APT28 готовит эксплойт за две недели до патча: как устроена кампания PRISMEX

12 января 2026 года группировка APT28 регистрирует WebDAV-домены. 26 января Microsoft выпускает внеочередной патч для CVE-2026-21509. 28 января — фишинговая рассылка уже в разгаре. Между подготовкой инфраструктуры и массовой атакой — 16 дней. Между патчем и атакой — 48 часов.

🎯 Масштаб впечатляет: 29 писем, девять стран, 72 часа. Но главное — письма шли не с поддельных доменов, а с реально скомпрометированных государственных почтовых ящиков Румынии, Боливии и Украины. Цели — министерства обороны, логистические хабы, дипломатические миссии. В Польше били по железнодорожной логистике, в Словакии и Чехии — по цепочкам поставок боеприпасов.

Что делает эту кампанию особенной технически?

⚙️ Цепочка заражения полностью автоматическая. Жертва открывает RTF-документ, и дальше всё происходит без единого дополнительного клика. Через OLE-механизм инстанциируется COM-объект Shell.Explorer.2, который инициирует соединение к WebDAV-серверу атакующего и подтягивает LNK-файл. Никаких макросов. Protected View обходится. Стандартные OLE-предупреждения — тоже.

Загруженный LNK эксплуатирует вторую уязвимость — CVE-2026-21513 в MSHTML Framework (CVSS 8.8). Через вложенные iframe и манипуляцию trust boundaries вызывается ShellExecuteExW за пределами браузерного sandbox. Итог: открыл документ → полная компрометация.

🔬 Дальше — ещё интереснее. Малварный набор PRISMEX использует три приёма, которые серьёзно усложняют детектирование:

• Стеганография в PNG — payload прячется внутри обычных картинок. Антивирус видит легитимное изображение, а внутри — код.
• Fileless-исполнение — вредоносный код живёт только в памяти, на диск ничего не пишется.
• Облачный C2 через Filen.io — управляющий трафик маскируется под обычное обращение к легитимному облачному сервису.

Отдельная деталь для аналитиков: серверная фильтрация. Если вы пытаетесь скачать образец из нецелевой страны или с неподходящим User-Agent, сервер отдаёт чистый ответ. Классический sandbox-evasion на уровне инфраструктуры.

Почему это важно для SOC прямо сейчас? Потому что между раскрытием CVE-2026-21513 и выходом патча прошло 11 дней подтверждённой zero-day-эксплуатации в дикой среде. А CERT-UA зафиксировал атаки на более чем 60 почтовых аккаунтов центральных органов Украины через ту же связку.

В полной статье — конкретные YARA-правила, Sigma-запросы, IoC и detection-логика, которую можно внедрить в SIEM уже сегодня. Разобраны оба варианта цепочки (MiniDoor и Covenant Grunt), COM hijacking, техники по MITRE ATT&CK и рекомендации по hardening.

Читайте полный разбор на форуме.

https://codeby.net/threads/apt28-kampaniya-prismex-analiz-tsepochki-zarazheniya-oblachnyi-c2-i-detection-dlya-soc.92951/

$13,7 млн испарились за ночь: что взлом Grinex говорит о реальной безопасности криптобирж

15 апреля 2026 года криптобиржа Grinex встала колом. Около 1 млрд рублей вывели в неизвестном направлении. Площадка публично обвинила «западные спецслужбы» — и не предоставила ни единого индикатора компрометации. Ни хеша, ни IP, ни CVE. Ничего.

Для любого Threat Intelligence-аналитика это красный флаг: громкая атрибуция без технических деталей означает, что реальный вектор компрометации либо не исследовали, либо результаты слишком неудобны.

🔍 Контекст делает картину ещё интереснее. Grinex — фактический наследник санкционированной Garantex. После того как OFAC заморозил активы Garantex в марте 2025-го, средства клиентов перетекли на Grinex через рублёвый стейблкоин A7A5, который обработал десятки миллиардов долларов за год. Санкционное давление нарастало волнами — OFAC, Великобритания, ЕС, блокировка на Uniswap. И на этом фоне — кибератака. Совпадение? Возможно. Но паттерн показательный.

⚙️ Что мы знаем о вероятных техниках? Если разложить атаку по MITRE ATT&CK, типовая kill chain для криптобирж в 2026 году выглядит так:

• T1078 Valid Accounts — компрометация ключей подписи транзакций через фишинг оператора или инсайдера. По статистике TRM Labs, это главный вектор финансовых киберинцидентов прямо сейчас
• T1190 Exploit Public-Facing Application — API биржи, особенно если кодовую базу унаследовали от предшественника без полного аудита
• T1657 Financial Theft — прямая кража с hot wallet, не ransomware, не шифрование, а вывод средств on-chain

Обратите внимание: Grinex не опубликовала postmortem. А T1070 (очистка логов) — стандартная практика атакующих, которая объясняет, почему IOC так и не появились.

📊 И это лишь один инцидент на фоне масштабной картины. За 2025 год в открытый доступ попали более 767 млн записей персональных данных российских пользователей. Q1 2026 продолжил тренд — десятки миллионов строк на андеграундных форумах и в Telegram. Оборотные штрафы за утечки перестали быть теорией, а supply chain атаки начали бить по самим инструментам защиты.

Что с этим делать SOC-аналитику? Как минимум — мониторить аномальные вызовы к signing-сервисам, отслеживать нетипичные объёмы транзакций с hot wallet и проверять целостность CI/CD-пайплайнов.

В полной статье — детальный маппинг TTPs по MITRE ATT&CK, хронология от Garantex до Grinex и готовый detection-чеклист для SOC. Разбираем всё.

https://codeby.net/threads/utechka-dannykh-kriptobirzhi-v-rossii-2026-vzlom-grinex-na-13-7-mln-razbor-ttps-i-detection-cheklist-dlya-soc.92947/

🔓 Патч закрыл RCE, но оставил кражу хешей: как CVE-2026-32202 обманывает Windows Shell

Представьте: вы добросовестно накатили февральский Patch Tuesday, закрыли активно эксплуатируемую zero-day с CVSS 8.8, проверили — код через вредоносный .lnk больше не выполняется. Всё хорошо? Нет. Ваша машина по-прежнему отправляет Net-NTLMv2-хеш на сервер атакующего. Просто потому, что пользователь открыл папку с ярлыком.

Именно это обнаружили исследователи Akamai, тестируя фикс для CVE-2026-21510. Патч убрал обход SmartScreen и заблокировал RCE, но не тронул механизм аутентификации. Так появился CVE-2026-32202 — zero-click уязвимость Windows Shell, которую CISA 29 апреля добавила в каталог Known Exploited Vulnerabilities с дедлайном до 12 мая.

⚙️ Как это работает

Когда Windows Explorer открывает папку, он автоматически парсит все .lnk-файлы внутри — чтобы отрисовать иконки и метаданные. Если ярлык указывает на UNC-путь вроде \\attacker.com\share\payload.cpl, Shell пытается его резолвить. А резолвинг UNC-пути — это SMB-соединение с удалённым сервером и отправка NTLM-хендшейка.

Ключевой момент: всё это происходит до проверок SmartScreen и Mark of the Web. Исследователи называют это «gap between path resolution and trust verification» — окно между разбором пути и проверкой доверия. Функция ShellExecuteExW резолвит путь и инициирует соединение раньше, чем любые защитные механизмы успевают вмешаться.

Итого — цепочка атаки:

• Атакующий создаёт .lnk с UNC-путём на свой сервер
• Доставляет через фишинг, шару или USB
• Жертва просто открывает папку — даже не кликает по файлу
• Windows Shell автоматически отправляет NTLM-хеш
• Атакующий ловит хеш через Responder и делает relay или offline-брутфорс

🎯 Почему CVSS 4.3 — это обманка

Microsoft оценила уязвимость как MEDIUM (CVSS 4.3). Формально — «частичная утечка конфиденциальных данных, целостность не нарушена». Но в реальной доменной среде перехваченный Net-NTLMv2-хеш — это входной билет. NTLM Relay даёт доступ к соседним сервисам без подбора пароля. Offline-брутфорс через hashcat при слабых паролях занимает минуты. А главное — APT28 уже использовала предшественника этой уязвимости в кампаниях против Украины и стран ЕС.

Получается парадокс: неполный патч превратил критическую RCE (CVSS 8.8) в «среднюю» spoofing-уязвимость (CVSS 4.3). Стало безопаснее, но не безопасно.

Если вы администрируете Windows-инфраструктуру с NTLM — проверьте, что апрельский патч установлен. А полный разбор механики, хронологию от первой CVE до попадания в каталог KEV и рекомендации по защите читайте в полной статье.

https://codeby.net/threads/cve-2026-32202-uyazvimost-windows-shell-zero-click-krazha-ntlm-kheshei-cherez-lnk-faily.92952/

Всем привет.

10 и 11 мая проводятся работы по внедрению единого входа в экосистему Codeby

Сейчас на хакерлаб невозможно зарегистрироваться, авторизоваться через почту и сбросить пароль. Ориентировочно до конца дня перечисленный функционал заработает.

Авторизация телеграм работает

Если вы авторизованы в аккаунте, не меняйте пароль и почту, иначе выкинет из аккаунта.

Важно:
Мы не высылаем пароль. После фикса вы самостоятельно можете это сделать. Если не помните почту, мы ее вам вышлем, если пришлете ссылку на свой профиль.

По всем вопросам обращайтесь ко мне в ЛС @the_codeby

ML-движок за миллионы рублей пропускал платежи без единого алерта. Почему?

На одном из red team-проектов против платёжного шлюза команда за четыре часа прошла три уровня антифрода: velocity checks, device fingerprinting от коммерческого вендора и поведенческую биометрию. Card-not-present транзакции до 150 000 рублей улетали без единого срабатывания — ручная проверка включалась только выше порога. И это не уникальный случай, а системная проблема.

Почему так происходит? Бизнес давит на антифрод-команды: каждый ложный блок — потерянный клиент. Пороги калибруют так, чтобы минимизировать false positives, и если транзакция выглядит «достаточно нормально», она проходит. Именно этот зазор и эксплуатируют атакующие.

🔍 Как устроена защита

Антифрод работает в два слоя. Транзакционный — анализирует суммы, частоты, географию, типы карт. Сессионный — собирает цифровой отпечаток устройства и поведенческие сигналы ещё до момента оплаты. Решение принимается за миллисекунды: JS-коллектор снимает fingerprint, rule engine проверяет жёсткие правила, ML-модель выдаёт вероятность фрода от 0.0 до 1.0, и система решает — пропустить, отправить на ревью или заблокировать.

⚙️ Обход fingerprint'а: консистентность решает всё

Device fingerprinting — первый барьер. Система собирает десятки параметров: Canvas hash, WebGL renderer, AudioContext output, список шрифтов, WebRTC local IP, разрешение экрана, таймзону. Вместе они формируют уникальный отпечаток, который отслеживает пользователя даже при смене IP.

Антидетект-браузеры вроде Multilogin или Dolphin Anty создают изолированные профили с уникальными отпечатками. На red team-проектах иногда патчат Chromium напрямую — подменяют Canvas rendering pipeline, WebGL vendor string, AudioContext sample rate.

Но главная ловушка — не отдельные параметры, а их согласованность. Canvas hash указывает на Intel HD Graphics, а WebGL возвращает NVIDIA GeForce? Флаг. Таймзона Москва при Accept-Language: en-US? Флаг. Разрешение 1920×1080 при заявленном iPhone SE? Флаг. Один рассогласованный параметр — и маскировка рушится.

Ещё один критичный момент: datacenter IP убивает любую маскировку. SEON, Kount, ThreatMetrix ведут базы серверных адресов и отклоняют их почти автоматически. Residential proxy — минимальное требование для прохождения первого слоя.

🧠 А что с поведенческой биометрией? Системы анализируют не только что пользователь делает, но и как: траектории курсора, ритм набора, паттерны скролла. Боты четвёртого поколения уже умеют имитировать человеческую динамику, но timing side-channels и graph analysis остаются серьёзным препятствием.

По данным FTC, потребители в США потеряли от мошенничества более 5,8 млрд долларов за 2021 год. Антифрод проектируется под массовый фрод, а целевые атаки с грамотным OPSEC проскальзывают через все слои.

Полный разбор техник обхода, конкретных инструментов и слепых зон защиты — в развёрнутой статье на форуме.

https://codeby.net/threads/obkhod-antifrod-sistem-kak-atakuyushchiye-uklonyayut-sya-ot-frod-monitoringa-i-gde-zashchita-slepa.93004/

11 минут на одной RTX 4090 — и корпоративный Wi-Fi сдался

На недавнем Red Team проекте для крупного ритейлера точку входа во внутренний периметр нашли не через VPN, не через фишинг — а через Wi-Fi с WPA2-PSK. Пароль был вида Company2024! — название компании, год, восклицательный знак. Hashcat со словарём rockyou и правилом best64 разобрался за считанные минуты. Итог: три этажа офиса, двести сотрудников, VLAN-сегментация — всё доступно с парковки через направленную антенну.

И это не единичный случай. Компании вкладывают миллионы в WAF, EDR, SIEM, а беспроводной вектор остаётся слепым пятном. Wi-Fi — один из самых недооценённых путей initial access в реальных пентестах.

🔑 Почему это работает так легко?

WPA2-PSK уязвим к офлайн-перебору. Атакующему достаточно перехватить PMKID (даже без подключённых клиентов!) или классический 4-way handshake после деаутентификации. Дальше — дело GPU. На RTX 3090 Hashcat выдаёт около 1 MH/s на WPA-PBKDF2, на RTX 4090 — до 1.8 MH/s. Словарь rockyou с мутациями (~1 млрд кандидатов) прогоняется за 10–15 минут. Восьмизначный цифровой пароль падает ещё быстрее.

Но есть нюанс: 12+ случайных символов со спецсимволами — вне досягаемости любого текущего железа. Разница между "взломали за 11 минут" и "не взломали вообще" — буквально в качестве пароля.

📡 А что с WPA3?

WPA3-SAE убирает офлайн-перебор — протокол Dragonfly не отдаёт хеш для брутфорса. Звучит надёжно. Но на практике большинство корпоративных сетей работают в Transition Mode (WPA2 + WPA3 одновременно), чтобы не ломать совместимость со старыми устройствами. А это значит — атакующий просто принудительно даунгрейдит клиента до WPA2 и работает по старой схеме. Transition Mode — это иллюзия безопасности, а не реальная защита.

⚙️ Ещё один мощный вектор — Evil Twin. Поднимаешь поддельную точку доступа с тем же SSID, деаутентифицируешь клиентов от настоящей — и они переподключаются к тебе. Для WPA2-Enterprise это вообще золотая жила: инструмент eaphammer поднимает фейковый RADIUS и собирает доменные учётки в открытом виде, если клиенты не валидируют сертификат сервера.

Что из этого следует? Беспроводной пентест — не экзотика, а обязательная часть аудита. И техники, и инструменты давно зрелые. В полном гайде — пошаговые команды, выбор адаптеров, разведка эфира и разбор каждого вектора с примерами.

https://codeby.net/threads/vzlom-wifi-ataki-na-wpa2-i-wpa3-prakticheskii-gaid-dlya-pentestera.93030/

75% вторжений в 2024 году — без единого эксплойта. Атакующие просто вошли.

Не через уязвимость. Не через zero-day. Через дверь — с валидным логином и паролем. Среднее время от входа до латерального перемещения по сети — 62 минуты, а рекорд — 51 секунда. Identity стала главным вектором атак, и вот почему это касается каждого.

🔑 Мы привыкли думать, что MFA решает проблему. Но в реальности второй фактор — это замедлитель, а не стена. AiTM-прокси вроде Evilginx2 перехватывают сессионные cookie в реальном времени, пока жертва вводит свой одноразовый код. Push-усталость заставляет человека нажать «Подтвердить» в три часа ночи, лишь бы уведомления прекратились. SIM-свопинг вообще убирает телефон из уравнения.

⚡️ Цепочка атаки выглядит как лестница из четырёх ступеней:

1. Учётные данные — credential stuffing из утёкших баз, password spraying, покупка логов у инфостилеров. По Verizon DBIR 2025, 38% утечек начинаются именно так.
2. Обход MFA — AiTM-фишинг, перехват OTP, push-бомбинг.
3. Токены и билеты — OAuth-токены, Kerberos TGT/TGS, Primary Refresh Token в Azure AD. Всё это работает без пароля и без MFA. Pass-the-Ticket, Pass-the-Cookie, token replay — атакующий действует от имени легитимного пользователя.
4. Закрепление — Golden Ticket, долгоживущие refresh tokens, скомпрометированный Identity Provider. Сброс пароля жертвы на этом этапе уже ничего не даёт.

🎯 Отдельная боль — Kerberos. Протоколу больше 30 лет, но он по-прежнему ядро аутентификации Active Directory. Kerberoasting не требует привилегий Domain Admin. Любой доменный пользователь запрашивает сервисный билет, зашифрованный хэшем пароля сервисной учётки, и крекает его офлайн. KDC при этом видит абсолютно легитимный запрос. AS-REP Roasting ещё проще — для аккаунтов с отключённой преаутентификацией доменная учётка даже не нужна.

И ещё одна цифра, которая должна не давать спать спокойно: медианное время исправления утёкшего секрета на GitHub — 94 дня. Три месяца API-ключ или токен лежит в открытом доступе. Понятие «учётные данные» давно вышло за рамки логина и пароля — теперь это JWT, API-ключи, CI/CD-секреты, сервисные аккаунты облаков.

🛡 Что делать прямо сейчас? Проверьте AD на Kerberoastable-аккаунты и учётки без преаутентификации. Внедрите FIDO2 вместо SMS и push. Мониторьте аномальные запросы TGS-билетов. Это минимум, который закрывает самые массовые векторы.

В полной статье — детальная карта атак на identity с разбором каждой техники, инструментов и методов детекта.

https://codeby.net/threads/ataki-na-autentifikatsiyu-polnyi-razbor-tekhnik-komprometatsii-oauth-mfa-kerberos-i-identity-infrastruktury.93646/

Почему 75% директоров по ИБ не устраивают свой бизнес

Свежие данные SuperJob и Positive Education за 2026 год: каждый второй CISO считает, что справляется хорошо. Но высокую оценку от генерального директора получают только 25%. Полуторакратный разрыв между самооценкой и восприятием бизнеса — не проблема самомнения. Это системный баг перехода.

Инженер, который закрывает уязвимости быстрее всех, проваливает первое совещание с CFO, потому что не умеет конвертировать CVSS 9.8 в рубли ущерба. Система образования этому не учит. Вообще.

🔹 Вот что реально стоит на кону. Разрыв в зарплатах между специалистом по ИБ и CISO уровня топ-менеджмента — шестикратный: от 230 тысяч до 1,3–2 млн рублей в месяц. Медиана для CISO в Москве — 520 тысяч, верхняя граница в финтехе и госкорпорациях доходит до 1,5 млн плюс бонус 30–50% годового дохода. Поиск подходящего кандидата затягивается на 4–6 месяцев — рынку остро не хватает людей, которые одновременно разбираются в технике, умеют управлять и понимают регуляторику.

🔹 Путь от инженера до директора по ИБ в российских реалиях занимает 7–12 лет. Три этапа, на каждом из которых ломается большинство.

Этап 1 — техническая база (0–3 года). Работаете руками: SIEM, SOC, DLP. Принципиальный навык — не просто закрывать тикеты, а копать глубже: почему инцидент произошёл и какой бизнес-процесс допустил уязвимость. Привычка думать «почему» вместо «что» потом отличает будущего CISO от вечного L2-аналитика.

Этап 2 — руководитель направления (3–7 лет). Перелом. Перестаёте настраивать SIEM и начинаете решать, какие логи вообще собирать и сколько это будет стоить компании. Мозг сопротивляется, руки тянутся к консоли. Если не отпустить — останетесь тимлидом с завышенным титулом. Критичные проекты для резюме на этом этапе:

• Категорирование объектов КИИ по ФЗ-187
• Соответствие требованиям ЦБ (683-П, 757-П)
• Прохождение проверок Роскомнадзора
• Получение лицензий ФСТЭК/ФСБ

Этап 3 — выход в C-suite. Тут всё решает одно умение: перевести киберриски на язык бизнеса. Не 40-страничная презентация со статистикой файрволов — одна страница с тремя метриками. Те, кто задерживается на позиции дольше, делают так: первый месяц — встречи один на один с CFO, COO, CTO. Второй — аудит. Третий — первый отчёт совету директоров с конкретным запросом на решение.

🎯 Полный roadmap с зарплатными вилками, списком сертификаций и конкретными KPI для каждого этапа — в развёрнутой статье.

https://codeby.net/threads/ciso-kar-yera-roadmap-ot-inzhenera-do-direktora-po-ib-v-2026-godu.93049/

🔐 Единая система входа Codeby ID — как пользоваться

Codeby ID — это один аккаунт для входа на форум codeby.net и на платформу hackerlab.pro. К одному Codeby ID можно привязать несколько способов входа: email, Google, GitHub, Telegram. Куда бы вы ни заходили — это будет ваш один и тот же аккаунт.

---

❓ Сценарий 1 — у меня только Telegram и аккаунт на HackerLab

Цель: добавить email и получить доступ к форуму с тем же аккаунтом.

1. Зайдите на hackerlab.pro через кнопку «Войти через Telegram» (как раньше)
2. Откройте свой Профиль → Настройки
3. Нажмите кнопку «Привязать email» (или подобную в блоке «Способы входа»)
4. Откроется страница Codeby ID — введите свой реальный email и нажмите «Сохранить»
5. На указанный email придёт письмо с подтверждением — перейдите по ссылке внутри письма
6. Готово ✅ — теперь у вас два способа входа (Telegram + email)

После этого вы автоматически сможете зайти на форум codeby.net через Codeby ID — система создаст для вас аккаунт или найдёт существующий по email.

---

❓ Сценарий 2 — у меня только email/Google/GitHub и аккаунт на форуме

Цель: привязать Telegram и зайти на HackerLab в свой существующий аккаунт.

1. Зайдите на codeby.net через ваш обычный способ (email/Google/GitHub)
2. Откройте «Безопасность аккаунта» — https://codeby.net/account/security
3. Нажмите кнопку в блоке «🔐 Управление способами входа»
4. Откроется страница Codeby ID — раздел «Способы входа»
5. Нажмите «Привязать Telegram» — откроется виджет Telegram, подтвердите вход в Telegram
6. Готово ✅ — теперь Telegram привязан к вашему Codeby ID

Теперь зайдите на hackerlab.pro через «Войти через Telegram» — попадёте в свой существующий HackerLab-аккаунт со всем прогрессом (если у вас уже был аккаунт на HL под этим Telegram).

---

❓ Сценарий 3 — связать существующие аккаунты Форум + HackerLab

Связь происходит автоматически, если все способы входа привязаны к одному Codeby ID.

Проверка: зайдите на https://id.codeby.net/if/user/ → раздел «Способы входа» — здесь должны быть все ваши способы (Telegram, email, Google, GitHub — те что используете).

Если способа не хватает — привяжите по инструкциям из Сценария 1 или 2.

После того как все способы привязаны:

- Логин на форум по email/Google/GitHub → ваш форумный аккаунт
- Логин на HL по Telegram → ваш HL-аккаунт со всеми задачами
- Это один и тот же Codeby ID на обоих сайтах

---

⚠️ Чего НЕ нужно делать

- ❌ Не регистрируйтесь через разные email на разных сайтах — система воспримет это как разных людей
- ❌ Не используйте одноразовые email (mailinator, cock.lu и подобные) — они блокируются как спам, письмо подтверждения не дойдёт
- ❌ Если что-то пошло не так — не создавайте новый аккаунт повторно, напишите CTO (контакт ниже). Лишние аккаунты только усложнят восстановление

---

🆘 Куда писать о проблеме

Если:

- Видите пустой аккаунт вместо своего старого (нет ваших задач CTF / нет постов на форуме)
- Не получается привязать email или Telegram
- Письмо с подтверждением не приходит
- Кнопка «Войти через X» не работает или показывает ошибку
- Любая другая проблема со входом

Напишите в Telegram: [@The_Codeby] или на mail@codeby.email — приложите скриншот и опишите что делали и что увидели. Чем подробнее — тем быстрее починим.

57% компаний узнают о взломе не от своего SOC. Почему?

Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.

🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.

Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде powershell.exe или wmic, не триггерит стандартные правила корреляции. Он выглядит как легитимный администратор.

📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.

⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:

1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения

Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.

Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.

🎯 Практический чеклист на первые 30 минут:

• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас

Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.

https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/

🟢 НОВЫЙ виджет «Обсуждение» — теперь под каждым CTF заданием

Под текстом любого задания на hackerlab.pro появился блок обсуждения, привязанный к ветке форума. Задать вопрос, попросить подсказку, ответить другому игроку — всё в одном месте, без перехода на codeby.net.

Зачем: чтобы опыт жил рядом с задачей. Тонкости стека, нетривиальные подходы, вещи которые не гуглятся — делитесь.
Одно правило: подсказки — да, флаги — нет.

⚠️ Не получается отправить сообщение

Виджет свежий, шероховатости есть. Самая частая проблема (невозможно написать в чат) решается так:

1. Выйти из аккаунта
2. Зайти заново через Codeby ID

🆘 Другие баги, странности, идеи

Напишите мне в Telegram: @The_Codeby или на форуме в ЛС — приложите скриншот и опишите что делали и что увидели. Чем подробнее — тем быстрее починим.

Пробуйте, ломайте, репортите.