Тикетинг-системы — самая недооценённая точка входа в корпоративную сеть

Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов.

Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи.

➡️Три причины, почему атакующие целятся в тикетинг:

• CMDB как карта инфраструктуры. Зачем шуметь nmap, когда все серверы, приложения и их владельцы уже аккуратно разложены по полочкам в CMDB? Одна SSRF с доступом к внутренним API — и атакующий получает полную карту без единого скана.

• Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение.

• Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно.

👉Конкретный пример — CVE-2022-26135. SSRF в Mobile Plugin for Jira. Endpoint /rest/nativemobile/1.0/batch принимает JSON-массив запросов и выполняет их на стороне сервера. Атакующий передаёт в поле location значение @targethost.com, и HTTP-клиент интерпретирует часть до @ как userinfo, отправляя запрос на произвольный хост. Изящно и просто.

Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через /servicedesk/customer/user/signup. Формально аккаунт ограничен. На практике — его хватает для SSRF, чтения облачных метаданных и извлечения токенов.

🎇При этом ITSM-платформы включают в scope пентеста в последнюю очередь — если включают вообще. Парадокс: система, которая знает о вашей инфраструктуре больше всех, проверяется меньше всех.

В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby.

https://codeby.net/threads/uyazvimosti-itsm-sistem-ssrf-ssti-i-ataki-cherez-integratsii-jira-servicenow-i-freshservice.94101/

Читать полностью…

Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети

Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа.

🔑Вся экономика атак через краденые креды — конвейер с тремя звеньями:

• Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам
• Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000
• Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000

Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход.

Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль.

Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина.

🪧Что реально помогает на практике?

1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало
2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection
3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток

IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают.

Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме.

https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/

Читать полностью…

🪪 У чата HackerLab теперь есть лицо!

Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик.

Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇

🔗 hackerlab.pro

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🧰 Категория PWN — Кролик++
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - Галерея
🔵Веб - Шифр Цезаря

Приятного хакинга!

Читать полностью…

Два дня команд через DNS — и ни одного алерта

На одном из red team проектов в финансовом секторе я гонял C2-сессию через dnscat2, выгружая хеши из NTDS.dit. Suricata молчала. SIEM — пусто. SOC-аналитики разбирали HTTP-логи, а DNS-трафик спокойно уходил через корпоративный резолвер наружу. Никто не проверял энтропию поддоменов, никто не считал длину запросов.

Почему так происходит? DNS и HTTP — протоколы, которым инфраструктура доверяет по умолчанию. Файрвол пропускает, прокси не лезет вглубь, baseline никто не строил.

🔍 Как работает DNS tunneling

Атакующий регистрирует домен, поднимает авторитетный DNS-сервер. Агент на скомпрометированном хосте кодирует данные прямо в поддомен: base64data.c2.attacker.tld. Корпоративный резолвер по цепочке рекурсии доставляет запрос на сервер атакующего. Ответ приходит в TXT, CNAME или A-записи — внутри лежит команда.

Ограничение: максимальная длина DNS-метки — 63 байта, полного имени — 253 байта. Скорость — единицы кбит/с. Для C2-команд хватает, для эксфильтрации терабайтов — забудьте.

🎇Инструменты, которые стоит знать

• iodine — туннелирует IPv4 через DNS, создаёт виртуальный интерфейс dns0. Главный артефакт для детекта — фиксированная частота опроса в idle-режиме и непечатаемые символы в запросах.

• dnscat2 — полноценный C2-фреймворк только через DNS. Шифрованная сессия, shell, загрузка файлов. Характерный след — последовательные hex-паттерны в hostname запросов.

• Cobalt Strike DNS beacon — использует TXT, A и AAAA-записи. Поддерживает jitter и sleep, чтобы имитировать нерегулярный трафик. Часто работает как fallback: HTTPS основной, DNS на случай блокировки.

Из реальных кампаний: SUNBURST (SolarWinds, 2020) использовал DNS-запросы к поддоменам avsvmcloud.com как stage-1 selector — идентификатор жертвы кодировался в поддомене, ответы классифицировали цели. В 2023-м Infoblox раскрыла кампанию Decoy Dog — Pupy RAT поверх DNS через TXT-записи. Два года разницы — одна схема.

❓Как ловить

Три ключевых индикатора:

1. Энтропия поддоменов — легитимные запросы типа mail.google.com имеют низкую энтропию. Base64/hex-кодированные поддомены дают энтропию выше 3.5 бит на символ.

2. Длина и частота — запросы длиннее 50 символов с регулярным интервалом к одному домену — красный флаг.

3. Нетипичные типы записей — массовые TXT или NULL-запросы от рабочих станций в нормальной среде не встречаются.

Если ваш SOC не мониторит DNS-трафик на эти аномалии — у вас слепая зона размером с весь периметр.

Полный разбор с HTTP covert channels, примерами конфигов и правилами детекта — в статье на форуме.

https://codeby.net/threads/skrytyye-kanaly-peredachi-dannykh-c2-dns-tunneling-i-http-covert-channels-ot-nastroiki-do-detekta.93927/

Читать полностью…

Zero Trust внедрили 63% компаний. А эффект где?

Gartner опросил 303 руководителя ИБ в конце 2023 года. Результат отрезвляющий: почти две трети организаций уже запустили стратегию Zero Trust, но у большинства она покрывает половину инфраструктуры или меньше и снижает не более четверти общего риска. Деньги потрачены, проекты запущены — а измеримого результата нет.

Почему так происходит? Потому что организации внедряют технологии, не измерив зрелость. Без отправной точки невозможно доказать прогресс, расставить приоритеты и объяснить совету директоров, зачем нужен следующий транш бюджета.

🔎Сегодня существуют три ключевых фреймворка, и каждый решает свою задачу:

• CISA ZTMM v2.0 — готовая шкала зрелости с четырьмя уровнями (Traditional → Initial → Advanced → Optimal). Пять столпов: Identity, Devices, Networks, Applications, Data. Плюс три сквозные функции — аналитика, автоматизация, governance. Это самый структурированный инструмент для самооценки.

• NIST SP 800-207 — не модель зрелости, а архитектурное руководство. Семь постулатов Zero Trust, три компонента архитектуры (Policy Engine, Policy Administrator, Policy Enforcement Point) и чёткий посыл: миграция к ZTA — путешествие, а не разовый проект.

• Microsoft ZT Model — привязка абстрактных столпов к конкретным продуктам и метрикам Secure Score. Если вы живёте в экосистеме Microsoft, это самый быстрый путь к измеримым показателям.

Выбор между ними — не «или/или». NIST даёт принципы, CISA — шкалу оценки, Microsoft — привязку к инструментам. Комбинация трёх фреймворков закрывает полный цикл: от философии до конкретных метрик.

🎇Любопытный факт из практики федеральных агентств США. 24 крупнейших агентства к сентябрю 2024 достигли «high 90 percent range» по начальным целям Zero Trust. USDA развернула FIDO2 для ~40 000 пользователей. GSA получила 29,8 млн долларов из Technology Modernization Fund и построила SASE-архитектуру.

Но вот что важно: столп Data оказался самым проблемным — ему выделялось меньше всего ресурсов. А без эффективной стратегии работы с данными общие цели ZTA недостижимы. Это критический сигнал для тех, кто планирует бюджет на 2025 год.

➡️Фраза «мы на уровне Traditional в идентичности и Initial в сетях» понятна руководству. «Нам нужен ещё один NGFW» — нет. Зрелостная модель превращает технический запрос в бизнес-аргумент.

Как именно провести gap-анализ по всем трём фреймворкам, построить дорожную карту и обосновать бюджет — разобрали в полной версии статьи.

https://codeby.net/threads/otsenka-zrelosti-zero-trust-kak-sravnit-cisa-ztmm-nist-sp-800-207-i-microsoft-zt-model-i-obosnovat-byudzhet.93905/

Читать полностью…

75% взломов начинаются с обычного логина и пароля. Как так вышло?

Забудьте про голливудские сцены с zero-day эксплойтами. По данным CrowdStrike Global Threat Report 2025, три из четырёх вторжений в корпоративные сети за прошлый год начались с украденных учётных данных. Не с уязвимости, не с цепочки атак — просто кто-то залогинился под реальным сотрудником.

🔑Infostealers — Redline, Raccoon, Lumma — сейчас занимают 32% всех обнаружений малвари по IBM X-Force, обогнав даже ransomware. Работают они до неприличия просто: сотрудник открывает фишинговое вложение, стилер запускается в памяти, за 3–5 минут собирает cookies, сохранённые пароли из браузеров, дампит lsass.exe — и отправляет всё на C2-сервер. К моменту, когда SOC видит первый алерт, атакующий уже в Active Directory с привилегированной учёткой.

Реальный timeline из разборов инцидентов выглядит так:

• 9:15 — фишинг, запуск стилера
• 9:25 — дамп уходит наружу
• 10:00 — вход в почту и VPN с украденными кредами
• 10:47 — SOC замечает аномалию
• 11:20 — инцидент подтверждён, но злоумышленник уже domain admin

Два часа от клика по вложению до полного контроля над доменом. И это ещё оптимистичный сценарий.

➡️Что реально помогает на практике? Три уровня защиты:

1. Детектирование на endpoint. Любой процесс, который обращается к lsass.exe с правами PROCESS_VM_READ и не входит в белый список — это алерт уровня High. CrowdStrike ловит это через ProcessRollup2, SentinelOne — через Behavioral AI, Elastic — через готовые правила плюс Sysmon Event ID 10. Частая ошибка: правило в SIEM есть, а Sysmon не настроен — и телеметрии просто нет.

2. MFA-харденинг. Обычная SMS-аутентификация — уже не защита. FIDO2-ключи и passwordless-подход делают украденный пароль бесполезным, потому что без физического токена залогиниться невозможно.

3. PAM-системы. Привилегированные учётки — главная цель атакующего после первичного доступа. Без PAM и поведенческой аналитики компрометация сервисных аккаунтов обнаруживается случайно, при расследовании совсем другого инцидента.

Отдельная боль — скомпрометированные легитимные хосты. Стилер тихо работает на рабочей станции неделями, собирая .env-файлы, конфиги с захардкоженными паролями, скрипты автоматизации. SOC ничего не видит: все действия от валидного пользователя, в рабочее время, с рабочей машины.

В полной статье — Sigma-правила для SIEM, hardening-чеклист из 10 пунктов для SOC и конкретные конфигурации MFA/PAM. Рекомендую изучить целиком.

https://codeby.net/threads/zashchita-korporativnykh-uchetnykh-dannykh-infostealer-kampanii-mfa-khardening-i-pam-na-praktike.93901/

Читать полностью…

TorCrawl: Анонимный краулер и экстрактор веб-страниц через сеть TOR

TorCrawl — это скрипт на Python, предназначенный для анонимного обхода и извлечения содержимого веб-страниц, включая скрытые .onion-ресурсы, через сеть TOR. Инструмент сочетает простоту использования с функциями приватности, обеспечивая сбор данных без раскрытия реального IP-адреса.

🔎Возможности
▶️Анонимный доступ к .onion и обычным сайтам через прокси SOCKS5 сети TOR
▶️Режим экстракции (получение HTML-кода страницы (вывод в терминал или сохранение в файл))
▶️Режим краулинга (сбор всех ссылок с целевой страницы с возможностью обхода на заданную глубину (-d))
▶️Экспорт результатов в форматах TXT, JSON, XML и SQLite
▶️Поиск по ключевым словам (интеграция YARA для фильтрации страниц)
▶️Ротация User-Agent и прокси для повышения анонимности и обхода блокировок

⬇️Установка

pipx install torcrawl

Проверка

torcrawl -h

⏺️Простое извлечение HTML-кода страницы

torcrawl -u http://example.com

⏺️Краулинг .onion-сайта через TOR

torcrawl -u http://facebookcorewwwi.onion -c -d 1

⏺️Экстракция с поиском в тексте (-у t) после извлечения

torcrawl -w -u https://example.com -e -y t

⏺️Сохранение страницы в файл с логом

torcrawl -u https://example.com -o page.html -l

➕Преимущества
- Простота использования (минимальный порог входа (одна команда для базовых операций))
- Полная поддержка сети TOR для работы как с обычными, так и с .onion-ресурсами
- Возможность комбинировать краулинг, экстракцию, поиск и экспорт в различных форматах
- Поддержка pipe и входных файлов для интеграции в скрипты

#torcrawl #tor #onion #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Июнь в Codeby: 5 программ, 3 даты старта.

Если давно хотели закрыть пробелы в инфраструктуре, AD, инцидентах или DevOps — возможно, ваш курс уже ждёт вас 👇

🔹 Компьютерные сети (старт уже был, присоединиться можно до 10 июня)

Для тех, кто хочет не просто работать с сетями, а понимать, что в них происходит. Трафик, протоколы, маршрутизация, коммутация и база, без которой дальше в ИБ становится тяжело.

🔹 Active Directory: анализ и защита инфраструктуры (8 июня)

Kerberos, GPO, права доступа, типовые ошибки конфигурации и способы защиты. Для тех, кто хочет разобраться в AD глубже, чем позволяют инструкции и чек-листы.

🔹 Реагирование на компьютерные инциденты (8 июня)

Логи, артефакты, расследование инцидентов и восстановление цепочки событий. Курс для тех, кому нужно понимать, что произошло, а не просто реагировать на алерты.

🔹 Защита информации на объектах КИИ (187-ФЗ) (15 июня)

Категорирование, документы, меры защиты и реальные рабочие процессы. Когда задача по КИИ уже лежит на столе и её нужно решать.

🔹 Основы DevOps (15 июня)

CI/CD, контейнеры, автоматизация и всё, что происходит между коммитом и продом. Для разработчиков, администраторов и ИБ-специалистов, которые хотят понимать инфраструктуру целиком.

Бесплатная консультация:
/channel/CodebyAcademyBot

Читать полностью…

🔍 Неделя 2: Virtual Server — Service Enumeration через SSH и FTP

Серия «Сетевая разведка за 30 дней» продолжается.

Открытые порты — это только начало. На этой неделе учимся читать сервисы: выжимать версии, баннеры, конфиги и файлы до первой попытки эксплуатации.

Цель: VDS, где SSH и FTP настроены «потом исправлю»

Инструменты: — nmap -sV + скрипты ftp-anon, ssh-auth-methods — anonymous FTP: конфиги, бэкапы, исходники — ssh-audit — слабые алгоритмы и разрешённые методы — nc для сырого banner-grab + searchsploit по версии

⏱️ Старт: 8 июня, 20:00 МСК 🏁 Дедлайн: 14 июня, 23:59 МСК

До дедлайна — обсуждаем подходы, не флаги. После — writeup'ы открыты.

👇 Задание и обсуждение: 🔗 https://codeby.net/threads/nedelya-2-virtual-nyi-server-service-enumeration-cherez-ssh-i-ftp.93753/

Читать полностью…

ProxyBroker2: асинхронный инструмент для поиска и управления прокси

ProxyBroker2 — это современная асинхронная библиотека и инструмент командной строки для поиска, проверки и предоставления публичных прокси-серверов. Инструмент собирает данные из более чем 50 источников, проверяет работоспособность прокси и может функционировать как локальный прокси-сервер с автоматической ротацией адресов.

🔎Основные возможности
▶️Асинхронная архитектура (построен на asyncio для высокопроизводительной параллельной обработки)
▶️Поддерживает протоколы HTTP, HTTPS, SOCKS4, SOCKS5, а также CONNECT для портов 80 и 23 (SMTP)
▶️Определение типа прокси (прозрачный, анонимный, высокоанонимный)
▶️Есть умная фильтрация по типу, уровню анонимности, стране, времени ответа и статусу в DNSBL

👉Что нового в версии 2.0.0
▶️Нулевое количество критических ошибок (исправлены утечки сигналов, взаимоблокировки)
▶️Современные асинхронные паттерны (обновлен устаревший код asyncio)
▶️Полная совместимость с Python 3.10, 3.11, 3.12, 3.13 и 3.14

⬇️Установка

pipх install proxybroker2

Проверка

proxybroker2 -h

⏺️Найти 5 рабочих HTTP-прокси

proxybroker2 find --types HTTP --limit 5

⏺️Локальный прокси-сервер с ротацией высокоанонимных HTTP/HTTPS прокси

proxybroker2 serve --host 127.0.0.1 --port 8888 --types HTTP HTTPS --lvl High --min-queue 5

⏺️Поиск качественных SOCKS5 прокси и сохранение в файл

proxybroker2 find --types SOCKS5 --limit 20 --outfile good_proxies.txt

🎇Инструмент полезен для:
- Веб-скрапинга и парсинга с обходом ограничений по IP
- Обеспечения анонимности при сетевых запросах
- Тестирования геозависимого контента
- Создания собственных прокси-пулов с автоматической ротацией

#proxybroker2 #proxy #asyncio #socks5 #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Открытие летнего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне. Не упустите шанс провести лето с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇 1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай + эксклюзивный бейдж на платформе
🥈 2 место — 1 месяц PRO + 20% скидка + эксклюзивный бейдж
🥉 3 место — 1 месяц PRO + 10% скидка + эксклюзивный бейдж
🏅 4–10 место — 1 месяц PLUS + 5% скидка + эксклюзивный бейдж

📆 Сезон завершается 31 августа
——————————————
Новые задания:

👩‍💻 Категория Pentest Machines — Графический PDF

Приятного хакинга!

Читать полностью…

☀️ Скидка 20% на подписку HackerLab!

Летом наконец есть время порешать задачки в удовольствие - полный доступ к заданиям, курсам и про-лабораториям.

Промокод: Summer2026

Только до 14 июня — не упусти
👉 https://hackerlab.pro/subscription

Читать полностью…

$28.50 за компрометацию Active Directory — но сколько стоят галлюцинации?

LLM-агент Excalibur ломает четыре из пяти хостов в AD-лаборатории за $28.50 в API-кредитах. RapidPen получает shell за 200–400 секунд при стоимости меньше доллара. Впечатляющие цифры из бенчмарков 2026 года. Но вот что происходит, когда ту же модель просят разобрать реальную функцию парсинга на C: она уверенно диагностирует use-after-free в коде, который вообще не работает с динамической памятью.

🎯 Между рекламными бенчмарками и реальным аудитом кода — пропасть из галлюцинаций, потери контекста и ложных срабатываний. Вопрос не в том, работают ли LLM для поиска уязвимостей, а в том, где именно в цепочке аудита их ставить и как не утонуть в шуме.

Ключевой инсайт: LLM — не замена SAST-сканеру и не замена ручному разбору. Это прослойка между ними. Статический анализатор отработал, нашёл подозрительные паттерны, а вы ещё не начали вручную раскручивать call chain'ы. Вот тут модель реально полезна.

⚡ Практический workflow выглядит так:

• Прогоняете semgrep с правилами p/security-audit и p/owasp-top-ten — получаете JSON с координатами подозрительных мест
• Строите граф зависимостей через tree-sitter или cscope, чтобы понять, какие файлы связаны с находками
• Выделяете attack surface — HTTP-хендлеры, парсеры, десериализаторы идут первыми
• Скармливаете LLM конкретные файлы с контекстом вызовов и типов, а не весь репозиторий

Скармливать модели весь codebase — антипаттерн. Даже 128K токенов — это порядка 300–400 страниц кода. Средний open-source проект сильно больше. Модель подавится и выдаст generic-ответ из учебника.

🔑 Ещё одна ловушка — промпты. «Найди уязвимости в этом коде» — прямой путь к мусору на выходе. Рабочий промпт строится по блокам: роль и ограничение, конкретный контекст проекта, тип уязвимости, который ищете, формат ответа и требование обосновать каждый вердикт ссылкой на строку кода. Без структуры модель галлюцинирует.

Где LLM реально хорош: внутренний пентест с доступом к исходникам и bug bounty по open-source целям. Публичный код плюс история коммитов дают модели максимум контекста. Где плохо: аудит бинарей без исходников — декомпилированный код теряет семантику, и модель плывёт.

🛡️ Важный момент для NDA-проектов: код, отправленный в облачный API, покидает ваш контур. Для таких задач — только локальные модели через Ollama с DeepSeek Coder или CodeLlama.

В полной статье — детальный разбор каждого шага workflow, готовые шаблоны промптов и конкретные примеры с реальным кодом.

https://codeby.net/threads/llm-dlya-poiska-uyazvimostei-v-kode-prakticheskii-workflow-ot-sast-do-poc.93750/

Читать полностью…

80% времени на подготовку, 20% — на сами уязвимости: почему мобильный пентест так устроен

Знакомая ситуация: вы запускаете Frida-скрипт с CodeShare, ждёте трафик в Burp Suite — а там пусто. Приложение использует OkHttp3 с CertificatePinner, плюс кастомную проверку целостности APK при старте. Стандартный скрипт молча отваливается, а вы даже не понимаете почему.

Именно так начался один из пентестов e-commerce маркетплейса. Четыре часа ушло на декомпиляцию в jadx, поиск конкретного класса с пиннингом и написание точечного хука. После этого IDOR в платёжном API нашёлся за 15 минут. Вся суть мобильного пентеста в одном примере.

🔧 Вот что ломается чаще всего на старте:

• Версия frida-server не совпадает с frida-tools — причина ошибки «Failed to spawn» в каждом втором обращении на форумах. Проверяйте через frida --version и качайте сервер строго той же версии.

• Образ эмулятора с надписью «Google Play» — production-сборка, root недоступен в принципе. Нужен образ с Google APIs, но без Google Play. Классическая ловушка, в которую попадают все хотя бы раз.

• На Android 7+ пользовательские CA-сертификаты не доверяются приложениями по умолчанию. Даже без SSL pinning трафик не пойдёт через Burp, пока сертификат не окажется в системном хранилище /system/etc/security/cacerts/.

📱 Отдельная боль — эмулятор-детекция. Приложение проверяет ro.hardware, ro.product.model, ищет QEMU-артефакты и отказывается работать. Решение — физический Pixel с unlocked bootloader и Magisk. На практике удобно держать оба варианта: эмулятор для статического анализа, физическое устройство — когда эмулятор не проходит проверки.

Лайфхак с Magisk: вместо десяти команд для установки сертификата Burp в системный раздел — поставьте модуль MagiskTrustUserCerts. Устанавливаете сертификат штатно через настройки безопасности, модуль перемещает его в системное хранилище при перезагрузке. Три клика вместо десяти команд.

🎯 Главное, что стоит помнить: APK — это обёртка, цель — серверное API. Root-detection, anti-tampering, SSL pinning — всё это клиентские защиты категорий MASVS-RESILIENCE и MASVS-NETWORK. Они усложняют тестирование, но серверные уязвимости никуда не деваются. Сервер остаётся дырявым вне зависимости от того, проверяет ли клиент наличие su-бинаря.

В полной статье — пошаговая настройка окружения, конкретные команды для каждого этапа и разбор случаев, когда стандартный tooling молча ломается. Всё, что нужно, чтобы дойти от чистого эмулятора до перехваченного трафика.

https://codeby.net/threads/pentest-android-prilozhenii-ot-nastroiki-okruzheniya-do-obkhoda-root-detection-i-ssl-pinning.93723/

Читать полностью…

❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации

По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв?

Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку».

🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая директива BOD 26-04 ужесточила требования: если уязвимость internet-facing, автоматизируемая и даёт полный контроль — due date может составлять один день.

Свежий пример: CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки.

➡️Как выглядит рабочий конвейер приоритизации на практике:

• Мониторинг KEV-каталога через cron каждые 4 часа + параллельный запрос EPSS через API FIRST

• Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации

• Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно)

• Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции

Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз.

В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки.

https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/

Читать полностью…

🔎Разведка угроз без бюджета: как один безопасник закрывает TI за два часа в неделю

Понедельник, утро. Бухгалтерия открыла письмо «от ФНС». На трёх машинах что-то грузится. Домен отправителя и хеши вложения лежали в бесплатном фиде URLhaus за двое суток до этого письма. Блокировка домена на NGFW — три минуты. Разбор инцидента постфактум — три рабочих дня. Для компании на 80 человек разница между «знали заранее» и «разгребали потом» — это не про деньги, а про время единственного специалиста.

Типичная реакция руководства: «Нас-то кому атаковать?». А вот кому. По данным IBM X-Force 2025, 70% атак за прошлый год затронули организации критической инфраструктуры. Но это не только банки и энергетика — это их подрядчики, поставщики, интеграторы на 50–500 человек. Сканеру всё равно, сколько у вас выручка. Открытый RDP и список сотрудников на сайте — валидная цель для автоматизированного перебора.

Что реально работает из бесплатного? Вот пять источников, проверенных на практике:

• URLhaus и Feodo Tracker (abuse.ch) — самый чистый сигнал. Данные курируются сообществом, false positives минимальны. URLhaus обновляется несколько раз в час — URL вредоносных загрузок уходят прямо в блоклист прокси. Feodo Tracker — IP C2-серверов ботнетов, грузится в blocklist firewall за минуту.

• AlienVault OTX — широчайший охват (IP, домены, хеши, URL в формате STIX/JSON), но без фильтрации по отрасли генерирует шум. Подключать стоит, но с ручной настройкой релевантности.

• AbuseIPDB — crowd-sourced репорты. Осторожно: туда попадают VPN-провайдеры, CDN-узлы, поисковые боты. Автоматическая блокировка по нему — рецепт для проблем. Только для ручной проверки конкретных IP.

• PhishTank — URL фишинговых страниц, обновление несколько раз в день. Хорошо дополняет URLhaus для блокировки на прокси.

🎇О чём молчит документация: у бесплатных фидов нет SLA на актуальность, нет гарантии покрытия вашей отрасли, контекст минимален — голый IOC без привязки к TTP и кампаниям. Если API перестал отвечать — разбираться будете сами.

Вторая половина — OSINT-разведка собственной инфраструктуры. Если не знаете, что видит атакующий при сканировании ваших активов, работаете вслепую. Shodan покажет открытые порты и баннеры, theHarvester соберёт email и поддомены — всё, что атакующий найдёт на этапе разведки по MITRE ATT&CK.

➡️В полной статье — готовая схема минимальной TI-программы для одного аналитика: какие фиды куда подключать, как автоматизировать обогащение и сколько времени закладывать на каждый этап. Читайте и внедряйте.

https://codeby.net/threads/threat-intelligence-dlya-malogo-biznesa-besplatnyye-instrumenty-osint-istochniki-i-minimal-naya-ti-programma-bez-byudzheta.94103/

Читать полностью…

⚠️ 14 июня — последний день акции!

Скидка 20% на подписку действует до конца завтрашнего дня. Успей забрать полный доступ к заданиям, курсам и про-лабораториям.

Промокод: Summer2026

➡️ https://hackerlab.pro/subscription

Читать полностью…

🔮Перед вами четыре панели. Ни слов, ни подсказок. Одна история. Одна атака.

Сможете её назвать?

Ждём версии в комментариях💫

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

332 жертвы за пять месяцев: как устроен шифровальщик, который сам захватывает домен

Представьте: шифровальщик попадает на одну машину в сети, а через минуты — без единой команды оператора — уже ползёт по SMB-шарам на всё, до чего дотянется. Оператор в это время спокойно сливает данные. Именно так работает The Gentlemen — RaaS-платформа, которую Microsoft отслеживает как Storm-2697.

🔑Мы разобрали конкретный семпл на Go до винтика. Вот что внутри.

Происхождение. Группа выросла из осколка Qilin. Ядро команды работало как ArmCorp — аффилиаты внутри Qilin RaaS, пока не случился скандал с невыплаченными $48 000 комиссии. Первый билд The Gentlemen с рабочей инфраструктурой утечки появился на VirusTotal за пять дней до публичного разрыва — сплит готовили заранее. Разработчики систематически реверсят семплы Babuk, LockBit, Medusa, вытаскивая лучшие шифровальные рутины и техники обхода EDR. Результат — композитный продукт, а не форк.

Точка входа. CVE-2024-55591 в FortiOS — обход аутентификации с CVSS 9.8. Удалённый атакующий получает super-admin через crafted-запросы к WebSocket-модулю. У группы в арсенале — 14 700 заранее скомпрометированных FortiGate-устройств. Это не теория, а готовый инвентарь для массовых атак.

➡️Шифрование. XChaCha20 + Curve25519 с per-file эфемерным ключом. Каждый файл получает уникальную пару ключей — bulk-дешифровка без приватного ключа оператора математически бессмысленна. Даже если вы перехватите ключ от одного файла, остальные останутся заблокированы.

➡️Самораспространение. Флаг --spread превращает бинарник в автономного червя. Шифровальщик сканирует сеть, копирует себя на доступные SMB-шары и запускается на удалённых машинах. По данным CrowdStrike, среднее время lateral movement после первичного доступа — 62 минуты. The Gentlemen сжимает это окно до предела: пока SOC разбирается с первым алертом, шифровальщик уже на десятках хостов.

Что ещё интересно:

• Бинарник на Go, stripped symbols — но структура pclntab сохраняется, и через GoReSym можно восстановить имена функций и пути к исходникам

• Валидация пароля запуска защищает от запуска в песочнице — без правильного пароля семпл просто не работает

• BYOVD через ThrottleStop.sys для убийства EDR, очистка логов, отключение Defender — полный набор defense evasion

• Модель 90/10 в пользу аффилиата — агрессивнее рынка, где стандарт 70-80%

В полной статье — детальный реверс бинарника, разбор kill chain по шагам, IOC и рекомендации по детектированию.

https://codeby.net/threads/analiz-ransomware-the-gentlemen-revers-go-shifroval-shchika-storm-2697-s-samorasprostraneniyem-cherez-smb.93923/

Читать полностью…

CyberScan: набор инструментов для сетевой криминалистики

CyberScan — инструмент для анализа пакетов, сканирования портов, обнаружения хостов и геолокации IP-адресов. Поддерживает работу с различными протоколами (ARP, ICMP, TCP, UDP) и может анализировать как живые сети, так и сохраненные pcap-файлы.

🎇Основные возможности
▶️Обнаружение открытых портов на целевом хосте с возможностью указания диапазона
▶️Проверка доступности хостов с использованием ARP, ICMP, TCP и UDP
▶️Определение географического положения IP-адреса (страна, город, координаты)
▶️Извлечение и декодирование заголовков Ethernet, IP, TCP, UDP и ICMP из сохраненных дампов трафика
▶️Работа с IPv4 и IPv6 протоколами (с предупреждениями при отсутствии маршрута IPv6)

⬇️Установка

pipх install cyberscan

Проверка

cyberscan -h

⏺️Сканирование портов

cyberscan -s 8.8.8.8 -p scan

⏺️Сканирование диапазона портов (с 1 по 100)

cyberscan -s 192.168.1.1 -p scan -d 1 -t 100

⏺️ARP ping (быстрый способ обнаружения в локальной сети)

cyberscan -s 192.168.1.0/24 -p arp

⏺️Геолокация IP-адреса

cyberscan -s 72.229.28.185 -p geoip

⏺️Извлечение IP-заголовков

cyberscan -f test.pcap -p ip

➕Преимущества
- Простота использования (одна команда с минимальным количеством опций)
- Совмещение сканирования, ping-тестирования, геолокации и анализа pcap
- Поддержка Windows, Linux и macOS

#cyberscan #portscanner #pentest #tool #ping

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Десять глав романа Набокова внутри обычной картинки — и ни один антивирус не моргнул

Исследователи провели простой эксперимент: взяли два BMP-файла по ~786 КБ каждый. Один пустой, второй — с десятью главами романа внутри. Визуально — идентичны. Побитово — два разных мира. Именно так APT-группировки прячут боевые модули в изображениях, и корпоративные системы защиты пропускают их без единого алерта.

🔎Зачем вообще прятать малварь в картинках, если есть шифрование? Потому что криптография скрывает содержимое, но не сам факт передачи. DPI-система видит зашифрованный поток и может поднять флаг. А стеганографический канал — это Content-Type: image/png на стандартном порту. Для периметровой защиты — легитимная загрузка картинки с веб-сервера. Формально — картинка. По сути — шелл-код в красивом фантике.

Загрузчик Zero.T скачивал три BMP-файла с C2-сервера, и каждый содержал модули экосистемы Enfal, упакованные в младшие биты пикселей. По данным Securelist, Zero.T — одно из минимум восьми семейств малвари, активно использующих стеганографию. И список растёт.

➡️Как это работает технически? Самый популярный метод — LSB, замена младших битов пикселей. В RGB-изображении один пиксель — три байта. Меняешь последний бит каждого — глаз разницу не увидит, а загрузчик знает, куда смотреть. BMP-контейнер на 8 МБ вмещает около 1 МБ скрытых данных. Для JPEG используют вариацию через DCT-коэффициенты — ёмкость ниже, но принцип тот же.

Место в цепочке атаки — ключевой момент. Стего-контейнер сам по себе безобиден. Без загрузчика, который извлекает данные, он бесполезен. Типичный сценарий:

⏺️ Фишинговое письмо запускает промежуточный загрузчик
⏺️Загрузчик скачивает «обычную картинку» с легитимного или скомпрометированного хоста
⏺️Из картинки извлекается пейлоад или команды C2
⏺️Обратная связь может идти через Dead Drop Resolver — результаты публикуются на легитимном сервисе

По MITRE ATT&CK это сразу несколько техник: T1027.003 (Steganography), T1001.002 (стего-C2), T1140 (декодирование). В сложных кампаниях — матрёшка: первый контейнер содержит конфигурацию второго канала, второй — модули пост-эксплуатации.

🎇Можно ли детектировать? LSB-стеганография ловится статистическими методами — гистограммным анализом и RS-методом. Но проблема в масштабе: anti-APT решения физически не могут анализировать все изображения в корпоративной сети. Их слишком много, а стегоанализ вычислительно дорогой.

Полный разбор с техниками сокрытия, реальными кейсами APT-группировок и методами обнаружения — в статье на форуме.

👉https://codeby.net/threads/steganografiya-v-vredonosnom-po-kak-apt-gruppirovki-pryachut-c2-kanaly-i-peiloady-v-izobrazheniyakh.93897/

Читать полностью…

По итогам 2025 года доля российских мобильных приложений, содержащих уязвимости критического и высокого уровня опасности, достигла 84%. Такие данные содержатся в ежегодном исследовании компании AppSec Solutions, с которым ознакомился «Коммерсантъ».

🔎В рамках исследования методом «черного ящика» (без доступа к исходному коду) было протестировано более 1,2 тыс. популярных Android-приложений.
▶️Общее количество уязвимостей 48,8 тыс. (+63% к показателю 2024 года, когда было выявлено 29,9 тыс.)
▶️Более 19 тыс. критических уязвимостей
▶️75% приложений с доступом к конфиденциальным данным пользователей
▶️Количество наиболее опасных уязвимостей за последние три года увеличилось практически в десять раз, достигнув 1 921 случая в 2025 году

В компании AppSec Solutions отмечают, что часть роста связана с углублением методов анализа:

«Часть проблем, которые мы фиксируем сейчас, раньше попросту не детектировалась»

☁️Лидерами по общему количеству выявленных проблем в 2025 году стали:
- Игры
- Стриминговые платформы
- Финансы
- Приложения для бизнеса
- СМИ

🧠Основной тип угроз и роль ИИ
Среди критических уязвимостей лидирует небезопасное хранение токенов, ключей и пользовательских данных. Увеличение объемов использования ИИ-сгенерированного кода приводит к тиражированию ошибок и небезопасных паттернов.

«ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис»

По данным пресс-службы ГК «Солар», популярные языковые модели пропускают от 40% до 50% уязвимостей в коде

🎇Применительно к банковским приложениям Полунин выделяет два системных фактора:
1️⃣Усложнение функционала — приложения содержат огромный объем стороннего кода через библиотеки и компоненты для проведения платежей, управления биометрией, общения с поддержкой. Это ведет к росту количества «зашитых» в код бэкдоров и точек небезопасного хранения чувствительных данных.
2️⃣Приоритет скорости над безопасностью — «требование бизнеса выпускать новые «фичи» как можно быстрее, зачастую без должного тестирования и обкатки».

Дополнительным негативным фактором выступает нехватка квалифицированных

AppSec-специалистов

, что усиливает проблему накопления ошибок в коде, включая критичные, которые провоцируют утечку конфиденциальной и личной информации пользователей.

#кибербезопасность #AppSec #уязвимости #мобильныеприложения #российскиеразработчики #ИИ #инфобезопасность #news #pentest #cyber

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

ROADrecon: инструмент для разведки в Azure AD и Entra ID

ROADrecon — это часть фреймворка ROADtools, разработанного для исследования и аудита безопасности Azure Active Directory (теперь Entra ID). Инструмент использует автоматически сгенерированную модель метаданных для сбора всей доступной информации об Azure AD через API Microsoft Graph и сохраняет её в локальную базу данных SQLite.

🔎Возможности
▶️На основе метаданных внутреннего API Azure AD создается модель SQLAlchemy для хранения информации
▶️Все данные сохраняются в файл SQLite для последующего анализа без необходимости повторных запросов к Azure
▶️Расширение функциональности через пользовательские плагины для обработки и экспорта данных

⬇️Установка

pipх install roadrecon

Проверка

roadrecon -h

🔗Запуск аутентификации через устройство

roadrecon auth --device-code

После выполнения:
1. В терминале появится код (например, H8K7M9)
2. Откройте браузер и перейдите на https://microsoft.com/devicelogin
3. Введите полученный код
4. Войдите в учетную запись Azure AD
5. Вернитесь в терминал — готово

⏺️Сбор данных из Azure AD

roadrecon gather

⏺️Запуск веб-интерфейса для просмотра

roadrecon gui

⏺️Сбор всех данных, включая PIM, Governance, Azure RM

roadrecon gatherall

⏺️Эспорт списка пользователей в CSV

roadrecon dump users

🧿Полезен при:
- Проведении атак типа «red team» для картирования привилегированных путей в Azure AD
- Выполнении аудитов безопасности облачной идентификации (blue team)
- Анализе сложных делегирований и прав приложений
- Инвентаризации и документировании Azure-сред

#roadrecon #roadtools #azuread #tool #microsoft365 #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

❗️Один SYN-скан уронил контроллер за 40 секунд. Почему пентест SCADA — это не IT-пентест

Обычный Nmap без --max-rate, который в корпоративной сети отработает за минуту и ни один IDS не моргнёт. В промышленной сети тот же скан положил Siemens S7-300 за 40 секунд. Оператор увидел пустой экран HMI, нажал аварийную остановку. Простой — 22 минуты. Это реальная история, и она отлично объясняет, почему тестирование АСУ ТП — отдельная дисциплина.

🎇В чём ключевая разница?

В IT-среде приоритет — конфиденциальность данных. Упал сервер — перезагрузили, максимум потеряли логи. В OT-среде приоритет — безопасность людей и непрерывность процесса. Неправильная команда в holding register ПЛК физически меняет состояние оборудования: открывает клапан, останавливает насос, меняет скорость турбины.

Протокол Modbus TCP — стандарт де-факто для большинства промышленных установок — не имеет аутентификации вообще. Любой узел, способный отправить TCP-пакет на порт 502, может выполнить function code 0x06 (Write Single Register) — и контроллер исполнит команду без вопросов. Это не баг. Это архитектура протокола 1979 года, спроектированного для изолированных серийных шин, которые никто не планировал подключать к Ethernet.

Что ломает привычную методологию:

⏺️ПЛК может зависнуть от 50 пакетов/сек — там, где сервер переварит тысячи
⏺️Оборудование живёт 15–25 лет, патчи ставят раз в месяцы или годы
⏺️EDR и антивирус — редкость, потому что real-time constraints не позволяют
⏺️Сеть часто плоская: никакой микросегментации, формальный firewall на границе с IT

По данным IBM X-Force 2025, средний разрыв между публикацией CVE и установкой патча — 29 месяцев. В OT-среде, где окно обслуживания открывается раз в полгода, этот разрыв ещё больше.

Вспомните TRITON (2017): атакующие перепрограммировали SIS-контроллер Triconex, чтобы отключить защитные механизмы перед основной атакой. Обнаружили случайно — из-за ошибки в payload, вызвавшей аварийную остановку. Industroyer (2016) использовал штатные команды промышленных протоколов для размыкания выключателей подстанций. Никаких эксплойтов — легитимные function codes в нужный момент.

Бизнес-логика атаки на SCADA проста: злоумышленник не крадёт данные — он получает контроль над физическим процессом. Для ransomware-групп это рычаг давления (остановленное производство = миллионные убытки в час). Для APT — потенциальное разрушение инфраструктуры.

В полной статье — kill chain ICS-пентеста по MITRE ATT&CK, инструменты (PLCScan, Redpoint, Metasploit ICS-модули), пассивная разведка через Shodan и практические приёмы безопасного сканирования. Читайте целиком — там всё по шагам.

➡️https://codeby.net/threads/pentest-scada-sistem-ot-modbus-razvedki-do-kontrolya-plk-v-production-srede.93891/

Читать полностью…

🔧 Обсуждай задачи и переписывайся прямо в HackerLab

Встроили форум-виджет Codeby прямо на страницы тасков — теперь обсуждение, подсказки и личка живут там же, где само задание.

Что умеет виджет:
— Тред с обсуждением рядом с задачей
— Скриншоты, файлы, реакции, онлайн-статусы
— Автообновление без перезагрузки страницы

Личные сообщения внутри виджета:
— Пишешь напрямую, не уходя с платформы
— Бейдж непрочитанных, поиск по имени, редактирование

Авторизация через Codeby ID. Работает на мобильном.

CTF — это не только решить в одиночку. Вовремя спросить или подсказать растит быстрее 🚀

Попробуйте и расскажите, чего не хватает 👇
🔗 https://codeby.net/threads/obsuzhdai-zadachi-i-perepisyvaisya-pryamo-v-hackerlab-vstroili-forum-i-lichnyye-soobshcheniya.93938/

Читать полностью…

🌐Вам дали карт-бланш на перестройку CI/CD с нуля. Ресурсы любые. Команда поддержит любые изменения.

Но есть условие: вы должны выбрать один главный приоритет, а двумя другими пожертвовать.

Исходные данные:

⏺️

Скорость — пайплайн проходит за 3 минуты, разработчик не ждёт

⏺️

Надёжность — ложные срабатывания случаются раз в месяц, а не раз в день

⏺️

Глубина проверок — security scan, уязвимости зависимостей, интеграционные тесты, линтеры, форматтеры, мутационные тесты

Выберите одно, чем вы готовы пожертвовать (варианты указаны на картинке)↗️

Читать полностью…

$5,9 млн за одну утечку — почему банки проигрывают хакерам ещё до первого алерта

Вот что меня цепляет в статистике IBM по финансовому сектору. Не сама сумма — а то, как банки узнают о взломе. Большинство — не из алертов собственного SOC, а из звонка регулятора или поста в Telegram. Между моментом, когда атакующий зашёл в сеть, и моментом, когда об этом кто-то догадался, проходят недели. Иногда — месяцы.

За это время группировки вроде Cobalt и Silence успевают пройти полный kill chain — от фишингового письма до управления SWIFT-терминалом.

🔍 Как это выглядит на практике? Четыре фазы, каждая из которых — окно для обнаружения. И каждая — провал большинства защитных команд.

Фаза 1 — точка входа. Целевой фишинг или эксплуатация публичного сервиса. По данным ФинЦЕРТ за 2024 год, фишинг — около 8–9% зарегистрированных атак на финсектор. Кажется мало? Но в red team-проектах поддельное письмо «от Центробанка» остаётся самым результативным вектором. Люди верят бланкам.

Фаза 2 — сбор учёток и перемещение. Дамп LSASS, брутфорс сервисных аккаунтов, кейлоггеры. Дальше — Pass the Hash, легитимные учётные записи. Самое болезненное: горизонтальное перемещение часто идёт через сегменты, которые формально изолированы. Но на практике маршрут через management-VLAN существует. Формально — нельзя. Фактически — пожалуйста.

Фаза 3 — цель. SWIFT-терминал, процессинг, АБС (Diasoft, ЦФТ), HSM. К этому моменту у атакующего уже привилегии доменного администратора.

💸 Фаза 4 — вывод денег. Формирование платёжных поручений, манипуляция лимитами, переводы через скомпрометированные АРМ-ы КБР. Именно здесь большинство банков впервые замечают проблему. Когда деньги уже ушли.

И это только kill chain. А ведь есть ещё атаки на банковские API, jackpotting банкоматов, обход антифрод-систем, трояны вроде Casbaneiro, уязвимости мобильного банкинга. Каждый вектор — отдельная дисциплина со своими техниками и слепыми зонами защиты.

⚡ Что объединяет все эти направления? Три вещи:

• Сегментация сети, которая существует на бумаге, но не в реальности
• SOC, который мониторит периметр, но слеп внутри критичных сегментов
• Регуляторный комплаенс (ГОСТ Р 57580, PCI DSS), который выполняется формально, а не по сути

Мы собрали всё это в одну карту — 11 направлений с детальными разборами: от конкретных команд пентеста до SIEM-правил и IOC. Полный гайд ждёт в статье на форуме.

https://codeby.net/threads/kiberbezopasnost-bankov-vektory-atak-tekhniki-pentesta-i-zashchita-bankovskoi-infrastruktury.93756/

Читать полностью…

43% MCP-серверов уязвимы к инъекциям команд. А ваш разработчик только что поставил ещё один

За последние полгода MCP-серверы стали стандартной частью рабочего окружения разработчиков. Cursor, Claude Desktop, кастомные прокси к внутренним API — всё это подключается за минуту и получает прямой доступ к файловой системе, переменным окружения и сетевым ресурсам хоста. Проблема в том, что эти серверы почти никогда не проходят security review.

🔍 По данным Equixly, картина такая: 43% протестированных MCP-серверов содержат command injection, 30% — SSRF, 22% — path traversal. И это не экзотика — это серверы, которые разработчики ставят добровольно и используют каждый день.

Почему это опасно? MCP-сервер по сути — неаутентифицированный API с доступом к shell-командам. Спецификация предлагает OAuth 2.0, но на практике большинство серверов запускаются без авторизации вообще. Валидация параметров — на совести разработчика. А главное: MCP-сервер можно вызвать напрямую, минуя LLM. Кто добрался до эндпоинта — шлёт JSON-RPC-запросы к инструментам без какого-либо контроля.

⚡ Свежий пример — три CVE в официальном mcp-server-git. Одна из них (CVE-2025-68143) позволяла через инструмент git_init превратить любую директорию в git-репозиторий, а затем читать из неё файлы через git show. Решение от мейнтейнеров? Полностью удалили инструмент из кодовой базы. Другая (CVE-2025-68144) — argument injection: параметры git_diff и git_checkout передавались в CLI без санитизации. Значение вроде --output=/etc/passwd интерпретировалось как опция командной строки.

Каждая уязвимость по отдельности — CVSS 6.3–6.5, средний уровень. Но в цепочке с prompt injection импакт возрастает кратно: вредоносная инструкция в README репозитория заставляет LLM вызвать уязвимый инструмент, а разработчик жмёт «Разрешить» на автопилоте — десятки раз в день.

🎯 С точки зрения kill chain MCP-серверы закрывают сразу несколько этапов:

• Initial Access — удалённый сервер на Streamable HTTP без аутентификации
• Execution — command injection через tool-параметры
• Credential Access — чтение .env, SSH-ключей, API-токенов
• Collection — path traversal к исходникам и конфигам CI/CD

Самый реалистичный сценарий — внутренний пентест или red team с доступом к сегменту разработки. Машина разработчика с MCP-сервером — это одновременно точка входа, источник креденшалов и плацдарм для lateral movement.

Полный разбор с конкретными PoC, цепочками атак и рекомендациями по защите — в статье на форуме.

https://codeby.net/threads/uyazvimosti-mcp-serverov-rce-ssrf-i-in-yektsii-cherez-odin-post-zapros.93746/

Читать полностью…

ANY.RUN

🎇 ANY.RUN — это облачная интерактивная песочница для динамического анализа вредоносного ПО, URL и подозрительных файлов в реальном времени. Она позволяет исследователям вручную управлять виртуальной машиной, имитируя действия пользователя для выявления скрытых угроз.

💻 Платформа поддерживает Windows, Linux и Android: загружаете файл/URL, выбираете ОС, язык, доступ к сети и запускаете анализ (бесплатно до 60 сек, премиум — дольше). В режиме реального времени отслеживаются процессы, сетевые соединения (TCP/UDP/DNS), изменения файлов, реестра, автозагрузки; вердикт по MITRE ATT&CK с IOC.

Живая панель мониторинга в реальном времени:
📉 Processes (дерево с аргументами, PE-импортами)
📉 Network (streams, HTTP/HTTPS payloads, DNS/C2)
📉 Files (heatmaps изменений, downloads)
🖱 Registry/Services/Mutexes/DLLs, Behavior (MITRE ATT&CK mapping с TTPs)

Преимущества:
➡️ Быстрая детонация (15 сек медиана)
➡️ Обход анти-сандбокс техник через интерактив (клики, ввод).
➡️ Приятный и отзывчивый интерфейс

🧿 Используете ли ANY.RUN в своих расследованиях?

#anyrun #ioc #ti #sandbox

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…