🤖 82% хакеров уже используют AI — но большинство делает это неправильно

Bugcrowd опросил более 2 000 исследователей безопасности — и выяснилось, что 82% из них уже встроили AI в рабочий процесс. Звучит как революция. Но дьявол в деталях: большинство использует модели как продвинутый поиск, а не как инструмент ускорения конкретных этапов охоты за уязвимостями.

Разница между «AI помогает» и «AI экономит мне 3–4 часа на каждом таргете» — принципиальная. Второе требует чёткого понимания, куда именно направить модель.

🔍 Где LLM реально работает

Возьмём конкретный пример. Современный SPA генерирует JavaScript-бандлы по 200–500 КБ минифицированного кода. Опытный исследователь тратит на ручной разбор такого файла 2–4 часа. LLM справляется за секунды — если правильно сформулировать задачу.

Ключевой момент: не просите модель «найти уязвимости». Просите извлечь структурированные данные:

• все API-эндпоинты с полными путями
• хардкоженные токены и ключи
• функции, обрабатывающие пользовательский ввод
• скрытые или закомментированные параметры

Вы сами решаете, что тестировать. LLM здесь — высокоскоростной парсер, а не «хакер на удалёнке».

⚡️ Вариация payload: итерации в 3 раза быстрее

Нашли потенциальную SSTI во Flask-приложении, но стандартные пейлоады фильтруются? Описываете модели контекст — фреймворк, WAF, что именно блокируется — и получаете десяток bypass-вариаций за минуту. То же работает для XSS с кастомным WAF, SQL-инъекций и SSRF с ограничением по протоколу.

Это не замена ручного крафта — это ускорение итераций. Вместо того чтобы вспоминать все вариации обхода Jinja2-sandbox, получаете стартовый список и адаптируете под конкретный таргет.

📊 Масштаб проблемы, которую AI помогает решить

По прогнозу FIRST Vulnerability Forecast, в 2026 году ожидается около 60 000 CVE — против 50 000 в 2025-м и 40 000 в 2024-м. Рост — 25% ежегодно. Средний SaaS-таргет сегодня — это 300+ эндпоинтов, микросервисная архитектура и облачные ассеты у нескольких провайдеров. Руками всё это приоритизировать в рамках таймбокса — нереально.

Связка BBOT для сбора данных плюс LLM для ранжирования по вероятной эксплуатабельности закрывает этот разрыв. Инструменты вроде PentestGPT принимают вывод nmap, находки Burp и логи перечисления — и возвращают приоритизированный список следующих шагов с обоснованием. Не автономный пентест, а reasoning layer поверх вашего тулчейна. Думалка, а не делалка.

Где AI точно не справится сам — в логических цепочках из нескольких уязвимостей, в бизнес-контексте таргета и в нестандартных векторах, которые требуют интуиции. Об этом, а также о реальных CVE, найденных с помощью AI, — в полной статье.

https://codeby.net/threads/ai-bug-bounty-gde-llm-real-no-uskoryayet-poisk-uyazvimostei-a-gde-tratit-vashe-vremya.92826/

Пасхальная суббота, взломанная инфраструктура и CVE без патча

31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.

🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.

CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.

🔍 Что такое FortiClient EMS и почему это главная цель?

FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.

Компрометация EMS на red team — это джекпот. Атакующий получает:

• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией

По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.

⚙️ Почему баг вообще работает?

Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.

Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.

Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.

🔗 Параллельный вектор

CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.

Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.

https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/

Почему GPT-4o чуть не уронил базу на реальном пентесте

На внешнем пентесте банковского приложения GPT-4o сгенерировал payload для SQLi с несуществующей функцией MySQL. Запусти я его на проде — база бы легла. На том же проекте Claude за 4 минуты приоритизировал 187 находок Nuclei, на которые раньше уходило полтора часа. Один проект, одна неделя, два полярных опыта.

🤖 Автоматизация пентеста с помощью LLM — это не магия. Это инструментарий с измеримым выигрышем на одних фазах и опасными провалами на других. Разберём, где реально экономятся часы — и где AI пентест гарантированно сломается.

Разведка и приоритизация: здесь LLM работает как интеллектуальный парсер. Скармливаешь вывод nmap -sV — получаешь структурированную таблицу: порт, сервис, версия, релевантные CVE, следующий шаг. Экономия — от 40 минут до 2 часов на хост. Когда 200 находок от Nuclei нужно за час превратить в top-10 для заказчика, модель учитывает контекст: если одновременно открыт порт 3389 и обнаружена уязвимость SMB, она корректно повысит приоритет — это потенциальный lateral movement.

🔥 Генерация отчётов — стабильный выигрыш. Модель берёт сырые логи, группирует находки по severity, добавляет описания и рекомендации. На каждом проекте экономлю 2–3 часа на оформлении. Нужна только финальная вычитка — не переписывание с нуля.

⚠️ Эксплуатация — зона повышенного риска. Сгенерированный payload выглядит синтаксически корректно, но в среде с нестандартным WAF или кастомным обработчиком запросов — не работает. Хуже того: может вызвать непредсказуемое поведение на проде. При пост-эксплуатации модели теряют контекст. На 7–8 шаге эскалации привилегий Claude начинает «забывать» данные с третьего шага. В Active Directory-средах, где цепочка достигает 15–20 шагов, это критично: модель предлагает то, что ты уже делал четыре шага назад.

🛠 Практический нюанс, который большинство гайдов пропускает: нельзя просто вбросить мегабайтный XML в промпт. Модель теряет важные детали в середине. Нужна предобработка: конвертируй вывод nmap в компактный текст — только порт, сервис, версия, скрипт-output. Для Nuclei — только template-id, severity, matched-url. Это не опционально, это условие адекватного ответа модели.

Ещё один момент: данные о целевой инфраструктуре можно обрабатывать локальной моделью через Ollama — ничего не уходит в облако. Для NDA-проектов это не опция, а необходимость.

Полный workflow с промптами, bash-скриптами и разбором конкретных кейсов — в статье.

https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-keisy-prompty-i-chestnyye-ogranicheniya.92828/

54 EDR-килера, 35 драйверов, один конвейер — как BYOVD стал индустрией

Представь: ты потратил недели на идеальный имплант — indirect syscalls, обход AMSI, кастомная обфускация. Запускаешь на цели, и через три секунды агент CrowdStrike отправляет алерт в SOC. Payload здесь ни при чём. EDR-драйвер сидит в Ring 0 и видит всё ещё до того, как твой код коснулся ntdll.dll.

🔍 Ответ атакующих прост: спустись на тот же уровень. Именно для этого существует техника BYOVD — Bring Your Own Vulnerable Driver. Берёшь легитимный подписанный драйвер с уязвимостью, грузишь его в ядро через Service Control Manager, получаешь примитив записи в kernel-память — и обнуляешь callback-массивы, которыми EDR отслеживает процессы.

📊 Три года назад это выглядело как экзотика. Сегодня — это конвейер. По данным Cisco Talos и Trend Micro (апрель 2026), ransomware-группировки Qilin и Warlock встроили BYOVD в штатную фазу до шифрования. Они ведут ротируемый пул уязвимых драйверов, мониторят обновления Microsoft Vulnerable Driver Blocklist и переключаются на незаблокированные альтернативы. Их инструментарий заточен на терминацию более 300 endpoint-продуктов до запуска шифрования.

Параллельно исследователи зафиксировали 54 различных EDR-килера, эксплуатирующих 35 подписанных драйверов. Не инциденты — индустрия.

⚙️ Как выглядит цепочка на практике:

1. Атакующий получает локального админа — BYOVD не даёт первоначального доступа, только добивает защиту.
2. Подписанный .sys кладётся в C:\ProgramData или C:\Windows\Temp.
3. Через sc create с типом kernel драйвер уезжает в Ring 0 — подпись валидна, Windows не возражает.
4. Через DeviceIoControl атакующий получает write-примитив в kernel-памяти.
5. Обнуляются адреса в PspCreateProcessNotifyRoutine и соседних массивах — EDR слепнет.
6. Payload разворачивается без помех.

💡 Показательный пример — Dell dbutil_2_3.sys с CVE-2021-21551, CVSS 8.8. Драйвер для обновления BIOS, но без ACL на device object: любой пользователь шлёт IOCTL и получает чтение/запись ядра. Scope=Changed в CVSS-векторе означает буквально: уязвимость ломает всё за пределами компонента, то есть весь kernel. Попала в каталог CISA KEV — и всё равно активно используется, потому что старые версии драйвера продолжают жить на машинах.

🛡 Почему Microsoft Vulnerable Driver Blocklist не спасает? Потому что атакующие мониторят его обновления быстрее, чем он успевает распространиться. Между добавлением драйвера в список и реальным применением политики на конечных точках — окно в недели. А в пуле у атакующих десятки альтернатив.

Детальный разбор примитивов, конкретных IOCTL-кодов и методов детектирования — в полной статье на форуме.

https://codeby.net/threads/byovd-ataka-obkhod-edr-anatomiya-bring-your-own-vulnerable-driver-v-2026-godu.92840/

🔑 22 минуты от первого LDAP-запроса до хеша krbtgt — это не рекорд CTF, это реальный корпоративный пентест

Звучит как преувеличение, но именно столько времени может занять путь от учётки рядового пользователя до полного контроля над доменом. Не потому что кто-то поленился поставить патч. А потому что Active Directory изначально проектировалась для удобства администрирования, а не для противодействия атакующему с валидным доменным аккаунтом.

Один забытый SPN на сервисной учётке с паролем Summer2024! — и ты уже делаешь Kerberoasting. Одна кривая ACL, выданная «на время миграции» три года назад — и BloodHound рисует прямую линию к KRBTGT. Это не экзотика. Это типичная корпоративная инфраструктура.

🗺 Откуда берётся такой результат?

Всё начинается с разведки. Имея только учётку уровня Domain Users, атакующий через стандартные LDAP-запросы получает доступ к колоссальному объёму данных:

• Полный список пользователей и их атрибутов
• Все группы и вложенные членства
• Компьютеры с версиями ОС
• Объекты GPO и ACL на OU
• Доверительные отношения и FSMO-роли

Это не уязвимость — это штатное поведение LDAP в Active Directory. Microsoft так задумала. И именно поэтому атакующий с любым валидным аккаунтом чувствует себя в домене как дома.

🔍 Отдельная история — поле description в атрибутах пользователей. Администраторы записывают туда пароли чаще, чем хотелось бы верить. А ещё в SYSVOL нередко лежат скрипты групповых политик с паролями в открытом виде. Буквально в открытом.

После базовой разведки в дело идёт BloodHound. Он собирает сессии, членства в группах, ACL и делегирование — и строит граф атакующих путей. Типичная находка на реальных проектах: учётная запись мониторинговой службы состоит в группе IT-Admins, у которой есть GenericAll на OU с доменными администраторами. Цепочка строилась годами, по кирпичику, «временно».

⚡️ Дальше — быстрее, чем кажется

Kerberoasting → пароль сервисной учётки → lateral movement → Pass-the-Hash → DCSync → Golden Ticket. Каждый шаг логичен и предсказуем, если знать карту. А карта — это понимание того, как AD обрабатывает Kerberos-тикеты, как работают ACL-права вроде WriteDACL или GenericWrite, и почему делегирование без ограничений — это фактически «ключ от всех дверей».

Полный разбор каждого этапа — от первого LDAP-запроса до DCSync, Golden Ticket и атак на AD CS (ESC1–ESC13) — в статье.

https://codeby.net/threads/pentest-active-directory-polnyi-gaid-ot-razvedki-do-domain-admin-instrumenty-tekhniki-laboratornaya-sreda.92847/

22 секунды — именно столько нужно атакующему, чтобы один звонок превратился в полномасштабный инцидент

Это не метафора. По данным Mandiant M-Trends 2026, между первым звонком мошенника и передачей доступа следующей группировке проходит в среднем 22 секунды. Не минуты — секунды.

📞 И пока компании инвестируют миллионы в файрволы и EDR-системы, атакующие просто звонят на хелпдеск и представляются сотрудниками. Scattered Spider — одна из самых результативных группировок последних лет — поднималась от первого звонка до доменного администратора менее чем за 40 минут. Без единой строки вредоносного кода.

Голосовой фишинг впервые обогнал email как главный вектор начального доступа. Классические фишинговые письма упали до 6% подтверждённых случаев первичного проникновения, а вишинг вырос до 11% — а в облачных инцидентах и вовсе до 23%. Тренд очевиден: технические барьеры растут, и атака смещается туда, где барьеров нет — в человека.

🎯 Почему это работает? Не потому что люди глупы. Атаки вписываются в нормальные рабочие процессы: сброс пароля, согласование платежа, обновление ПО. Каждое действие выглядит рутинным — и именно поэтому срабатывает. По данным Unit 42, 36% всех инцидентов в 2025 году начались с социальной инженерии.

Методы давно вышли за рамки «нигерийских писем». Вот как выглядит карта актуальных атак:

• Вишинг — звонок на хелпдеск, убедительная легенда, сброс MFA-токена за три минуты
• Deepfake-имперсонация — голос или видео «руководителя», который просит срочно перевести деньги
• ClickFix — браузер показывает «ошибку» и предлагает вставить команду в терминал для «исправления»
• QR-фишинг — через linked devices в Signal или Telegram, применяется APT-группировками
• Обход KYC — дипфейки и инъекции видеопотока для обмана систем идентификации

🔐 Что с этим делать? Несколько принципов, которые реально работают:

1. Верификация по второму каналу. Позвонил «руководитель» с просьбой срочно что-то сделать — перезвони ему сам по номеру из корпоративной базы.
2. Нулевое доверие к срочности. «Срочно», «немедленно», «иначе всё рухнет» — классические триггеры давления. Именно в этот момент нужно замедлиться.
3. Аппаратные ключи вместо OTP-кодов. Их нельзя «сбросить» по телефону — физический токен закрывает главный сценарий вишинга.

⚡️ Парадокс 2026 года: чем лучше технические средства защиты, тем ценнее становится атака на человека. Инвестиции в осведомлённость сотрудников — уже не «мягкий» навык, а критическая инфраструктура безопасности.

Полный разбор всех методов, техник APT-групп и практических мер защиты — в статье.

https://codeby.net/threads/sotsial-naya-inzheneriya-2026-polnaya-karta-metodov-atak-i-zashchity.92848/

🎯 Responder собирает хеши в вашей сети прямо сейчас

На каждом втором внутреннем пентесте — одна и та же картина. LLMNR включён по умолчанию, LAPS не развёрнут или покрывает только часть машин, расширенный аудит Kerberos не настроен. Итог: атакующий перехватывает хеши, вытягивает пароль локального администратора и движется по сети, не оставляя следов — всё это за первые два часа после попадания в периметр.

🔍 Разберём, почему это работает.

Когда пользователь допускает опечатку в UNC-пути — например, пишет \\DCC01 вместо \\DC01 — DNS не может разрешить несуществующее имя. Windows автоматически отправляет LLMNR-запрос мультикастом в локальный сегмент. Любой хост в этом сегменте может ответить — и ни один из этих протоколов не проверяет подлинность ответа. Атакующий с запущенным Responder говорит: «Это я, подключайся». Жертва шлёт NTLM-хеш — и NetNTLMv2 уже в руках атакующего.

Дальше — дело техники. Одна команда в Hashcat:

hashcat -m 5600 hashes.txt wordlist.txt

Модуль 5600 — это NetNTLMv2. Слабый пароль типа «Password1» ломается за секунды. Пользователь исправляет опечатку и работает дальше, не подозревая, что хеш уже утёк.

⚡️ Лично я ни разу не видел сеть, где Responder не собрал бы хотя бы пару хешей за первые 20 минут — если LLMNR не отключён.

Проверить состояние прямо сейчас можно одной командой:

Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name EnableMulticast -ErrorAction SilentlyContinue

Если ключ EnableMulticast отсутствует или равен 1 — LLMNR активен и сеть открыта. Отключается через GPO: Computer Configuration > Administrative Templates > Network > DNS Client, параметр «Turn OFF Multicast Name Resolution» — в «Enabled». Применяете gpupdate /force — и вектор закрыт.

🛡 Отдельная история — LAPS. Без него один скомпрометированный хост открывает lateral movement по всей сети: один хеш локального администратора работает везде, где пароль не менялся индивидуально. Это классический Pass-the-Hash, и он до сих пор встречается в большинстве корпоративных сетей.

Три вещи, которые атакующий проверяет в первую очередь:

• LLMNR/NBT-NS — включены ли широковещательные протоколы
• LAPS — покрывает ли все машины или только рабочие станции
• Логирование — видит ли blue team атаки или только стандартные события

Хорошая новость: все три проблемы закрываются штатными средствами Windows, без бюджета на дорогие решения. Плохая: большинство организаций не проверяли это никогда.

📖 Полный разбор — с командами, GPO-настройками и детектированием — в статье.

https://codeby.net/threads/audit-active-directory-bezopasnost-laps-llmnr-i-logirovaniya-za-odin-rabochii-den.92854/

🎣 Как пентестеры находят пароли раньше, чем запускают первый эксплойт

На каждом втором внутреннем пентесте учётные данные обнаруживаются ещё до первой активной атаки. Не потому что заказчики халтурят с безопасностью — просто в плоской корпоративной сети достаточно перевести интерфейс в режим прослушивания, чтобы увидеть FTP-пароли, NTLM-хеши и многое другое в открытом виде.

🔍 Первые 30 минут внутреннего пентеста обычно уходят на пассивную разведку. Запускаешь tcpdump, пишешь трафик в pcap-файл, открываешь в Wireshark — и уже знаешь структуру сети лучше, чем из любого скана. Видно всё: какие VLAN есть, где принтеры с веб-интерфейсом на голом HTTP, кто ходит на внутренний портал без шифрования, какие broadcast-протоколы выдают имена хостов.

Но пассивный сниффинг в современных сетях работает плохо. Коммутатор отправляет фреймы только на нужный порт — вы видите лишь свои пакеты и broadcast. Поэтому в ход идёт ARP-отравление — техника, которая заставляет жертву слать трафик через вас.

⚡️ Почему ARP так легко атаковать? Протокол не имеет встроенной аутентификации. Любой хост может отправить gratuitous ARP-ответ и заявить: «MAC-адрес шлюза — это я». Жертва обновит ARP-кеш и начнёт слать пакеты атакующему. Коммутатор по CAM-таблице доставит их куда надо. Весь трафик теперь проходит через нас — читаем, записываем, при необходимости модифицируем, пересылаем дальше. Жертва ничего не замечает.

🛠 Три инструмента покрывают большинство сценариев:

• tcpdump — захват на удалённых машинах без GUI, первый выбор при SSH-доступе к серверу
• Wireshark — визуальный разбор дампов, мощные фильтры, анализ сессий
• Ettercap — ARP spoofing в лабораторных условиях, перехват и модификация трафика на лету

Важный момент, который часто упускают: перед ARP-атакой обязательно включи IP forwarding командой echo 1 > /proc/sys/net/ipv4/ip_forward. Без этого трафик жертвы просто утонет на твоём интерфейсе — соединение оборвётся, жертва всё поймёт.

Отдельно стоит сказать про лабораторную среду. ARP spoofing в продакшн-сети без письменного разрешения — уголовная статья. «Я просто учился» суд не убедит. Поднимите три VM в VirtualBox с Internal Network: атакующий, жертва, шлюз. Изолированный L2-сегмент отлично имитирует плоскую корпоративную сеть, и никто не пострадает.

💡 Контринтуитивный вывод: шифрование не спасает само по себе. MITM-позиция открывает возможность для SSL stripping, подмены сертификатов и атак на протоколы согласования. HTTPS без HSTS и certificate pinning — не такая уж надёжная защита, как кажется.

В полной статье — пошаговые команды с реальным выводом терминала, разбор каждого флага и сценарии от захвата до анализа. Читайте, если хотите понять, что именно видит атакующий в вашей сети.

https://codeby.net/threads/sniffing-trafika-i-mitm-ataki-wireshark-tcpdump-i-ettercap-v-real-nykh-stsenariyakh.92857/

🐧 Linux EDR не видит тебя — если знать, куда смотреть

На Windows обход защиты давно каталогизирован: ntdll-хуки, ETW-провайдеры, kernel callbacks. На Linux всё иначе. Каждый EDR-агент использует свой источник телеметрии, и у каждого — свои слепые зоны.

По данным CrowdStrike 2025 Global Threat Report, 82% детектов приходятся на malware-free активность — credential theft, living-off-the-land, identity-based атаки. Именно это Linux EDR отслеживает хуже всего. А готовые bypass-инструменты для Linux уже продаются на подпольных форумах от $300.

🔍 Что именно перехватывает агент

Телеметрия на Linux собирается тремя способами:

• auditd — старый и совместимый, но работает как очередь. Если на хосте уже крутится compliance-система, EDR конкурирует за тот же поток событий. Часть syscall'ов просто не попадает в телеметрию.

• eBPF-сенсоры — современный подход. Агент цепляет kprobes и tracepoints к kernel-функциям. Но для работы BTF и CO-RE нужен kernel, собранный с CONFIG_DEBUG_INFO_BTF=y. На RHEL 7 и CentOS 7 этого нет — и там eBPF-сенсор попросту не запустится.

• Kernel-модули — максимальная видимость, но жёсткая привязка к версии ядра и дистрибутиву.

Первый шаг на любом engagement'е — понять, какой из трёх механизмов используется. От этого зависит всё остальное.

⚙️ Прямые syscall'ы: обходим glibc-хуки

Большинство программ вызывают syscall'ы через обёртки glibc. Часть EDR-агентов ставит uprobes именно на эти обёртки или использует LD_PRELOAD. Если вызвать syscall напрямую через asm volatile("syscall"), минуя __libc_execve, — такой агент ничего не увидит.

На Linux номера syscall'ов стабильны между версиями ядра одной архитектуры. Таблица лежит в arch/x86/entry/syscalls/syscall_64.tbl и практически не меняется. Никакой SysWhispers не нужен.

Что это не обходит: kprobes на kernel-стороне, auditd с правилом -a always,exit -F arch=b64 -S execve, seccomp-BPF фильтры. Они работают на уровне входа в ядро, до любого dispatch'а.

🕳 io_uring: слепая зона другого масштаба

io_uring — асинхронный интерфейс ввода-вывода, появившийся в ядре 5.1. Операции выполняются в ядре через разделяемые кольцевые буферы, без традиционных syscall'ов на каждую операцию. Большинство eBPF-сенсоров и auditd просто не видят эти операции — они не проходят через стандартные точки перехвата.

Исследователи из ARMO показали, что через io_uring можно открывать файлы, читать данные и устанавливать соединения, не генерируя ни одного события в auditd. Falco и Tracee на момент публикации исследования не детектировали этот вектор.

Полная разбивка по всем трём векторам — с механикой eBPF-атак и практическими примерами для пентеста — в статье на форуме.

https://codeby.net/threads/obkhod-edr-linux-syscall-evasion-io_uring-i-ebpf-ataki-dlya-pentesterov.92859/

🚨 47 алертов, тимлид ушёл, а ты один

Именно так выглядит первая смена в SOC для большинства. 23:00, три монитора с дашбордами Splunk, очередь из алертов и полное ощущение, что ты не туда попал. Через три месяца после такого старта можно триажить 80+ алертов за смену и писать корреляционные правила. Вопрос только в том, какой маршрут выбрать.

📊 Начнём с масштаба задачи. По данным Ponemon Institute, средний SOC получает около 10 000 алертов в сутки. Большинство из них — ложные срабатывания: легитимный сканер, похожий на разведку, или пользователь, трижды промахнувшийся по паролю. Работа L1-аналитика — не знать всё на свете, а выстроить дисциплинированный процесс: открыл алерт, проверил контекст, принял решение. Всё.

Карьера в SOC строится по трём уровням, и понимание этой иерархии определяет твой учебный план.

L1 — триаж и первая линия. Разгребаешь поток из SIEM, отделяешь реальные угрозы от шума, эскалируешь наверх. Срок на позиции — от полугода до двух лет. Именно здесь появляется «чутьё на аномалию» — оно не читается из книг, а приходит после пятисотого алерта, когда глаз сам цепляется за нетипичный паттерн.

L2 — расследование инцидентов. Строишь таймлайн атаки, ищешь IoC по всей инфраструктуре, маппишь артефакты на MITRE ATT&CK. Начинается форензика — дампы памяти, артефакты файловой системы, корреляция логов.

L3 — threat hunting. Проактивный поиск угроз, которые ещё не вызвали ни одного алерта. Формулируешь гипотезу и проверяешь её по телеметрии.

🔧 Три области, без которых не выжить на первом дежурстве:

• Сети. TCP/IP, DNS, HTTP/HTTPS. Если видишь трафик на порт 4444 — насторожись: это классический дефолт Metasploit, и да, атакующие до сих пор забывают его менять.
• Windows-логи. Шесть Event ID, которые покрывают 80% типичных инцидентов: 4624 (вход), 4625 (неудача), 4672 (привилегии), 4688 (процесс), 4720 (новый аккаунт), 7045 (сервис). Первые две недели держи их на стикере у монитора — все так делают.
• Linux. /var/log/auth.log, journalctl, команды ss -tlnp и ps aux — ежедневный минимум для проверки соединений и процессов.

💡 Самый контринтуитивный совет для новичка: не пытайся выучить всё до первого дежурства. Паралич от объёма материала — реальная проблема. Лучше потрать 2–3 часа на Wireshark: захвати трафик между двумя виртуалками, разбери TCP-хендшейк и DNS-запрос. Это даст больше, чем неделя чтения RFC.

Полный маршрут на первые 90 дней — инструменты, SIEM, план по неделям и то, что делать при P1-инциденте в одиночку — в статье на форуме 👇

https://codeby.net/threads/analitik-soc-s-chego-nachat-instrumenty-navyki-i-plan-vyzhivaniya-v-pervyye-90-dnei.92864/

Коммерческий C2 за $10 000 в год детектируется за 12 секунд. Кастомный имплант, написанный за три недели, живёт в сети месяцами

🔍 Разница не в бюджете и не в функциях. Разница в том, понимаете ли вы, как устроен loader, почему EDR видит ваш beacon, и на каком уровне абстракции вы принимаете решения о стелсе.

Threat intelligence команды CrowdStrike и SentinelOne годами картографируют артефакты коммерческих C2. Каждый Malleable C2 profile, каждый паттерн beacon'а, каждый формат конфига — рано или поздно превращается в detection rule. Инженеры SECFORCE сформулировали это точнее всех: «Стандартный подход — модификация коммерческих C2 — не будет устойчивым в долгосрочной перспективе». Именно поэтому они написали собственный C2 на стеке Nim + C (имплант), Go (сервер), Node.js + React (интерфейс).

⚙️ Вот где ломается логика «дорогой инструмент = надёжный инструмент». Nighthawk от MDSec стоит $10 000 за пользователя в год (минимум три лицензии). Cobalt Strike — около $3 500/год. Оба детектируются на уровне loader'а — потому что EDR-вендоры давно знают их артефакты наизусть.

Это не значит, что коммерческие C2 бесполезны. Всё зависит от типа операции:

• Стандартный пентест — Sliver или Mythic с правильным OpSec покрывают 90% задач без дополнительной разработки
• Red Team против зрелого SOC с CrowdStrike/SentinelOne — коммерческий C2 детектируется на уровне loader'а, нужен кастомный имплант
• Adversary simulation на 3–6 месяцев — кастомный C2 единственный способ пережить активный threat hunting

🛠 Что реально даёт написание своего инструмента? Контроль над каждым байтом. Вы сами решаете, как выглядит shellcode в памяти, какой транспортный протокол использует имплант, как обходится AMSI и ETW. Модифицируете чужой фреймворк — работаете в рамках чужих ограничений. Пишете свой — платите временем и экспертизой, но получаете инструмент, который EDR-вендор ещё не видел.

🎯 Разработка offensive-инструментов — это инженерная дисциплина с реальными trade-off'ами. Здесь нет универсального ответа: BOF-модуль для Cobalt Strike иногда закрывает задачу быстрее, чем три недели разработки. Но понимать весь стек — от архитектуры C2 до уровня kernel callbacks — это то, что отделяет оператора от инженера.

В полной статье — карта всей дисциплины: архитектура C2, написание shellcode, обход AMSI/ETW, bypass конкретных EDR (CrowdStrike, SentinelOne, Defender), разработка BOF и агентов Mythic. Читайте, если хотите понять дисциплину целиком.

https://codeby.net/threads/razrabotka-red-team-instrumentov-ot-arkhitektury-c2-freimvorkov-do-kastomnykh-implantov-i-obkhoda-edr.92877/

«80% практики» — это когда флаг сам себя не захватит

Каждая школа кибербезопасности пишет про «практикоориентированность». Но когда доходит до дела, выясняется: у одних «практика» — это тест с вариантами ответов после видеолекции, у других — самостоятельная эксплуатация уязвимости на стенде с поднятым Active Directory. Разница примерно как между чтением книги про плавание и заплывом через реку.

🔥 Рынок давит: только за первый квартал 2025 года в России открылось 41 800 вакансий в сфере кибербезопасности — почти половина от всего 2024 года. Медианная зарплата пентестера на старте — 80 000–110 000 рублей. Спрос есть. Но вот вопрос: после какого курса вы реально способны провести пентест от разведки до отчёта?

💡 Есть метрика, которую почти никто не считает при выборе курса — стоимость академического часа. Курс за 156 000 рублей может оказаться дешевле курса за 85 000, если в первом втрое больше часов реальной практики. Сравнивать по общему ценнику — всё равно что выбирать отель по стоимости номера, не зная, что входит в завтрак.

Ещё один момент, который режет глаз в большинстве обзоров: никто не спрашивает, готовит ли курс к международным сертификациям. А зря. Для работодателя OSCP или eJPT — конкретный сигнал уровня. Диплом школы без привязки к признанной сертификации работает только внутри экосистемы этой школы.

🎯 Что реально отделяет сильный курс от маркетингового:

• Стенд с доменной инфраструктурой, а не одна уязвимая машина с очевидным эксплойтом
• Живое ревью отчётов от куратора — на реальном пентесте 60% работы это именно отчёт
• Покрытие актуальных векторов: Broken Access Control встречается в 94% случаев среди веб-уязвимостей по OWASP, и курс обязан это отрабатывать
• Терминология MITRE ATT&CK в программе — если её нет, курс оторван от индустриальных стандартов

🤔 Честно: большинство обзоров курсов ИБ пишут люди, которые ни разу не открывали msfconsole на рабочем проекте. Они сравнивают лендинги, а не содержание. А потом студент приходит на первый реальный пентест — и понимает, что половина изученного была мёртвым грузом.

В полной статье — разбор Codeby Academy, OTUS, Skillfactory и Нетологии по шести конкретным критериям: доля стендовой практики, глубина лабораторий, подготовка к сертификациям, формат обратной связи, актуальность программы и стоимость часа. Без маркетинга — только то, что важно при выборе.

https://codeby.net/threads/kursy-po-kiberbezopasnosti-2025-chestnoye-sravneniye-codeby-otus-skillfactory-i-netologiya.92880/

🔴 Red Team против Blue Team: не хайп, а разный образ мышления

Есть стереотип: Red Team — это крутые хакеры, Blue Team — скучные ребята за мониторами. На деле всё ровно наоборот.

80% времени Red-тимера — это написание отчётов, а не взломы. Методология, документация, воспроизводимость атаки. Голливудский образ «хакера в капюшоне» разбивается о реальность уже на первом пентесте.

А Blue Team? Когда в три часа ночи в Splunk прилетает lateral movement в реальном времени — и ты понимаешь, что атакующий уже внутри — адреналин не слабее, чем от первого полученного шелла. Это не мониторинг алертов. Это охота.

💡 Ключевое различие между командами — не инструменты, а асимметрия задачи. Red-тимеру достаточно одной успешной атаки, чтобы доказать точку. Blue-тимер должен останавливать сотни атак одновременно — и не пропустить ту единственную, которая реально опасна.

Это и определяет разный характер людей в этих командах. Red-тимеры часто интроверты-исследователи, которым нравится копать глубоко в одну систему. Blue-тимеры — те, кто умеет держать в голове сразу много контекста и быстро переключаться.

🟣 А что такое Purple Team? В большинстве российских компаний это вообще не существует как штатная единица. Но именно Purple-подход — когда атакующие и защитники садятся за один стол и вместе разбирают дыры в детектировании — отделяет зрелую программу безопасности от «бумажной» ИБ.

Как это выглядит на практике: Red-тимер проводит технику из матрицы MITRE ATT&CK, Blue-тимер смотрит — сработало ли детектирование. Не сработало — пишем правило. Сработало — проверяем, нет ли ложных срабатываний. Результат фиксируется и сразу идёт в улучшение защиты. Никакого «отчёта в стол».

Как выбрать своё направление? Задайте себе один вопрос: вам интереснее сломать систему или понять, почему она не сломалась? Первое — Red. Второе — Blue. Оба варианта — Purple.

Но есть нюанс: люди часто выбирают специализацию по хайпу, а потом полгода мучаются на нелюбимой позиции. Потому что не разобрались заранее, что именно они будут делать руками каждый день.

🗺 В полной статье — детальная карта всех специализаций: от SOC Tier 1 до Threat Hunter, от junior-пентестера до оператора Red Team. Плюс реальные зарплатные вилки, сравнение сертификаций (OSCP, CEH, eJPT), и пошаговый план — с чего начать, если вы только присматриваетесь к ИБ.

Читайте полную версию — там разобраны все развилки пути.

https://codeby.net/threads/kar-yera-v-kiberbezopasnosti-red-team-blue-team-i-purple-team-polnaya-karta-spetsializatsii-i-poshagovyi-plan-rosta.92896/

Семь из десяти корпоративных сетей ломаются за 48 часов. Вот что за этим стоит

Звучит как кино, но это статистика из реальных пентестов. Семь из десяти корпоративных сетей оказывались скомпрометированы ещё до истечения двух суток — и каждая атака начиналась с одного и того же места: терминала Linux.

🖥 Не потому что это «хакерская ОС из кино». А потому что именно здесь цепочка от nmap -sS до secretsdump.py выстраивается без единого графического клика. Полный контроль, полная автоматизация, нулевая зависимость от GUI.

Но здесь начинается главная ловушка для новичков: большинство русскоязычных материалов застряли в бесконечных сравнениях Kali против Parrot. Опытный пентестер оперирует не дистрибутивом, а конкретными инструментами на каждом этапе kill chain. Дистрибутив — это просто ящик для инструментов. Цвет ящика не важен.

🔍 Если всё-таки выбирать, вот честная картина:

• Kali Linux — промышленный стандарт. Около 600 инструментов в базовом метапакете, образы для VM, Docker, WSL и ARM, меню структурировано по категориям MITRE ATT&CK. 99% обучающих материалов написаны под Kali — главный аргумент для старта.

• Parrot Security — Debian stable в основе, Tor и Anonsurf из коробки, меньше жрёт ресурсов. Единственный пентест-дистрибутив с полноценной Home-редакцией для повседневной работы.

• BlackArch — репозиторий из 2900+ утилит поверх Arch Linux. Потребление RAM в простое — около 330 МБ. Порог входа высокий, документация минимальная, зато найдёте любой инструмент.

⚡️ Теперь про то, что реально решает исход теста: разведка. По классификации MITRE ATT&CK это этапы T1595 и T1046. Пропустите разведку — будете стучаться в запертую дверь, когда окно рядом открыто настежь.

Пассивная разведка начинается до отправки первого пакета к цели. amass enum -passive -d target.com выгружает поддомены из Certificate Transparency логов. theHarvester собирает email-адреса, поддомены и имена сотрудников из публичных источников. И всё это — без единого пакета в сторону цели.

🎯 Дальше — активное сканирование, повышение привилегий через LinPEAS, техники закрепления через cron и systemd, обход EDR через syscall evasion и eBPF-атаки. Каждый этап kill chain — отдельная дисциплина со своими инструментами и ловушками.

Всё это разобрано в полном руководстве: от первого nmap-скана до закрепления в инфраструктуре. Карта kill chain с конкретными командами, инструментами и ссылками на детальные разборы каждого этапа — в статье по ссылке.

https://codeby.net/threads/linux-dlya-pentestera-polnoye-rukovodstvo-po-instrumentam-tekhnikam-i-avtomatizatsii.92899/

⚔️ WAF в режиме мониторинга — это просто дорогой логгер

Разворачиваешь пентест внешнего периметра — и снова видишь знакомую тройку: PT Application Firewall перед вебом, UserGate или Континент на границе сети. Маркетинговые даташиты обещают «полную защиту от OWASP Top 10». Реальность — другая.

🔍 Первое, что нужно понять: WAF и NGFW — принципиально разные инструменты, и обходятся они по-разному. WAF — прокси уровня приложений (L7), который разбирает HTTP-запрос на атомы: заголовки, URI, параметры, тело. NGFW работает на уровнях L3–L7, но «широко», а не «глубоко». Для атакующего это прямая развилка: WAF обманывают через семантику HTTP — мутируют payload, играют с кодировками, эксплуатируют парсерные дифференциалы. NGFW обходят туннелированием через разрешённые протоколы или фрагментацией пакетов. Смешивать подходы — терять время и плодить лишние следы в логах.

🏗 PT Application Firewall разворачивается как обратный прокси: терминирует TLS, полностью разбирает запрос, нормализует его и только потом отправляет на бэкенд. Это означает, что часть техник обхода, построенных на разнице между тем, как WAF и бэкенд по-разному читают одни и те же байты, здесь работает иначе. Сигнатурный движок стабильно ловит классические SQLi и XSS в стандартных параметрах. Но атаки в глубоко вложенных JSON/XML-структурах или с нестандартным Content-Type — уже сложнее.

Реально сильная сторона PT AF — виртуальный патчинг: при интеграции с PT Application Inspector продукт закрывает конкретные уязвимости без изменения кода приложения. Ни один NGFW этого не умеет.

Слепое пятно — атаки на бизнес-логику: IDOR, mass assignment, race conditions. Сигнатурами они не ловятся в принципе. Поведенческий ML-модуль теоретически может заметить аномалию, но только после обучения на нормальном трафике. На практике его нередко отключают — команда ИБ устаёт разгребать false positives.

🔒 UserGate NGFW — не WAF. Его задача — контроль трафика между сегментами и защита периметра. DPI-модуль идентифицирует приложения по сигнатурам и применяет политики. Для инспекции зашифрованного трафика используется TLS-инспекция (SSL bump) с подменой сертификата. Стандартный подход, но с важным следствием: его обычно настраивают выборочно, и в зонах без инспекции туннелирование через разрешённые протоколы работает предсказуемо.

💡 И самый важный практический вывод, который подтверждает опыт аудитов в финансовом и госсекторе: значительная часть российских WAF работает в режиме мониторинга, а не блокировки. Причина банальна — тюнинг политик под конкретное приложение требует ресурсов, которых у команды ИБ просто нет. Полный разбор архитектуры всех трёх продуктов, конкретные техники обхода и выводы по Континент — в статье на форуме.

https://codeby.net/threads/rossiiskiye-waf-i-ngfw-sravneniye-pt-af-usergate-i-kontinent-glazami-pentestera.92901/