codeby_sec | Unsorted

Telegram-канал codeby_sec - Codeby

34787

Крупнейшее ИБ сообщество ру-сегмента Чат: @codeby_one Форум: codeby.net Обучение: codeby.school Пентест: codeby.one CTF: codeby.games VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Номер заявления для регистрации канала в РКН: 5035340278

Subscribe to a channel

Codeby

🔁 Пятничный опрос

🕸 Контейнеры принято считать изолированной средой, однако некоторые настройки практически сводят эту изоляцию к минимуму.

Читать полностью…

Codeby

🕸 CVE MCP Server — MCP-сервер для получения информации об уязвимостях CVE

CVE MCP Server — open-source MCP-сервер, который позволяет AI-ассистентам получать актуальную информацию об уязвимостях по идентификатору CVE. Инструмент обращается к базе MITRE и возвращает описание уязвимости, что упрощает анализ инцидентов, triage и исследование угроз.

🛡 Основные возможности
📉 Поиск информации по CVE ID
📉 Получение описания уязвимости из базы MITRE
📉 Использование через Model Context Protocol (MCP)
📉 Интеграция с Claude Desktop и другими MCP-клиентами
📉 Поддержка stdio и SSE режимов работы
🖱 Полностью open-source

💻 Примеры использования
➡️ Быстрая проверка деталей CVE во время расследования инцидента
➡️ Анализ найденных уязвимостей без перехода на сторонние сайты
➡️ Использование AI для изучения информации о CVE
➡️ Автоматизация процессов vulnerability management
➡️ Интеграция в собственные AI-инструменты и пайплайны

↗️ Быстрый старт
1️⃣ Установка
git clone https://github.com/mukul975/cve-mcp-server.git
cd cve-mcp-server
python -m venv venv && source venv/bin/activate
pip install -e .

После этого лимит увеличивается с 5 до 50 запросов за 30 секунд.

2️⃣ Первое использование
После добавления сервера в Claude Desktop или другой MCP-клиент можно сразу выполнять запросы без настройки API-ключей:
▶️"What is CVE-2021-44228? Is it actively exploited?"

Сервер автоматически получит информацию из NVD, проверит наличие уязвимости в каталоге CISA KEV и покажет EPSS-оценку вероятности эксплуатации.
▶️"Scan these Python packages for vulnerabilities: requests 2.28.0, flask 2.2.0, django 3.2.0"

3️⃣ Ускорение работы
Для увеличения лимита запросов к NVD достаточно добавить бесплатный API-ключ:
echo 'NVD_API_KEY=your-key-here' > .env


4️⃣ Полный анализ риска
После добавления всех поддерживаемых API-ключей можно выполнять комплексную оценку уязвимостей:
▶️"Calculate the risk score for CVE-2024-3400 and tell me if we should patch immediately."

#mcp #cve #vulnerabilitymanagement #ai #llm #cybersecurity #infosec #opensource #security #claude

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

CyberCamp приглашает на летний фестиваль для кибербезопасников в open-air формате — 17 июля в Берёзы Парк Строгино.

Открытая площадка вместо залов: разборы реальных атак, практические кейсы и профессиональное общение для тех, кто работает с уязвимостями, инцидентами и защитой.

В программе:

🔅ИИ в задачах кибербезопасности;
🔅таргетированные атаки и методы противодействия;
🔅цифровая криминалистика и Bug Bounty;
🔅киберучения от Jet CyberCamp;
🔅воркшопы, TableTop и разборы инцидентов.

Плюс неформальная часть: D&D, интерактив по социальной инженерии и отдых у воды.🦦

Спикеры: Алексей Шульмин, Алексей Лукацкий, Владислав Азерский и другие. Специальный гость — Владимир Сурдин.

Билеты доступны по ссылкам:
Стандартный
Студенческий

📍17 июля, Москва, Берёзы Парк Строгино
🚍Бесплатный трансфер от м. «Щукинская»

Читать полностью…

Codeby

Почему 90% новичков в пентесте застревают после первого сканирования

Типичный сценарий: человек ставит Kali, запускает nmap -sV по первому попавшемуся IP и смотрит в экран с немым вопросом «а что дальше?». За полтора года через стажёрский полигон одной команды прошли больше 30 человек — и ошибка у всех одна: хвататься за инструменты, не понимая, на каком этапе атаки они нужны.

Пентест в 2026 году — это не фристайл-хакинг. Это цепочка, где каждый шаг зависит от предыдущего. Если маппить на MITRE ATT&CK, получается чёткий граф:

⏺️Разведка (Nmap, Shodan, theHarvester) → понимание поверхности атаки
⏺️Получение доступа (Metasploit, ручная эксплуатация) → точка входа
⏺️Повышение привилегий (LinPEAS, WinPEAS) → контроль над хостом
⏺️Латеральное перемещение (CrackMapExec, Mimikatz) → захват сети

Nmap бесполезен без понимания сетей. Mimikatz бессмысленен без доступа к хосту. CrackMapExec не сработает, если вы не получили хеш на предыдущем шаге. Цепочка — или ничего.

🎇Что реально нужно в первые три месяца? Не инструменты, а фундамент.

Месяц 1 — TCP/IP руками. Поднимите две виртуалки в разных подсетях, настройте маршрутизацию, откройте Wireshark и посмотрите, как выглядит TCP handshake, ARP-запрос, DNS-резолв. Без этого вы не отличите аномалию от легитимного трафика на реальном проекте.

Месяц 2 — Linux и Windows. Две недели на Linux: Apache, SSH, FTP, MySQL из командной строки. Затем Active Directory, Group Policy, PowerShell. На одном проекте стажёры так нашли забытый Jenkins без авторизации — просто потому что знали, что порт 8080 означает веб-приложение с возможными дефолтными кредами.

Месяц 3 — Python и Bash. Не для красоты в резюме, а чтобы автоматизировать рутину: парсинг вывода Nmap, генерация словарей, быстрые проверки конфигураций.

Сколько времени закладывать? Без IT-бэкграунда — 12–18 месяцев до джуниорской позиции. С опытом в администрировании или разработке — 8–12. Кто обещает «за три месяца» — либо лукавит, либо имеет в виду «научитесь запускать чужие инструменты без понимания, что они делают».

Ещё важный момент: профессия раздробилась. Веб, инфраструктура, облака, мобилки, API, red teaming — всё это разные специализации. Роадмап покрывает фундамент, после которого вы осознанно выбираете направление, а не тыкаете наугад.

➡️Полный роадмап с разбивкой по месяцам, конкретными заданиями и списком ресурсов — в развёрнутой статье.

https://codeby.net/threads/pentest-s-nulya-prakticheskii-roadmap-instrumentov-i-metodologii-v-2026-godu.94325/

Читать полностью…

Codeby

🧠DontFeedTheAI

Прозрачный прокси-сервер для анонимизации запросов с помощью ИИ. Удаляет IP-адреса, учетные данные, хэш-значения, домены, адреса электронной почты, облачные токены, названия организаций и проектов, имена хостов и персональные данные до того, как они попадут в любую языковую модель (Claude, OpenAI, OpenRouter).


Кому может быть полезным
▶️Пентестеры - запускают nmap, mimikatz, bloodhound через Claude, не раскрывая клиентскую инфраструктуру;
▶️Разработчики и SRE - отладка с использованием производственных данных или внутренних конфигураций в регулируемых средах;
▶️Юристы и консалтинговые компании - анонимизация клиентских договоров, материалов дел или коммерческой тайны при проверках с использованием ИИ;
▶️Финансы и соблюдение нормативных требований - анализ отчетов или скриптов аудита без раскрытия данных учетной записи;
▶️Исследователи - запросы к языковым моделям на основе конфиденциальных наборов данных.

🔁Какие данные намеренно остаются неизменными
Полная анонимизация данных свела бы на нет всю пользу от ИИ, например если пользователь ищет уязвимость в IIS 10, замена IIS 10 на суррогат означает, что Claude не сможет сказать, какие CVE применимы, какие эксплойты работают и какова поверхность атаки.

Общее правило: если значение описывает что представляет собой технология, оно остается. Если в нем указано кто его владелец или его данные, оно заменяется.


👉Правило замены следующее - суррогаты реалистичны, но явно не маршрутизируемы. Один и тот же оригинал всегда сопоставляется с одним и тем же суррогатом в рамках взаимодействия. Например:
⏺️оригинал 192.168.1.10 заменяется на 203.0.113.47,
⏺️оригинал dc01.contoso.local заменяется на xkqpzt.pentest.local

⬇️Локальная установка
python3 wizard.py setup # создание виртуального окружения и установка зависимостей
python3 wizard.py docker up # запуск Ollama в Docker
export ANTHROPIC_BASE_URL=http://localhost:8080
export ENGAGEMENT_ID=my-engagement
claude # или любой другой клиент, совместимый с OpenAI


Инструмент поддерживает визуальный аудит — открывается в браузере во время работы прокси:
python3 wizard.py tunnel --audit

Показывает все ORIGINAL → SURROGATE сопоставления, зарегистрированные во время сеанса, с возможностью фильтрации по типу сущности (DOMAIN, CREDENTIAL, TOKEN, HASH…) и разбивкой по времени выполнения для каждого запроса. Используйте его, чтобы с первого взгляда выявлять утечки, а не искать их с помощью grep.

#AI #tools #anonimization

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🎇Legba

Многопротокольный инструмент для перебора учетных данных / распыления паролей и других перечислений, созданный с использованием Rust и Tokio asynchronous runtime для достижения лучшей производительности и стабильности при потреблении меньшего количества ресурсов.


📐Основные возможности
📉Legba полностью написана на Rust, не имеет встроенных зависимостей и может быть легко скомпилирована для всех операционных систем и архитектур.
📉Мультипротокольность — поддержка HTTP, DNS, SSH, FTP, SMTP, RDP, VNC, баз данных SQL, NoSQL, LDAP, Kerberos, SAMBA, SNMP, STOMP, MQTT.
📉Высокая производительность — асинхронная/параллельная архитектура с настраиваемыми воркерами для максимальной скорости.
📉Гибкие учетные данные — несколько форматов ввода, включая файлы со списками слов, диапазоны, перестановки и генераторы выражений.
📉Умное управление сессиями — сохранение и восстановление состояния сессии для возобновления прерванного сканирования.
📉Расширенный контроль скорости — ограничение скорости, задержки, джиттер и механизмы повторных попыток для обеспечения скрытности и стабильности.
📉Готовность к работе с искусственным интеллектом — REST API, сервер Model Context Protocol (MCP) и поддержка пользовательских бинарных плагинов.
📉Имеет конфигурацию на основе YAML для сложных сценариев аутентификации.
🖱Несколько форматов вывода, что позволяет экспортируовать результаты в различных форматах для удобной интеграции с другими инструментами.

⬇️Установка
Legba опубликован как бинарный репозиторий на crates.io. Если у вас установлен Cargo, можно воспользоваться командой:
cargo install legba

Это позволит скомпилировать исходники и установить бинарный файл в $HOME/.cargo/bin/legba.

↗️Использование
Чтобы использовать этот инструмент, необходимо указать:
⏺️Название плагина в зависимости от того, на какой протокол происходит атака.
⏺️Аргумент --target для указания ip-адреса, имени хоста и (опциально) порта цели
⏺️в зависимости от выбранного плагина, пара аргументов --username и --password / один аргумент --payloads (как в случае с плагином dns.enum, который требует одного элемента перечисления) или один аргумент -C/--combinations .

1️⃣Например, для проведения простой атаки по списку слов с использованием базовой HTTP-аутентификации используется команда:
legba http.basic --username admin --password /path/to/wordlists.txt --target https://example.com/


2️⃣Для плагинов, принимающих одну полезную нагрузку, например для перечисления поддоменов:
legba dns --payloads /path/to/subdomains.txt --target example.com


3️⃣ Перебор учетных данных для подключения к узлам через SMB:
legba smb --target domain.local --username administrator --password wordlist.txt


#Bruteforce #tools #fast

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Почему почти каждый пентест начинается с веб-приложения?
Новые сервисы появляются быстрее, чем успевают проходить полноценную проверку безопасности, а одна незамеченная уязвимость может открыть путь ко всей внутренней сети.

Поэтому специалисты, которые умеют искать и эксплуатировать уязвимости веб-приложений, остаются одними из самых востребованных в offensive security.

На курсе WAPT от Codeby вы не просто изучите теорию, а научитесь работать так, как это делают практикующие пентестеры.

Что будет на курсе:
⏺️поиск и эксплуатация уязвимостей из OWASP Top-10;
⏺️анализ защищённости веб-приложений;
⏺️работа с Burp Suite, nmap, ffuf, wfuzz, nuclei, sqlmap, WPScan, nikto и другими инструментами;
⏺️методологии проведения веб-пентеста;
⏺️автоматизация рутинных задач.

Практика — основа курса:
➡️лаборатория из 66 заданий разной сложности;
➡️4 месяца обучения (144 академических часа);
➡️отдельный блок подготовки к итоговому экзамену.

Полученные навыки применимы как в коммерческом пентесте, так и в программах Bug Bounty.

Ближайший поток стартует 16 июля. При оплате курса сразу — скидка 30%.

➡️Записаться
🪧Бесплатная консультация: @CodebyAcademyBot

Читать полностью…

Codeby

ФРИИ и Metascan запускают совместный фонд для инвестиций в проекты в сфере кибербезопасности 🔐

Сделали сильный продукт, но сложно расти дальше? Не получается выстроить системные продажи, выйти в крупные компании или масштабировать бизнес?

Мы ищем B2B-проекты с готовым продуктом и помогаем не только привлечь инвестиции, но и пройти следующий этап роста.

Что получают команды:

— Инвестиции от 5 до 100 млн рублей
— Экспертиза Metascan и доступ к корпоративным клиентам
около 100 компаний, среди которых энтерпрайз, банки, ритейл
— Системная помощь в продажах и масштабировании
работа с трекерами ФРИИ, настройка процессов продаж, архитектурные ревью

ФРИИ – один из крупнейших венчурных фондов и акселераторов России.
Среди портфельных компаний Flowwow, ПравоТех, DocsinBox, Aimoto, PimSolution и др.

Metascan – команда практиков в кибербезопасности и offensive security.

Если вы развиваете cybersecurity-проект и готовы к следующему этапу роста — оставляйте заявку

А если знаете команду, которой это может быть полезно, — поделитесь с ней этой возможностью.

Читать полностью…

Codeby

🔎Пятничный опрос

SSRF далеко не всегда заканчивается доступом к внутренним API. Иногда одна и та же уязвимость может привести к совершенно разным последствиям в зависимости от того, какие протоколы и схемы URL поддерживает приложение.

Какая возможность значительно расширяет потенциал эксплуатации SSRF?

1️⃣Поддержка только НТТР и HTTPS

2️⃣Поддержка дополнительных URI-схем (например, gopher://, file://,dict://)

3️⃣Использование HTТP/2

4️⃣Отсутствие CSP-заголовков

Делитесь своими ответами в комментариях 🧠

Читать полностью…

Codeby

🔎12 минут на парковке — и вся ваша Wi-Fi инфраструктура как на ладони

Представьте: человек сидит в машине у вашего офиса. Ноутбук на пассажирском сидении, Wi-Fi адаптер в monitor mode, Kismet с GPS. Он не отправляет ни одного пакета в эфир — только слушает. За 12 минут пассивного сбора: 47 точек доступа, три «скрытые» сети (имена которых раскрылись через probe request корпоративных ноутбуков), принтер с открытой точкой доступа и два AP на WPA2-Personal рядом с Enterprise-зоной. SOC заказчика не зафиксировал ни одного алерта.

Это реальный кейс с wireless-аудита финтех-компании. И он прекрасно иллюстрирует главную проблему: проводная IDS не видит то, что происходит в радиоэфире. Без WIDS это полностью слепая зона.

🎇Как работает пассивная разведка

Адаптер в monitor mode принимает все 802.11-фреймы на канале: beacon, probe request/response, deauth. Разница между обычным iwlist wlan0 scan и monitor mode — как между замочной скважиной и панорамным окном. Атакующий получает:

• BSSID и каналы всех точек доступа в радиусе
• Тип шифрования (WEP, WPA2-Personal, Enterprise, WPA3)
• MAC-адреса клиентских устройств и vendor OUI
• Имена сохранённых сетей из probe request — включая домашние Wi-Fi сотрудников
• Мощность сигнала — по ней можно прикинуть физическое расположение AP

Всё это без единого отправленного пакета. airodump-ng --band abg wlan0mon — и через минуту полная картина эфира на обоих диапазонах.

Что ищет атакующий

Красные флаги для него — это ваши слабые места. AP с WPA2-Personal в корпоративном сегменте означает возможность офлайн-брутфорса handshake. WEP на IoT-устройствах (да, в 2025 году такое ещё встречается). Открытая точка доступа принтера — потенциальный мост в внутреннюю сеть. А отдельная головная боль — «теневые» AP: когда сотрудник разворачивает личную точку доступа для удобства и создаёт незащищённый мост в корпоративную сеть.

➡️Практический момент: если вы хотите проверить, что видно снаружи вашего офиса, начните с адаптера Alfa AWUS036ACH и airodump-ng. Но учтите нюанс — на ядрах Linux 6.x+ стоковый драйвер RTL8812AU не поддерживает monitor mode. Придётся собирать из репозитория aircrack-ng/rtl8812au. Мелочь, но на ней спотыкается каждый второй.

Главный вывод: если у вас нет WIDS, вы буквально не знаете, кто прямо сейчас слушает ваш эфир. Полный разбор инструментов, настройки и методов обнаружения — в статье на форуме.

https://codeby.net/threads/besprovodnaya-razvedka-wi-fi-setei-chto-vidit-atakuyushchii-s-parkovki-i-kak-soc-eto-lovit.94291/

Читать полностью…

Codeby

В информационной безопасности легко застрять между направлениями — всё звучит нужным, а с чего именно начать не всегда понятно. В июле у нас как раз набираются потоки под разные задачи — ниже рассказываем подробнее.

🔹 Антифрод-аналитик (6 июля)
Транзакции, аномалии, Python и ML в задачах детекции фрода.
4 месяца практики: от правил блокировки и AML до банковских кейсов с pandas.

🔹 DevSecOps-инженер (6 июля)
Безопасность в CI/CD: SAST/DAST, IaC, Kubernetes, автоматизация.
Terraform, Ansible, security gates в пайплайне — когда безопасность встроена в релиз.

🔹 Python для пентестера (6 июля)
Скрипты, сокеты, сканеры, автоматизация атак — Python как рабочий инструмент.

🔹 Аналитик SOC (13 июля)
SIEM, Threat Intelligence, MITRE ATT&CK, Threat Hunting. 7,5 месяцев: от триажа алертов до Vulnerability Management — полный трек blue team.

🔹 WAPT — тестирование веб-приложений на проникновение (16 июля)
OWASP Top-10, Burp Suite, sqlmap и 66 заданий в практической лаборатории.
SQLi, XXE, SSRF, client-side.

🔹 OSINT: технология боевой разведки (20 июля)
Сбор информации из открытых источников: дорки, GEOINT, API и парсеры.
Maltego, Shodan, утечки, геолокация — методология разведки для расследований и пентеста.

🔹 Основы кибербезопасности (20 июля)
Linux, сети, первые шаги в пентесте, мониторинг и SIEM. 32 практических занятия, преподаватель-практик.

🔹 Цифровая криминалистика Linux (DFIR) (27 июля)
Форензика, артефакты, Volatility, log2timeline. Жизненный цикл реагирования, файловые системы, MITRE ATT&CK на практике.

Бесплатная консультация: @CodebyAcademyBot

Читать полностью…

Codeby

Один номер телефона → 14 аккаунтов, два email и след в трёх утечках. Без единого нелегального запроса

Телефонный номер — один из самых недооценённых идентификаторов в OSINT. Мы привыкли думать о нём как о средстве связи, но в реальности это ключ к мессенджерам, двухфакторной авторизации, доскам объявлений, корпоративным каталогам и даже WHOIS-записям доменов. Вопрос только в методологии.

🔔Шаг 1 — валидация. Прежде чем копать дальше, убедись, что номер вообще активен. HLR-запрос через smsc.ru/testhlr/ или smspilot.ru/test.php покажет статус регистрации в сети, текущего оператора и флаг переноса номера. Важный нюанс: HLR показывает состояние SIM-карты, а не человека. Номер может быть активен, но лежать в ящике стола. Или принадлежать новому владельцу после перевыпуска.

Для российских номеров обязательно проверяй переносимость через реестр ЦНИИС — абонент мог сменить оператора, и префикс больше не соответствует реальности.

🔔Шаг 2 — мессенджеры. Это главный источник после валидации. WhatsApp, Telegram, Viber, Signal — добавление номера в контакты покажет, зарегистрирован ли аккаунт. В WhatsApp можно получить фото профиля, статус и раздел «О себе» (если настройки приватности позволяют). Фото — зацепка для обратного поиска по изображению.

Но учитывай OPSEC: такие проверки — это активная разведка. Ты генерируешь API-запросы к серверам платформ. Используй отдельный «исследовательский» номер и аккаунт — никогда свои основные.

🔔Шаг 3 — краудсорсинговые сервисы. GetContact, Sync.me, NumBuster агрегируют данные из контактных книг миллионов пользователей. Если кто-то записал номер как «Петров Олег логист», сервис это покажет. Но есть ловушка: при установке приложения твоя собственная контактная книга улетает на серверы сервиса. Деанонимизация исследователя в чистом виде.

➡️Где всё это в контексте ATT&CK? Телефонный OSINT — это тактика Reconnaissance: техники T1589 (сбор персональных данных), T1593 (поиск по открытым ресурсам) и T1596 (запросы к техническим базам). Результаты — не финальная точка, а входные данные для следующего этапа. В пентесте собранные идентификаторы идут в social engineering. В защите — каждый публичный корпоративный номер становится потенциальной точкой footprinting.

Полная методология — от первого HLR-запроса до построения графа связей с конкретными командами, инструментами и правовыми рамками — разобрана в статье на форуме.

https://codeby.net/threads/osint-po-nomeru-telefona-ot-tsifr-k-polnomu-tsifrovomu-profilyu-instrumenty-i-metodologiya.94242/

Читать полностью…

Codeby

🔍 Неделя 4 — Финал: Секретный кабинет

Последняя неделя серии «Сетевая разведка за 30 дней» — и сразу 500 очков.

Маршрут к цели известен. Нужен пароль. Всё, что изучали три недели — сейчас в одной цепочке:

nmap → gobuster → Burp Repeater → hydra

Разведка, directory enumeration, разбор auth-формы, брутфорс. Именно так выглядит реальный engagement.

⏱️ Старт: 23 июня, 10:00 МСК
🏁 Дедлайн: 28 июня, 23:59 МСК

Флаги до старта — в конкурсе не учитываются. До дедлайна обсуждаем подходы, не конкретные пути.

После 29 июня — финальный wrap-up серии, лучшие writeup'ы и что будет дальше.

👉 Неделя 4 — Финал: Секретный кабинет

Читать полностью…

Codeby

ИБ без фильтров – онлайн-конференция про реальные боли ИБ-специалистов

Мероприятие, где говорим о реальных проблемах и ищем практические решения. Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.


В этот раз ключевыми темами мероприятия будут:
Утечки: где один инцидент ломает бизнес-процессы.
117-й приказ ФСТЭК: как не утонуть в требованиях.
РКН уже рядом: готовы ли вы к цифровым проверкам.
Как уязвимости, подрядчики и ДЗО становятся входом в инцидент.

На конференции выступят эксперты по информационной безопасности – они разберут каждую из тем на реальных кейсах, ответят на острые вопросы и поделятся рабочими практическими инструментами.

🤝 Зарегистрироваться

Ждем вас на самый честный диалог по теме ИБ.

Читать полностью…

Codeby

40 минут на ручной перебор паролей — или 3 минуты на скрипт?

На одном онлайн-CTF участник вбивал пароли в форму вручную. 200 попыток, 40 минут, ноль результата. Его тиммейт написал 10 строк на Python с requests, натравил на словарь — и забрал флаг за три минуты. Разница не в глубине знаний языка, а в конкретных приёмах: отправить POST, вытащить токен из HTML, прогнать перебор в цикле.

🔧 Четыре библиотеки закрывают около 90% задач автоматизации в CTF:

requests — HTTP-запросы, брутфорс форм, работа с куками через сессии
BeautifulSoup4 — парсинг HTML, извлечение токенов, флагов, скрытых полей
pwntools — бинарная эксплуатация, TCP-сервисы, упаковка адресов
hashlib — встроен в Python, хеширование для крипто-задач

Вся установка — одна команда после создания виртуального окружения: pip install requests beautifulsoup4 pwntools.

⚡ Самый частый сценарий — брутфорс формы логина. Логика элементарна: загрузить словарь, для каждого пароля отправить POST, проверить ответ, остановиться при успехе. Но есть три нюанса, без которых ничего не заработает:

1. Сессия через requests.Session() — без неё сервер воспринимает каждый запрос как нового пользователя, и куки теряются.

2. Имена полей формы — не угадывайте, а откройте F12 в браузере и скопируйте точные значения атрибутов name из тегов <input>. Бывает username, бывает login или user — одна буква сломает весь скрипт.

3. Условие успеха — в CTF работает проверка от обратного. Если в ответе нет слова «Invalid» или «Wrong» — скорее всего, вы внутри. Альтернатива: ловить код 302 (редирект после POST).

Словарь на 10 000 строк прогоняется за 10–30 секунд в зависимости от задержки сервера.

🛑 Когда скрипт сломается? Если сервер режет по rate limit — добавьте time.sleep(0.3) между запросами. Если форма требует CSRF-токен — сначала GET-запросом забираете страницу, парсите скрытое поле через BeautifulSoup, подставляете в POST. Без этого шага цепочка брутфорса развалится.

И тут начинается самое интересное: большинство web-задач CTF — это не один запрос, а цепочка. GET → парсинг → POST → проверка. Три метода BeautifulSoup покрывают 95% случаев: find() для конкретного элемента, find_all() для списка и get() для атрибутов тега.

📖 В полной статье — готовые скрипты с разбором каждой строки, работа с pwntools для бинарных задач и примеры парсинга CSRF-токенов. Забирайте в закладки.

https://hackerlab.pro/blog/python-dlya-ctf-avtomatiziruem-rutinu-ot-brutforsa-do-parsinga-otvetov

Читать полностью…

Codeby

Расширения браузера — слепая зона вашего SOC

Один скомпрометированный аккаунт разработчика — и доверенный корпоративный плагин превращается в инструмент кражи данных. Именно так произошло с расширением Cyberhaven в конце 2024 года: атакующие через social engineering и OAuth token abuse опубликовали вредоносное обновление, а механизмы проверки Chrome Web Store это спокойно проглотили. И это не единичный случай — по данным «Лаборатории Касперского», с 2020 по 2022 год более 4,3 миллиона пользователей установили вредоносное ПО под видом браузерных расширений.

🔎Почему это так опасно? Браузерное расширение — это JavaScript-код с привилегированным доступом к DOM, cookies, хранилищу и API браузера. Атакующему не нужно обходить EDR или эксплуатировать уязвимость ОС — код уже работает внутри доверенного процесса. Расширение с permissions cookies + <all_urls> читает все cookies любого домена, включая HttpOnly, недоступные через document.cookie. Кража session cookie от SSO-портала = компрометация учётки без пароля и без MFA.

Manifest V3 спасёт? Не совсем. На DEF CON 32 исследователи SquareX продемонстрировали, что даже V3-расширения способны красть cookies, перехватывать видеопотоки и вытаскивать учётные данные. MV3 убрал eval() и удалённые скрипты, но content scripts по-прежнему имеют полный доступ к DOM, а service worker сохраняет доступ к Extension API. Так что фраза «мы на V3, нам не страшно» — опасное заблуждение.

➡️С чего начинается пентест расширения?

1. Извлечение исходного кода — файлы .crx по сути обычный ZIP. Распаковываем и получаем manifest.json плюс JS-файлы.

2. Аудит манифеста — первый и главный шаг. Смотрим permissions, host_permissions, externally_connectable, web_accessible_resources. Расширение с matches: ["*://*/*"] запускается на всех сайтах — это красный флаг.

3. Анализ контекстов выполнения — background script (самый привилегированный), content script (доступ к DOM, но изолированный JS-мир) и popup. Каждый контекст — отдельная поверхность атаки.

🛡Для SOC здесь критичный момент: в большинстве корпоративных SIEM нет корреляционных правил для мониторинга расширений. Атакующие это знают и активно используют. В терминах MITRE ATT&CK вредоносные расширения покрывают сразу несколько тактик: от Persistence через автообновление (T1176) до Credential Access через кражу cookies (T1539) и кейлоггинг (T1056.001).

В полной статье — разбор конкретных уязвимостей с кодом, методология анализа и готовые правила корреляции для detection.

https://codeby.net/threads/pentest-brauzernykh-rasshirenii-metodologiya-analiza-uyazvimosti-i-detection-dlya-soc.94355/

Читать полностью…

Codeby

8 января 1986 года хакер под псевдонимом Ментор написал текст, который стал голосом целого поколения. «Манифест хакера» превратил Лойда Бланкеншипа из преступника в философа подполья.

🧠Лойд Бланкеншип родился в 1965 году. Летом 1976 года семья Бланкеншипа переехала в Сан-Маркос, и 11-летний Лойд, не зная никого в новом городе, начал проводить время в компьютерной лаборатории университета. Там стояли Commodore PET, CompuColor и ранние Apple II. Он играл в игры, но однажды увидел на мэйнфрейме PDP игру Star Trek и влюбился.

«Я попросил распечатать исходный код на BASIC и научился программировать, портируя игру на CompuColor», — вспоминал он.

Первым «взломом» стал студенческий аккаунт на университетском PDP-11, пароль к которому он подобрал, когда гостевой доступ истёк.

🧿К середине 1980-х Бланкеншип стал частью второго поколения Legion of Doom (LoD) — одной из самых влиятельных хакерских групп того времени. LoD и его соперники из Masters of Deception контролировали практически всю телефонную сеть США.
Знаковым событием стал Summercon '88 — одна из первых публичных встреч хакеров. Бланкеншип вспоминал, как сидел в гостиничном номере с другими участниками LoD:
«Мы все принесли коробки с распечатками и поняли, что вместе контролируем всю телефонную сеть страны».


❗️В 1986 году Бланкеншипа арестовали за нахождение в компьютерной системе, где ему не следовало быть. Точные детали дела остались неизвестны — единственным его комментарием остались слова:
«Я был просто в компьютере, в котором не должен был быть».

Сразу после ареста, 8 января 1986 года, он сел писать. Вдохновение пришло из неожиданного источника — романа Роберта Хайнлайна «Луна — суровая хозяйка», герои которого жертвовали собой ради идеала.
«У меня была ломка из-за отсутствия хакерской деятельности, а друг нуждался в материале для
Phrack
. Я читал Хайнлайна и был очень воодушевлён идеей революции», — объяснял он.

Так родился текст, который мир узнал как «Совесть хакера» или «Манифест хакера».

🔎25 сентября 1986 года манифест был впервые опубликован в подпольном онлайн-журнале Phrack (том 1, выпуск 7). Текст обращался напрямую к обществу:
«Но вы, с вашей куцей психологией и мозгами, мыслящими категориями 50-х годов, можете хоть посмотреть на мир глазами хакера?».

Бланкеншип описал типичного хакера — скучающего в школе подростка, который открывает для себя компьютер и обнаруживает, что машина не судит, не отвергает и не обманывает:
«Мой мир — это мир, который начался со школьной скамьи. Я умнее других детей, та чушь, которой учат нас в школе, мне скучна».

Манифест обвинял общество в лицемерии:
«Вы создаёте атомные бомбы, развязываете войны, убиваете, мошенничаете и лжёте нам, пытаетесь заставить нас поверить, что всё это вы делаете ради нашей собственной выгоды. И после этого мы — преступники».

Заканчивался текст фразой, ставшей культовой:
«Я — хакер, и это мой манифест. Вы можете остановить меня, но вы никогда не остановите нас всех... ведь мы все одинаковые».


🎇Манифест мгновенно разошёлся по подпольным BBS и стал краеугольным камнем хакерской культуры. Но сам Бланкеншип не останавливался на достигнутом. В 1989 году его наняла компания Steve Jackson Games для написания настольной ролевой игры. Результатом стал GURPS Cyberpunk — один из первых игровых миров, серьёзно исследовавших киберпанк-тематику.
В
1990 году
Секретная служба США провела рейд в офисе Steve Jackson Games и изъяла рукопись GURPS Cyberpunk. Они посчитали, что руководство по киберпанку может быть инструкцией для хакеров. Компания подала иск против правительства и выиграла дело — один из первых прецедентов защиты свободы слова в цифровую эпоху.


#Бланкеншип #Манифест #GURPS #Phrack

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🔎vulnx

CLI инструмент с открытым исходным кодом для изучения данных об уязвимостях с мощными возможностями поиска, фильтрации и анализа.


💻Руководство по установке
Установить инструмент можно в одну команду через GO.
go install github.com/projectdiscovery/vulnx/v2/cmd/vulnx@latest


Начать изучение уязвимостей можно с помощью следующих команд (ключ API не требуется).
vulnx filters # Просмотреть все доступные поля поиска 
vulnx search apache # Базовый поиск (с учетом ограничений скорости)


Для настройки своего ключа API требуется команда.
vulnx auth # Получите бесплатный ключ API на странице https://cloud.projectdiscovery.io 


Расширенное исследование с более высокими лимитами.
vulnx search apache # Без ограничений по скорости
vulnx id CVE-2021-44228 # Более быстрые ответы


Основные команды
⏺️search - поиск уязвимостей с помощью расширенных фильтров;
⏺️id - получение подробной информации о конкретном CVE;
⏺️filters - список всех доступных полей поиска и фильтров;
⏺️analyze - объединение данных по полям;
⏺️auth - настройка доступа к API;
⏺️version - показать информацию о версии и проверить наличие обновлений;
⏺️update - обновить vulnx до последней версии;
⏺️healthcheck - проверить подключение.

Использование
1️⃣Поиск уязвимостей с высокой точностью.
vulnx search "severity:critical && is_remote:true"
vulnx search "apache || nginx" --limit 20
vulnx search "cvss_score:>8.0 && cve_created_at:2024"


2️⃣Получить подробную информацию об уязвимости.
vulnx id CVE-2021-44228
vulnx id CVE-2024-1234 --json


3️⃣Анализ шаблонов уязвимостей.
vulnx analyze --fields severity
vulnx analyze --fields affected_products.vendor


#CVE #tools #CLI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

12 фейковых номеров за 40 минут: как OSINT-бот в Telegram меняет скорость разведки

Представьте вводную: e-commerce клиент приходит с двенадцатью телефонными номерами, привязанными к фейковым аккаунтам на маркетплейсе. Классический ручной подход — открыть десяток вкладок, прогнать каждый номер через разные сервисы, свести результаты в таблицу. Часа два минимум. Quick OSINT Bot закрыл первичный сбор за 40 минут: номер → Telegram-аккаунт → VK-профиль → следы в базах утечек. Дальше — Maltego, перекрёстная верификация, построение графа. Но стартовую точку дал именно бот.

Почему это важно в 2025 году? По данным CrowdStrike, 75% вторжений используют действительные учётные данные. Verizon DBIR фиксирует 38% утечек, связанных с кражей credentials. Автоматизация OSINT на этапе footprinting показывает, какие данные о компании уже доступны противнику — без единого пакета в сторону целевого хоста.

Что умеет Quick OSINT Bot на практике:

• Поиск по номеру телефона — имя владельца, связанные аккаунты в мессенджерах, история появления в утечках
• Поиск по Telegram-аккаунту — привязанный номер, история смены никнеймов, связи с другими сервисами
• Поиск по никнейму — перекрёстная проверка по нескольким платформам, аналог Sherlock, но без CLI
• Поиск по фото — идентификация по лицу, как FindClone или PimEyes
• Поиск по госномеру авто и email

Всё это — прямо в Telegram, без Python, без API-ключей, без настройки окружения. Порог входа — ноль.

Но давайте честно о границах. Бот работает с закрытыми базами — проверить их полноту невозможно. Нет экспорта в JSON или CSV. Нет визуализации связей. Оператор бота видит все ваши запросы, поэтому для юридически чувствительных расследований это не вариант. Фокус — Рунет, для международных кейсов придётся подключать другие инструменты.

➡️Важный момент по OPSEC: используйте отдельный Telegram-аккаунт для работы с такими ботами. Личный профиль — плохая идея. VPN — обязателен.

По сути, Quick OSINT Bot — это экспресс-инструмент для первой фазы разведки. Он не заменяет theHarvester, SpiderFoot или Maltego. Он даёт стартовую точку за минуты, а не часы. Когда нужно быстро проверить 5–10 номеров или ников в RU-сегменте — работает отлично. Когда нужен граф связей из сотни объектов — нет.

Полный разбор с пошаговой инструкцией, сравнением с CLI-альтернативами и рекомендациями по OPSEC — в статье на форуме.

https://codeby.net/threads/quick-osint-bot-polnyi-razbor-vozmozhnostei-i-praktika-ispol-zovaniya-dlya-razvedki.94321/

Читать полностью…

Codeby

Друзья, напоминаем, на каких курсах начинается обучение в июле! 🚗

Старт 6 июля:
⏺️Курс «Python для Пентестера»научимся писать софт на Python под собственные нужды и редактировать чужой код.
⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь.
⏺️Курс «Профессия DevSecOps - инженер: безопасная разработка» — освоим DevSecOps-инженерию: от автоматизации безопасности до работы с Kubernetes и Terraform.

Старт 13 июля:

⏺️Курс «Профессия Аналитик SOC» запускаем новый курс. Это возможность войти в профессию с нуля: на курсе освоите работу с инцидентами ИБ, научитесь выявлять атаки и анализировать события.

Старт 16 июля:
⏺️Курс «Тестирование Веб-приложений на проникновение (WAPT)» — отработаем полный цикл тестирования: от разведки до пост-эксплуатации.

Старт 20 июля:

⏺️Курс «OSINT: технология боевой разведки» освоим профессиональный поиск информации и анализ данных из открытых источников.
⏺️Курс «Основы кибербезопасности» освоите ключевые навыки информационной безопасности: от основ Linux до проведения пентестов.

Старт 27 июля:
⏺️Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).

🪧Запишитесь у нашего менеджера @CodebyAcademyBot

Или узнайте подробности и программы курсов — на нашем
➡️ сайте

Читать полностью…

Codeby

Три устройства в эфире, которые никто не опознал

На реальном пентесте склада логистического оператора из семи обнаруженных в эфире устройств три не определились ни одним стандартным инструментом. Airodump-ng видел безымянные точки доступа с нетипичным OUI, Kismet показывал vendor «Unknown». Оказалось — ESP32 с кастомной прошивкой, управляющие IoT-датчиками температуры. И пока не подключили HackRF One для анализа спектра, вектор атаки просто не просматривался.

Вот в чём проблема: классический набор для беспроводного пентеста — aircrack-ng, пара Alfa-адаптеров, может Pineapple — заточен под 802.11. А в реальном эфире всё больше устройств говорят на других протоколах: LoRa, Zigbee, Sub-GHz. Если ты к этому не готов — ты слеп на один глаз.

➡️Три платформы — три задачи

Пытаться закрыть всё одним устройством — путь к разочарованию. Каждая платформа решает своё:

ESP32 (Marauder) — стоит $5–15, размером со спичечный коробок, работает от power bank. Идеален для Red Team: скрытый deauth, beacon flood, сбор probe requests. Но только 2.4 GHz, радиус около 50 метров, полноценный перехват трафика ему не по зубам.

Wi-Fi Pineapple — полноценная Linux-ОС с PineAP-модулем, GUI и поддержкой модулей. Evil Twin, KARMA, captive portal — всё из коробки. Цена $100–300+, заметен при досмотре, и за пределами Wi-Fi бесполезен.

HackRF One — диапазон от 1 МГц до 6 ГГц, передача и приём. Работает с любым протоколом, но требует GNU Radio, и кривая обучения крутая. Подключай, когда в эфире обнаружилось что-то за пределами Wi-Fi.

🔎Как опознать «невидимок» в эфире

Kismet в режиме kismet -c wlan0mon логирует все беспроводные устройства с OUI-вендором, уровнем сигнала и типом фреймов. Нестандартные устройства выдают себя по характерным признакам:

• OUI от Espressif (десятки префиксов вроде 24:0A:C4, 30:AE:A4) — в Kismet фильтруй по vendor="Espressif"
• Минимальный набор Information Elements в beacon frames — самодельные AP часто не реализуют полный набор IE
• Отсутствие ответов на probe requests — устройство работает как STA

🎇Главный практический вывод: каждая беспроводная атака занимает конкретное место в kill chain. Reconnaissance → Initial Access → Credential Access → Post-exploitation. Без понимания этой цепочки результат — набор фокусов, а не реальные findings.

В полной версии статьи — конкретные команды, настройки окружения, требования к железу и разбор каждого этапа с примерами.

https://codeby.net/threads/pentest-besprovodnykh-setei-ataki-cherez-sdr-esp32-i-wi-fi-pineapple-na-nestandartnoye-oborudovaniye.94303/

Читать полностью…

Codeby

☁️Flowsint

Модульный инструмент для анализа на основе графов, предназначенный для разведки на основе открытых источников (OSINT). Он позволяет исследовать взаимосвязи между объектами с помощью визуального графического интерфейса и автоматических обогатителей данных.


📐Преимущества
📉Графическая визуализация взаимосвязей сущностей;
📉Более 30 автоматизированных инструментов для сбора разведданных;
📉Модульная архитектура с четким разделением задач;
📉Обеспечивается конфиденциальность за счет локального хранения данных;
📉Расширяемая платформа для пользовательских инструментов;
🖱Автоматизированные поисковые потоки.

⬇️Установка
⏺️ Linux
git clone https://github.com/reconurge/flowsint.git
cd flowsint
make prod


⏺️ Windows
git clone https://github.com/reconurge/flowsint.git
cd flowsint
copy .env.example .env
copy .env.example flowsint-api\.env
copy .env.example flowsint-core\.env
copy .env.example flowsint-app\.env
docker compose -f docker-compose.prod.yml up -d


После установки и запуска необходимо перейти на http://localhost:5173/register и создать учетную запись. По умолчанию учетные данные и учетная запись не требуются.

Сочетает в себе следующие возможности
➡️Обогащение доменов: поиск доменов, указывающих на IP-адрес; преобразование доменного имени в IP-адрес; обнаружение и перечисление поддоменов; получение информации о регистрации домена; выделение корневого домена; определение автономной системы (ASN), связанной с доменом; получение исторических данных о домене.

➡️Обогащение IP-адресов: получение данных о геолокации и сетевой информации; определение ASN для IP-адреса.

➡️Обогащение ASN: получение диапазонов IP-адресов, принадлежащих ASN.

➡️Обогащение CIDR: перечисление IP-адресов в заданном диапазоне.

➡️Обогащение данных социальных сетей: поиск имени пользователя (username) на различных социальных платформах.

➡️Обогащение данных организаций: поиск ASN, принадлежащих организации; получение сведений о компании; поиск доменов, принадлежащих организации.

➡️Обогащение данных криптовалют: получение истории транзакций кошелька; поиск NFT, принадлежащих кошельку.

➡️Обогащение данных веб-сайтов; обход сайта и построение карты его структуры; извлечение всех ссылок с сайта; извлечение домена из URL; выявление скриптов отслеживания и аналитики; извлечение текстового содержимого сайта.

➡️Обогащение данных электронной почты: поиск профиля Gravatar по адресу электронной почты; проверка адреса электронной почты в базах утечек данных; поиск доменов, связанных с адресом электронной почты.

➡️Обогащение данных телефонных номеров: проверка номера телефона в базах утечек данных.

#OSINT #tools #recon

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

🚩 Новые задания на платформе HackerLab!

🌍 Категория ВебДомашний книжный магазин
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - Рабочий стол

Приятного хакинга!

Читать полностью…

Codeby

🎇По данным The Guardian, разведывательный альянс «Пять глаз» (США, Великобритания, Канада, Австралия и Новая Зеландия) выступил с экстренным предупреждением: новые модели ИИ, способные на разрушительные кибератаки, появятся уже в ближайшие месяцы.

В совместном заявлении разведки пяти стран подчеркивают, что передовые модели ИИ «превзойдут нынешние ожидания отрасли и радикально изменят как наступательные, так и оборонительные возможности в киберпространстве». Альянс настаивает: речь идет о месяцах, а не годах.

Хотя ИИ «со временем поможет улучшить киберзащиту», он одновременно «увеличивает скорость, масштаб и сложность киберугроз». Разведки призывают руководителей компаний перестать считать киберриски чисто технической проблемой — это «основной риск для бизнеса и зона ответственности руководства».

⏺️Заявление прозвучало после того, как администрация США обязала компанию Anthropic закрыть иностранным пользователям доступ к самым мощным ИИ-моделям — Fable 5 и Mythos 5. В Anthropic заявили, что подчиняются требованию, хотя и не согласны с ним. При этом модели фактически отключены для всех пользователей, поскольку гражданство невозможно подтвердить онлайн.
Ранее, по данным The Economist, модель Mythos смогла взломать почти все секретные системы Агентства национальной безопасности США всего за несколько часов.


⏺️Алексей Лукацкий, консультант по интернет-безопасности Positive Technologies, отмечает двойственность ситуации:
«С одной стороны, альянс «Пять глаз» находится под контролем США. Штаты последний год с приходом Трампа в очередной раз заявили, что будут контролировать распространение ИИ и не давать его в руки «плохих людей». Речь идет и о чипах, и о моделях. Данное заявление может быть в русле этой тенденции. С другой стороны, современные модели достаточно неплохи в наступательных операциях. Они существенно ускоряют поиск уязвимостей и организацию атак. И главное — снижают порог входа в этот нелегальный бизнес».


⏺️Александр Сербул, эксперт по нейросетям сервиса «Битрикс24», указывает на системные проблемы:
«Возьмите крупные заводы — у них по 10 лет софт не обновляется. Это проблема по всему миру. Боятся, потому что обновишь — и все упадет, перестанет работать. Конечно, они будут под угрозой».

Он также отмечает роль человеческого фактора:
«Людям дают пароль, а они меняют его на «123456» и вешают на стенку. Это массовая проблема». При этом эксперт видит и позитив: «Писать качественный безопасный софт тоже стало проще».


⏺️По данным Global Threat Report, среднее время проникновения злоумышленника во внутреннюю сеть компании сократилось до 29 минут, а самый быстрый «прорыв» составил 27 секунд. В России за первые месяцы 2026 года обнаружили более 1 тыс. новых образцов вредоносного ПО — в 18 раз больше, чем за аналогичный период 2025 года.
По прогнозам Positive Technologies, успешность кибератак в 2026 году вырастет еще на треть. Глобальный ущерб от действий киберпреступников достигнет 11,9 трлн долларов.


Источник: https://www.kommersant.ru/doc/8763278

#кибербезопасность #ИИ #ПятьГлаз #Anthropic #кибератаки #Fable5 #Mythos5 #PositiveTechnologies #TheGuardian #news

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Codeby

Скомпрометировал RMM-сервер — получил доступ ко всем эндпоинтам разом

Представьте: атакующий отправляет один HTTP-запрос — без логина, без пароля — и получает выполнение команд на сервере, который управляет сотнями машин в вашей сети. Не нужен Cobalt Strike. Не нужен свой C2. Всё уже стоит, оплачено и подписано вендором.

Именно это произошло с CVE-2026-1731 в BeyondTrust Remote Support. CVSS 9.9, pre-authentication RCE, EPSS в топ-1% — экстремально высокая вероятность эксплуатации. CISA дала организациям три дня на устранение. Три. Дня. Ransomware-группы уже использовали уязвимость в активных кампаниях, пока большинство команд даже не скачали патч.

Почему endpoint management — мишень номер один?

Архитектура таких систем построена на доверии. Агент на каждом хосте принимает команды от центрального сервера без дополнительной проверки. Для IT-отдела это удобство, для атакующего — готовый канал управления с легитимным трафиком, который SOC не трогает, потому что «это наш инструмент».

🎇Вот как выглядит kill chain на практике:

T+0 мин — RCE через command injection. Команды выполняются в контексте сервисной учётки с правами локального администратора.

T+5 мин — из памяти привилегированных процессов на RMM-сервере извлекаются NTLM-хеши. Дополнительно — CVE-2025-24054 через .library-ms файлы для перехвата NTLMv2-хешей.

T+15 мин — lateral movement. Через штатный RMM-канал или Pass the Hash по SMB. PsExec, smbexec — классика, которая работает, потому что NTLM включён, Credential Guard отсутствует, а микросегментации нет.

15 минут от первого запроса до полного контроля над инфраструктурой.

➡️Немного контекста в цифрах. По Verizon DBIR 2025, медианный выкуп — $46,000, максимальный зафиксированный — $75M. Для healthcare-сектора, где группы Qilin и Akira остаются лидерами по числу жертв, последствия выходят далеко за рамки денег: оборотные штрафы за утечку данных пациентов, простой клинического оборудования, уголовная ответственность. По IBM X-Force 2025, 70% атак затронули критическую инфраструктуру.

Что делать прямо сейчас:

• Проверьте, торчит ли ваш BeyondTrust/ConnectWise/SimpleHelp в интернет. Если да — это первый приоритет.

• Убедитесь, что RMM-трафик мониторится отдельно. «Наш инструмент» — не значит безопасный.

• Включите Credential Guard, отключите NTLM где возможно, сегментируйте SMB.

В полной статье — готовые Sigma-правила для SOC, детальный разбор каждого этапа kill chain и чеклист hardening. Всё, чтобы не стать следующей строчкой в отчёте ransomware.live.

https://codeby.net/threads/ataki-na-endpoint-management-sistemy-razbor-ttp-2026-i-detection-dlya-soc.94277/

Читать полностью…

Codeby

4 компании, 4 аудита — и в каждой активные учётки уволенных с доступом к production

Рекорд из моей практики: сотрудник ушёл 11 месяцев назад, а его аккаунт всё ещё читал финансовые отчёты через SharePoint и держал действующий VPN-сертификат. HR закрыл заявку в тот же день, IT получил тикет через неделю, а до IAM-команды информация не дошла вообще.

И это не исключение — это норма.

❗️Проблема инсайдерских угроз не в мотивации человека, а в доступе, который у него остался. Внешнему атакующему нужен initial access — инсайдеру нет. У него уже есть badge, VPN и знание, где лежит ценное. Антивирус и EDR тут бессильны: человек работает штатными инструментами под легитимной учёткой.

Если наложить действия инсайдера на MITRE ATT&CK, цепочка выглядит так:

T1078 Valid Accounts — credentials уже есть
T1213 — сбор данных из SharePoint, Confluence (сотрудник знает структуру наизусть)
T1567.002 — выгрузка через Google Drive или Яндекс.Диск
T1531 — саботаж: удаление данных, блокировка коллег

Эту цепочку ломают три вещи.

🔔Первая — принцип минимальных привилегий как процесс, а не декларация. Не «доступ к CRM», а «read-only к объектам Contact в Salesforce, region = RU». На внутренних пентестах расхождение между ролевой моделью и реальными правами в AD — критическое в 9 из 10 случаев. BloodHound находит такие дыры за первый час.

🔔Вторая — access review по расписанию. Раз в квартал для обычных пользователей, раз в месяц для привилегированных. Privilege creep — реальная боль: сотрудник за три года переходов между отделами накапливает права пяти ролей и никто этого не замечает. Менеджеры ненавидят эту процедуру, но без неё вы слепы.

🔔Третья — offboarding с SLA в один час. Не в один день, не «когда IT доберётся». Единая система тикетов, автоматическая цепочка: HR фиксирует увольнение → IAM блокирует учётку → VPN-сертификат отзывается → физический пропуск деактивируется. Без ручных передач между отделами в Telegram.

Классический антипаттерн — политика, написанная идеально, но в Okta живёт группа all-employees-full-access, а в AD — вложенные группы от пяти реорганизаций. Документ для аудитора ≠ безопасность.

В полной статье — конкретные запросы для SIEM, скрипты для обнаружения orphan-аккаунтов и пошаговый offboarding-чеклист.

https://codeby.net/threads/zashchita-ot-insaiderskikh-ugroz-access-review-offboarding-i-politiki-ib-na-praktike.94273/

Читать полностью…

Codeby

Blue и Red Team сверяют компасы 🧭

К2 Кибербезопасность объединит команды на офлайн-митапе для тех, кто хочет выйти за рамки привычных задач и взглянуть на защиту с противоположной стороны.

Обменяемся опытом в кругу своих, обсудим факапы и разберем:

Как подготовиться к инциденту так, чтобы во время атаки не пришлось действовать вслепую

Что на самом деле происходит «в полях» пентеста: где ожидания расходятся с реальностью, почему это не «скрытный обход SOC» и к чему приводит внедрение ИИ


Кому будет интересно?

SOC-специалистам, пентестерам и ИБ-практикам

🗓 25 июня, 19:00
📍 Москва, офлайн

Участие бесплатное. Количество мест ограничено.

Зарегистрироваться

Читать полностью…

Codeby

Учётка бухгалтера в 2:47 ночи на контроллере домена — и SOC почти проспал

Представьте: DLP молчит, SIEM выдаёт один алерт на аномальное время логина, а в это время атакующий через угнанную учётку четыре дня собирает финансовую отчётность и сливает её на Dropbox. Формально пользователь работает с файлами, доступными по роли. Итог — 40 человеко-часов на реагирование и полный пересмотр модели привилегированного доступа.

Это классический пример скомпрометированного инсайдера — одного из трёх типов внутренних угроз, которые стоит различать, если вы хотите их реально детектировать.

🔎По данным Ponemon Institute, 83% организаций зафиксировали хотя бы один инсайдерский инцидент, а средний годовой ущерб — $16,2 млн. При этом только 44% компаний используют UEBA — основной инструмент для обнаружения таких угроз. Разрыв между масштабом проблемы и зрелостью детекции — колоссальный.

Привычное деление на «умышленных» и «случайных» инсайдеров не работает. Методология CERT и отчёты Proofpoint выделяют три категории, и у каждой — свой kill chain и свои индикаторы:

❗️Malicious — злонамеренный инсайдер. Сознательно крадёт данные, саботирует системы, сливает информацию конкурентам. Мотивы — деньги, месть, идеология. Свежий кейс: в марте 2025 компания Deel внедрила сотрудника в штат Rippling под видом менеджера по комплаенсу. Четыре месяца он тихо выкачивал ценовые стратегии и клиентские списки через Slack и Salesforce — и ничего не сработало. DLP видит массовую выгрузку, но слеп к порционному сливу по 300 МБ за две недели.

Negligent — небрежный инсайдер. Без злого умысла: клик по фишингу, файл не тому адресату, пароль Password123. Отдельная боль — GenAI. 76% организаций зафиксировали, как сотрудники копируют конфиденциальные данные в ChatGPT «для быстрого анализа». Классический DLP этот канал не покрывает, а он сейчас растёт быстрее всех остальных.

Compromised — скомпрометированный инсайдер. Легитимный пользователь, чьи credentials угнал внешний атакующий. Для SIEM и DLP активность выглядит как обычная работа сотрудника. Kill chain неотличим от APT, и именно этот тип сложнее всего обнаружить.

Ключевой вывод: один detection-rule на все три типа — это путь к пропущенным инцидентам. Каждой категории нужна своя модель риска, свои триггеры и свой набор индикаторов.

В полной статье — MITRE ATT&CK маппинг для каждого типа, конкретные индикаторы и практические модели риска.

https://codeby.net/threads/tipy-insaiderskikh-ugroz-malicious-negligent-i-compromised-indikatory-kill-chain-i-modeli-riska.94167/

Читать полностью…

Codeby

Три APK без иконок: как выглядит слежка на Android изнутри

На форензике телефона жертвы домашнего насилия нашлись три приложения, которых не было видно в меню. Два маскировались под системные сервисы, третье — под провайдер телефонии. Все три — stalkerware, установленные с разницей в несколько месяцев. Ни одного эксплойта ядра, никакой изощрённой маскировки — просто sideload через физический доступ к разблокированному телефону.

И вот что важно: stalkerware и государственный spyware типа Pegasus — это два принципиально разных класса угроз, хотя оба шпионят. Путать их — значит ошибиться в модели угроз и потерять время на неправильных методах обнаружения.

➡️Немного цифр. По данным Kaspersky за 2023 год, 31 031 пользователь стал жертвой stalkerware. Россия лидирует — почти 10 тысяч случаев. Подписка на такое ПО стоит $10–70 в месяц. Pegasus — от сотен тысяч долларов за одну цель. Разница в цене отражает разницу в технологиях.

🔎 Как stalkerware держится на устройстве? Две основные точки закрепления:

DeviceAdminReceiver — приложение получает права администратора, и пользователь не может его удалить, пока не отзовёт эти права. Проверяется командой adb shell dumpsys device_policy. Любой пакет в списке admin, кроме Google Find My Device или корпоративного MDM — красный флаг.

Accessibility Services — через этот API stalkerware перехватывает переписки, снимает скриншоты, читает всё на экране. Проверка: adb shell settings get secure enabled_accessibility_services. У обычного пользователя тут один-два легитимных сервиса (TalkBack, Select to Speak). Неизвестное имя пакета — повод копать глубже.

🎇Быстрый чеклист для проверки Android-устройства:

1. adb shell pm list packages -3 — список сторонних пакетов. Ищите имена вроде «System Update Service», «Battery Optimizer», «Wi-Fi Manager» — классика маскировки.
2. Проверьте статус Google Play Protect. Stalkerware-вендоры в инструкциях прямо требуют его отключить.
3. Загляните в adb logcat — аномальные wake lock'и каждые 15 минут, обращения к RECORD_AUDIO, HTTP-запросы к дешёвым shared-хостингам.

А вот с Pegasus так не получится. Он не оставляет отдельного пакета в системе, инжектируется в легитимные процессы, зачищает следы. В logcat — тишина. Для его обнаружения нужен MVT и анализ бэкапов — совсем другой уровень инструментария.

Главный вывод: stalkerware примитивен технически, но именно поэтому его реально обнаружить базовыми средствами. Не нужен дорогой форензик-лаб — достаточно adb, внимательности и знания, куда смотреть.

В полной статье — детальный разбор kill chain обоих классов, таблица сравнения по MITRE ATT&CK и конкретные индикаторы компрометации.

https://codeby.net/threads/stalkerware-obnaruzheniye-na-android-tekhnicheskiye-otlichiya-ot-kommercheskogo-spyware-i-indikatory-komprometatsii.94162/

Читать полностью…

Codeby

🚩 Новые задания на платформе HackerLab!

⚙️ Категория Реверс-инжинирингDart'с

Приятного хакинга!

Читать полностью…
Subscribe to a channel