🕷 Чек-лист для поиска IDOR

IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»?

Разобрали первую фазу, а остальные — в чек-листе ⬅️

1️⃣ Подготовка и идентификация целей

✅Создай тестовые аккаунты: заведи два профиля — чтобы безопасно проверять операции, изменяющие состояние (POST/PUT/DELETE).

✅Поиск API: определи JSON-эндпоинты, которые используются под капотом отрендеренного HTML.

✅Поиск чувствительных операций: в первую очередь проверяй критичные фичи — сброс пароля, восстановление доступа, финансовые операции, личные сообщения, управление пользователями.

✅Проверяй каждый ID: выясни, является ли эндпоинт приватным или публичным и содержит ли он ID-параметры любого типа.

✅Утечки идентификаторов: проверь, не раскрываются ли ID через другие API-эндпоинты или публичные страницы (публичные профили, списки).

✅Полная карта клиентов: собери все источники запросов — веб, мобильные приложения, публичные/скрытые API. Для мобилок — извлеки запросы из декомпилированного приложения. Если есть swagger/openapi — добавь их в карту.

🔍 TrustFall & MystRodX:

Исследователи из АО ГТС на PROFIT.KZ представили разбор вредоносной активности, в которой фигурируют два связанных инструмента — TrustFall и MystRodX.
Они отдельно отметили, что о схожем вредоносе ранее писали аналитики QAX (@RedDrip7), которые использовали название MystRodX для такого же типа атаки.
По данным ГТС, это звенья одной кампании, наблюдавшейся в 2025 году.

🧩 TrustFall (март 2025)
Лёгкий backdoor: выполняет команды через /bin/sh, пакует данные (tar -czvf), удаляет следы (rm -rf) и отправляет информацию через POST на /news/data_form.php. Использует фиксированные C2 и позже — шифрование.

🧩 MystRodX (август 2025)
Более новая стадия той же линии: обновлённый модуль с другим форматом сетевого обмена, зашифрованным трафиком и расширенной C2-инфраструктурой. Распространялся через 139.84.156.79.

🗃 IOC
185.154.154.135
213.159.64.6
2.56.177.181
37.221.125.201
5.252.22.232
45.14.244.110
45.83.140.218
154.196.162.76
Сервер распространения
139.84.156.79
Конфигурационные файлы
tcbipkrn.config → 185.154.154.135
baeeajzb.config → 213.159.64.6
URI
/news/data_form.php
Поведенческие признаки
tar -czvf
rm -rf
/bin/sh -c "<command>"
шифрование трафика (в поздней активности)
смена канала управления

🎯 APT группы:

STA-2201
Группа, впервые замеченная в 2019, работает по двум направлениям:
• Initial Access Broker (первичный доступ)
• Классическая APT-активность: кража и эксфильтрация данных
Позже стала действовать более скрытно.
Сектора: госуправление, телеком.

STA-2404
Продвинутая хакерская группа, образованная после структурных изменений (детали скрыты).
Активность отслеживается с 2024 года (две волны).
Сектора: госуправление, энергетика, здравоохранение, наука, транспорт, финансы.

🔗 Ссылки
• Презентация: https://profitday.kz/pdf/security2025/15.pdf
• sts.kz
• Запись выступления: https://www.youtube.com/live/8eueDGkMMlo?t=26395
•https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/
🦔 THF