Charming Kitten не взламывает системы — они взламывают людей
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
❤7🎉4😁2👍1
Один POST-запрос — и ты root. Без пароля.
🔓 Два command injection в роутере Totolink A7100RU работают без аутентификации. HTTP POST к
⚙️ В статье:
• Распаковка прошивки через
• Формирование запросов для CVE-2026-6112 и CVE-2026-6113
• Готовые Suricata-правила для детекции
MITRE ATT&CK, CVSS 4.0 и разбор CWE-77/CWE-78 на реальном коде — в статье:
https://codeby.net/threads/cve-2026-6112-i-cve-2026-6113-uyazvimost-command-injection-v-totolink-a7100ru-ot-analiza-proshivki-do-detektsii.92788/
🔓 Два command injection в роутере Totolink A7100RU работают без аутентификации. HTTP POST к
/cgi-bin/cstecgi.cgi — и атакующий получает полный контроль. PoC уже на GitHub, патча нет.cstecgi.cgi парсит JSON, берёт значение параметра и без проверок скармливает его в system() через sprintf(). Параметр ttyEnable, задуманный как булевый флаг, принимает строку любой длины с shell-метасимволами.⚙️ В статье:
• Распаковка прошивки через
binwalk и анализ MIPS-бинарника в Ghidra• Формирование запросов для CVE-2026-6112 и CVE-2026-6113
• Готовые Suricata-правила для детекции
MITRE ATT&CK, CVSS 4.0 и разбор CWE-77/CWE-78 на реальном коде — в статье:
https://codeby.net/threads/cve-2026-6112-i-cve-2026-6113-uyazvimost-command-injection-v-totolink-a7100ru-ot-analiza-proshivki-do-detektsii.92788/
👍17❤5🔥1
RCE за три шага: как читать CVE advisory и не останавливаться на CVSS-балле
Большинство пентестеров смотрят на новую CVE, запоминают цифру 9.8 и идут дальше. Между тем в тексте advisory уже лежит готовый рецепт эксплойта — если знать, куда смотреть.
🔍 Три фазы для любого PHP/JS-стека:
1. Декомпозиция advisory — читать NVD, GHSA и CISA KEV. Вектор
2. Patch diffing — коммит из GHSA показывает точку входа. Замена
3. Цепочка до PoC — CWE-классификация как карта: CWE-502 → gadget chain, CWE-22 → доставка payload
Разобраны CVE-2025-32432 в Craft CMS (CVSS 10.0, CISA KEV) и CVE-2025-55182 в React Server Components — от advisory до шелла.
https://codeby.net/threads/ekspluatatsiya-cve-v-veb-prilozheniyakh-ot-chteniya-advisory-do-rce-za-tri-shaga.92809/
Большинство пентестеров смотрят на новую CVE, запоминают цифру 9.8 и идут дальше. Между тем в тексте advisory уже лежит готовый рецепт эксплойта — если знать, куда смотреть.
🔍 Три фазы для любого PHP/JS-стека:
1. Декомпозиция advisory — читать NVD, GHSA и CISA KEV. Вектор
AV:N/AC:L/PR:N/UI:N сразу говорит: pre-auth RCE, максимальный приоритет2. Patch diffing — коммит из GHSA показывает точку входа. Замена
unserialize() или dol_eval() — ваш маяк3. Цепочка до PoC — CWE-классификация как карта: CWE-502 → gadget chain, CWE-22 → доставка payload
Разобраны CVE-2025-32432 в Craft CMS (CVSS 10.0, CISA KEV) и CVE-2025-55182 в React Server Components — от advisory до шелла.
https://codeby.net/threads/ekspluatatsiya-cve-v-veb-prilozheniyakh-ot-chteniya-advisory-do-rce-za-tri-shaga.92809/
❤7👍3🔥1
XSS — это не просто
Это уязвимость, которая может привести к краже сессии и полному захвату аккаунта.
Разобрали основные типы XSS и как от них защищаться — в карточках выше
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
alert(1) Это уязвимость, которая может привести к краже сессии и полному захвату аккаунта.
Разобрали основные типы XSS и как от них защищаться — в карточках выше
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍10🔥7😁3👎1😡1
Forwarded from Hacker Lab
Почему Nmap без kill chain — просто сканер портов
Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»
Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.
🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.
В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.
⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.
🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод
• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя
Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.
🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом
Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇
https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/
Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»
Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.
🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.
В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.
⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.
🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод
nmap -sV -sC -p- 10.10.10.100:• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя
Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.
🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом
-sV точечно добивает найденное. NSE-скрипты добавляют глубину: smb-vuln-ms17-010 проверяет EternalBlue, ssl-heartbleed обнаруживает Heartbleed, а http-enum находит стандартные директории веб-серверов за один проход.Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇
https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/
👍20❤4🔥3👎1
Почему малварь прячется в RAM — и как её оттуда достать
За последний год через одну лабораторию прошло больше двадцати дампов с реальных инцидентов — и во всех случаях малварь жила исключительно в оперативной памяти. Ни одного файла на диске. Классическая дисковая форензика дала бы ноль.
🔍 Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного
Почему RAM важнее диска при реагировании
Образ диска на 250+ ГБ снимается часами. Дамп RAM на 8–32 ГБ — за минуты. Но дело не только в скорости.
Оперативная память хранит то, чего на диске нет в принципе:
• Расшифрованный payload — малварь шифрует себя на диске, но в RAM работает в открытом виде
• Инжектированный код — Process Injection (T1055) файлов не оставляет, только RWX-регионы в чужом адресном пространстве
• Скрытые процессы — руткит выдёргивает процесс из списка, но pool-теги остаются в физической памяти
• Активные C2-соединения — с PID, портами и IP, которые лог файервола мог не записать
• Хэши и билеты Kerberos — прямо в памяти
🛠 Volatility 3: что изменилось
Главная ловушка для тех, кто учился по старым руководствам: в тройке нет
Синтаксис стал чище:
⚠️ Ключевой момент про снятие дампа
Дамп снимается до перезагрузки — это очевидно, но на практике именно здесь теряют артефакты. Перезагрузили хост — потеряли всё.
На Windows используется WinPmem:
💡 Что реально разделяет
Большинство руководств перечисляют плагины, не объясняя разницу.
Полный workflow расследования: от снятия дампа до IoC для отчёта — в статье.
https://codeby.net/threads/analiz-dampov-pamyati-volatility-3-prakticheskii-workflow-obnaruzheniya-malvari-i-in-yektsii.92825/
За последний год через одну лабораторию прошло больше двадцати дампов с реальных инцидентов — и во всех случаях малварь жила исключительно в оперативной памяти. Ни одного файла на диске. Классическая дисковая форензика дала бы ноль.
🔍 Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного
svchost.exe — для антивируса и EDR это выглядит как обычная работа системы. Но в оперативной памяти они оставляют следы, которые никуда не деваются.Почему RAM важнее диска при реагировании
Образ диска на 250+ ГБ снимается часами. Дамп RAM на 8–32 ГБ — за минуты. Но дело не только в скорости.
Оперативная память хранит то, чего на диске нет в принципе:
• Расшифрованный payload — малварь шифрует себя на диске, но в RAM работает в открытом виде
• Инжектированный код — Process Injection (T1055) файлов не оставляет, только RWX-регионы в чужом адресном пространстве
• Скрытые процессы — руткит выдёргивает процесс из списка, но pool-теги остаются в физической памяти
• Активные C2-соединения — с PID, портами и IP, которые лог файервола мог не записать
• Хэши и билеты Kerberos — прямо в памяти
lsass.exe🛠 Volatility 3: что изменилось
Главная ловушка для тех, кто учился по старым руководствам: в тройке нет
--profile. Вместо него — символьные таблицы в формате ISF, которые фреймворк стягивает сам при первом запуске. Не нужно угадывать точный билд Windows — Volatility 3 определяет его автоматически.Синтаксис стал чище:
vol -f dump.raw windows.pslist вместо громоздкого vol.py --profile=Win10x64_18362 pslist. Минорные билды Windows поддерживаются без обновления фреймворка.⚠️ Ключевой момент про снятие дампа
Дамп снимается до перезагрузки — это очевидно, но на практике именно здесь теряют артефакты. Перезагрузили хост — потеряли всё.
На Windows используется WinPmem:
winpmem_mini_x64_rc2.exe output.raw. Сразу после снятия фиксируется контрольная сумма: sha256sum output.raw > output.raw.sha256. Это не формальность — без chain of custody отчёт не примут ни в суде, ни на review у заказчика.💡 Что реально разделяет
pslist и psscanБольшинство руководств перечисляют плагины, не объясняя разницу.
pslist идёт по двусвязному списку ядра — руткит может выдернуть оттуда запись. psscan сканирует физическую память по pool-тегам — и находит то, что скрыто. Расхождение между выводами двух плагинов — красный флаг.Полный workflow расследования: от снятия дампа до IoC для отчёта — в статье.
https://codeby.net/threads/analiz-dampov-pamyati-volatility-3-prakticheskii-workflow-obnaruzheniya-malvari-i-in-yektsii.92825/
❤12🔥9👍6
Пасхальная суббота, взломанная инфраструктура и CVE без патча
31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.
🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.
CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.
🔍 Что такое FortiClient EMS и почему это главная цель?
FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.
Компрометация EMS на red team — это джекпот. Атакующий получает:
• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией
По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.
⚙️ Почему баг вообще работает?
Вектор
Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.
Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.
🔗 Параллельный вектор
CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.
Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.
https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/
31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.
🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.
CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.
🔍 Что такое FortiClient EMS и почему это главная цель?
FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.
Компрометация EMS на red team — это джекпот. Атакующий получает:
• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией
По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.
⚙️ Почему баг вообще работает?
Вектор
CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.
Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.
🔗 Параллельный вектор
CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.
Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.
https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/
1❤7👍5🔥4👎1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥5❤4
Видеокарта как вектор атаки: почему GPU Rowhammer меняет модель угроз
Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?
🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.
Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.
⚡️ Что умеют три новые атаки:
• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.
• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый
• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.
🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.
📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.
https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/
Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?
🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.
Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.
⚡️ Что умеют три новые атаки:
• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.
• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый
root shell на хосте. Тоже нужен отключённый IOMMU.• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.
🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.
📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.
https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/
❤12👍3🔥3👎1😁1
Три дня на одной машине — и два месяца потерянной мотивации
Именно столько стоит неправильный выбор стартовой платформы для пентеста. Автор статьи завис на машине «Lame» на HackTheBox, не понимая, почему эксплойт не срабатывает. Причина оказалась простой: он пытался сделать privilege escalation, не зная, что это такое. Фундамент был пропущен.
🔍 Главная ошибка новичков — воспринимать HackTheBox и TryHackMe как конкурентов. Это не два варианта на выбор, а два последовательных этапа. PentesterLab закрывает третью задачу, VulnHub — четвёртую. Спрашивать «какая платформа лучше?» — всё равно что спрашивать «что лучше: учебник или экзамен?». Ответ зависит от того, где вы сейчас.
🎓 TryHackMe — это автошкола. Каждая комната сначала объясняет концепцию, потом даёт задание. Виртуалки запускаются прямо в браузере — не нужно настраивать VPN и ставить Kali. Learning Path «Jr Penetration Tester» проведёт от базовых сетевых концепций до веб-уязвимостей за 60–80 часов практики. Платформа ведёт за руку — и это её главная сила на старте.
Но есть обратная сторона: THM подсказывает каждый шаг. После прохождения Learning Path вы знаете инструменты, но не умеете думать самостоятельно. На реальном проекте подсказок нет.
🔥 HackTheBox — городская дорога без инструктора. Получаете IP-адрес машины. Всё. Никаких инструкций. Именно так выглядит реальный пентест: вот скоуп, вот время — действуйте. Даже машины уровня Easy предполагают, что вы уже умеете провести полное сканирование через
Хорошая новость: у HTB есть HTB Academy — структурированный формат с возможностью сдать сертификации CPTS и CBBH. Экзамены практические: никаких тестов с галочками, только hands-on работа и написание профессионального отчёта.
🌐 PentesterLab занимает нишу, которую не покрывает ни одна из двух предыдущих платформ — глубокое понимание механики веб-уязвимостей. Если THM говорит «введите
Итого — рабочая последовательность для большинства:
• TryHackMe — фундамент, базовые концепции, первые 60–80 часов
• HTB Academy — структурированное углубление, подготовка к сертификациям
• HackTheBox — самостоятельная работа с реальными машинами
• PentesterLab — специализация по вебу
В полной статье — разбор VulnHub, конкретные машины для первого опыта на каждой платформе и честный ответ на вопрос, какую из них стоит брать платно.
https://codeby.net/threads/hackthebox-vs-tryhackme-vs-pentesterlab-vs-vulnhub-kakuyu-platformu-dlya-pentesta-vybrat-v-2025.92833/
Именно столько стоит неправильный выбор стартовой платформы для пентеста. Автор статьи завис на машине «Lame» на HackTheBox, не понимая, почему эксплойт не срабатывает. Причина оказалась простой: он пытался сделать privilege escalation, не зная, что это такое. Фундамент был пропущен.
🔍 Главная ошибка новичков — воспринимать HackTheBox и TryHackMe как конкурентов. Это не два варианта на выбор, а два последовательных этапа. PentesterLab закрывает третью задачу, VulnHub — четвёртую. Спрашивать «какая платформа лучше?» — всё равно что спрашивать «что лучше: учебник или экзамен?». Ответ зависит от того, где вы сейчас.
🎓 TryHackMe — это автошкола. Каждая комната сначала объясняет концепцию, потом даёт задание. Виртуалки запускаются прямо в браузере — не нужно настраивать VPN и ставить Kali. Learning Path «Jr Penetration Tester» проведёт от базовых сетевых концепций до веб-уязвимостей за 60–80 часов практики. Платформа ведёт за руку — и это её главная сила на старте.
Но есть обратная сторона: THM подсказывает каждый шаг. После прохождения Learning Path вы знаете инструменты, но не умеете думать самостоятельно. На реальном проекте подсказок нет.
🔥 HackTheBox — городская дорога без инструктора. Получаете IP-адрес машины. Всё. Никаких инструкций. Именно так выглядит реальный пентест: вот скоуп, вот время — действуйте. Даже машины уровня Easy предполагают, что вы уже умеете провести полное сканирование через
nmap -sC -sV -p-, найти эксплойт, адаптировать его и поднять привилегии через linpeas.sh.Хорошая новость: у HTB есть HTB Academy — структурированный формат с возможностью сдать сертификации CPTS и CBBH. Экзамены практические: никаких тестов с галочками, только hands-on работа и написание профессионального отчёта.
🌐 PentesterLab занимает нишу, которую не покрывает ни одна из двух предыдущих платформ — глубокое понимание механики веб-уязвимостей. Если THM говорит «введите
' OR 1=1 --», то PentesterLab объясняет, почему именно эта строка ломает SQL-запрос, как устроен парсинг на стороне сервера и какие варианты обхода фильтров существуют. Незаменим для тех, кто метит в веб-пентест или bug bounty.Итого — рабочая последовательность для большинства:
• TryHackMe — фундамент, базовые концепции, первые 60–80 часов
• HTB Academy — структурированное углубление, подготовка к сертификациям
• HackTheBox — самостоятельная работа с реальными машинами
• PentesterLab — специализация по вебу
В полной статье — разбор VulnHub, конкретные машины для первого опыта на каждой платформе и честный ответ на вопрос, какую из них стоит брать платно.
https://codeby.net/threads/hackthebox-vs-tryhackme-vs-pentesterlab-vs-vulnhub-kakuyu-platformu-dlya-pentesta-vybrat-v-2025.92833/
👍13❤8🔥6👎1😁1
Почему умные кандидаты проваливают собеседования в ИБ
Больше сотни технических интервью — и один вывод: проваливаются не те, кто мало знает. Проваливаются те, кто готовится не к тому.
🎯 Классическая картина: кандидат наизусть цитирует семь уровней модели OSI, но не может объяснить, на каком уровне работает Wireshark при перехвате HTTP-трафика. А ведь это один из самых частых follow-up вопросов на реальных интервью.
Правильный ход мысли: Wireshark захватывает кадры на канальном уровне (L2), но разбирает данные вплоть до прикладного (L7). Разница принципиальная — и именно такой ход мысли вслух отделяет сильного кандидата от зубрилы.
🔍 Как устроен сам процесс
Собеседование в ИБ — это не один разговор, а цепочка из трёх-пяти этапов, каждый из которых фильтрует по-своему:
• HR-скрининг — проверяют мотивацию, ожидания, минимальный кругозор
• Техническое интервью — сети, криптография, типы атак, инструменты
• Практическое задание — разбор PCAP, анализ CVE или живой кейс
• Финальная встреча — культурный фит, условия, решение
На HR-этапе вас могут спросить буквально «что такое пинг». Звучит смешно, но замешкаться здесь — уже минус в первом впечатлении.
⚡️ Что реально спрашивают на технических интервью
Четыре блока, которые повторяются на каждом junior-собеседовании в ИБ:
1. Сетевые протоколы — TCP/IP, DNS, DHCP, HTTP/HTTPS
2. Криптография — симметричное и асимметричное шифрование, PKI, хеширование
3. Типы атак — XSS, MITM, DDoS, brute force
4. Инструменты —
Про TCP vs UDP ждут не просто «TCP надёжный, UDP быстрый». Сильный ответ звучит иначе: «TCP-handshake (SYN, SYN-ACK, ACK) используется для SYN-flood атак, а UDP-протоколы эксплуатируются в amplification-атаках через DNS или NTP.» Вот это уже ИБ-мышление, а не пересказ учебника.
💡 Главный секрет, который меняет всё
Интервьюер оценивает не только правильность ответа — он смотрит на ход мысли. Не знаете ответ? Проговорите вслух, как бы вы его искали. Для ИБ-специалиста аналитический подход важнее энциклопедических знаний.
Ещё один момент, который топит кандидатов: они не знают компанию. Зайдите на сайт, разберитесь, чем конкретно занимается их ИБ-отдел — это уже выделяет вас среди 80% кандидатов, которые приходят «просто попробовать».
В полной статье — разбор провальных ответов с примерами, конкретный план подготовки за две недели и площадки для практики 👇
https://codeby.net/threads/sobesedovaniye-v-kiberbezopasnost-razbor-voprosov-proval-nyye-otvety-i-plan-podgotovki.92836/
Больше сотни технических интервью — и один вывод: проваливаются не те, кто мало знает. Проваливаются те, кто готовится не к тому.
🎯 Классическая картина: кандидат наизусть цитирует семь уровней модели OSI, но не может объяснить, на каком уровне работает Wireshark при перехвате HTTP-трафика. А ведь это один из самых частых follow-up вопросов на реальных интервью.
Правильный ход мысли: Wireshark захватывает кадры на канальном уровне (L2), но разбирает данные вплоть до прикладного (L7). Разница принципиальная — и именно такой ход мысли вслух отделяет сильного кандидата от зубрилы.
🔍 Как устроен сам процесс
Собеседование в ИБ — это не один разговор, а цепочка из трёх-пяти этапов, каждый из которых фильтрует по-своему:
• HR-скрининг — проверяют мотивацию, ожидания, минимальный кругозор
• Техническое интервью — сети, криптография, типы атак, инструменты
• Практическое задание — разбор PCAP, анализ CVE или живой кейс
• Финальная встреча — культурный фит, условия, решение
На HR-этапе вас могут спросить буквально «что такое пинг». Звучит смешно, но замешкаться здесь — уже минус в первом впечатлении.
⚡️ Что реально спрашивают на технических интервью
Четыре блока, которые повторяются на каждом junior-собеседовании в ИБ:
1. Сетевые протоколы — TCP/IP, DNS, DHCP, HTTP/HTTPS
2. Криптография — симметричное и асимметричное шифрование, PKI, хеширование
3. Типы атак — XSS, MITM, DDoS, brute force
4. Инструменты —
nmap, wireshark, burpsuite хотя бы на уровне «запускал, понимаю вывод»Про TCP vs UDP ждут не просто «TCP надёжный, UDP быстрый». Сильный ответ звучит иначе: «TCP-handshake (SYN, SYN-ACK, ACK) используется для SYN-flood атак, а UDP-протоколы эксплуатируются в amplification-атаках через DNS или NTP.» Вот это уже ИБ-мышление, а не пересказ учебника.
💡 Главный секрет, который меняет всё
Интервьюер оценивает не только правильность ответа — он смотрит на ход мысли. Не знаете ответ? Проговорите вслух, как бы вы его искали. Для ИБ-специалиста аналитический подход важнее энциклопедических знаний.
Ещё один момент, который топит кандидатов: они не знают компанию. Зайдите на сайт, разберитесь, чем конкретно занимается их ИБ-отдел — это уже выделяет вас среди 80% кандидатов, которые приходят «просто попробовать».
В полной статье — разбор провальных ответов с примерами, конкретный план подготовки за две недели и площадки для практики 👇
https://codeby.net/threads/sobesedovaniye-v-kiberbezopasnost-razbor-voprosov-proval-nyye-otvety-i-plan-podgotovki.92836/
👍9❤5🫡4🔥1💯1🙈1🗿1
Forwarded from Hacker Lab
🚩 Новые задания на платформе HackerLab!
⚙️ Категория Реверс-инжиниринг — Секрет Максима
——————————————
🗂 В архив добавлены задания + райтапы:
— Веб - devops 300k/s
— Веб - Просто найди его
Приятного хакинга!
——————————————
🗂 В архив добавлены задания + райтапы:
— Веб - devops 300k/s
— Веб - Просто найди его
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍6🔥5
OSCP или русскоязычный курс пентеста — разбор для тех, кто устал листать вкладки
Два года назад я сидел перед экраном с пятью открытыми вкладками разных курсов и нарастающей тревогой в желудке. OSCP или что-то на русском? Потом я прошёл оба пути — сдал PEN-200 со второй попытки и отучился на русскоязычной платформе. Вот что понял.
🔍 Главное заблуждение: OSCP и русскоязычный курс пентеста — не конкуренты. Это разные инструменты для разных точек входа.
OSCP работает по принципу «брось в воду, плыви». Тебе дают лабораторию из десятков машин и знаменитый девиз Try Harder. Застрял на 10 часов в rabbit hole — это часть обучения. Codeby Academy работает иначе: концепция → демонстрация на стенде → задание → проверка. Не «мягче», а просто другая точка входа.
💡 Почему языковой барьер реально важен на старте
Попытка разобраться с Pass the Hash (T1550.002, Lateral Movement) через английский текст, когда ты параллельно гуглишь, что такое NTLM — это не обучение, а мучение. Каждый новый термин и так перегружает мозг, зачем добавлять сверху ещё и иностранный язык?
🎯 Где принципиальная разница — Active Directory
90% корпоративных сетей в РФ/СНГ построены на AD. OSCP даёт базу по атакам на домен, глубина приходит только в PEN-300. Codeby Academy разбирает AD-атаки подробно прямо в основном курсе:
• Дамп хешей через
• Горизонтальное перемещение через
• Kerberoasting — перехват TGS-билетов и оффлайн-перебор
Для пентестера в РФ/СНГ это не опционально — это хлеб. По глубине AD-блока Codeby Academy сопоставима с отдельными модулями CRTO.
💸 Цена вопроса — без скрытых платежей
OSCP стартует от $1 649 (курс + 90 дней лабы + 1 попытка экзамена). Хочешь год доступа и 2 попытки — $2 599/год. Провалил экзамен с первого раза (как я) — доплачиваешь. Русскоязычные курсы пентеста обходятся значительно дешевле, включают поддержку и не бьют по кошельку при пересдаче.
🧭 Простой алгоритм выбора
Если ты ещё не уверенно читаешь английские writeup'ы, не знаешь, чем
Полный разбор обеих программ по тактикам MITRE ATT&CK, сравнение стоимости и честный взгляд от того, кто прошёл оба пути — в статье на форуме.
https://codeby.net/threads/kurs-po-pentestu-dlya-nachinayushchikh-codeby-academy-vs-oscp-chestnoye-sravneniye-ot-praktika.92839/
Два года назад я сидел перед экраном с пятью открытыми вкладками разных курсов и нарастающей тревогой в желудке. OSCP или что-то на русском? Потом я прошёл оба пути — сдал PEN-200 со второй попытки и отучился на русскоязычной платформе. Вот что понял.
🔍 Главное заблуждение: OSCP и русскоязычный курс пентеста — не конкуренты. Это разные инструменты для разных точек входа.
OSCP работает по принципу «брось в воду, плыви». Тебе дают лабораторию из десятков машин и знаменитый девиз Try Harder. Застрял на 10 часов в rabbit hole — это часть обучения. Codeby Academy работает иначе: концепция → демонстрация на стенде → задание → проверка. Не «мягче», а просто другая точка входа.
💡 Почему языковой барьер реально важен на старте
Попытка разобраться с Pass the Hash (T1550.002, Lateral Movement) через английский текст, когда ты параллельно гуглишь, что такое NTLM — это не обучение, а мучение. Каждый новый термин и так перегружает мозг, зачем добавлять сверху ещё и иностранный язык?
🎯 Где принципиальная разница — Active Directory
90% корпоративных сетей в РФ/СНГ построены на AD. OSCP даёт базу по атакам на домен, глубина приходит только в PEN-300. Codeby Academy разбирает AD-атаки подробно прямо в основном курсе:
• Дамп хешей через
Mimikatz и secretsdump• Горизонтальное перемещение через
CrackMapExec• Kerberoasting — перехват TGS-билетов и оффлайн-перебор
Для пентестера в РФ/СНГ это не опционально — это хлеб. По глубине AD-блока Codeby Academy сопоставима с отдельными модулями CRTO.
💸 Цена вопроса — без скрытых платежей
OSCP стартует от $1 649 (курс + 90 дней лабы + 1 попытка экзамена). Хочешь год доступа и 2 попытки — $2 599/год. Провалил экзамен с первого раза (как я) — доплачиваешь. Русскоязычные курсы пентеста обходятся значительно дешевле, включают поддержку и не бьют по кошельку при пересдаче.
🧭 Простой алгоритм выбора
Если ты ещё не уверенно читаешь английские writeup'ы, не знаешь, чем
netcat отличается от socat, и AD для тебя пока тёмный лес — начни с русскоязычного курса. Получишь структуру, словарь и уверенность. Потом OSCP перестанет казаться страшным.Полный разбор обеих программ по тактикам MITRE ATT&CK, сравнение стоимости и честный взгляд от того, кто прошёл оба пути — в статье на форуме.
https://codeby.net/threads/kurs-po-pentestu-dlya-nachinayushchikh-codeby-academy-vs-oscp-chestnoye-sravneniye-ot-praktika.92839/
😐11❤6👍4🔥3
Пять минут до того, как ваш доступ исчезнет навсегда
Представь ситуацию: недели разведки, социальной инженерии, обхода периметра — и вот он, живой beacon. Потом пользователь перезагружается. Или EDR убивает процесс. Или IT прилетает с патчем. И ты начинаешь всё сначала.
Именно поэтому профессиональные APT-группы вкладываются не в initial access, а в многослойное закрепление. Volt Typhoon сидел в критической инфраструктуре больше пяти лет — необнаруженным. Salt Typhoon действовал аналогично. Это не магия — это системная работа с persistence.
🔑 Реестр: от очевидного к невидимому
Run-ключи —
Куда интереснее — менее мониторируемые ключи. Image File Execution Options (
⚙️ Планировщик, WMI и Ghost Tasks
Scheduled Tasks — рабочая лошадка red team. Но настоящая жемчужина — Ghost Tasks: задачи, которые существуют в реестре, но отсутствуют в
WMI-подписки работают на уровне ниже — через событийную модель самой Windows. Триггером может быть что угодно: вход пользователя, запуск конкретного процесса, изменение файла. Payload не живёт в реестре как строка — он хранится в репозитории WMI (
🎭 COM-hijacking: persistence без единой новой записи в Run-ключах
Каждый раз, когда Windows ищет COM-объект, она проверяет
Четыре техники, разные уровни скрытности, разные требования к привилегиям — полный разбор с командами, OPSEC-соображениями и артефактами для blue team читай в статье на форуме 👇
https://codeby.net/threads/tekhniki-zakrepleniya-v-windows-reyestr-planirovshchik-wmi-i-com-hijacking-dlya-red-team.92841/
Представь ситуацию: недели разведки, социальной инженерии, обхода периметра — и вот он, живой beacon. Потом пользователь перезагружается. Или EDR убивает процесс. Или IT прилетает с патчем. И ты начинаешь всё сначала.
Именно поэтому профессиональные APT-группы вкладываются не в initial access, а в многослойное закрепление. Volt Typhoon сидел в критической инфраструктуре больше пяти лет — необнаруженным. Salt Typhoon действовал аналогично. Это не магия — это системная работа с persistence.
🔑 Реестр: от очевидного к невидимому
Run-ключи —
HKCU\Software\Microsoft\Windows\CurrentVersion\Run — знает каждый EDR на планете. Windows Defender, CrowdStrike, SentinelOne алертят на новые записи мгновенно, особенно если путь ведёт в Temp или Public. Но у этой техники есть неочевидное применение: decoy. Аналитик находит знакомый артефакт, удаляет, закрывает тикет — и считает инцидент закрытым. А ты продолжаешь работать через другой канал.Куда интереснее — менее мониторируемые ключи. Image File Execution Options (
IFEO) позволяет зарегистрировать «отладчик» для любого процесса: при его запуске система выполнит твой код вместо оригинала. Но есть вариант тише: флаг GlobalFlag=0x100 в том же ключе плюс VerifierDlls — и твоя DLL грузится при каждом старте процесса. Autoruns от Sysinternals по умолчанию это не показывает. Тишина.⚙️ Планировщик, WMI и Ghost Tasks
Scheduled Tasks — рабочая лошадка red team. Но настоящая жемчужина — Ghost Tasks: задачи, которые существуют в реестре, но отсутствуют в
%SystemRoot%\System32\Tasks. Стандартные инструменты их не видят. schtasks /query возвращает пустоту. Task Scheduler GUI — тоже. А задача выполняется.WMI-подписки работают на уровне ниже — через событийную модель самой Windows. Триггером может быть что угодно: вход пользователя, запуск конкретного процесса, изменение файла. Payload не живёт в реестре как строка — он хранится в репозитории WMI (
%SystemRoot%\System32\wbem\Repository). Большинство инструментов форензики туда не смотрит по умолчанию.🎭 COM-hijacking: persistence без единой новой записи в Run-ключах
Каждый раз, когда Windows ищет COM-объект, она проверяет
HKCU\Software\Classes\CLSID раньше, чем HKLM. Без прав администратора. Найди CLSID, который вызывается легитимным процессом (например, Task Scheduler или Explorer), зарегистрируй свою DLL в HKCU — и при каждом вызове этого объекта твой код выполняется в контексте легитимного процесса. Никаких новых процессов, никаких подозрительных записей автозапуска.Четыре техники, разные уровни скрытности, разные требования к привилегиям — полный разбор с командами, OPSEC-соображениями и артефактами для blue team читай в статье на форуме 👇
https://codeby.net/threads/tekhniki-zakrepleniya-v-windows-reyestr-planirovshchik-wmi-i-com-hijacking-dlya-red-team.92841/
❤9🔥7👍2
🔌 Внутри автомобиля — до 150 компьютеров. И каждый можно взломать
Современный автомобиль — это не машина с электроникой. Это сеть из 70–150 ECU (электронных блоков управления), которые управляют всем: от впрыска топлива до адаптивного круиз-контроля. У каждого блока — своя прошивка, свои протоколы, свои уязвимости.
🎯 Точка входа, которую видит атакующий первой — OBD-II порт. Тот самый 16-пиновый разъём под приборной панелью, к которому подключается любой механик с диагностическим сканером. С точки зрения MITRE ATT&CK — это классический Hardware Additions (T1200): физический доступ к внутренней шине автомобиля через штатный интерфейс.
Но тут важно понимать разницу, которую путают даже в профессиональных материалах. OBD-II — это физический уровень: разъём, пины, питание. UDS (Unified Diagnostic Services, ISO 14229) — протокол прикладного уровня, который течёт поверх CAN-шины. Грубо: OBD-II — розетка, UDS — то, что через неё передаётся.
⚙️ Через UDS исследователь может переключать диагностические сессии, читать коды ошибок, получать доступ к идентификаторам данных и — при определённых условиях — полностью перепрошить блок. Всё это через стандартные сервисы:
Пример из практики: отправляете на диагностический ID двигателя (0x7E0) запрос
🔒 Казалось бы, gateway-ECU в современных машинах фильтрует запросы и ограничивает маршрутизацию. Через OBD-порт реально видно 5–15 блоков из потенциальных 80+. Но даже этот ограниченный набор включает критичные системы: двигатель, ABS, трансмиссию, подушки безопасности.
И вот где начинается самое интересное. Часть производителей допускает переключение в programmingSession без должной аутентификации. Это не теория — это реальные находки в аудитах. Блок, который должен требовать seed-key обмен перед открытием доступа к прошивке, просто... не требует.
Прежде чем идти дальше — важный момент про стенд. Тестирование на живом автомобиле — плохая идея. Случайный CAN-фрейм может заблокировать трансмиссию или сработать подушки безопасности. Правильная схема: ECU на лабораторном стенде, питание 12 В, CAN-шина с терминирующими резисторами 120 Ом на каждом конце.
🛠 Первый шаг любого аудита — пассивный мониторинг. Поднимаете интерфейс:
Полная методология — с hex-примерами, разбором seed-key аутентификации и техниками извлечения прошивок — в статье.
https://codeby.net/threads/pentest-avtomobil-nykh-ecu-ot-obd-ii-porta-do-izvlecheniya-proshivok-cherez-uds.92845/
Современный автомобиль — это не машина с электроникой. Это сеть из 70–150 ECU (электронных блоков управления), которые управляют всем: от впрыска топлива до адаптивного круиз-контроля. У каждого блока — своя прошивка, свои протоколы, свои уязвимости.
🎯 Точка входа, которую видит атакующий первой — OBD-II порт. Тот самый 16-пиновый разъём под приборной панелью, к которому подключается любой механик с диагностическим сканером. С точки зрения MITRE ATT&CK — это классический Hardware Additions (T1200): физический доступ к внутренней шине автомобиля через штатный интерфейс.
Но тут важно понимать разницу, которую путают даже в профессиональных материалах. OBD-II — это физический уровень: разъём, пины, питание. UDS (Unified Diagnostic Services, ISO 14229) — протокол прикладного уровня, который течёт поверх CAN-шины. Грубо: OBD-II — розетка, UDS — то, что через неё передаётся.
⚙️ Через UDS исследователь может переключать диагностические сессии, читать коды ошибок, получать доступ к идентификаторам данных и — при определённых условиях — полностью перепрошить блок. Всё это через стандартные сервисы:
0x10 (переключение сессии), 0x34 (запрос загрузки), 0x36 (передача данных).Пример из практики: отправляете на диагностический ID двигателя (0x7E0) запрос
02 10 03 — переключение в расширенную сессию. Получаете 02 50 03 — успех. Или 03 7F 10 22 — отказ с кодом NRC 0x22: блок решил, что условия не выполнены (например, автомобиль движется).🔒 Казалось бы, gateway-ECU в современных машинах фильтрует запросы и ограничивает маршрутизацию. Через OBD-порт реально видно 5–15 блоков из потенциальных 80+. Но даже этот ограниченный набор включает критичные системы: двигатель, ABS, трансмиссию, подушки безопасности.
И вот где начинается самое интересное. Часть производителей допускает переключение в programmingSession без должной аутентификации. Это не теория — это реальные находки в аудитах. Блок, который должен требовать seed-key обмен перед открытием доступа к прошивке, просто... не требует.
Прежде чем идти дальше — важный момент про стенд. Тестирование на живом автомобиле — плохая идея. Случайный CAN-фрейм может заблокировать трансмиссию или сработать подушки безопасности. Правильная схема: ECU на лабораторном стенде, питание 12 В, CAN-шина с терминирующими резисторами 120 Ом на каждом конце.
🛠 Первый шаг любого аудита — пассивный мониторинг. Поднимаете интерфейс:
ip link set can0 up type can bitrate 500000, запускаете candump can0 и смотрите реальный трафик между блоками. Уже по дампу видна архитектура сети: активные арбитражные ID, периодичность сообщений, паттерны взаимодействия. Это Network Sniffing (T1040) в чистом виде — и отправная точка для всего дальнейшего исследования.Полная методология — с hex-примерами, разбором seed-key аутентификации и техниками извлечения прошивок — в статье.
https://codeby.net/threads/pentest-avtomobil-nykh-ecu-ot-obd-ii-porta-do-izvlecheniya-proshivok-cherez-uds.92845/
👍11❤6🔥3