Почему Nmap без kill chain — просто сканер портов

Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»

Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.

🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.

В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.

⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.

🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод nmap -sV -sC -p- 10.10.10.100:

• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя

Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.

🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом -sV точечно добивает найденное. NSE-скрипты добавляют глубину: smb-vuln-ms17-010 проверяет EternalBlue, ssl-heartbleed обнаруживает Heartbleed, а http-enum находит стандартные директории веб-серверов за один проход.

Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇

https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/

Почему малварь прячется в RAM — и как её оттуда достать

За последний год через одну лабораторию прошло больше двадцати дампов с реальных инцидентов — и во всех случаях малварь жила исключительно в оперативной памяти. Ни одного файла на диске. Классическая дисковая форензика дала бы ноль.

🔍 Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe — для антивируса и EDR это выглядит как обычная работа системы. Но в оперативной памяти они оставляют следы, которые никуда не деваются.

Почему RAM важнее диска при реагировании

Образ диска на 250+ ГБ снимается часами. Дамп RAM на 8–32 ГБ — за минуты. Но дело не только в скорости.

Оперативная память хранит то, чего на диске нет в принципе:

• Расшифрованный payload — малварь шифрует себя на диске, но в RAM работает в открытом виде
• Инжектированный код — Process Injection (T1055) файлов не оставляет, только RWX-регионы в чужом адресном пространстве
• Скрытые процессы — руткит выдёргивает процесс из списка, но pool-теги остаются в физической памяти
• Активные C2-соединения — с PID, портами и IP, которые лог файервола мог не записать
• Хэши и билеты Kerberos — прямо в памяти lsass.exe

🛠 Volatility 3: что изменилось

Главная ловушка для тех, кто учился по старым руководствам: в тройке нет --profile. Вместо него — символьные таблицы в формате ISF, которые фреймворк стягивает сам при первом запуске. Не нужно угадывать точный билд Windows — Volatility 3 определяет его автоматически.

Синтаксис стал чище: vol -f dump.raw windows.pslist вместо громоздкого vol.py --profile=Win10x64_18362 pslist. Минорные билды Windows поддерживаются без обновления фреймворка.

⚠️ Ключевой момент про снятие дампа

Дамп снимается до перезагрузки — это очевидно, но на практике именно здесь теряют артефакты. Перезагрузили хост — потеряли всё.

На Windows используется WinPmem: winpmem_mini_x64_rc2.exe output.raw. Сразу после снятия фиксируется контрольная сумма: sha256sum output.raw > output.raw.sha256. Это не формальность — без chain of custody отчёт не примут ни в суде, ни на review у заказчика.

💡 Что реально разделяет pslist и psscan

Большинство руководств перечисляют плагины, не объясняя разницу. pslist идёт по двусвязному списку ядра — руткит может выдернуть оттуда запись. psscan сканирует физическую память по pool-тегам — и находит то, что скрыто. Расхождение между выводами двух плагинов — красный флаг.

Полный workflow расследования: от снятия дампа до IoC для отчёта — в статье.

https://codeby.net/threads/analiz-dampov-pamyati-volatility-3-prakticheskii-workflow-obnaruzheniya-malvari-i-in-yektsii.92825/

Пасхальная суббота, взломанная инфраструктура и CVE без патча

31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.

🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.

CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.

🔍 Что такое FortiClient EMS и почему это главная цель?

FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.

Компрометация EMS на red team — это джекпот. Атакующий получает:

• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией

По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.

⚙️ Почему баг вообще работает?

Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.

Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.

Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.

🔗 Параллельный вектор

CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.

Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.

https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/

Видеокарта как вектор атаки: почему GPU Rowhammer меняет модель угроз

Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?

🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.

Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.

⚡️ Что умеют три новые атаки:

• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.

• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый root shell на хосте. Тоже нужен отключённый IOMMU.

• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.

🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.

📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.

https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/

Три дня на одной машине — и два месяца потерянной мотивации

Именно столько стоит неправильный выбор стартовой платформы для пентеста. Автор статьи завис на машине «Lame» на HackTheBox, не понимая, почему эксплойт не срабатывает. Причина оказалась простой: он пытался сделать privilege escalation, не зная, что это такое. Фундамент был пропущен.

🔍 Главная ошибка новичков — воспринимать HackTheBox и TryHackMe как конкурентов. Это не два варианта на выбор, а два последовательных этапа. PentesterLab закрывает третью задачу, VulnHub — четвёртую. Спрашивать «какая платформа лучше?» — всё равно что спрашивать «что лучше: учебник или экзамен?». Ответ зависит от того, где вы сейчас.

🎓 TryHackMe — это автошкола. Каждая комната сначала объясняет концепцию, потом даёт задание. Виртуалки запускаются прямо в браузере — не нужно настраивать VPN и ставить Kali. Learning Path «Jr Penetration Tester» проведёт от базовых сетевых концепций до веб-уязвимостей за 60–80 часов практики. Платформа ведёт за руку — и это её главная сила на старте.

Но есть обратная сторона: THM подсказывает каждый шаг. После прохождения Learning Path вы знаете инструменты, но не умеете думать самостоятельно. На реальном проекте подсказок нет.

🔥 HackTheBox — городская дорога без инструктора. Получаете IP-адрес машины. Всё. Никаких инструкций. Именно так выглядит реальный пентест: вот скоуп, вот время — действуйте. Даже машины уровня Easy предполагают, что вы уже умеете провести полное сканирование через nmap -sC -sV -p-, найти эксплойт, адаптировать его и поднять привилегии через linpeas.sh.

Хорошая новость: у HTB есть HTB Academy — структурированный формат с возможностью сдать сертификации CPTS и CBBH. Экзамены практические: никаких тестов с галочками, только hands-on работа и написание профессионального отчёта.

🌐 PentesterLab занимает нишу, которую не покрывает ни одна из двух предыдущих платформ — глубокое понимание механики веб-уязвимостей. Если THM говорит «введите ' OR 1=1 --», то PentesterLab объясняет, почему именно эта строка ломает SQL-запрос, как устроен парсинг на стороне сервера и какие варианты обхода фильтров существуют. Незаменим для тех, кто метит в веб-пентест или bug bounty.

Итого — рабочая последовательность для большинства:

• TryHackMe — фундамент, базовые концепции, первые 60–80 часов
• HTB Academy — структурированное углубление, подготовка к сертификациям
• HackTheBox — самостоятельная работа с реальными машинами
• PentesterLab — специализация по вебу

В полной статье — разбор VulnHub, конкретные машины для первого опыта на каждой платформе и честный ответ на вопрос, какую из них стоит брать платно.

https://codeby.net/threads/hackthebox-vs-tryhackme-vs-pentesterlab-vs-vulnhub-kakuyu-platformu-dlya-pentesta-vybrat-v-2025.92833/

Почему умные кандидаты проваливают собеседования в ИБ

Больше сотни технических интервью — и один вывод: проваливаются не те, кто мало знает. Проваливаются те, кто готовится не к тому.

🎯 Классическая картина: кандидат наизусть цитирует семь уровней модели OSI, но не может объяснить, на каком уровне работает Wireshark при перехвате HTTP-трафика. А ведь это один из самых частых follow-up вопросов на реальных интервью.

Правильный ход мысли: Wireshark захватывает кадры на канальном уровне (L2), но разбирает данные вплоть до прикладного (L7). Разница принципиальная — и именно такой ход мысли вслух отделяет сильного кандидата от зубрилы.

🔍 Как устроен сам процесс

Собеседование в ИБ — это не один разговор, а цепочка из трёх-пяти этапов, каждый из которых фильтрует по-своему:

• HR-скрининг — проверяют мотивацию, ожидания, минимальный кругозор
• Техническое интервью — сети, криптография, типы атак, инструменты
• Практическое задание — разбор PCAP, анализ CVE или живой кейс
• Финальная встреча — культурный фит, условия, решение

На HR-этапе вас могут спросить буквально «что такое пинг». Звучит смешно, но замешкаться здесь — уже минус в первом впечатлении.

⚡️ Что реально спрашивают на технических интервью

Четыре блока, которые повторяются на каждом junior-собеседовании в ИБ:

1. Сетевые протоколы — TCP/IP, DNS, DHCP, HTTP/HTTPS
2. Криптография — симметричное и асимметричное шифрование, PKI, хеширование
3. Типы атак — XSS, MITM, DDoS, brute force
4. Инструменты — nmap, wireshark, burpsuite хотя бы на уровне «запускал, понимаю вывод»

Про TCP vs UDP ждут не просто «TCP надёжный, UDP быстрый». Сильный ответ звучит иначе: «TCP-handshake (SYN, SYN-ACK, ACK) используется для SYN-flood атак, а UDP-протоколы эксплуатируются в amplification-атаках через DNS или NTP.» Вот это уже ИБ-мышление, а не пересказ учебника.

💡 Главный секрет, который меняет всё

Интервьюер оценивает не только правильность ответа — он смотрит на ход мысли. Не знаете ответ? Проговорите вслух, как бы вы его искали. Для ИБ-специалиста аналитический подход важнее энциклопедических знаний.

Ещё один момент, который топит кандидатов: они не знают компанию. Зайдите на сайт, разберитесь, чем конкретно занимается их ИБ-отдел — это уже выделяет вас среди 80% кандидатов, которые приходят «просто попробовать».

В полной статье — разбор провальных ответов с примерами, конкретный план подготовки за две недели и площадки для практики 👇

https://codeby.net/threads/sobesedovaniye-v-kiberbezopasnost-razbor-voprosov-proval-nyye-otvety-i-plan-podgotovki.92836/

OSCP или русскоязычный курс пентеста — разбор для тех, кто устал листать вкладки

Два года назад я сидел перед экраном с пятью открытыми вкладками разных курсов и нарастающей тревогой в желудке. OSCP или что-то на русском? Потом я прошёл оба пути — сдал PEN-200 со второй попытки и отучился на русскоязычной платформе. Вот что понял.

🔍 Главное заблуждение: OSCP и русскоязычный курс пентеста — не конкуренты. Это разные инструменты для разных точек входа.

OSCP работает по принципу «брось в воду, плыви». Тебе дают лабораторию из десятков машин и знаменитый девиз Try Harder. Застрял на 10 часов в rabbit hole — это часть обучения. Codeby Academy работает иначе: концепция → демонстрация на стенде → задание → проверка. Не «мягче», а просто другая точка входа.

💡 Почему языковой барьер реально важен на старте

Попытка разобраться с Pass the Hash (T1550.002, Lateral Movement) через английский текст, когда ты параллельно гуглишь, что такое NTLM — это не обучение, а мучение. Каждый новый термин и так перегружает мозг, зачем добавлять сверху ещё и иностранный язык?

🎯 Где принципиальная разница — Active Directory

90% корпоративных сетей в РФ/СНГ построены на AD. OSCP даёт базу по атакам на домен, глубина приходит только в PEN-300. Codeby Academy разбирает AD-атаки подробно прямо в основном курсе:

• Дамп хешей через Mimikatz и secretsdump
• Горизонтальное перемещение через CrackMapExec
• Kerberoasting — перехват TGS-билетов и оффлайн-перебор

Для пентестера в РФ/СНГ это не опционально — это хлеб. По глубине AD-блока Codeby Academy сопоставима с отдельными модулями CRTO.

💸 Цена вопроса — без скрытых платежей

OSCP стартует от $1 649 (курс + 90 дней лабы + 1 попытка экзамена). Хочешь год доступа и 2 попытки — $2 599/год. Провалил экзамен с первого раза (как я) — доплачиваешь. Русскоязычные курсы пентеста обходятся значительно дешевле, включают поддержку и не бьют по кошельку при пересдаче.

🧭 Простой алгоритм выбора

Если ты ещё не уверенно читаешь английские writeup'ы, не знаешь, чем netcat отличается от socat, и AD для тебя пока тёмный лес — начни с русскоязычного курса. Получишь структуру, словарь и уверенность. Потом OSCP перестанет казаться страшным.

Полный разбор обеих программ по тактикам MITRE ATT&CK, сравнение стоимости и честный взгляд от того, кто прошёл оба пути — в статье на форуме.

https://codeby.net/threads/kurs-po-pentestu-dlya-nachinayushchikh-codeby-academy-vs-oscp-chestnoye-sravneniye-ot-praktika.92839/

Пять минут до того, как ваш доступ исчезнет навсегда

Представь ситуацию: недели разведки, социальной инженерии, обхода периметра — и вот он, живой beacon. Потом пользователь перезагружается. Или EDR убивает процесс. Или IT прилетает с патчем. И ты начинаешь всё сначала.

Именно поэтому профессиональные APT-группы вкладываются не в initial access, а в многослойное закрепление. Volt Typhoon сидел в критической инфраструктуре больше пяти лет — необнаруженным. Salt Typhoon действовал аналогично. Это не магия — это системная работа с persistence.

🔑 Реестр: от очевидного к невидимому

Run-ключи — HKCU\Software\Microsoft\Windows\CurrentVersion\Run — знает каждый EDR на планете. Windows Defender, CrowdStrike, SentinelOne алертят на новые записи мгновенно, особенно если путь ведёт в Temp или Public. Но у этой техники есть неочевидное применение: decoy. Аналитик находит знакомый артефакт, удаляет, закрывает тикет — и считает инцидент закрытым. А ты продолжаешь работать через другой канал.

Куда интереснее — менее мониторируемые ключи. Image File Execution Options (IFEO) позволяет зарегистрировать «отладчик» для любого процесса: при его запуске система выполнит твой код вместо оригинала. Но есть вариант тише: флаг GlobalFlag=0x100 в том же ключе плюс VerifierDlls — и твоя DLL грузится при каждом старте процесса. Autoruns от Sysinternals по умолчанию это не показывает. Тишина.

⚙️ Планировщик, WMI и Ghost Tasks

Scheduled Tasks — рабочая лошадка red team. Но настоящая жемчужина — Ghost Tasks: задачи, которые существуют в реестре, но отсутствуют в %SystemRoot%\System32\Tasks. Стандартные инструменты их не видят. schtasks /query возвращает пустоту. Task Scheduler GUI — тоже. А задача выполняется.

WMI-подписки работают на уровне ниже — через событийную модель самой Windows. Триггером может быть что угодно: вход пользователя, запуск конкретного процесса, изменение файла. Payload не живёт в реестре как строка — он хранится в репозитории WMI (%SystemRoot%\System32\wbem\Repository). Большинство инструментов форензики туда не смотрит по умолчанию.

🎭 COM-hijacking: persistence без единой новой записи в Run-ключах

Каждый раз, когда Windows ищет COM-объект, она проверяет HKCU\Software\Classes\CLSID раньше, чем HKLM. Без прав администратора. Найди CLSID, который вызывается легитимным процессом (например, Task Scheduler или Explorer), зарегистрируй свою DLL в HKCU — и при каждом вызове этого объекта твой код выполняется в контексте легитимного процесса. Никаких новых процессов, никаких подозрительных записей автозапуска.

Четыре техники, разные уровни скрытности, разные требования к привилегиям — полный разбор с командами, OPSEC-соображениями и артефактами для blue team читай в статье на форуме 👇

https://codeby.net/threads/tekhniki-zakrepleniya-v-windows-reyestr-planirovshchik-wmi-i-com-hijacking-dlya-red-team.92841/

🔌 Внутри автомобиля — до 150 компьютеров. И каждый можно взломать

Современный автомобиль — это не машина с электроникой. Это сеть из 70–150 ECU (электронных блоков управления), которые управляют всем: от впрыска топлива до адаптивного круиз-контроля. У каждого блока — своя прошивка, свои протоколы, свои уязвимости.

🎯 Точка входа, которую видит атакующий первой — OBD-II порт. Тот самый 16-пиновый разъём под приборной панелью, к которому подключается любой механик с диагностическим сканером. С точки зрения MITRE ATT&CK — это классический Hardware Additions (T1200): физический доступ к внутренней шине автомобиля через штатный интерфейс.

Но тут важно понимать разницу, которую путают даже в профессиональных материалах. OBD-II — это физический уровень: разъём, пины, питание. UDS (Unified Diagnostic Services, ISO 14229) — протокол прикладного уровня, который течёт поверх CAN-шины. Грубо: OBD-II — розетка, UDS — то, что через неё передаётся.

⚙️ Через UDS исследователь может переключать диагностические сессии, читать коды ошибок, получать доступ к идентификаторам данных и — при определённых условиях — полностью перепрошить блок. Всё это через стандартные сервисы: 0x10 (переключение сессии), 0x34 (запрос загрузки), 0x36 (передача данных).

Пример из практики: отправляете на диагностический ID двигателя (0x7E0) запрос 02 10 03 — переключение в расширенную сессию. Получаете 02 50 03 — успех. Или 03 7F 10 22 — отказ с кодом NRC 0x22: блок решил, что условия не выполнены (например, автомобиль движется).

🔒 Казалось бы, gateway-ECU в современных машинах фильтрует запросы и ограничивает маршрутизацию. Через OBD-порт реально видно 5–15 блоков из потенциальных 80+. Но даже этот ограниченный набор включает критичные системы: двигатель, ABS, трансмиссию, подушки безопасности.

И вот где начинается самое интересное. Часть производителей допускает переключение в programmingSession без должной аутентификации. Это не теория — это реальные находки в аудитах. Блок, который должен требовать seed-key обмен перед открытием доступа к прошивке, просто... не требует.

Прежде чем идти дальше — важный момент про стенд. Тестирование на живом автомобиле — плохая идея. Случайный CAN-фрейм может заблокировать трансмиссию или сработать подушки безопасности. Правильная схема: ECU на лабораторном стенде, питание 12 В, CAN-шина с терминирующими резисторами 120 Ом на каждом конце.

🛠 Первый шаг любого аудита — пассивный мониторинг. Поднимаете интерфейс: ip link set can0 up type can bitrate 500000, запускаете candump can0 и смотрите реальный трафик между блоками. Уже по дампу видна архитектура сети: активные арбитражные ID, периодичность сообщений, паттерны взаимодействия. Это Network Sniffing (T1040) в чистом виде — и отправная точка для всего дальнейшего исследования.

Полная методология — с hex-примерами, разбором seed-key аутентификации и техниками извлечения прошивок — в статье.

https://codeby.net/threads/pentest-avtomobil-nykh-ecu-ot-obd-ii-porta-do-izvlecheniya-proshivok-cherez-uds.92845/

⚡️ Окно атаки схлопнулось до нуля: что это значит для тебя

В 2018 году от публикации CVE до первого зафиксированного эксплойта проходило в среднем 756 дней. Сегодня этого времени нет.

По данным VulnCheck, в 2025 году 28,96% уязвимостей из каталога Known Exploited Vulnerabilities эксплуатировались в день публикации CVE или раньше. Не через неделю. Не через сутки. В момент, когда advisory ещё не дочитан. Unit 42 фиксирует: сканирование на свежую CVE стартует через 15 минут после появления записи. CrowdStrike замерил среднее время латерального перемещения после первичного доступа — 29 минут.

🔍 Почему всё так ускорилось?

Три фактора, которые изменили правила игры:

1. Patch diffing стал тривиальным. Вендор публикует патч — атакующий скачивает коммит, запускает diff, находит изменённые функции. AI-ассистированный анализ сократил этот процесс до часов. По данным HiveSecurity, AI-агенты сгенерировали более 40 рабочих эксплойтов для одной уязвимости за $50.

2. Периметровые устройства — приоритетная цель. Файрволы, VPN, прокси возглавляют список атакуемых технологий в 2025 году. Пример: CVE-2026-3055 (CVSS 9.3) — активная разведка эндпоинта /cgi/GetAuthMethods началась через 3 дня после disclosure, ещё через несколько дней CVE попал в CISA KEV.

3. Вендор патчит в среднем за 15 дней после обнаружения активной эксплуатации. Разрыв между «эксплойт в дикой природе» и «патч доступен» измеряется неделями. И эти недели — в пользу атакующего.

🛠 Как выглядит полный конвейер атаки?

Весь цикл от строчки в NVD до рабочего шелла укладывается в семь фаз:

• Мониторинг и триаж CVE по CVSS, EPSS, affected products
• Анализ advisory и patch diffing изменённого кода
• Воспроизведение краша и настройка окружения
• Разработка PoC: контроль RIP, ROP-цепочки, обход митигаций
• Эксплуатация в вебе: десериализация, SSTI, SSRF-to-RCE
• Weaponization через ysoserial, phpggc, gadget chains
• Интеграция в пентест: стабильный шелл в обход EDR

💡 Важный вывод для защитников: если ты строишь vulnerability management только на CVSS-скоре и ежемесячных циклах патчинга — ты структурно опаздываешь. Приоритизация по факту эксплуатации (CISA KEV, VulnCheck KEV) критичнее теоретической оценки серьёзности.

В год регистрируется более 25 000 новых CVE — около 70 в день. При таком потоке ключевой навык — не читать каждую запись, а делать быстрый триаж по критериям, релевантным твоему скоупу.

Полный разбор каждой фазы — в статье.

https://codeby.net/threads/cve-eksploit-razrabotka-polnyi-tsikl-ot-publikatsii-uyazvimosti-do-rabochego-shella-metodologiya-i-instrumenty-2025-2026.92843/

22 секунды — именно столько нужно атакующему, чтобы один звонок превратился в полномасштабный инцидент

Это не метафора. По данным Mandiant M-Trends 2026, между первым звонком мошенника и передачей доступа следующей группировке проходит в среднем 22 секунды. Не минуты — секунды.

📞 И пока компании инвестируют миллионы в файрволы и EDR-системы, атакующие просто звонят на хелпдеск и представляются сотрудниками. Scattered Spider — одна из самых результативных группировок последних лет — поднималась от первого звонка до доменного администратора менее чем за 40 минут. Без единой строки вредоносного кода.

Голосовой фишинг впервые обогнал email как главный вектор начального доступа. Классические фишинговые письма упали до 6% подтверждённых случаев первичного проникновения, а вишинг вырос до 11% — а в облачных инцидентах и вовсе до 23%. Тренд очевиден: технические барьеры растут, и атака смещается туда, где барьеров нет — в человека.

🎯 Почему это работает? Не потому что люди глупы. Атаки вписываются в нормальные рабочие процессы: сброс пароля, согласование платежа, обновление ПО. Каждое действие выглядит рутинным — и именно поэтому срабатывает. По данным Unit 42, 36% всех инцидентов в 2025 году начались с социальной инженерии.

Методы давно вышли за рамки «нигерийских писем». Вот как выглядит карта актуальных атак:

• Вишинг — звонок на хелпдеск, убедительная легенда, сброс MFA-токена за три минуты
• Deepfake-имперсонация — голос или видео «руководителя», который просит срочно перевести деньги
• ClickFix — браузер показывает «ошибку» и предлагает вставить команду в терминал для «исправления»
• QR-фишинг — через linked devices в Signal или Telegram, применяется APT-группировками
• Обход KYC — дипфейки и инъекции видеопотока для обмана систем идентификации

🔐 Что с этим делать? Несколько принципов, которые реально работают:

1. Верификация по второму каналу. Позвонил «руководитель» с просьбой срочно что-то сделать — перезвони ему сам по номеру из корпоративной базы.
2. Нулевое доверие к срочности. «Срочно», «немедленно», «иначе всё рухнет» — классические триггеры давления. Именно в этот момент нужно замедлиться.
3. Аппаратные ключи вместо OTP-кодов. Их нельзя «сбросить» по телефону — физический токен закрывает главный сценарий вишинга.

⚡️ Парадокс 2026 года: чем лучше технические средства защиты, тем ценнее становится атака на человека. Инвестиции в осведомлённость сотрудников — уже не «мягкий» навык, а критическая инфраструктура безопасности.

Полный разбор всех методов, техник APT-групп и практических мер защиты — в статье.

https://codeby.net/threads/sotsial-naya-inzheneriya-2026-polnaya-karta-metodov-atak-i-zashchity.92848/

🛡 79% атак в 2024-м — без единого вредоносного файла. Как такое возможно?

Представь: атакующий уже внутри сети. EDR молчит. Антивирус не видит угрозы. На диск не упало ни одного подозрительного файла. При этом LSASS уже дампится, а злоумышленник спокойно двигается по сети. Инструменты? Исключительно те, что Microsoft сама поставила с Windows.

Это не фантастика. По данным CrowdStrike Global Threat Report 2025, именно 79% всех зафиксированных атак в 2024 году обошлись без малвари. Для сравнения: в 2019-м таких атак было 40%. Bitdefender по анализу 700 000 инцидентов добавляет: 84% высокоприоритетных атак используют технику Living off the Land.

🔍 Что такое LOTL и почему это работает

Living off the Land — стратегия, при которой атакующий проходит весь kill chain исключительно легитимными системными инструментами. Никакого кастомного бэкдора, никакого RAT. Только подписанные Microsoft бинарники — LOLBins.

Почему это так эффективно? Три причины:

• Доверие по умолчанию — certutil.exe, mshta.exe, rundll32.exe подписаны Microsoft, сидят в белых списках AppLocker и не вызывают срабатываний EPP.
• Нет файловых IOC — хэши совпадают с легитимными. Сигнатурный анализ просто бессилен.
• Дёшево в поддержке — атакующему не нужно писать и поддерживать собственный инструментарий.

Проект LOLBAS на GitHub каталогизировал уже более 200 Windows-бинарников с задокументированным потенциалом злоупотребления.

⚙️ Реальный пример: certutil в атаках 2025 года

Возьмём конкретный кейс. Группа Storm-2460 в 2025-м использовала certutil.exe для загрузки вспомогательных компонентов на ранних стадиях кампании PipeMagic. Параллельно эксплуатировалась CVE-2025-29824 — Use After Free в драйвере Windows CLFS, CVSS 7.8 — для повышения привилегий. Цели: США, Испания, Венесуэла, Саудовская Аравия.

Штатная утилита управления сертификатами умеет качать файлы из интернета (-urlcache -split -f) и кодировать/декодировать Base64 (-encode / -decode). Именно это и эксплуатируют.

🗺 Карта темы: где LOTL встречается в kill chain

LOTL — не отдельный трюк, а философия построения всей цепочки атаки. В MITRE ATT&CK ядро техники — T1218 System Binary Proxy Execution. Но реальная кампания покрывает куда больше:

1. Execution — PowerShell, cmd.exe, WMI
2. Lateral Movement — WMI, PSRemoting, DCOM
3. Credential Access — дамп LSASS через легитимные утилиты
4. Persistence — реестр, планировщик, COM-hijacking
5. Defense Evasion — обход AMSI, Defender, EDR

Каждый этап kill chain закрывается инструментами, которые уже стоят в системе. Именно поэтому классические средства защиты проигрывают — они ищут чужеродное, а здесь всё «своё».

Полный разбор команд, техник обхода EDR, BYOVD-атак и закрепления через COM-hijacking — в статье по ссылке ниже.

https://codeby.net/threads/living-off-the-land-ataki-windows-polnoye-rukovodstvo-po-lolbas-obkhodu-edr-i-post-ekspluatatsii-bez-storonnikh-instrumentov.92849/

Когда ваш антивирус смотрит на Google Sheets и не видит атаки

Классический C2-сервер на VPS с кастомным доменом — это уже музейный экспонат. Если в 2026 году имплант стучит на 185.x.x.x с self-signed сертификатом — его поймают за часы. Threat intelligence фиды содержат миллионы известных адресов, репутационные движки не дремлют.

Но что происходит, когда тот же beacon уходит на sheets.googleapis.com или graph.microsoft.com? NGFW видит валидный TLS, домен в allowlist, IP из пула Google. Заблокировать? Удачи объяснять бизнесу, почему не работает почта.

🎯 Это называется living off the cloud — атакующий паразитирует на инфраструктуре, которой ваш SOC уже доверяет. C2-трафик выглядит как обычные CRUD-операции с документами. Ничего подозрительного.

По данным Picus Red Report 2026 (анализ более миллиона образцов малвари), 80% из топ-10 техник MITRE ATT&CK направлены именно на уклонение и закрепление. Корреляционные правила SIEM просто не знают, на что триггериться, когда C2-трафик — это POST-запрос к легитимному API.

🕵️ Посмотри на реальный кейс. Бэкдор GRIDTIDE — инструмент китайской кибершпионажной группировки, раскрытый Google Threat Intelligence Group совместно с Mandiant. Цели — телекомы и госорганизации в десятках стран.

Канал управления — обычная Google Таблица. Вместо квартального отчёта в ней команды для импланта. Конфигурация с ключами доступа расшифровывалась через AES-128-CBC, а после каждой сессии имплант вызывал batchClear — удалял первые 1000 строк, чтобы не оставлять следов. Для закрепления использовался systemd-сервис xapt.service — название намеренно подобрано под легитимную утилиту Debian.

Google остановила кампанию только через терминацию Cloud-проектов атакующих. До этого трафик был неотличим от легитимных обращений к Sheets. Сама Google прямо указала: это не уязвимость в продукте — это злоупотребление доверенной функциональностью.

🔍 Параллельно иранская группировка Boggy Serpens (MuddyWater, связана с MOIS) переключилась на Telegram API и кастомный UDP-трафик для управления имплантами. Четыре волны атак на одну энергетическую компанию Ближнего Востока за шесть месяцев — с персонализированными фишинговыми документами для каждого департамента. Инженеры, бухгалтерия, менеджмент — у каждого свой лур. Такая детализация указывает на предварительную компрометацию внутренней переписки.

⚡️ Что это значит для защитников? Три вещи:

• SSL-инспекция для облачных сервисов — не опция, а необходимость (да, это больно с точки зрения производительности)
• Поведенческий анализ API-вызовов: ритм обращений, объём данных, аномальные паттерны — вот где прячется детекция
• Мониторинг systemd-сервисов с нестандартными именами — особенно в /etc/systemd/system/

MITRE ATT&CK классифицирует это как T1102 (Web Service) — злоупотребление легитимными сервисами для канала управления. Полный разбор механики Microsoft Graph API C2, detection gaps и рабочие Sigma-правила для blue team — в статье.

https://codeby.net/threads/cloud-c2-obkhod-detektsii-red-team-playbook-po-oblachnym-kanalam-upravleniya-apt-grupp.92853/

🎯 Responder собирает хеши в вашей сети прямо сейчас

На каждом втором внутреннем пентесте — одна и та же картина. LLMNR включён по умолчанию, LAPS не развёрнут или покрывает только часть машин, расширенный аудит Kerberos не настроен. Итог: атакующий перехватывает хеши, вытягивает пароль локального администратора и движется по сети, не оставляя следов — всё это за первые два часа после попадания в периметр.

🔍 Разберём, почему это работает.

Когда пользователь допускает опечатку в UNC-пути — например, пишет \\DCC01 вместо \\DC01 — DNS не может разрешить несуществующее имя. Windows автоматически отправляет LLMNR-запрос мультикастом в локальный сегмент. Любой хост в этом сегменте может ответить — и ни один из этих протоколов не проверяет подлинность ответа. Атакующий с запущенным Responder говорит: «Это я, подключайся». Жертва шлёт NTLM-хеш — и NetNTLMv2 уже в руках атакующего.

Дальше — дело техники. Одна команда в Hashcat:

hashcat -m 5600 hashes.txt wordlist.txt

Модуль 5600 — это NetNTLMv2. Слабый пароль типа «Password1» ломается за секунды. Пользователь исправляет опечатку и работает дальше, не подозревая, что хеш уже утёк.

⚡️ Лично я ни разу не видел сеть, где Responder не собрал бы хотя бы пару хешей за первые 20 минут — если LLMNR не отключён.

Проверить состояние прямо сейчас можно одной командой:

Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name EnableMulticast -ErrorAction SilentlyContinue

Если ключ EnableMulticast отсутствует или равен 1 — LLMNR активен и сеть открыта. Отключается через GPO: Computer Configuration > Administrative Templates > Network > DNS Client, параметр «Turn OFF Multicast Name Resolution» — в «Enabled». Применяете gpupdate /force — и вектор закрыт.

🛡 Отдельная история — LAPS. Без него один скомпрометированный хост открывает lateral movement по всей сети: один хеш локального администратора работает везде, где пароль не менялся индивидуально. Это классический Pass-the-Hash, и он до сих пор встречается в большинстве корпоративных сетей.

Три вещи, которые атакующий проверяет в первую очередь:

• LLMNR/NBT-NS — включены ли широковещательные протоколы
• LAPS — покрывает ли все машины или только рабочие станции
• Логирование — видит ли blue team атаки или только стандартные события

Хорошая новость: все три проблемы закрываются штатными средствами Windows, без бюджета на дорогие решения. Плохая: большинство организаций не проверяли это никогда.

📖 Полный разбор — с командами, GPO-настройками и детектированием — в статье.

https://codeby.net/threads/audit-active-directory-bezopasnost-laps-llmnr-i-logirovaniya-za-odin-rabochii-den.92854/