системами. Самый глубокий, но и самый дорогой метод.

⚡ Главный инсайт: ни один из этих методов не работает в одиночку. BAS покажет, что SIEM-правило не срабатывает на конкретную технику. Автоматизированный пентест покажет, что через эту дыру можно дойти до контроллера домена. А ручной тестировщик найдёт путь, о котором ни одна автоматика даже не подозревала — например, через скомпрометированную сервисную учётку, которая выглядит абсолютно легитимно.

📊 Что касается бюджета: BAS стартует от $30K/год, автоматизированный пентест — от $40K, ручной проект — от $20K за разовый engagement. Зрелые команды комбинируют все три и добавляют Purple Team — совместные учения атакующих и защитников, где каждый найденный gap закрывается в реальном времени.

Разобрали все методы, платформы и decision tree для построения программы с нуля — в полном руководстве.

https://codeby.net/threads/validatsiya-bezopasnosti-v-2026-godu-bas-avtomatizirovannyi-pentest-i-ruchnoye-testirovaniye-polnoye-rukovodstvo.93720/

Читать полностью…

Codeby

Hetty

Hetty — это набор инструментов HTTP для исследований в области безопасности. Его цель — стать альтернативой с открытым исходным кодом коммерческому программному обеспечению, такому как Burp Suite Pro, с мощными функциями, адаптированными к потребностям сообщества специалистов по информационной безопасности и программ поиска уязвимостей.


📐Характеристики:
📉 Hetty является бесплатным аналогом, написаным на GO, что делает его более оптимизированым, чем проприетарный Burp Suite написаный на Java.
📉 HTTP Proxy и MITM
📉 Request sender (Repeater в Burp). Также можно редактировать запрос и смотреть на реакцию сервера.
🖱 Использование SQLite для сохранения прогресса.

⬇️Установка:
0️⃣Клонируем репозиторий и переходим в рабочую директорию:
git clone https://github.com/dstotijn/hetty.git

cd hetty/

1️⃣Устанавливаем необходимые утилиты и пакетный менеджер:
sudo apt install nodejs npm -y

sudo npm install --global yarn

2️⃣Собираем проект:
make build


⛓️‍💥Запуск:
./hetty


#web #wapt #burpsuite #http

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🚩 Новые задания на платформе HackerLab!

🎢 Категория РазноеКапсула времени

Приятного хакинга!

Читать полностью…

Codeby

Друзья, напоминаем, на каких курсах начинается обучение в июне🚗

Старт 1 июня:
⏺️Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь.

Старт 8 июня:

⏺️Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин
⏺️Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.

Старт 15 июня:
⏺️Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
⏺️Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.

➡️Запишитесь у нашего менеджера @CodebyAcademyBot 🚀или узнайте подробности на сайте!

Читать полностью…

Codeby

Sigma Rule Converter

🎇 Sigma Rule Converter — это инструмент для преобразования универсальных правил детекции Sigma (в формате YAML) в синтаксис конкретных SIEM-систем или платформ мониторинга, таких как Splunk, Elastic, QRadar

☁️ Он позволяет писать правило один раз в стандартизированном виде Sigma, а затем конвертировать его под нужную среду — от простых запросов до сложных корреляций логов, экономя время SOC L3.

Ключевые возможности:
➡️ Поддержка форматов: Более 50 бэкендов — Splunk SPL, Elasticsearch DSL/QQL, QRadar AQL, ArcSight EPL, KQL (для KUMA, Defender), Sysmon, Timesketch и даже JSON/CSV для ручной доработки.
➡️ Валидация и обработка: Проверяет синтаксис правила, обрабатывает множественные документы YAML (rule collections), AND/OR-логику через списки/словари, модификаторы (all, base64offset) и исключения.
➡️ Опции конвертации: Флаги для трансформаций (e.g., --target для бэкенда, --config для маппинга полей, --flatten-xpath для XML), генерация action-документов для глобальных настроек.

🔑 Структура:
Конвертер парсит разделы Sigma: title/id/status (метаданные), detection (selection + condition), fields/logsource (фильтры). Затем генерирует запрос, адаптируя под бэкенд — например, поле EventID в Windows Event Logs → event_id в ELK. Поддерживает теги (attack.tactic) для MITRE ATT&CK и уровни (low/medium/high).

🧿 А как вы используете Sigma правила?

#sigma #converter #soc #rule

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Cadaver: Клиент командной строки для работы с WebDAV

Cadaver — это консольный клиент для работы с протоколом WebDAV (Web-based Distributed Authoring and Versioning), который предоставляет управлять файлами на удаленных серверах через командную строку.


▶️Передача файлов в обоих направлениях между клиентом и сервером
▶️Просмотр содержимого директорий на удаленном сервере (аналогично команде ls)
▶️Создание, удаление, копирование и перемещение коллекций и файлов
▶️Просмотр и изменение пользовательских свойств для WebDAV-ресурсов
▶️Предотвращение конфликтов при одновременном редактировании
▶️Возможность редактирования файлов удаленно с использованием стандартных редакторов

⬇️Установка
sudo apt install cadaver

Проверка
cadaver -h


⏺️Подключение с использованием прокси
cadaver -p proxy.example.com:8080 https://webdav.example.com/


⏺️Автоматизация через файл сценария
- Создадим файл script.cmd
cd /backups/
put backup.tar.gz
quit

- Запуск с использованием файла сценария
cadaver -r script.cmd https://webdav.example.com/


⏺️Получение файлов без интерактивного режима (через pipe)
echo "get report.pdf\nquit" | cadaver https://webdav.example.com/


🧠Рекомендации
- Предпочтительно использовать защищенное соединение через HTTPS для предотвращения перехвата учетных данных
- При необходимости хранения учетных данных используйте защищенные механизмы хранения или переменные окружения
- При работе в корпоративной сети может потребоваться настройка прокси-сервера через опцию -p или переменные окружения http_proxy / https_proxy

#cadaver #webdav #cli #pentest #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Водоочистная станция, VNC с дефолтным паролем и 40 миль до военной базы США

В январе 2024 хактивисты из CARR зашли в систему управления водоснабжением техасского городка Muleshoe. Не через zero-day, не через кастомный эксплойт — просто подключились по VNC с дефолтными кредами. Перенастроили параметры, вызвали перелив водонапорной башни, сняли видео взаимодействия с HMI-панелями и выложили в открытый доступ. Потом ударили по соседним городам. А Mandiant позже с умеренной уверенностью связал CARR с APT44/Sandworm — военной разведкой ГРУ.

И это не единичный случай.

🔴 По данным «Информзащиты», в первом полугодии 2025 атаки на SCADA выросли на 27% год к году. В энергетике — на 38%. EPA проверило водоочистные станции и обнаружило, что более 70% нарушают требования кибербезопасности. Неизменённые пароли, отсутствие MFA, HMI-панели, торчащие наружу.

Как выглядит типичный kill chain такой атаки?

Начальный доступ — три реальных вектора:

• Дефолтные учётки на HMI и SCADA-серверах. Классика — admin/admin, вендорные пароли Siemens, Schneider Electric, Rockwell.
• Внешние сервисы удалённого доступа: VNC, RDP, TeamViewer. В Oldsmar (Флорида, 2021) кто-то подключился через TeamViewer к HMI оператора и прямо на его глазах поднял концентрацию гидроксида натрия со 100 ppm до 11 100 ppm. Оператор увидел, как курсор двигается сам, и откатил изменения.
• Публично доступные веб-интерфейсы ПЛК. Запрос port:502 на Shodan возвращает тысячи Modbus-устройств. У Siemens S7-1200/1500 веб-сервер включён по умолчанию.

🎯 Что делают после проникновения:

Сканируют подсеть, находят ПЛК, отправляют команды записи в регистры. В терминах Modbus — function codes FC5, FC6, FC15, FC16. Через них меняют уставки: концентрацию реагентов, давление, расход. Или останавливают процессы — как на Arkansas City Water Treatment Facility в сентябре 2024, где станция перешла на ручное управление.

Что критично для обнаружения:

• Мониторинг аутентификаций на HMI/SCADA с нетипичных IP
• Baseline remote-access сессий — любое VNC/RDP-подключение вне белого списка = critical
• Контроль внешних подключений к портам 502, 102, 44818, 20000
• Корреляция: source IP не из OT-подсети + промышленный порт = инцидент

Штатный Modbus-трафик предсказуем и цикличен. Любая аномалия — нехарактерные function codes, всплеск write-операций, новый source — видна на фоне этой регулярности. OT-сеть парадоксально проще мониторить, чем IT, если знать, что искать.

В полной статье — детальный detection-playbook с конкретными правилами корреляции, разбор APT-группировок и рекомендации по сегментации OT-сетей.

https://codeby.net/threads/ataki-na-scada-sistemy-razbor-vzlomov-vodoochistnykh-stantsii-i-detection-playbook-dlya-ot-seti.93707/

Читать полностью…

Codeby

75% взломов начинаются с обычного логина и пароля — как устроен рынок вымогателей в 2026

19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри.

🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с valid credentials на 71% год к году. Каждый день в даркнете появляется более 6 000 свежих пар логин-пароль от инфостилеров. Для SOC это значит одно: initial access выглядит как легитимный вход. Никакого эксплойта, никакого подозрительного бинарника — просто сотрудник «сам» зашёл в VPN в 3 часа ночи воскресенья.

Вся эта машина работает на трёх ролях:

Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа.
Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC.
IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000.

Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году.

⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале.

Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов.

📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн.

Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки.

Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме.

https://codeby.net/threads/ransomware-as-a-service-2026-the-gentlemen-i-analiz-raas-ekosistemy-affiliaty-ttps-detection.93712/

Читать полностью…

Codeby

Plaso

☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях.

🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами

Основные свойства:
➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты.
➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение).
➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования.
➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy.
➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM).
➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang.

⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso


🪧 Создание таймлайна из образа диска:
log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso


#plaso #log2timeline #forensics #dfir

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Предсказуемый sequence number — и чужая сессия у тебя в руках

Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью.

🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях:

• Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood.

• В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы.

⚡ А теперь про разведку. SYN-скан в Nmap (nmap -sS) — первое, что запускаешь на новом проекте. Отправляется SYN, анализируется ответ, тут же шлётся RST — рукопожатие не завершается. Три варианта ответа:

• SYN-ACK → порт открыт, сервис слушает
• RST → порт закрыт
• Тишина → файрвол дропает пакет

Разница между SYN-сканом и обычным connect-сканом (-sT) — как между подглядыванием в замочную скважину и стуком в дверь. Первый не оставляет записей в логах сервиса, второй — оставляет.

🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются.

TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках.

📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby.

https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/

Читать полностью…

Codeby

732 байта Python-кода — и детерминистический root на любом Linux

Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет.

🔎Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно:

AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу
splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования
• Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари

В 2017 году модуль algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован.

👉Почему это страшнее Dirty Pipe? Три причины:

1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью
2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian)
3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK.

🎇Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро.

Интересный момент: баг прятался так долго, потому что подсистему crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет.

На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль algif_aead загружен и ядро не пропатчено — root за секунды.

Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье.

https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/

Читать полностью…

Codeby

🚩 Новые задания на платформе HackerLab!

🎢 Категория РазноеАнонимизатор
——————————————

🗂 В архив добавлены задания + райтапы:

🔵PWN - Piece of cake

Приятного хакинга!

Читать полностью…

Codeby

Почему ядро Android не понимает, что делают приложения — и как eBPF решает это без патчей

Представьте: приложение отправляет SMS с вашего телефона. Ядро Linux в этот момент видит только ioctl(fd, BINDER_WRITE_READ, &bwr). Тот же самый вызов, что и при запросе версии ОС. Или при чтении контактов. Или при получении GPS-координат. Для ядра всё это — одинаковые байты в Binder-транзакции.

Это и есть семантический разрыв — фундаментальная проблема аудита Android, над которой бьются больше десяти лет. В отличие от десктопного Linux, где sendto() прямо говорит аудитору «тут отправка данных», на Android всё проходит через цепочку: приложение → libbinder.soioctl → Binder-драйвер → system_server. И на уровне системных вызовов любое действие выглядит одинаково.

🔍 Существующие решения делятся на два лагеря, и оба проигрывают:

Модификация ОС (ClearScope и аналоги) — хуки внедряются прямо в Binder-драйвер и framework. Устойчиво к обходу, но каждое обновление Android требует ручного переноса патчей. Архитектурный тупик для реальных деплоев.
User-space инструментация (BPFroid, Frida) — не трогает ядро, но обходится. Приложение с native-кодом может дёрнуть ioctl() на /dev/binder напрямую, минуя все хуки. Малварь так и делает.

Исследователи из TU Darmstadt и Athens University разорвали эту дихотомию проектом WOOTdroid. Идея: eBPF-программы загружаются в ядро без его пересборки, цепляются к стабильным tracepoints и перехватывают Binder-транзакции на уровне драйвера. Но в отличие от сырой трассировки, WOOTdroid ещё и декодирует содержимое — имена методов, типизированные аргументы, целевые сервисы.

📊 Цифры с Pixel 9 на Android 16 впечатляют: eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. При этом overhead по Geekbench — не выше 3.6%. Никаких патчей к ядру, никакой пересборки AOSP, никаких инъекций в процесс приложения.

Почему это важно на практике? Потому что малварь всё чаще использует native-код для обхода user-space мониторинга. Формирует Parcel вручную, вызывает ioctl() напрямую — и Frida, и BPFroid пропускают транзакцию полностью. WOOTdroid сидит в ядре и видит всё, независимо от того, как именно приложение сформировало вызов.

⚡ Отдельно интересен контринтуитивный момент: eBPF-программы работают в sandbox внутри ядра, проходят верификацию перед загрузкой и не могут уронить систему. По сути — kernel-level аудит с user-space безопасностью деплоя.

Полный разбор архитектуры, механики Binder-декодирования и результатов бенчмарков — в развёрнутой статье на форуме.

https://codeby.net/threads/wootdroid-audit-android-binder-ipc-bez-semanticheskogo-razryva.93727/

Читать полностью…

Codeby

Кто защищает данные во всем мире?

👮 Интерпол и Европол — ключевые международные организации в сфере правоохранительной деятельности, но с разным географическим охватом и специализацией. Интерпол фокусируется на глобальном сотрудничестве полиции, а Европол — на координации внутри ЕС. В кибербезопасности они активно борются с транснациональными угрозами через обмен данными и аналитику.

🕸 Интерпол (Международная организация уголовной полиции, штаб-квартира в Лионе) объединяет 196 стран для координации борьбы с общеуголовной преступностью, включая киберугрозы. В информационной безопасности основной функционал — выпуск цветных уведомлений (например, серебряное для киберпреступлений), координация розыска хакеров и обмен данными о кибератаках через защищённую систему I-24/7.

☁️ Европол (штаб-квартира в Гааге) — агентство ЕС для 27 стран, специализируется на трансграничной организованной преступности без полномочий на аресты или расследования. В кибербезопасности ключевые функции: анализ данных о ransomware и фишинге, координация операций (например, через EC3 — Центр киберпреступлений), оперативный обмен информацией и поддержка национальных служб в расследованиях хакерских групп.

🧿 Операции Интерпола и Европола с участием России (через НЦБ при МВД РФ) фокусируются на трансграничной преступности: фальсификаты, наркотики, кибермошенничество. РФ координирует межведомственные штабы (МВД, ФСБ), проводит обыски и аресты; с 2020-х геополитика ограничивает кооперацию, но участие продолжается в нейтральных темах.

❗️ Одно из самых громких расследований Интерпола с участием РФ: PANGEA

💵 PANGEA XVII (май 2025) — рекордная операция Интерпола и Всемирной таможенной организации против онлайн-торговли фальсификатами лекарств, наркосодержащими препаратами и опасными БАДами. Проходила с декабря 2024 по май 2025 в 90 странах: изъято 50,4 млн доз на $65 млн, арестовано 769 человек, ликвидировано 123 ОПГ, заблокировано тысячи сайтов. Россия — один из лидеров по активности: НЦБ Интерпола при МВД возглавили межведомственный штаб (МВД, ФСБ, ФТС, Росздравнадзор).
🇷🇺 Благодаря России было:
📉Проведено 13 800+ проверок и мониторинг 8400+ сайтов.
📉Осмотрено 940 международных почтовых отправлений.
📉Выявлено/пресечено 698 нарушений.
📉Изъято контрафакта на 405+ млн руб. (Саксенда, Кселода, средства для ЭД).
🖱Возбуждено 177 уголовных дел, задержано 100 человек, 495 протоколов об АП, заблокировано 3400+ сайтов

🧠 А какие интересные факты об Интерполе и Европоле вы знаете?

#interpol #europol #russia #ransomware #darknet #pangea

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Watcher — мониторинг изменений веб-ресурсов для OSINT и Threat Intelligence

Watcher — open-source инструмент от Thales CERT для автоматического отслеживания изменений на сайтах, документах, RSS-лентах и других источниках. Он помогает находить новые IOC, изменённые advisories, утечки и другие артефакты для OSINT, Threat Intelligence и DFIR.


Основные возможности
↗️ Мониторинг изменений веб-страниц и документов
↗️ Поддержка сайтов, RSS, PDF и других источников
↗️ Поиск новых IOC, доменов, IP и артефактов
↗️ Уведомления о найденных изменениях
↗️ История изменений и diff-анализ
↗️ Удобный web-интерфейс для расследований

Примеры использования
0️⃣ Инициализация окружения:
git clone https://github.com/thalesgroup-cert/watcher.git
cd watcher/deployment
make init

1️⃣ Запуск платформы:
make up

2️⃣ Первичная настройка базы:
make migrate
make superuser
make populate-db

3️⃣ После запуска web-интерфейс будет доступен по адресу:
http://localhost:9002


Watcher умеет:
🔎 Следить за множеством источников одновременно
HTML-страницы, PDF-документы, RSS/Atom-ленты, API endpoints и другие web-ресурсы.
💻 Автоматически извлекать и индексировать контент
Каждый собранный артефакт сохраняется в базе и становится доступен для поиска, фильтрации и анализа.
🕸 Хранить историю изменений
Watcher сохраняет предыдущие версии контента и показывает diff между изменениями, что удобно для расследований.
🎯 Организовывать мониторинг пакетами (batches)
Источники можно группировать по кампаниям, threat actors, вендорам или направлениям расследования.
🎇 Работает в фоне 24/7
После развёртывания Watcher самостоятельно собирает, индексирует и обновляет данные без ручного вмешательства.

#osint #threatintel #dfir #threathunting #blueteam #monitoring #cybersecurity #infosec #opensource

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Три радиопротокола — три незакрытых вектора: почему Wi-Fi — лишь верхушка айсберга

На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты hcxdumptool без единого deauth-фрейма, 40 минут hashcat с правилами — и PSK подобран. К обеду пентестер уже сидел в корпоративном VLAN.

Но самое интересное началось дальше.

🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.

И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.

📡 Почему PMKID-атака — главный вектор через Wi-Fi

Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.

Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.

🔑 На что обращать внимание при разведке

• WPA3 Transition Mode в airodump-ng отображается как WPA2 WPA3 в колонке ENC. Если видите это — WPA2-часть атакуема стандартными методами
• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения
• WPS включён — проверяйте через wash -i wlan0mon -C. Иногда Pixie Dust — самый быстрый путь внутрь

📱 BLE и ZigBee — забытый фронт

BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.

ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования. zbstumbler из KillerBee покажет PAN ID и координаторы, а дальше — перехват и replay.

Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.

https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/

Читать полностью…

Codeby

12 из 20 новичков пришли с BlackArch — и это была ошибка

На одном воркшопе для начинающих пентестеров случилась показательная история. Большинство участников принесли флешки с BlackArch — логика простая: «там же больше всего инструментов». Первый час группа воевала с pacman и отсутствием графического окружения, пока остальные с Kali уже сканировали учебные цели через nmap. К обеду трое переставили систему, двое ушли. А один человек с Parrot OS тихо работал весь день без единой проблемы.

Эта ситуация отлично иллюстрирует главное заблуждение: лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать.

🔍 Вот что реально отличает три главных дистрибутива 2026 года:

Kali Linux — Debian Testing, пакетный менеджер apt, курированный набор из 600+ инструментов. Offensive Security тестирует каждый пакет перед включением. Xfce по умолчанию, потребление в idle — 800–1200 МБ RAM.

Parrot OS — тоже Debian, но с MATE и заметно меньшим аппетитом: 400–700 МБ в idle. Из коробки идут AnonSurf для маршрутизации через Tor, встроенное шифрование, и есть Home Edition — полноценная повседневная ОС без пентест-арсенала.

BlackArch — репозитории поверх Arch Linux, pacman, rolling release. Тысячи пакетов, но конфликты зависимостей — полностью ваша головная боль. GUI из коробки может вообще отсутствовать.

⚡ Практический момент, который мало кто проговаривает. Разница между apt и pacman — не синтаксис. Это разные последствия ошибок. Когда в три ночи на внешнем пентесте hashcat отказывается запускаться после обновления, в Kali вы откатите пакет за минуту. В BlackArch придётся разбираться с цепочкой зависимостей от пяти минут до часа. В три ночи час — это очень много.

💡 Конкретный кейс с железом: ThinkPad X230, 4 ГБ RAM, HDD. Parrot не тормозил при одновременном Burp Suite и Firefox с десятком вкладок. Kali на том же железе ощутимо задумывался при переключении между приложениями. Если у вас старый ноутбук — Parrot объективно комфортнее.

И ещё важный маркер. Половина дистрибутивов из «топ-10 для хакинга» — мертвы. Cyborg Linux, DEFT, Bugtraq — всё это не обновлялось годами. Если в обзоре 2026 года вы видите эти названия — перед вами копипаста из 2019-го.

В полной статье — decision tree для выбора, детальные системные требования и разбор инструментов по категориям. Читайте и выбирайте осознанно.

https://codeby.net/threads/luchshii-distributiv-dlya-pentesta-kali-linux-vs-parrot-os-vs-blackarch-chestnoye-sravneniye-2026.93771/

Читать полностью…

Codeby

📜Четыре панели. Ни одного слова. Это одна атака. Как она называется?

Делитесь своими догадками в комментариях!💫

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🧠 Cisco Model Provenance Kit: “ДНК-анализ” для AI-моделей

Недавно команда AI Defense из Cisco представила Model Provenance Kit — open-source инструмент для анализа происхождения ML-моделей.
Проект помогает ответить на важный вопрос: действительно ли модель была обучена “с нуля”, или она является производной от другой модели?


Что такое Model Provenance
Model provenance — это установление происхождения модели на уровне ее обученных весов.
Проще говоря, инструмент позволяет определить:
⏺️ была ли модель fine-tuned версией другой модели
⏺️ использовался ли distillation
⏺️ является ли checkpoint переименованной копией
⏺️ происходят ли две модели из общего базового источника

Cisco сравнивает этот процесс с ДНК-анализом моделей.

🎇 Как работает инструмент
Model Provenance Kit использует двухэтапный анализ.

1️⃣ Быстрая архитектурная проверка
На первом этапе анализируются:
▶️ конфигурация модели
▶️ структура слоев
▶️ tokenizer
▶️ metadata

Если архитектура явно совпадает — система может сделать вывод без загрузки весов.

2️⃣ Анализ весов модели
Если метаданных недостаточно, запускается глубокий анализ весов:
▶️ embedding geometry;
▶️ normalization layers;
▶️ energy profiles;
▶️ прямое сравнение параметров;
▶️ корреляционные сигналы.

На основе этих признаков рассчитывается итоговый similarity score.

⬇️ Установка
git clone https://github.com/cisco-ai-defense/model-provenance-kit.git
cd model-provenance-kit
uv sync


Для работы достаточно CPU — GPU не требуется. Cisco отмечает, что архитектурные проверки выполняются за миллисекунды, а извлеченные признаки кешируются для повторного использования.

🎯 Пример использования

🧿 Сканирование модели по базе известных fingerprints
provenancekit scan bigscience/bloom-560m


Инструмент:
⏺️извлекает fingerprint модели;
⏺️запускает 3-stage lookup;
⏺️возвращает наиболее вероятные совпадения.

🪧 Сравнение двух моделей
provenancekit compare gpt2 distilgpt2


Результат включает:
➡️ metadata score;
➡️ tokenizer similarity;
➡️ weight-level similarity;
➡️ итоговый pipeline score.

#ai #llm #mlsecurity #cisco #supplychain #opensource

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Один POST-параметр — и flat-file CMS у вас в руках

Представьте: CMS, где нет базы данных. Конфигурация, учётные записи, контент, настройки плагинов — всё хранится в YAML-файлах на диске. Теперь представьте, что неаутентифицированный атакующий может записать произвольный файл в любой каталог этой системы. Не «потенциально», а буквально одним HTTP-запросом.

Именно это делает CVE-2026-42608 в Grav CMS — flat-file движке на PHP с 14 500+ звёзд на GitHub и порядка 36 000 публично доступных инстансов по данным ZoomEye.

🔍 Корень проблемы — компонент FormFlash, который сохраняет данные форм между HTTP-редиректами. Он принимает идентификатор сессии из POST-параметра __form-flash-id и использует его напрямую при построении пути к директории записи. Значение конкатенируется со строкой tmp://forms/ без проверки на символы вроде ../. Подставил traversal-последовательность — вышел за границы временной папки и пишешь куда хочешь.

Разработчики обращались с этим параметром как с доверенным: «ну строка из POST, она же не в SQL попадает». В классической архитектуре с СУБД это могло бы сойти. Но в flat-file системе запись файла = модификация конфигурации = контроль над приложением.

⚡ Что получает атакующий на практике:

• Запись в user/config/ — изменение поведения сайта и плагинов через инъекцию YAML-конфигурации
• Запись в user/accounts/ — порча или подмена учётных данных, хешей паролей, 2FA-секретов
• Запись в user/pages/ — инъекция контента, потенциальный SSTI через Twig-шаблоны

CVSS 8.8 (HIGH), ноль привилегий, CISA оценивает Technical Impact как total. Эксплуатация автоматизируема — достаточно одного POST-запроса к любой странице с формой. А формы есть почти везде: контактная страница, /admin/login, регистрация.

🧩 Ключевой фрагмент уязвимого кода выглядит обманчиво просто. Метод __construct() класса FormFlash берёт session_id из POST и склеивает с путём без вызова basename() или regex-валидации. Одна пропущенная проверка — и вся файловая система webroot открыта для записи.

По классификации MITRE это CWE-22 (Improper Limitation of a Pathname). По OWASP Top 10 — одновременно A01 (Broken Access Control) и A03 (Injection). Редкий случай, когда одна строка кода попадает сразу в две категории критичных уязвимостей.

📌 Если вы работаете с Grav или проводите аудит flat-file CMS — в полной статье разобран весь путь: от уязвимой строки PHP до рабочего HTTP-запроса, с маппингом на ATT&CK и контекстом предыдущих CVE движка.

https://codeby.net/threads/grav-cms-uyazvimost-path-traversal-0-day-v-formflash-bez-autentifikatsii.93718/

Читать полностью…

Codeby

Почему пентестер без бинарного анализа — половина специалиста

Conficker, Stuxnet, EternalBlue — три инцидента, перевернувших индустрию. Каждый начался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Только по классу CWE-119/120/121 (переполнение буфера) в базе NVD десятки тысяч записей. А ведь это лишь один класс из десятка.

И вот парадокс: на реальном пентесте или bug bounty рано или поздно встречается сервис, для которого нет публичного эксплойта. Проприетарный демон на Linux, прошивка IoT-устройства без строки документации, десктопное ПО с кастомным протоколом. Всё, что есть — скомпилированный бинарь. Без навыков бинарного анализа ты можешь сканировать порты и фаззить HTTP-эндпоинты, но закрытый нативный код остаётся чёрным ящиком.

🔬 Что отличает того, кто запускает готовый эксплойт из Metasploit, от того, кто способен вскрыть проприетарный бинарь, найти 0-day и превратить его в рабочую цепочку атаки? Именно бинарный анализ. Это не отдельная экзотическая специализация — это необходимый компонент kill chain.

Карта навыков выглядит так:

Статический анализ — дизассемблирование и декомпиляция. Открываешь бинарь, не запуская его. Смотришь заголовки ELF/PE, таблицу импортов, ищешь красные флаги: gets, strcpy, sprintf без проверки длины. Уже на этом этапе видно, куда копать.

Динамический анализ — отладчики (GDB, x64dbg, WinDbg) и DBI-фреймворки (Frida, PIN, DynamoRIO). Ставишь брейкпоинт, смотришь, что происходит на уровне регистров и стековых фреймов в рантайме.

• Эксплуатация — stack overflow, heap exploitation, ROP/JOP-цепочки и обход современных защит (ASLR, DEP, canary). Tcache poisoning в glibc — отдельное искусство.

• Символьное исполнение — angr, Manticore, Triton. Автоматический поиск входных данных, которые приводят программу к нужному состоянию. Мощнейший инструмент для CTF и реальных исследований.

• Фаззинг — AFL++, libFuzzer, coverage-guided подход. Генерируешь миллионы мутированных входов, отслеживаешь покрытие кода, ловишь краши.

🎯 В CTF категория pwn стабильно собирает наименьший процент решений. Задачи уровня DEF CON CTF требуют не теории, а рабочего процесса: открыл бинарь в дизассемблере, нашёл уязвимый путь, написал эксплойт, обошёл защиты. Каждый шаг — конкретный инструмент и понимание того, что происходит под капотом.

В терминах MITRE ATT&CK атакующие группировки разрабатывают эксплойты (T1587.004), собирают информацию об уязвимостях (T1588.006) и используют их для повышения привилегий (T1068). Пентестер, понимающий эту цепочку с обеих сторон, перестаёт быть пользователем чужих инструментов и становится исследователем.

📖 Полная карта направления — от статического реверса до автоматизированного фаззинга — разобрана в руководстве на форуме.

https://codeby.net/threads/binarnyi-analiz-uyazvimostei-polnoye-rukovodstvo-dlya-pentestera-i-ctf-igroka.93708/

Читать полностью…

Codeby

🔎pretender

Инструмент, предназначенный для MitM-атак, таких как захват DNS через DHCPv6, а также подмена mDNS, LLMNR и NetBIOS-NS. Ранее для перехвата DNS-запросов DHCPv6 использовался инструмент mitm6, а для подмены локальных имен Responder. Однако pretender во многом отличается от этих проектов, предоставляя специалистам дополнительные возможности.


🎯Отличия инструмента
➡️позволяет шаг за шагом отображать этапы цепочки атак вместе с соответствующими инструментами, что упрощает составление отчётов и демонстрацию в реальном времени;

➡️можно скомпилировать для различных архитектур и операционных систем (Linux, Windows, macOS и др.);

➡️не требует специальных привилегий в Windows, если необходимые порты не используются другим процессом и не заблокированы брандмауэром;

➡️возможность изменения значений флагов конфигурации командной строки во время компиляции для создания предварительно сконфигурированного двоичного файла под особые случаи использования.

⬇️Установка
git clone https://github.com/RedTeamPentesting/pretender.git
cd pretender
go build


⛓️‍💥Использование
1️⃣Чтобы оценить ситуацию в локальной сети, pretender можно запустить в --dry режиме, в котором он регистрирует только входящие запросы и не отвечает на них.
pretender -i eth0 --dry
pretender -i eth0 --dry --no-ra # без router advertisements (RA)

2️⃣Чтобы подменить локальное разрешение имен с помощью mDNS, LLMNR и NetBIOS-NS, а также перехватить управление DNS по протоколу DHCPv6 с помощью объявлений маршрутизатора, просто запустите pretender следующим образом:
pretender -i eth0


Также можно отключить некоторые атаки с помощью --no-dhcp-dns (отключение DHCPv6, DNS), --no-lnr, --no-mdns, --no-llmnr, --no-netbios (отключение mDNS, LLMNR и NetBIOS-NS).

3️⃣Pretender можно настроить так, чтобы он отвечал только на запросы для определенных доменов (или для всех кроме определенных доменов) и выполнял спуфинг-атаки только для определенных хостов (или для всех кроме определенных хостов). При обращении к хостам по имени хоста используется разрешение имени хоста, на котором запущен pretender.
pretender -i eth0 --spoof "example.com" --dont-spoof-for "10.0.0.3,host1.corp,fe80::f" --ignore-nofqdn


#mitm #tools #AD #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

«Кто это сделал?»
— фраза, с которой в командах начинается половина расследований.

Ответ на такой вопрос даёт сервис аудитных логов.
Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях.

В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.

Читать полностью…

Codeby

⏺️10 ноября 1983 года (рождение вируса)
Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.


⏺️Как был устроен первый вирус
Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип.

Принцип был элегантен:
▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений
▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки
▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов

Результаты пяти экспериментов оказались шокирующими даже для самого Коэна:
▶️минимальное время получения полного контроля над системой — менее 5 минут
▶️среднее время — менее 30 минут
▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится
«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало.

⏺️«Если бы мы знали…»
После демонстрации к Коэну подошёл представитель АНБ США:
«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу.

⏺️Двойная жизнь: подозреваемый и ценный кадр
Власти инициировали наблюдение за Коэном:
▶️задержания на границе
▶️отслеживание передвижений
▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним)

Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры.

⏺️1984
В научной работе того года Коэн сформулировал два фундаментальных тезиса:
▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует
▶️Универсальный антивирус невозможен в принципе
«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.


⏺️1988. Первая массовая атака (червь Морриса)
Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.
«Я просто хотел показать уязвимости», — утверждал он.

Результаты:
▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета
▶️многократное самовоспроизведение червя приводило к полной остановке систем
▶️первая зафиксированная DDoS-атака в истории
Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление.

⏺️Главная уязвимость — человек
На основе анализа инцидента Коэн сформулировал ключевой тезис:
«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак.

⏺️Последующие атаки подтвердили правоту Коэна:
▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов
▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг
▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов

#ФредКоэн #Моррис #virus #DDoS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Subzy

Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.


📐Функции:
📉Возможность сканировать несколько поддоменов списком
📉Скрытие неудачных проверок или неуязвимых домменов
🖱Проверка действительности SSL

⬇️Установка:
0️⃣Клонируем репозиторий и переходим в рабочую директорию:
git clone https://github.com/PentestPad/subzy.git

cd subzy/

1️⃣Устанавливаем язык GO:
sudo apt install golang-go

2️⃣Собираем проект:
go build


⛓️‍💥Запуск:
▶️Запуск и сканирование одной цели:
./subzy r --target {URL}

▶️Запуск и сканирование списка поддоменов:
./subzy r --targets {TXT}

▶️Запуск и сканирование несольких целей, без использования списка:
./subzy r --targets {URL},{URL}


#web #wapt

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей

«Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так.

Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows.

Что внутри:

📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe
📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG)
📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики
📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр

⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass.

Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе.

👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-vynosim-kh-eshi-iz-sam.93782/

Читать полностью…

Codeby

🚗Пятничный опрос

Проверим знания не по вебу, а по сетевой безопасности 🧠

Читать полностью…
Subscribe to a channel