Codeby
Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina
إظهار المزيد📈 نظرة تحليلية على قناة تيليجرام Codeby
تُعد قناة Codeby (@codeby_sec) في القطاع اللغوي الروسية لاعباً نشطاً. يضم المجتمع حالياً 36 774 مشتركاً، محتلاً المرتبة 3 653 في فئة التكنولوجيات والتطبيقات والمرتبة 17 405 في منطقة روسيا.
📊 مؤشرات الجمهور والحراك
منذ تأسيسه في невідомо، حقق المشروع نمواً سريعاً وجمع 36 774 مشتركاً.
بحسب آخر البيانات بتاريخ 13 يوليو, 2026، تحافظ القناة على نشاط مستقر. خلال آخر 30 يوماً تغيّر عدد الأعضاء بمقدار 222، وفي آخر 24 ساعة بمقدار 13، مع بقاء الوصول العام مرتفعاً.
- حالة التحقق: غير موثّقة
- معدل التفاعل (ER): يبلغ متوسط تفاعل الجمهور 7.56%. وخلال أول 24 ساعة من النشر يحصد المحتوى عادةً 4.29% من ردود الفعل نسبةً إلى إجمالي المشتركين.
- وصول المنشورات: يحصل كل منشور على متوسط 2 779 مشاهدة. وخلال اليوم الأول يجمع عادةً 1 579 مشاهدة.
- التفاعلات والاستجابة: يتفاعل الجمهور بانتظام؛ متوسط التفاعلات لكل منشور يبلغ 16.
- الاهتمامات الموضوعية: يركز المحتوى على مواضيع رئيسية مثل edr, api, вектор, mitre, att&ck.
📝 الوصف وسياسة المحتوى
يصف المؤلف القناة بأنها مساحة للتعبير عن الآراء الذاتية:
“Блог сообщества Кодебай
Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy
CTF: hackerlab.pro
VK: vk.com/codeby
YT: clck.ru/XG99c
Сотрудничество: @KinWiz
Реклама: @Savchenkova_Valentina”
بفضل وتيرة التحديث المرتفعة (أحدث البيانات بتاريخ 14 يوليو, 2026) تحافظ القناة على حداثتها ومستوى وصول مرتفع. وتُظهر التحليلات تفاعلاً نشطاً من الجمهور، ما يجعلها نقطة تأثير مهمة ضمن فئة التكنولوجيات والتطبيقات.
email:password, записанными с точностью до секунды. Полная C2-панель злоумышленника — как на ладони. Без единого эксплойта. Меньше часа от обнаружения до полной документации.
Как такое вообще происходит?
➡️Анатомия OPSEC-провала
Apache httpd по умолчанию включает mod_autoindex. Если в каталоге нет index.html, сервер честно показывает всё содержимое директории любому желающему. Атакующий загрузил фишинговый кит, проверил, что страница авторизации рендерится корректно — и забыл проверить корневой каталог. Shodan и Censys проиндексировали всё за него.
Это не единичный случай. Исследование Hacktive Security описывает модель «смерть от тысячи порезов»: переиспользованный username, дефолтная конфигурация, phpMyAdmin без пароля на стандартном /phpmyadmin/, SSL-сертификаты с характерным Subject/Issuer. Каждая мелочь по отдельности некритична, но в совокупности — прямой путь к атрибуции.
Масштаб проблемы в цифрах
Фишинг — не одиночное письмо со ссылкой. Это инфраструктурная операция с регистрацией доменов, арендой серверов, сбором email-адресов и управлением кампанией через C2-панель. По данным APWG за 2022 год, суммарное число фишинговых атак достигло 4,7 миллиона. Group-IB зафиксировала свыше 59 000 фишинговых сайтов, из них около 7 000 нацелены на российских пользователей — рост вдвое за год. За каждым сайтом — инфраструктура. В каждой инфраструктуре — потенциальные дыры.
🔑Украденные пароли — только начало
Собранные credential-ы — не конечная цель. Это стартовая точка для проникновения в корпоративные системы. Типичная цепочка выглядит так:
• Фишинг → кража учётных данных
• Доступ к корпоративному SharePoint
• Эксплуатация уязвимостей (auth bypass + RCE)
• Выполнение кода → ransomware
Свежие CVE-2025-49706 и CVE-2025-49704 для SharePoint уже добавлены CISA в KEV с ассоциацией ransomware. Причём для обеих существуют patch bypass — одна из них с CVSS 9.8 CRITICAL и эксплуатацией in the wild. Фишинговая панель — первое звено этой цепочки.
Важный нюанс: обнаружение через directory listing работает против commodity-фишинга. Продвинутые группы прячут панели за reverse proxy и VPN. Против APT нужна другая методология — мониторинг регистрации доменов в реальном времени и корреляция через passive DNS.
В полной статье — пошаговая методология: от первого запроса в Censys до построения полной карты C2-инфраструктуры атакующего. С конкретными запросами, инструментами и примерами infrastructure pivoting.
https://codeby.net/threads/analiz-fishingovoi-infrastruktury-iznutri-ot-opsec-provala-atakuyushchego-do-polnoi-karty-c2.94725/Инструмент для поиска и устранения распространенных ошибок в службах сертификации Active Directory.Предварительные требования ⏺️Locksmith необходимо запускать в системе, имеющий доступ к домену. ⏺️Перед импортом модуля Locksmith необходимо установить модули PowerShell ActiveDirectory и ServerManager. ⏺️Для некоторых проверок и устранения неполадок могут потребоваться права администратора. ⬇️Установка ➡️Стандартная установка модуля Откройте командную строку PowerShell и установите Locksmith из PowerShell Gallery:
- Install-ModuleName Locksmith -Scope CurrentUser➡️Скачать и использовать без установки Скачать последнюю версию со страницы релизов. Далее необходимо открыть PowerShell в папке с распакованным файлом и выполнить:
Unblock-File .\Locksmith.zip
Expand-Archive .\Locksmith.zip
Import-Module .\Locksmith\Locksmith.psd1
Invoke-Locksmith
Примеры использования (4 режима)
1️⃣ Выявление проблем, вывод в консоль (режим по умолчанию)
Запуск Invoke-Locksmith.ps1 без параметров или с -Mode 0 позволит просканировать текущий лес Active Directory и вывести все обнаруженные проблемы AD CS в консоль.
2️⃣ Выявление проблем и способов их устранения, вывод в консоль, вывод в CSV
Сканирует текущий лес и выводит все обнаруженные проблемы с Active Directory и возможные способы их устранения в консоль или в файл ADCSIssues.CSV в текущем рабочем каталоге
.\Invoke-Locksmith.ps1 -Mode 1 # вывод в консоль
.\Invoke-Locksmith.ps1 -Mode 3 # вывод в CSV
3️⃣ Исправление всех проблем
При запуске Locksmith в данном режиме будут выявлены все неправильные настройки, и будет предложено исправление каждой проблемы. Если это может повлиять на работу системы, Locksmith предупредит вас.
.\Invoke-Locksmith.ps1 -Mode 4
4️⃣ Сканирование
Используйте параметр -Scans, чтобы выбрать, какие уязвимости проверять. Допустимые значения включают All, Auditing, ESC1, ESC2, ESC3, ESC4, ESC5, ESC6, ESC7, ESC8, ESC9, ESC11, ESC13, ESC15, EKEUwu, ESC16 или PromptMe. PromptMeОпция представляет собой интерактивный список, позволяющий выбрать одно или несколько сканирований.
# Сканирование для ESC1, ESC2, и ESC8
Invoke-Locksmith.ps1 -Scans ESC1,ESC2,ESC8
#ADCS #tools #misconfigurations
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджеромrefresh token с правами чтения и записи всей CRM. Дальше кастомные Python-скрипты для массовой выгрузки: контакты, сделки, тикеты поддержки, паспортные данные.
Почему это так опасно?
Три причины.
⏺️Масштаб поражения. Компрометация одного OAuth-токена через стороннюю интеграцию Salesloft Drift затронула более 700 организаций за десять дней. Один токен — семьсот жертв.
⏺️Ценность данных. Salesforce хранит клиентские базы, историю сделок, данные лояльности. SharePoint — внутренние документы и файловые хранилища. Утечка у дистрибьютора вроде Baker Distributing бьёт по всей цепочке поставок.
⏺️Слепая зона SOC. Легитимный API-вызов от авторизованного приложения не генерирует алертов в стандартной конфигурации EDR и SIEM. Вы узнаёте об утечке из даркнет-поста, а не из собственного мониторинга.
➡️Что реально помогает?
Из 39 жертв ни одна не использовала out-of-band верификацию входящих звонков. Элементарная мера: перезвонить на известный номер IT-отдела или подтвердить запрос через корпоративный мессенджер. Звучит просто — но именно это ломает всю цепочку атаки на первом шаге.
Второй уровень — контроль OAuth-приложений. Регулярный аудит Connected Apps, автоматический отзыв неиспользуемых токенов, алерты на регистрацию новых приложений с широкими правами. Если refresh token не отозван — атакующий внутри без повторной аутентификации.
Salesforce публично отказалась платить выкуп. Но данные уже на даркнет-площадке.
Полный разбор kill chain, маппинг на MITRE ATT&CK и конкретные защитные меры — в статье на форуме.
https://codeby.net/threads/zashchita-korporativnykh-saas-ot-vzloma-razbor-atak-shinyhunters-na-salesforce-i-sharepoint.94688/JWT часто используется для аутентификации в современных веб-приложениях. Однако безопасность токена зависит не только от алгоритма подписи, но и от того, как сервер его проверяет.
Стены стоят. Стража на месте. Но что-то пошло не так.Как называется эта атака? Пишите свои догадки в комментариях!💫 🔗 Все наши каналы 🔁Все наши чаты 🪧Для связи с менеджером
GoPhish — письмо от «службы кадров» про новый ДМС-полис. Результат: каждый пятый сотрудник ввёл корпоративный логин и пароль на поддельной странице.
Почему так происходит? Потому что awareness-программы строят HR и compliance-офицеры, а не те, кто реально атакует.
➡️Несколько цифр, которые отрезвляют:
• По Verizon DBIR 2025, 68% утечек связаны с человеческим фактором — ошибки и социальная инженерия
• Генерация фишингового письма через GenAI занимает в 11 раз меньше времени, чем ручное написание, при сопоставимом качестве
• 75% вторжений в 2024 году использовали действительные учётные данные — те самые, что сотрудники вводят на фишинговых страницах
Атакующий генерирует письма быстрее, чем ваш HR успевает согласовать следующий вебинар. Вот в чём проблема.
Что делает пентестер иначе? Он строит процесс от данных, а не от презентации:
1. Baseline без предупреждения. Тихая фишинговая кампания до любого обучения. Замеряем четыре метрики: open rate, click rate, credential harvest rate и report rate. Типичный baseline в компании без программы: 50-60% открытий, 25-35% кликов, 15-25% сданных паролей, и жалкие 2-5% сообщений в SOC.
2. Сегментированное обучение. Тех, кто ввёл пароль, учим интенсивно — показываем конкретно их письмо и что атакующий делает дальше: lateral movement, доступ к файловым шарам, эскалация до доменного админа. Тех, кто кликнул, но не ввёл данные, учим распознавать URL-индикаторы. Тех, кто не кликнул, — знакомим с новыми векторами: вишинг, QR-фишинг.
3. Маппинг на MITRE ATT&CK. Каждая симуляция привязана к конкретной технике — T1566.001, T1566.002, T1656. SOC видит, что детектировать, руководство видит, какие TTP закрыты людьми, а какие — только техникой.
🎯Из практики: лучше всего работают претексты, имитирующие внутренние процессы — «обновление политики отпусков», «новый порядок начисления премий», «уведомление от IT о смене пароля». Письма от «внешних» сервисов работают слабее — сотрудники реже вводят корпоративные креды на страницах «банков» и «доставок».
Ежегодный вебинар с картинками про «не открывайте подозрительные вложения» формирует не навык, а иллюзию защищённости. Полный pipeline — от первой симуляции до измеримого изменения поведения — разобрали в статье.
https://codeby.net/threads/security-awareness-programma-kak-pentester-vystraivayet-kul-turu-kiberbezopasnosti-v-kompanii.94631/MouseJack — это класс уязвимостей, обнаруженный в 2016 году и затрагивающий беспроводные клавиатуры и мыши без поддержки Bluetooth. Эти периферийные устройства «подключаются» к компьютеру с помощью радиопередатчика (небольшой USB-адаптер). Поскольку соединение беспроводное, а движения мыши и нажатия клавиш передаются по воздуху, можно взломать компьютер жертвы, передавая специально созданные радиосигналы с помощью специального устройства (например, Flipper Zero или CrazyRadio).🔗Причина возникновения Эксплойт MouseJack основан на внедрении незашифрованных нажатий клавиш на целевой компьютер. Движения мыши обычно передаются в незашифрованном виде, а нажатия клавиш часто шифруются (чтобы злоумышленники не могли подслушать, что именно печатается). Однако уязвимость MouseJack использует уязвимость в приемных устройствах и связанном с ними программном обеспечении, позволяя передавать незашифрованные нажатия клавиш, отправленные злоумышленником, в операционную систему компьютера так, как если бы их действительно нажала жертва. ❗️Последствия Злоумышленник может получить контроль над целевым компьютером, не находясь физически перед ним (атака доступна на расстоянии 100 метров), и вводить произвольный текст или отправлять команды по сценарию. Таким образом, можно быстро совершать вредоносные действия, оставаясь незамеченным. MouseJack можно использовать для удаленного захвата компьютера, внедрения вредоносного ПО и потенциального проникновения в во внутреннюю инфраструктуру компании. 🔑Обнаружение Исследовательская группа Bastille Threat Research Team, обнаружившая данную уязвимость в далеком 2016, также выпустила инструмент с открытым исходным кодом, который поможет обнаружить беспроводные мыши и клавиатуры, уязвимые для MouseJack. Как защититься? 1️⃣Прежде всего необходимо отдавать предпочтение Bluetooth-устройствам, использующим современные версии протокола и актуальные обновления безопасности. 2️⃣ Использовать современные устройства, где обмен между клавиатурой/мышью и приемником аутентифицируется и шифруется. 3️⃣ В случае использования уязвимых моделей, необходимо обновить прошивку. P.S. Несмотря на то, что уязвимость была обнаружена в 2016 году, на текущий момент все равно находится уязвимые устройства, для которых атака все так же является актуальной, что помогает специалистам по тестированию на проникновение "пробиться" за периметр. #mouse #Flipper #vulnerabilities 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
/api/v2/tickets, /api/v2/search, /api/v2/ticket_audits без архитектурного ограничения на объём выгрузки. Rate limits рассчитаны на защиту от перегрузки, а не от авторизованной эксфильтрации. Разница между «агент смотрит один тикет» и «агент выгружает миллионы записей» по умолчанию не контролируется.
🎇Что проверить прямо сейчас, если у вас есть Zendesk:
• У BPO-агентов FIDO2/WebAuthn или только OTP? Стандартный OTP перехватывается фишинг-китом за секунды
• Настроен ли мониторинг аномального объёма API-запросов от одного агента в SIEM?
• Есть ли алерт на bulk-экспорт через Incremental Exports API?
• Проверены ли SPF/DKIM/DMARC на домене, привязанном к Zendesk? Без них атакующий может получить доступ к тикетам через spoofed email
Финансовые ставки высоки: группа SLH предположительно запросила у Discord $5 млн выкупа. Для компании, чья поддержка хранит сканы паспортов, это инцидент категории «критический» под GDPR, CCPA и 152-ФЗ одновременно.
В полной статье — детальный kill chain по MITRE ATT&CK, готовые detection-правила для SIEM и чеклист, который можно передать команде SOC сегодня.
https://codeby.net/threads/utechka-dannykh-cherez-zendesk-kill-chain-detection-gap-i-cheklist-dlya-soc.94540/При включенном обратном прокси-сервере этот подстановочный знак доверяет каждому IP-адресу источника, поэтому любой, кто может получить доступ к порту, может отправить заголовок X-WEBAUTH-USER и пройти аутентификацию как любой пользователь, без пароля и токена, — объяснил Мустафа. При включенной автоматической регистрации имя пользователя admin дает право доступа admin.Стоит отметить, что документированное безопасное значение для внутренней переменной "REVERSE_PROXY_TRUSTED_PROXIES" - "127.0.0.0/8,::1/128", что означает, что в качестве доверенного прокси-сервера разрешен только localhost, то есть интерфейс обратной связи. Однако в официальном образе Docker это значение по умолчанию не используется, вместо него жестко задан символ "*". Другими словами, проверка в списке разрешенных серверов фактически отсутствует. Уязвимость затрагивает версии образов Docker Gitea до 1.26.2 включительно. Она была устранена в версии 1.26.3, выпущенной в конце прошлого месяца, где был удален символ подстановки "*", а аутентификация через обратный прокси-сервер стала необязательной. Источник: https://thehackernews.com/2026/07/threat-actors-probe-gitea-docker-flaw.html #news #docker #vuln #gitea #proxy 🔗 Все наши каналы 🔁Все наши чаты 🪧Для связи с менеджером
git clone https://github.com/hac01/k8scout
cd k8scout
make build
make build-linux
make build-all
❗️Инструмент полезен на стадии, когда специалист уже скомпрометировал один из подов и хочет посмотреть дальнейшие пути развития. k8scout автоматически определяет, на что способна скомпрометированная служебная учетная запись пода, составляет карту RBAC и отслеживает многоэтапные пути атаки от вашего текущего положения до наиболее ценных целей.
Запускается в двух режимах:
➡️Наступательный режим (режим по умолчанию) — запуск из скомпрометированного пода. Определяет права доступа и все доступные пути эскалации с текущего положения.
➡️Режим проверки (--reviewer-mode) — запуск с помощью служебной учетной записи только для чтения для аудита всей поверхности атаки кластера на предмет всех идентификаторов.
❓Что может обнаружить инструмент
k8scout строит взвешенный граф разрешений и выполняет поиск пути на основе алгоритма Дейкстры, чтобы выявить реалистичные многоэтапные цепочки атак: под для администратора кластера, выход контейнера на узел, боковое перемещение, кража секретов и учетных данных, эскалация облачного IAM, цепочки олицетворения, изменение рабочей нагрузки, внедрение Webhook, злоупотребление оператором GitOps, обнаружение неправильной конфигурации.
Каждый обнаруженный элемент включает в себя идентификаторы техник MITRE ATT&CK, оценку риска и пошаговый путь атаки с указанием задействованных узлов графа. Всего 50 правил обнаружения.
Режимы использования
1️⃣Из скомпрометированного пода (основной сценарий использования)
# Скопировать бинарный файл в под
kubectl cp k8scout-linux-amd64 <ns>/<pod>:/tmp/k8scout
# Запустить
kubectl exec -it <ns>/<pod> -- chmod +x /tmp/k8scout
kubectl exec -it <ns>/<pod> -- /tmp/k8scout --out /tmp/result.json
# Извлечь результаты
kubectl cp <ns>/<pod>:/tmp/result.json ./result.json
Двоичный файл автоматически определяет, что он запущен в кластере, идентифицирует модуль и сервис-аккаунт и начинает поиск пути от вашей точки входа.
2️⃣С локального компьютера
# Использует ~/.kube/config или $KUBECONFIG
k8scout --all-namespaces --out result.json
# Цель на одно пространство имен
k8scout --namespace production --out result.json
3️⃣Режим проверки (полный аудит кластера)
# Разверните RBAC и задание, доступные только для чтения
kubectl apply -f deploy/rbac.yaml
kubectl apply -f deploy/job.yaml
# Или доступен запуск напрямую с разрешениями
k8scout --reviewer-mode --all-namespaces --out result.json
#k8s #tools #graphs
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером