34787
Крупнейшее ИБ сообщество ру-сегмента Чат: @codeby_one Форум: codeby.net Обучение: codeby.school Пентест: codeby.one CTF: codeby.games VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Номер заявления для регистрации канала в РКН: 5035340278
❓Пятничный опрос
REALITY стал одним из самых популярных решений в экосистеме Xray благодаря своему нестандартному подходу к установке защищенных соединений. Эта технология часто обсуждается в контексте современных методов фильтрации трафика.
А насколько хорошо вы разбираетесь в том, как работает REALITY? Проверим ⬆️
Почему инциденты обходятся так дорого — и при чём тут оргструктура
Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос.
❓Кто принимает решение об изоляции скомпрометированного сегмента? Кто уведомляет регулятора в срок? На ком ответственность за финансовые последствия? В компаниях без формализованного governance ответ на каждый из этих вопросов — тишина и импровизация под давлением.
Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало.
➡️Три модели оргструктуры ИБ, которые встречаются на практике:
• Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически.
• Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным.
• Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек.
Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов.
❗️Отдельная боль — подчинение CISO. Самая распространённая схема в российских компаниях — CISO под CIO. И самая проблемная. Структурный конфликт интересов: CIO отвечает за uptime и скорость, CISO — за безопасность. Когда нужно остановить деплой из-за уязвимости, CIO и CISO оказываются по разные стороны. А итоговое решение принимает тот, кому CISO подчиняется, — то есть CIO. Угадайте, в чью пользу.
Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает.
👉В полной версии статьи — разбор всех трёх моделей, конкретные примеры RACI-матриц, шаблоны reporting и привязка к техникам MITRE ATT&CK. Полезно и CISO, и тем, кто строит ИБ-функцию с нуля.
https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/
🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день»
Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы.
Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде.
За один день вы:
✅ подключите источники событий и настроите обработку логов;
✅ разберётесь в работе аналитики и механизмах выявления угроз;
✅ познакомитесь с процессом обработки инцидентов на практике;
✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности.
📅 15 июля, 11:00 (МСК)
💻 Онлайн
Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
Английские власти хотят больше детской безопасности 🇬🇧
⏺️Кир Стармер намерен запретить доступ к крупным социальным сетям - таким как TikTok, Instagram и X - для лиц моложе 16 лет - сообщает газета The Guardian.
В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.
Также будут введены ограничения для подростков старшего возраста (до 18 лет), призванные предотвратить "бесконечный скроллинг" ленты в ночное время.
75% вторжений начинаются без единого эксплойта — просто с логина и пароля
Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов.
🔑Вот что говорят цифры за 2024–2025:
• CrowdStrike: 75% вторжений используют действительные учётные данные — техника T1078 Valid Accounts
• IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware
• Verizon DBIR: 38% утечек напрямую связаны с кражей credentials
Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти.
➡️Откуда берутся эти credentials? Инфостилеры — малварь, заточенная на автоматический сбор всего ценного с заражённой машины. Работают по модели Malware-as-a-Service: подписка на Lumma или StealC стоит $150–250 в месяц и включает билдер, панель управления и техподдержку. Барьер входа — околонулевой.
Что крадут? Сохранённые пароли из браузеров (прямой доступ к Login Data через DPAPI), session cookies для обхода MFA, нажатия клавиш, скриншоты и полный fingerprint системы. На выходе — аккуратная директория с файлами по папкам: /Browsers/, /Cookies/, /System/. Готовый набор для атаки, собранный за секунды.
🎇Масштаб впечатляет: по агрегированным оценкам, за первую половину 2025 года стилерами похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств. Более 17 миллиардов browser cookies украдено только за 2024-й — включая authentication-токены, которые превращают MFA в декорацию.
Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно.
🎯Главный вывод для защитников: модель «детектируем эксплойт на периметре» не закрывает 75% реальных вторжений. Если вы не мониторите утечки credentials, не отслеживаете аномалии аутентификации и полагаетесь только на TOTP-based MFA — вы уязвимы.
Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме.
https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/
💻 HackerLab в Standoff 17
Наша команда участвует в International Standoff 17 Cyberbattle, кибербитве, где решают скорость, точность и умение находить слабые места раньше других. Сейчас мы в рейтинге атакующих команд. Это тот формат, где каждый ход имеет значение.
Один найденный вектор может изменить позицию в таблице, а ошибка - откинуть назад.
Следить за рейтингом HackerLab можно здесь:
🔗 https://cyberbattle.standoff365.com/battle/55?section=ratings
Поддержите нас реакцией — команда это видит.
Тикетинг-системы — самая недооценённая точка входа в корпоративную сеть
Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов.
Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи.
➡️Три причины, почему атакующие целятся в тикетинг:
• CMDB как карта инфраструктуры. Зачем шуметь nmap, когда все серверы, приложения и их владельцы уже аккуратно разложены по полочкам в CMDB? Одна SSRF с доступом к внутренним API — и атакующий получает полную карту без единого скана.
• Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение.
• Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно.
👉Конкретный пример — CVE-2022-26135. SSRF в Mobile Plugin for Jira. Endpoint /rest/nativemobile/1.0/batch принимает JSON-массив запросов и выполняет их на стороне сервера. Атакующий передаёт в поле location значение @targethost.com, и HTTP-клиент интерпретирует часть до @ как userinfo, отправляя запрос на произвольный хост. Изящно и просто.
Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через /servicedesk/customer/user/signup. Формально аккаунт ограничен. На практике — его хватает для SSRF, чтения облачных метаданных и извлечения токенов.
🎇При этом ITSM-платформы включают в scope пентеста в последнюю очередь — если включают вообще. Парадокс: система, которая знает о вашей инфраструктуре больше всех, проверяется меньше всех.
В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby.
https://codeby.net/threads/uyazvimosti-itsm-sistem-ssrf-ssti-i-ataki-cherez-integratsii-jira-servicenow-i-freshservice.94101/
Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети
Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа.
🔑Вся экономика атак через краденые креды — конвейер с тремя звеньями:
• Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам
• Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000
• Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000
Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход.
Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль.
Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина.
🪧Что реально помогает на практике?
1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало
2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection
3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток
IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают.
Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме.
https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/
🪪 У чата HackerLab теперь есть лицо!
Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик.
Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇
🔗 hackerlab.pro
🚩 Новые задания на платформе HackerLab!
🧰 Категория PWN — Кролик++
——————————————
🗂 В архив добавлены задания + райтапы:
🔵Веб - Галерея
🔵Веб - Шифр Цезаря
Приятного хакинга!
Два дня команд через DNS — и ни одного алерта
На одном из red team проектов в финансовом секторе я гонял C2-сессию через dnscat2, выгружая хеши из NTDS.dit. Suricata молчала. SIEM — пусто. SOC-аналитики разбирали HTTP-логи, а DNS-трафик спокойно уходил через корпоративный резолвер наружу. Никто не проверял энтропию поддоменов, никто не считал длину запросов.
Почему так происходит? DNS и HTTP — протоколы, которым инфраструктура доверяет по умолчанию. Файрвол пропускает, прокси не лезет вглубь, baseline никто не строил.
🔍 Как работает DNS tunneling
Атакующий регистрирует домен, поднимает авторитетный DNS-сервер. Агент на скомпрометированном хосте кодирует данные прямо в поддомен: base64data.c2.attacker.tld. Корпоративный резолвер по цепочке рекурсии доставляет запрос на сервер атакующего. Ответ приходит в TXT, CNAME или A-записи — внутри лежит команда.
Ограничение: максимальная длина DNS-метки — 63 байта, полного имени — 253 байта. Скорость — единицы кбит/с. Для C2-команд хватает, для эксфильтрации терабайтов — забудьте.
🎇Инструменты, которые стоит знать
• iodine — туннелирует IPv4 через DNS, создаёт виртуальный интерфейс dns0. Главный артефакт для детекта — фиксированная частота опроса в idle-режиме и непечатаемые символы в запросах.
• dnscat2 — полноценный C2-фреймворк только через DNS. Шифрованная сессия, shell, загрузка файлов. Характерный след — последовательные hex-паттерны в hostname запросов.
• Cobalt Strike DNS beacon — использует TXT, A и AAAA-записи. Поддерживает jitter и sleep, чтобы имитировать нерегулярный трафик. Часто работает как fallback: HTTPS основной, DNS на случай блокировки.
Из реальных кампаний: SUNBURST (SolarWinds, 2020) использовал DNS-запросы к поддоменам avsvmcloud.com как stage-1 selector — идентификатор жертвы кодировался в поддомене, ответы классифицировали цели. В 2023-м Infoblox раскрыла кампанию Decoy Dog — Pupy RAT поверх DNS через TXT-записи. Два года разницы — одна схема.
❓Как ловить
Три ключевых индикатора:
1. Энтропия поддоменов — легитимные запросы типа mail.google.com имеют низкую энтропию. Base64/hex-кодированные поддомены дают энтропию выше 3.5 бит на символ.
2. Длина и частота — запросы длиннее 50 символов с регулярным интервалом к одному домену — красный флаг.
3. Нетипичные типы записей — массовые TXT или NULL-запросы от рабочих станций в нормальной среде не встречаются.
Если ваш SOC не мониторит DNS-трафик на эти аномалии — у вас слепая зона размером с весь периметр.
Полный разбор с HTTP covert channels, примерами конфигов и правилами детекта — в статье на форуме.
https://codeby.net/threads/skrytyye-kanaly-peredachi-dannykh-c2-dns-tunneling-i-http-covert-channels-ot-nastroiki-do-detekta.93927/
Zero Trust внедрили 63% компаний. А эффект где?
Gartner опросил 303 руководителя ИБ в конце 2023 года. Результат отрезвляющий: почти две трети организаций уже запустили стратегию Zero Trust, но у большинства она покрывает половину инфраструктуры или меньше и снижает не более четверти общего риска. Деньги потрачены, проекты запущены — а измеримого результата нет.
Почему так происходит? Потому что организации внедряют технологии, не измерив зрелость. Без отправной точки невозможно доказать прогресс, расставить приоритеты и объяснить совету директоров, зачем нужен следующий транш бюджета.
🔎Сегодня существуют три ключевых фреймворка, и каждый решает свою задачу:
• CISA ZTMM v2.0 — готовая шкала зрелости с четырьмя уровнями (Traditional → Initial → Advanced → Optimal). Пять столпов: Identity, Devices, Networks, Applications, Data. Плюс три сквозные функции — аналитика, автоматизация, governance. Это самый структурированный инструмент для самооценки.
• NIST SP 800-207 — не модель зрелости, а архитектурное руководство. Семь постулатов Zero Trust, три компонента архитектуры (Policy Engine, Policy Administrator, Policy Enforcement Point) и чёткий посыл: миграция к ZTA — путешествие, а не разовый проект.
• Microsoft ZT Model — привязка абстрактных столпов к конкретным продуктам и метрикам Secure Score. Если вы живёте в экосистеме Microsoft, это самый быстрый путь к измеримым показателям.
Выбор между ними — не «или/или». NIST даёт принципы, CISA — шкалу оценки, Microsoft — привязку к инструментам. Комбинация трёх фреймворков закрывает полный цикл: от философии до конкретных метрик.
🎇Любопытный факт из практики федеральных агентств США. 24 крупнейших агентства к сентябрю 2024 достигли «high 90 percent range» по начальным целям Zero Trust. USDA развернула FIDO2 для ~40 000 пользователей. GSA получила 29,8 млн долларов из Technology Modernization Fund и построила SASE-архитектуру.
Но вот что важно: столп Data оказался самым проблемным — ему выделялось меньше всего ресурсов. А без эффективной стратегии работы с данными общие цели ZTA недостижимы. Это критический сигнал для тех, кто планирует бюджет на 2025 год.
➡️Фраза «мы на уровне Traditional в идентичности и Initial в сетях» понятна руководству. «Нам нужен ещё один NGFW» — нет. Зрелостная модель превращает технический запрос в бизнес-аргумент.
Как именно провести gap-анализ по всем трём фреймворкам, построить дорожную карту и обосновать бюджет — разобрали в полной версии статьи.
https://codeby.net/threads/otsenka-zrelosti-zero-trust-kak-sravnit-cisa-ztmm-nist-sp-800-207-i-microsoft-zt-model-i-obosnovat-byudzhet.93905/
75% взломов начинаются с обычного логина и пароля. Как так вышло?
Забудьте про голливудские сцены с zero-day эксплойтами. По данным CrowdStrike Global Threat Report 2025, три из четырёх вторжений в корпоративные сети за прошлый год начались с украденных учётных данных. Не с уязвимости, не с цепочки атак — просто кто-то залогинился под реальным сотрудником.
🔑Infostealers — Redline, Raccoon, Lumma — сейчас занимают 32% всех обнаружений малвари по IBM X-Force, обогнав даже ransomware. Работают они до неприличия просто: сотрудник открывает фишинговое вложение, стилер запускается в памяти, за 3–5 минут собирает cookies, сохранённые пароли из браузеров, дампит lsass.exe — и отправляет всё на C2-сервер. К моменту, когда SOC видит первый алерт, атакующий уже в Active Directory с привилегированной учёткой.
Реальный timeline из разборов инцидентов выглядит так:
• 9:15 — фишинг, запуск стилера
• 9:25 — дамп уходит наружу
• 10:00 — вход в почту и VPN с украденными кредами
• 10:47 — SOC замечает аномалию
• 11:20 — инцидент подтверждён, но злоумышленник уже domain admin
Два часа от клика по вложению до полного контроля над доменом. И это ещё оптимистичный сценарий.
➡️Что реально помогает на практике? Три уровня защиты:
1. Детектирование на endpoint. Любой процесс, который обращается к lsass.exe с правами PROCESS_VM_READ и не входит в белый список — это алерт уровня High. CrowdStrike ловит это через ProcessRollup2, SentinelOne — через Behavioral AI, Elastic — через готовые правила плюс Sysmon Event ID 10. Частая ошибка: правило в SIEM есть, а Sysmon не настроен — и телеметрии просто нет.
2. MFA-харденинг. Обычная SMS-аутентификация — уже не защита. FIDO2-ключи и passwordless-подход делают украденный пароль бесполезным, потому что без физического токена залогиниться невозможно.
3. PAM-системы. Привилегированные учётки — главная цель атакующего после первичного доступа. Без PAM и поведенческой аналитики компрометация сервисных аккаунтов обнаруживается случайно, при расследовании совсем другого инцидента.
Отдельная боль — скомпрометированные легитимные хосты. Стилер тихо работает на рабочей станции неделями, собирая .env-файлы, конфиги с захардкоженными паролями, скрипты автоматизации. SOC ничего не видит: все действия от валидного пользователя, в рабочее время, с рабочей машины.
В полной статье — Sigma-правила для SIEM, hardening-чеклист из 10 пунктов для SOC и конкретные конфигурации MFA/PAM. Рекомендую изучить целиком.
https://codeby.net/threads/zashchita-korporativnykh-uchetnykh-dannykh-infostealer-kampanii-mfa-khardening-i-pam-na-praktike.93901/
TorCrawl: Анонимный краулер и экстрактор веб-страниц через сеть TOR
TorCrawl — это скрипт на Python, предназначенный для анонимного обхода и извлечения содержимого веб-страниц, включая скрытые .onion-ресурсы, через сеть TOR. Инструмент сочетает простоту использования с функциями приватности, обеспечивая сбор данных без раскрытия реального IP-адреса.
pipx install torcrawl
torcrawl -h
torcrawl -u http://example.com
torcrawl -u http://facebookcorewwwi.onion -c -d 1
torcrawl -w -u https://example.com -e -y t
torcrawl -u https://example.com -o page.html -l
Июнь в Codeby: 5 программ, 3 даты старта.
Если давно хотели закрыть пробелы в инфраструктуре, AD, инцидентах или DevOps — возможно, ваш курс уже ждёт вас 👇
🔹 Компьютерные сети (старт уже был, присоединиться можно до 10 июня)
Для тех, кто хочет не просто работать с сетями, а понимать, что в них происходит. Трафик, протоколы, маршрутизация, коммутация и база, без которой дальше в ИБ становится тяжело.
🔹 Active Directory: анализ и защита инфраструктуры (8 июня)
Kerberos, GPO, права доступа, типовые ошибки конфигурации и способы защиты. Для тех, кто хочет разобраться в AD глубже, чем позволяют инструкции и чек-листы.
🔹 Реагирование на компьютерные инциденты (8 июня)
Логи, артефакты, расследование инцидентов и восстановление цепочки событий. Курс для тех, кому нужно понимать, что произошло, а не просто реагировать на алерты.
🔹 Защита информации на объектах КИИ (187-ФЗ) (15 июня)
Категорирование, документы, меры защиты и реальные рабочие процессы. Когда задача по КИИ уже лежит на столе и её нужно решать.
🔹 Основы DevOps (15 июня)
CI/CD, контейнеры, автоматизация и всё, что происходит между коммитом и продом. Для разработчиков, администраторов и ИБ-специалистов, которые хотят понимать инфраструктуру целиком.
Бесплатная консультация:
/channel/CodebyAcademyBot
💵Сколько зарабатывает пентестер веб-приложений?
Веб-приложения остаются самой частой точкой входа в инфраструктуру, а специалистов, которые умеют находить и эксплуатировать уязвимости, по-прежнему не хватает.
Цифры по рынку:
▶️Junior ~ 60 000 ₽
▶️Middle ~ 350 000 ₽
▶️Senior — до 600 000 ₽
▶️Bug Bounty — отдельный доход за найденные баги, без потолка
Наш курс WAPT выводит как раз на уровень Middle — и не на теории, а в большой лаборатории из 66 заданий разной сложности.
Чему учим на курсе:
⏺️находить уязвимости из OWASP Top-10 и понимать, как они устроены
⏺️анализировать веб-приложения и эксплуатировать найденное
⏺️свободно работать с nmap, wfuzz, ffuf, Burp Suite, WPScan, nikto, nuclei, sqlmap
⏺️применять методологии анализа защищённости
⏺️автоматизировать рутину
Навыки одинаково работают и в коммерческом пентесте, и в Bug Bounty.
Формат:
▶️4 месяца •144 ак. часа
▶️16 недель: 11 — программа + 5 — подготовка и сдача экзамена
▶️лаборатория на 66 заданий
Кураторы и авторы курса:
Александр Медведев — 10+ лет в ИБ, OSCP / PNPT / CEH / CWAPT / SQLIM, 3-кратный победитель Standoff в составе Codeby
Руслан Русланов — десятки проектов по пентесту крупных компаний и банков
Старт ближайшего потока — 16 июля. При оплате курса сразу, дарим скидку 30%
➡️Записаться
Бесплатная консультация — @CodebyAcademyBot
CISA предупреждает об активно эксплуатируемой уязвимости в расширении JCE для Joomla, позволяющей выполнять PHP-код.
06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации.
Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.
В расширении Widget Factory Joomla Content Editor обнаружена уязвимость, связанная с ненадлежащим контролем доступа; она позволяет неавторизованным пользователям загружать и выполнять PHP-код путем создания новых профилей редактора
🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/
🔄 Глобальное обновление на HackerLab!
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
Удобнее искать задания
В категориях заработали поиск, фильтры и сортировка, переключение вида (сетка / список), а на карточках — бейджи СЕЗОН и АРХИВ.
Стало быстрее
Оптимизировали загрузку — платформа и страницы открываются заметно шустрее.
💚 Залетай и смотри, что нового → hackerlab.pro
12 миллионов рублей за реализацию недопустимого сценария: на 17-й кибербитве Standoff анонсировали открытые кибериспытания
В рамках круглого стола «Кибериспытано на себе: диалог об объективной оценке киберустойчивости» руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний.
🔑Это значит, что принять участие в программе и проверить устойчивость систем финтеха может любой желающий пентестер.
➡️Главная задача – найти и воспроизвести критическое событие.
➡️В случае успеха пентестер сможет получить до 12 млн рублей. Банк первый в России из финансового сектора запустил кибериспытания, тем более – в открытом формате.
Стартуют кибериспытания 22 июня, но предварительная регистрация открывается уже сегодня.
🔥ИБТУСА🔥
03.07, 18:00 - время отдохнуть от сессии и конференций🍺
Джун или студент по ИБ? Приходи и найди:
✅того, кто расскажет о подводных камнях на твоем пути
✅друзей для хакатона и CTF
✅идею для пет-проекта, которую обсудите за баром
Уже эксперт? Приходи быть для них живой легендой или просто похантить таланты до конкурентов
Заявка: @ibtusa_bot ⬅️
➡️Ген. спонсор: Серебриум — аудит безопасности на основе собственной интеллектуальной системы
➡️Спонсор CTF: НетХаб — флагман сетевой безопасности
➡️Ген. медиа: Sachok & Пакет Безопасности & Похек
🎁 Бонус: забирай папку с каналами по ибэ и получай актуальную инфу раньше преподов!
Сегодня вы познакомились за баром. Завтра — вы сеть, которая двигает рынок ИБ
❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации
По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв?
Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку».
🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая директива BOD 26-04 ужесточила требования: если уязвимость internet-facing, автоматизируемая и даёт полный контроль — due date может составлять один день.
Свежий пример: CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки.
➡️Как выглядит рабочий конвейер приоритизации на практике:
• Мониторинг KEV-каталога через cron каждые 4 часа + параллельный запрос EPSS через API FIRST
• Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации
• Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно)
• Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции
Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз.
В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки.
https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/
🔎Разведка угроз без бюджета: как один безопасник закрывает TI за два часа в неделю
Понедельник, утро. Бухгалтерия открыла письмо «от ФНС». На трёх машинах что-то грузится. Домен отправителя и хеши вложения лежали в бесплатном фиде URLhaus за двое суток до этого письма. Блокировка домена на NGFW — три минуты. Разбор инцидента постфактум — три рабочих дня. Для компании на 80 человек разница между «знали заранее» и «разгребали потом» — это не про деньги, а про время единственного специалиста.
Типичная реакция руководства: «Нас-то кому атаковать?». А вот кому. По данным IBM X-Force 2025, 70% атак за прошлый год затронули организации критической инфраструктуры. Но это не только банки и энергетика — это их подрядчики, поставщики, интеграторы на 50–500 человек. Сканеру всё равно, сколько у вас выручка. Открытый RDP и список сотрудников на сайте — валидная цель для автоматизированного перебора.
Что реально работает из бесплатного? Вот пять источников, проверенных на практике:
• URLhaus и Feodo Tracker (abuse.ch) — самый чистый сигнал. Данные курируются сообществом, false positives минимальны. URLhaus обновляется несколько раз в час — URL вредоносных загрузок уходят прямо в блоклист прокси. Feodo Tracker — IP C2-серверов ботнетов, грузится в blocklist firewall за минуту.
• AlienVault OTX — широчайший охват (IP, домены, хеши, URL в формате STIX/JSON), но без фильтрации по отрасли генерирует шум. Подключать стоит, но с ручной настройкой релевантности.
• AbuseIPDB — crowd-sourced репорты. Осторожно: туда попадают VPN-провайдеры, CDN-узлы, поисковые боты. Автоматическая блокировка по нему — рецепт для проблем. Только для ручной проверки конкретных IP.
• PhishTank — URL фишинговых страниц, обновление несколько раз в день. Хорошо дополняет URLhaus для блокировки на прокси.
🎇О чём молчит документация: у бесплатных фидов нет SLA на актуальность, нет гарантии покрытия вашей отрасли, контекст минимален — голый IOC без привязки к TTP и кампаниям. Если API перестал отвечать — разбираться будете сами.
Вторая половина — OSINT-разведка собственной инфраструктуры. Если не знаете, что видит атакующий при сканировании ваших активов, работаете вслепую. Shodan покажет открытые порты и баннеры, theHarvester соберёт email и поддомены — всё, что атакующий найдёт на этапе разведки по MITRE ATT&CK.
➡️В полной статье — готовая схема минимальной TI-программы для одного аналитика: какие фиды куда подключать, как автоматизировать обогащение и сколько времени закладывать на каждый этап. Читайте и внедряйте.
https://codeby.net/threads/threat-intelligence-dlya-malogo-biznesa-besplatnyye-instrumenty-osint-istochniki-i-minimal-naya-ti-programma-bez-byudzheta.94103/
⚠️ 14 июня — последний день акции!
Скидка 20% на подписку действует до конца завтрашнего дня. Успей забрать полный доступ к заданиям, курсам и про-лабораториям.
Промокод: Summer2026
➡️ https://hackerlab.pro/subscription
🔮Перед вами четыре панели. Ни слов, ни подсказок. Одна история. Одна атака.
Сможете её назвать?
332 жертвы за пять месяцев: как устроен шифровальщик, который сам захватывает домен
Представьте: шифровальщик попадает на одну машину в сети, а через минуты — без единой команды оператора — уже ползёт по SMB-шарам на всё, до чего дотянется. Оператор в это время спокойно сливает данные. Именно так работает The Gentlemen — RaaS-платформа, которую Microsoft отслеживает как Storm-2697.
🔑Мы разобрали конкретный семпл на Go до винтика. Вот что внутри.
Происхождение. Группа выросла из осколка Qilin. Ядро команды работало как ArmCorp — аффилиаты внутри Qilin RaaS, пока не случился скандал с невыплаченными $48 000 комиссии. Первый билд The Gentlemen с рабочей инфраструктурой утечки появился на VirusTotal за пять дней до публичного разрыва — сплит готовили заранее. Разработчики систематически реверсят семплы Babuk, LockBit, Medusa, вытаскивая лучшие шифровальные рутины и техники обхода EDR. Результат — композитный продукт, а не форк.
Точка входа. CVE-2024-55591 в FortiOS — обход аутентификации с CVSS 9.8. Удалённый атакующий получает super-admin через crafted-запросы к WebSocket-модулю. У группы в арсенале — 14 700 заранее скомпрометированных FortiGate-устройств. Это не теория, а готовый инвентарь для массовых атак.
➡️Шифрование. XChaCha20 + Curve25519 с per-file эфемерным ключом. Каждый файл получает уникальную пару ключей — bulk-дешифровка без приватного ключа оператора математически бессмысленна. Даже если вы перехватите ключ от одного файла, остальные останутся заблокированы.
➡️Самораспространение. Флаг --spread превращает бинарник в автономного червя. Шифровальщик сканирует сеть, копирует себя на доступные SMB-шары и запускается на удалённых машинах. По данным CrowdStrike, среднее время lateral movement после первичного доступа — 62 минуты. The Gentlemen сжимает это окно до предела: пока SOC разбирается с первым алертом, шифровальщик уже на десятках хостов.
Что ещё интересно:
• Бинарник на Go, stripped symbols — но структура pclntab сохраняется, и через GoReSym можно восстановить имена функций и пути к исходникам
• Валидация пароля запуска защищает от запуска в песочнице — без правильного пароля семпл просто не работает
• BYOVD через ThrottleStop.sys для убийства EDR, очистка логов, отключение Defender — полный набор defense evasion
• Модель 90/10 в пользу аффилиата — агрессивнее рынка, где стандарт 70-80%
В полной статье — детальный реверс бинарника, разбор kill chain по шагам, IOC и рекомендации по детектированию.
https://codeby.net/threads/analiz-ransomware-the-gentlemen-revers-go-shifroval-shchika-storm-2697-s-samorasprostraneniyem-cherez-smb.93923/
CyberScan: набор инструментов для сетевой криминалистики
CyberScan — инструмент для анализа пакетов, сканирования портов, обнаружения хостов и геолокации IP-адресов. Поддерживает работу с различными протоколами (ARP, ICMP, TCP, UDP) и может анализировать как живые сети, так и сохраненные pcap-файлы.
pipх install cyberscan
cyberscan -h
cyberscan -s 8.8.8.8 -p scan
cyberscan -s 192.168.1.1 -p scan -d 1 -t 100
cyberscan -s 192.168.1.0/24 -p arp
cyberscan -s 72.229.28.185 -p geoip
cyberscan -f test.pcap -p ip
Десять глав романа Набокова внутри обычной картинки — и ни один антивирус не моргнул
Исследователи провели простой эксперимент: взяли два BMP-файла по ~786 КБ каждый. Один пустой, второй — с десятью главами романа внутри. Визуально — идентичны. Побитово — два разных мира. Именно так APT-группировки прячут боевые модули в изображениях, и корпоративные системы защиты пропускают их без единого алерта.
🔎Зачем вообще прятать малварь в картинках, если есть шифрование? Потому что криптография скрывает содержимое, но не сам факт передачи. DPI-система видит зашифрованный поток и может поднять флаг. А стеганографический канал — это Content-Type: image/png на стандартном порту. Для периметровой защиты — легитимная загрузка картинки с веб-сервера. Формально — картинка. По сути — шелл-код в красивом фантике.
Загрузчик Zero.T скачивал три BMP-файла с C2-сервера, и каждый содержал модули экосистемы Enfal, упакованные в младшие биты пикселей. По данным Securelist, Zero.T — одно из минимум восьми семейств малвари, активно использующих стеганографию. И список растёт.
➡️Как это работает технически? Самый популярный метод — LSB, замена младших битов пикселей. В RGB-изображении один пиксель — три байта. Меняешь последний бит каждого — глаз разницу не увидит, а загрузчик знает, куда смотреть. BMP-контейнер на 8 МБ вмещает около 1 МБ скрытых данных. Для JPEG используют вариацию через DCT-коэффициенты — ёмкость ниже, но принцип тот же.
Место в цепочке атаки — ключевой момент. Стего-контейнер сам по себе безобиден. Без загрузчика, который извлекает данные, он бесполезен. Типичный сценарий:
⏺️ Фишинговое письмо запускает промежуточный загрузчик
⏺️Загрузчик скачивает «обычную картинку» с легитимного или скомпрометированного хоста
⏺️Из картинки извлекается пейлоад или команды C2
⏺️Обратная связь может идти через Dead Drop Resolver — результаты публикуются на легитимном сервисе
По MITRE ATT&CK это сразу несколько техник: T1027.003 (Steganography), T1001.002 (стего-C2), T1140 (декодирование). В сложных кампаниях — матрёшка: первый контейнер содержит конфигурацию второго канала, второй — модули пост-эксплуатации.
🎇Можно ли детектировать? LSB-стеганография ловится статистическими методами — гистограммным анализом и RS-методом. Но проблема в масштабе: anti-APT решения физически не могут анализировать все изображения в корпоративной сети. Их слишком много, а стегоанализ вычислительно дорогой.
Полный разбор с техниками сокрытия, реальными кейсами APT-группировок и методами обнаружения — в статье на форуме.
👉https://codeby.net/threads/steganografiya-v-vredonosnom-po-kak-apt-gruppirovki-pryachut-c2-kanaly-i-peiloady-v-izobrazheniyakh.93897/
По итогам 2025 года доля российских мобильных приложений, содержащих уязвимости критического и высокого уровня опасности, достигла 84%. Такие данные содержатся в ежегодном исследовании компании AppSec Solutions, с которым ознакомился «Коммерсантъ».
🔎В рамках исследования методом «черного ящика» (без доступа к исходному коду) было протестировано более 1,2 тыс. популярных Android-приложений.
▶️Общее количество уязвимостей 48,8 тыс. (+63% к показателю 2024 года, когда было выявлено 29,9 тыс.)
▶️Более 19 тыс. критических уязвимостей
▶️75% приложений с доступом к конфиденциальным данным пользователей
▶️Количество наиболее опасных уязвимостей за последние три года увеличилось практически в десять раз, достигнув 1 921 случая в 2025 году
В компании AppSec Solutions отмечают, что часть роста связана с углублением методов анализа:
«Часть проблем, которые мы фиксируем сейчас, раньше попросту не детектировалась»
«ИИ хорошо справляется с написанием работающего кода, но именно безопасный код он умеет писать не всегда, потому что был обучен на примерах, которые сейчас представляют собой устаревшие или уязвимые практики разработки», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис»
Дополнительным негативным фактором выступает нехватка квалифицированных
AppSec-специалистов
, что усиливает проблему накопления ошибок в коде, включая критичные, которые провоцируют утечку конфиденциальной и личной информации пользователей.
ROADrecon: инструмент для разведки в Azure AD и Entra ID
ROADrecon — это часть фреймворка ROADtools, разработанного для исследования и аудита безопасности Azure Active Directory (теперь Entra ID). Инструмент использует автоматически сгенерированную модель метаданных для сбора всей доступной информации об Azure AD через API Microsoft Graph и сохраняет её в локальную базу данных SQLite.
pipх install roadrecon
roadrecon -h
roadrecon auth --device-code
roadrecon gather
roadrecon gui
roadrecon gatherall
roadrecon dump users