Codeby
Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina
Show more📈 Analytical overview of Telegram channel Codeby
Channel Codeby (@codeby_sec) in the Russian language segment is an active participant. Currently, the community unites 36 774 subscribers, ranking 3 653 in the Technologies & Applications category and 17 405 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 36 774 subscribers.
According to the latest data from 13 July, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 222 over the last 30 days and by 13 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 7.56%. Within the first 24 hours after publication, content typically collects 4.29% reactions from the total number of subscribers.
- Post reach: On average, each post receives 2 779 views. Within the first day, a publication typically gains 1 579 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 16.
- Thematic interests: Content is focused on key topics such as edr, api, вектор, mitre, att&ck.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Блог сообщества Кодебай
Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy
CTF: hackerlab.pro
VK: vk.com/codeby
YT: clck.ru/XG99c
Сотрудничество: @KinWiz
Реклама: @Savchenkova_Valentina”
Thanks to the high frequency of updates (latest data received on 14 July, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
Data loading in progress...
| Date | Subscriber Growth | Mentions | Channels | |
| 14 July | +1 | |||
| 13 July | +20 | |||
| 12 July | +12 | |||
| 11 July | +26 | |||
| 10 July | +90 | |||
| 09 July | +11 | |||
| 08 July | +6 | |||
| 07 July | +14 | |||
| 06 July | +12 | |||
| 05 July | +5 | |||
| 04 July | +10 | |||
| 03 July | +12 | |||
| 02 July | +16 | |||
| 01 July | +8 |
| 2 | 🎇Locksmith
Инструмент для поиска и устранения распространенных ошибок в службах сертификации Active Directory.
Предварительные требования
⏺️Locksmith необходимо запускать в системе, имеющий доступ к домену.
⏺️Перед импортом модуля Locksmith необходимо установить модули PowerShell ActiveDirectory и ServerManager.
⏺️Для некоторых проверок и устранения неполадок могут потребоваться права администратора.
⬇️Установка
➡️Стандартная установка модуля
Откройте командную строку PowerShell и установите Locksmith из PowerShell Gallery:
- Install-ModuleName Locksmith -Scope CurrentUser
➡️Скачать и использовать без установки
Скачать последнюю версию со страницы релизов.
Далее необходимо открыть PowerShell в папке с распакованным файлом и выполнить:
Unblock-File .\Locksmith.zip
Expand-Archive .\Locksmith.zip
Import-Module .\Locksmith\Locksmith.psd1
Invoke-Locksmith
Примеры использования (4 режима)
1️⃣ Выявление проблем, вывод в консоль (режим по умолчанию)
Запуск Invoke-Locksmith.ps1 без параметров или с -Mode 0 позволит просканировать текущий лес Active Directory и вывести все обнаруженные проблемы AD CS в консоль.
2️⃣ Выявление проблем и способов их устранения, вывод в консоль, вывод в CSV
Сканирует текущий лес и выводит все обнаруженные проблемы с Active Directory и возможные способы их устранения в консоль или в файл ADCSIssues.CSV в текущем рабочем каталоге
.\Invoke-Locksmith.ps1 -Mode 1 # вывод в консоль
.\Invoke-Locksmith.ps1 -Mode 3 # вывод в CSV
3️⃣ Исправление всех проблем
При запуске Locksmith в данном режиме будут выявлены все неправильные настройки, и будет предложено исправление каждой проблемы. Если это может повлиять на работу системы, Locksmith предупредит вас.
.\Invoke-Locksmith.ps1 -Mode 4
4️⃣ Сканирование
Используйте параметр -Scans, чтобы выбрать, какие уязвимости проверять. Допустимые значения включают All, Auditing, ESC1, ESC2, ESC3, ESC4, ESC5, ESC6, ESC7, ESC8, ESC9, ESC11, ESC13, ESC15, EKEUwu, ESC16 или PromptMe. PromptMeОпция представляет собой интерактивный список, позволяющий выбрать одно или несколько сканирований.
# Сканирование для ESC1, ESC2, и ESC8
Invoke-Locksmith.ps1 -Scans ESC1,ESC2,ESC8
#ADCS #tools #misconfigurations
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 938 |
| 3 | Microsoft подтвердила наличие в материалах дела ФБР идентификатора устройства GDID в Windows, который невозможно отключить.
Компания Microsoft публично признала существование глобального идентификатора устройства (GDID), идентификатора, присваиваемого каждой установке Windows, в федеральном иске, поданном прокуратурой США против предполагаемого члена хакерской группы Scattered Spider.
Идентификатор генерируется при настройке Windows с использованием учетной записи Microsoft, сохраняется после обновлений Windows и не может быть отключен без влияния на активацию Windows и приложения Microsoft Store.
В иске цитируется представитель Microsoft, описывающий GDID как "постоянный идентификатор на уровне устройства, предназначенный для уникальной идентификации установки операционной системы Windows на устройстве, будь то физическое устройство, такое как мобильный телефон или ноутбук, или виртуальная машина, в определенных службах и сценариях Microsoft".
Глобальный идентификатор устройства (GDID) — это постоянный идентификатор, присваиваемый при создании учетной записи Microsoft в Windows. Он генерируется цепочкой служб Windows.
Этот идентификатор хранится в реестре Windows по адресу HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties и имеет формат с префиксом "g" в нижнем регистре, за которым следует десятичное число. Он передается на серверы Microsoft и сохраняется после обновлений Windows, но не сохраняется после чистой переустановки. Microsoft признала, что у одного пользователя может быть несколько GDID, связанных через его учетную запись, OneDrive и историю активации.
Источник: https://www.ghacks.net/2026/07/12/microsoft-confirms-windows-gdid-device-identifier-that-cannot-be-disabled-documented-in-fbi-case-filing/
#news #windows #gdid
🔗Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 1 739 |
| 4 | Почему почти каждый пентест начинается с веб-приложения?
Новые сервисы появляются быстрее, чем успевают проходить полноценную проверку безопасности, а одна незамеченная уязвимость может открыть путь ко всей внутренней сети.
Поэтому специалисты, которые умеют искать и эксплуатировать уязвимости веб-приложений, остаются одними из самых востребованных в offensive security.
На курсе WAPT от Codeby вы научитесь работать, как это делают практикующие пентестеры.
Что будет на курсе:
⏺️поиск и эксплуатация уязвимостей из OWASP Top-10;
⏺️анализ защищённости веб-приложений;
⏺️работа с Burp Suite, nmap, ffuf, wfuzz, nuclei, sqlmap, WPScan, nikto и другими инструментами;
⏺️методологии проведения веб-пентеста;
⏺️автоматизация рутинных задач.
Практика — основа курса:
➡️лаборатория из 66 заданий разной сложности;
➡️4 месяца обучения (144 академических часа);
➡️отдельный блок подготовки к итоговому экзамену.
Полученные навыки применимы как в коммерческом пентесте, так и в программах Bug Bounty.
Поток стартует уже 16 июля. 5 433 ₽ / мес при поэтапной оплате курса.
➡️Подробности
🪧Бесплатная консультация: @CodebyAcademyBot | 1 813 |
| 5 | Один телефонный звонок — и миллиард записей утекает из Salesforce
Ни одного zero-day. Ни одного эксплойта. Группировка ShinyHunters скомпрометировала 39 компаний — Cisco, Disney, FedEx, Marriott — через обычные телефонные звонки и штатные механизмы OAuth. Позвонили, представились IT-поддержкой, попросили нажать одну кнопку. Всё.
И это не единичный случай. По данным CrowdStrike, число облачных вторжений выросло на 26% за год, а 75% инцидентов эксплуатировали действительные учётные данные — не уязвимости, не малварь, а легитимный доступ.
🔑Как работала атака?
Оператор звонил сотруднику, используя Mullvad VPN для маскировки. Легенда — срочный тикет, требующий немедленного действия. Генеративный ИИ помогал готовить скрипты звонков под конкретную организацию и роль жертвы за минуты. IBM X-Force отмечает: генерация фишинговых сценариев с GenAI быстрее в 11,4 раза.
Цель звонка — убедить сотрудника авторизовать OAuth-приложение. Жертву направляли на страницу Connected Apps в Salesforce и просили ввести «код подключения». Один клик на consent — и атакующие получали refresh token с правами чтения и записи всей CRM. Дальше кастомные Python-скрипты для массовой выгрузки: контакты, сделки, тикеты поддержки, паспортные данные.
Почему это так опасно?
Три причины.
⏺️Масштаб поражения. Компрометация одного OAuth-токена через стороннюю интеграцию Salesloft Drift затронула более 700 организаций за десять дней. Один токен — семьсот жертв.
⏺️Ценность данных. Salesforce хранит клиентские базы, историю сделок, данные лояльности. SharePoint — внутренние документы и файловые хранилища. Утечка у дистрибьютора вроде Baker Distributing бьёт по всей цепочке поставок.
⏺️Слепая зона SOC. Легитимный API-вызов от авторизованного приложения не генерирует алертов в стандартной конфигурации EDR и SIEM. Вы узнаёте об утечке из даркнет-поста, а не из собственного мониторинга.
➡️Что реально помогает?
Из 39 жертв ни одна не использовала out-of-band верификацию входящих звонков. Элементарная мера: перезвонить на известный номер IT-отдела или подтвердить запрос через корпоративный мессенджер. Звучит просто — но именно это ломает всю цепочку атаки на первом шаге.
Второй уровень — контроль OAuth-приложений. Регулярный аудит Connected Apps, автоматический отзыв неиспользуемых токенов, алерты на регистрацию новых приложений с широкими правами. Если refresh token не отозван — атакующий внутри без повторной аутентификации.
Salesforce публично отказалась платить выкуп. Но данные уже на даркнет-площадке.
Полный разбор kill chain, маппинг на MITRE ATT&CK и конкретные защитные меры — в статье на форуме.
https://codeby.net/threads/zashchita-korporativnykh-saas-ot-vzloma-razbor-atak-shinyhunters-na-salesforce-i-sharepoint.94688/ | 1 661 |
| 6 | 🚩 Новые задания на платформе HackerLab!
🧰 Категория PWN — Зачем мне этот SO?
——————————————
🗂 В архив добавлены задания + райтапы:
🔵Веб - Визитка
Приятного хакинга! | 1 891 |
| 7 | Какая ошибка реализации JWT считается одной из самых опасных? | 2 317 |
| 8 | 🪧 Пятничный опрос
JWT часто используется для аутентификации в современных веб-приложениях. Однако безопасность токена зависит не только от алгоритма подписи, но и от того, как сервер его проверяет. | 2 165 |
| 9 | Excel-опросники врут, а сканировать нельзя. Как реально контролировать ИБ контрагентов и ДЗО?
Любой опытный CISO знает: аудит третьих сторон - это вечная головная боль.
• Контрагенты присылают отписки: в анкетах у всех «всё защищено», а на деле - внутренние процессы "на нуле".
• Активный аудит нелегален: сканировать инфраструктуру подрядчика без письменного разрешения нельзя (чревато ст. 272 УК РФ), а ставить агенты в их сеть никто не позволит.
• Ресурсы ограничены: вручную проверить безопасность 200+ поставщиков силами ИБ-отдела физически невозможно.
Приглашаем на вебинар CICADA8, где мы без маркетингового хайпа обсудим методологию и автоматизацию контроля внешней экосистемы бизнеса.
🗓 Когда: 16 июля, 11.00 (МСК)
📍 Формат: Онлайн-трансляция для практиков (CISO, GRC, ИБ-аудиторов)
Кейс CICADA8: архитектура экспресс-аудита ИБ в холдинге с распределенной сетью ДЗО.
Регистрируйтесь уже сейчас
#реклама
О рекламодателе | 1 464 |
| 10 | Пентест за доллар: почему AI-агенты ломают экономику наступательной безопасности
Прощупать внешний периметр компании сегодня стоит несколько долларов. Не тысяч, не сотен — буквально единицы. По крайней мере, так утверждают авторы наступательных AI-фреймворков. И хотя независимой верификации этих цифр пока нет, сам тренд уже невозможно игнорировать.
🔎С марта 2023 года (выход GPT-4) появились десятки open-source инструментов, которые превращают языковые модели в автономных пентестеров. RapidPen заявляет получение shell за минуты при стоимости меньше доллара. Excalibur — полноценный Active Directory engagement с lateral movement за десятки долларов. Ручной тест аналогичного масштаба обходится в тысячи и десятки тысяч.
Ключевой сдвиг — переход от последовательной работы к параллельной. Живой пентестер работает серийно: сканирует, ждёт, интерпретирует, выбирает следующий шаг. AI-агент запускает разведку по всем поддоменам, портам и сервисам одновременно. Не теряет контекст, не отвлекается, не жертвует одной целью ради другой.
↗️Один из самых интересных примеров архитектуры — фреймворк T3MP3ST. Его главная идея: не строить собственную модель, а оркестрировать уже существующие AI-агенты (Claude Code, Codex) для задач red-teaming. Внутри — три специализированных роли:
• Reconnaissance-агент — перечисляет поверхность атаки: поддомены, порты, стек технологий
• Exploitation-агент — формирует гипотезы и тестирует их
• Verification-агент — подтверждает находки и генерирует воспроизводимый PoC
Каждый работает в отдельном инстансе. Это не один чат с LLM — это параллельная работа нескольких агентов с разделением ответственности. По MITRE ATT&CK один такой агент покрывает сразу пять тактик — от Reconnaissance до Execution.
↗️Но вот где начинается реальность. Оркестрационный код T3MP3ST бесплатен (лицензия AGPL-3.0), однако настоящие расходы прячутся в токенах. При параллельном запуске нескольких агентов бюджет API-вызовов растёт нелинейно. Трёхагентная конфигурация за час сканирования средней цели может съесть $20–40 — и это без агрессивного fan-out. Заявленный «пентест за доллар» быстро превращается в десятки долларов на практике.
🎯И главная проблема — верификация. Ни один из перечисленных фреймворков не прошёл независимую проверку результатов. Авторы публикуют впечатляющие бенчмарки, но воспроизвести их в чужих условиях — отдельный квест. Модели галлюцинируют, путают false positive с реальными уязвимостями, а без человека-верификатора отчёт AI-агента — не более чем набор гипотез.
Тем не менее объём наступательных операций теперь ограничен не трудозатратами, а инфраструктурными расходами. И для защитников это уже не теория.
Полный разбор архитектур, сравнение фреймворков и реальные подводные камни — в статье на форуме.
https://codeby.net/threads/ai-agenty-dlya-poiska-uyazvimostei-kak-rabotayet-t3mp3st-i-drugiye-nastupatel-nyye-ai-freimvorki.94629/ | 2 297 |
| 11 | 💫Одна история о том, как идеальная защита перестала быть идеальной.
Стены стоят. Стража на месте. Но что-то пошло не так.
Как называется эта атака? Пишите свои догадки в комментариях!💫
🔗 Все наши каналы 🔁Все наши чаты 🪧Для связи с менеджером | 2 270 |
| 12 | 19% сотрудников сдали пароль за 4 часа — после «обучения» по ИБ
Логистическая компания, 1200 человек. Полгода назад провели корпоративный тренинг по безопасности — двухчасовой вебинар, 40 слайдов, галочка в compliance. Мы запустили фишинговую кампанию через GoPhish — письмо от «службы кадров» про новый ДМС-полис. Результат: каждый пятый сотрудник ввёл корпоративный логин и пароль на поддельной странице.
Почему так происходит? Потому что awareness-программы строят HR и compliance-офицеры, а не те, кто реально атакует.
➡️Несколько цифр, которые отрезвляют:
• По Verizon DBIR 2025, 68% утечек связаны с человеческим фактором — ошибки и социальная инженерия
• Генерация фишингового письма через GenAI занимает в 11 раз меньше времени, чем ручное написание, при сопоставимом качестве
• 75% вторжений в 2024 году использовали действительные учётные данные — те самые, что сотрудники вводят на фишинговых страницах
Атакующий генерирует письма быстрее, чем ваш HR успевает согласовать следующий вебинар. Вот в чём проблема.
Что делает пентестер иначе? Он строит процесс от данных, а не от презентации:
1. Baseline без предупреждения. Тихая фишинговая кампания до любого обучения. Замеряем четыре метрики: open rate, click rate, credential harvest rate и report rate. Типичный baseline в компании без программы: 50-60% открытий, 25-35% кликов, 15-25% сданных паролей, и жалкие 2-5% сообщений в SOC.
2. Сегментированное обучение. Тех, кто ввёл пароль, учим интенсивно — показываем конкретно их письмо и что атакующий делает дальше: lateral movement, доступ к файловым шарам, эскалация до доменного админа. Тех, кто кликнул, но не ввёл данные, учим распознавать URL-индикаторы. Тех, кто не кликнул, — знакомим с новыми векторами: вишинг, QR-фишинг.
3. Маппинг на MITRE ATT&CK. Каждая симуляция привязана к конкретной технике — T1566.001, T1566.002, T1656. SOC видит, что детектировать, руководство видит, какие TTP закрыты людьми, а какие — только техникой.
🎯Из практики: лучше всего работают претексты, имитирующие внутренние процессы — «обновление политики отпусков», «новый порядок начисления премий», «уведомление от IT о смене пароля». Письма от «внешних» сервисов работают слабее — сотрудники реже вводят корпоративные креды на страницах «банков» и «доставок».
Ежегодный вебинар с картинками про «не открывайте подозрительные вложения» формирует не навык, а иллюзию защищённости. Полный pipeline — от первой симуляции до измеримого изменения поведения — разобрали в статье.
https://codeby.net/threads/security-awareness-programma-kak-pentester-vystraivayet-kul-turu-kiberbezopasnosti-v-kompanii.94631/ | 2 288 |
| 13 | Чем опасна атака MouseJack?
MouseJack — это класс уязвимостей, обнаруженный в 2016 году и затрагивающий беспроводные клавиатуры и мыши без поддержки Bluetooth. Эти периферийные устройства «подключаются» к компьютеру с помощью радиопередатчика (небольшой USB-адаптер). Поскольку соединение беспроводное, а движения мыши и нажатия клавиш передаются по воздуху, можно взломать компьютер жертвы, передавая специально созданные радиосигналы с помощью специального устройства (например, Flipper Zero или CrazyRadio).
🔗Причина возникновения
Эксплойт MouseJack основан на внедрении незашифрованных нажатий клавиш на целевой компьютер. Движения мыши обычно передаются в незашифрованном виде, а нажатия клавиш часто шифруются (чтобы злоумышленники не могли подслушать, что именно печатается).
Однако уязвимость MouseJack использует уязвимость в приемных устройствах и связанном с ними программном обеспечении, позволяя передавать незашифрованные нажатия клавиш, отправленные злоумышленником, в операционную систему компьютера так, как если бы их действительно нажала жертва.
❗️Последствия
Злоумышленник может получить контроль над целевым компьютером, не находясь физически перед ним (атака доступна на расстоянии 100 метров), и вводить произвольный текст или отправлять команды по сценарию.
Таким образом, можно быстро совершать вредоносные действия, оставаясь незамеченным. MouseJack можно использовать для удаленного захвата компьютера, внедрения вредоносного ПО и потенциального проникновения в во внутреннюю инфраструктуру компании.
🔑Обнаружение
Исследовательская группа Bastille Threat Research Team, обнаружившая данную уязвимость в далеком 2016, также выпустила инструмент с открытым исходным кодом, который поможет обнаружить беспроводные мыши и клавиатуры, уязвимые для MouseJack.
Как защититься?
1️⃣Прежде всего необходимо отдавать предпочтение Bluetooth-устройствам, использующим современные версии протокола и актуальные обновления безопасности.
2️⃣ Использовать современные устройства, где обмен между клавиатурой/мышью и приемником аутентифицируется и шифруется.
3️⃣ В случае использования уязвимых моделей, необходимо обновить прошивку.
P.S. Несмотря на то, что уязвимость была обнаружена в 2016 году, на текущий момент все равно находится уязвимые устройства, для которых атака все так же является актуальной, что помогает специалистам по тестированию на проникновение "пробиться" за периметр.
#mouse #Flipper #vulnerabilities
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 026 |
| 14 | 👉 HTTP-заголовки — неотъемлемая часть любого веб-приложения и важный
элемент информационной безопасности.
Мы подготовили серию карточек с разбором основных HTTP-заголовков. Чтобы материал было удобнее изучать, разделили его на несколько частей.
🧿 А какие HTTP-заголовки вы считаете самыми важными? Пишите в комментариях — разберем их в следующих частях серии.
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 647 |
| 15 | AvitoTech устраивает онлайн CTF с призами до 300 000 рублей команду 📍
Что внутри турнира: таски на веб-уязвимости, инфраструктурные мисконфиги, анализ скомпилированного кода, расследование инцидентов, слабости шифров и всё, что требует хакерской смекалки. Если это ваш первый опыт, вписывайтесь в Honey-лигу — туда опытных игроков не пускают.
❗️Регистрация, кстати, уже открыта❗️
Кажется, это знак собрать свою команду и попробовать себя в роли того самого медоеда! Проверьте защиту пчелиного улья и помогите найти все скрытые уязвимости в сотах 🐝 | 2 329 |
| 16 | Почему helpdesk — самая недооценённая точка входа для атакующих
Два крупных инцидента за полгода — Crunchyroll и Discord — и один вектор: Zendesk. Не zero-day, не RCE, не эксплойт в коде. Обычная компрометация агентского аккаунта через аутсорсера. И вот что пугает: оба раза это сработало.
🔑Схема до неприличия проста. Атакующие ломают не саму платформу, а сотрудника BPO-провайдера — аутсорсинговой компании, которая обслуживает поддержку. Фишинговая страница под Okta, перехват OTP, регистрация своего устройства — и злоумышленник сидит в Zendesk с полными правами агента. В случае Discord доступ удерживался около 58 часов. За это время атакующие заявили о выгрузке 1.6 ТБ данных: 8.4 миллиона тикетов, сканы паспортов, платёжная информация. Discord признала инцидент, но оспорила масштаб.
А теперь главное — почему это вообще возможно.
➡️Zendesk — не «просто тикет-система». Это хранилище PII с прямым доступом к именам, email, телефонам, платёжным данным, IP-адресам. Плюс интеграции с Okta, Slack, внутренними API. По данным Rescana, через Zendesk можно было делать миллионы API-запросов к внутренней базе Discord — платформа поддержки работала как прокси к данным, которые сама компания никогда не экспонировала наружу.
И вот ключевое слепое пятно: Zendesk API позволяет авторизованному агенту запрашивать эндпоинты /api/v2/tickets, /api/v2/search, /api/v2/ticket_audits без архитектурного ограничения на объём выгрузки. Rate limits рассчитаны на защиту от перегрузки, а не от авторизованной эксфильтрации. Разница между «агент смотрит один тикет» и «агент выгружает миллионы записей» по умолчанию не контролируется.
🎇Что проверить прямо сейчас, если у вас есть Zendesk:
• У BPO-агентов FIDO2/WebAuthn или только OTP? Стандартный OTP перехватывается фишинг-китом за секунды
• Настроен ли мониторинг аномального объёма API-запросов от одного агента в SIEM?
• Есть ли алерт на bulk-экспорт через Incremental Exports API?
• Проверены ли SPF/DKIM/DMARC на домене, привязанном к Zendesk? Без них атакующий может получить доступ к тикетам через spoofed email
Финансовые ставки высоки: группа SLH предположительно запросила у Discord $5 млн выкупа. Для компании, чья поддержка хранит сканы паспортов, это инцидент категории «критический» под GDPR, CCPA и 152-ФЗ одновременно.
В полной статье — детальный kill chain по MITRE ATT&CK, готовые detection-правила для SIEM и чеклист, который можно передать команде SOC сегодня.
https://codeby.net/threads/utechka-dannykh-cherez-zendesk-kill-chain-detection-gap-i-cheklist-dlya-soc.94540/ | 2 556 |
| 17 | Злоумышленники изучают уязвимость Docker в Gitea спустя 13 дней после её обнаружения
Речь идёт об уязвимости CVE-2026-20896 (оценка CVSS: 9.8), которая возникает из-за того, что платформа DevOps доверяет заголовку "X-WEBAUTH-USER" от любого исходного IP-адреса, что фактически позволяет неаутентифицированному интернет-клиенту получить расширенный доступ.
В заявлении, отправленном The Hacker News по электронной почте, исследователь безопасности Али Мустафа, которому приписывают обнаружение и сообщение об уязвимости, сообщил, что образы Docker Gitea поставлялись с шаблоном "app.ini", в котором по умолчанию жёстко задано значение "REVERSE_PROXY_TRUSTED_PROXIES = *". Файл "app.ini" является основным конфигурационным файлом для управления параметрами сервера, подключениями к базам данных, поведением безопасности и настройками приложения.
При включенном обратном прокси-сервере этот подстановочный знак доверяет каждому IP-адресу источника, поэтому любой, кто может получить доступ к порту, может отправить заголовок X-WEBAUTH-USER и пройти аутентификацию как любой пользователь, без пароля и токена, — объяснил Мустафа. При включенной автоматической регистрации имя пользователя admin дает право доступа admin.
Стоит отметить, что документированное безопасное значение для внутренней переменной "REVERSE_PROXY_TRUSTED_PROXIES" - "127.0.0.0/8,::1/128", что означает, что в качестве доверенного прокси-сервера разрешен только localhost, то есть интерфейс обратной связи. Однако в официальном образе Docker это значение по умолчанию не используется, вместо него жестко задан символ "*". Другими словами, проверка в списке разрешенных серверов фактически отсутствует.
Уязвимость затрагивает версии образов Docker Gitea до 1.26.2 включительно. Она была устранена в версии 1.26.3, выпущенной в конце прошлого месяца, где был удален символ подстановки "*", а аутентификация через обратный прокси-сервер стала необязательной.
Источник: https://thehackernews.com/2026/07/threat-actors-probe-gitea-docker-flaw.html
#news #docker #vuln #gitea #proxy
🔗 Все наши каналы 🔁Все наши чаты 🪧Для связи с менеджером | 2 279 |
| 18 | 🎇Главная идея DevSecOps: безопасность перестаёт тормозить разработку.
Вместо проверок «после релиза» всё встроено в пайплайн: код проходит SAST, контейнеры сканируются, инфраструктура проверяется на комплайенс. В итоге релизы выходят быстрее и при этом безопаснее.
Этому и учит курс DevSecOps от Академии Codeby на практике:
⏺️9 модулей, 48 занятий, 90% практики
⏺️Стек: Docker, Kubernetes, Terraform, Vault, Ansible, Prometheus
⏺️Финальный экзамен в стиле OSCP — только реальные задачи
⏺️Авторы — практики: внедрение Zero Trust, построение SOC, разработка DevSec-инструментов под Burp Suite
Инженеры, которые умеют встраивать безопасность в CI/CD, сегодня в дефиците на стыке ИБ и DevOps — компании поняли, что «сначала сделать, потом чинить» обходится дороже.
👉 Запись на текущий поток открыта до 16 июля
➡️️Программа и регистрация
Бесплатная консультация — @CodebyAcademyBot | 2 356 |
| 19 | k8scout — инструмент с открытым исходным кодом для моделирования и анализа потенциальных путей атаки в кластерах Kubernetes.
⬇️Скачать инструмент можно со страницы релизов и затем выполнить сборку из исходного кода.
git clone https://github.com/hac01/k8scout
cd k8scout
make build
make build-linux
make build-all
❗️Инструмент полезен на стадии, когда специалист уже скомпрометировал один из подов и хочет посмотреть дальнейшие пути развития. k8scout автоматически определяет, на что способна скомпрометированная служебная учетная запись пода, составляет карту RBAC и отслеживает многоэтапные пути атаки от вашего текущего положения до наиболее ценных целей.
Запускается в двух режимах:
➡️Наступательный режим (режим по умолчанию) — запуск из скомпрометированного пода. Определяет права доступа и все доступные пути эскалации с текущего положения.
➡️Режим проверки (--reviewer-mode) — запуск с помощью служебной учетной записи только для чтения для аудита всей поверхности атаки кластера на предмет всех идентификаторов.
❓Что может обнаружить инструмент
k8scout строит взвешенный граф разрешений и выполняет поиск пути на основе алгоритма Дейкстры, чтобы выявить реалистичные многоэтапные цепочки атак: под для администратора кластера, выход контейнера на узел, боковое перемещение, кража секретов и учетных данных, эскалация облачного IAM, цепочки олицетворения, изменение рабочей нагрузки, внедрение Webhook, злоупотребление оператором GitOps, обнаружение неправильной конфигурации.
Каждый обнаруженный элемент включает в себя идентификаторы техник MITRE ATT&CK, оценку риска и пошаговый путь атаки с указанием задействованных узлов графа. Всего 50 правил обнаружения.
Режимы использования
1️⃣Из скомпрометированного пода (основной сценарий использования)
# Скопировать бинарный файл в под
kubectl cp k8scout-linux-amd64 <ns>/<pod>:/tmp/k8scout
# Запустить
kubectl exec -it <ns>/<pod> -- chmod +x /tmp/k8scout
kubectl exec -it <ns>/<pod> -- /tmp/k8scout --out /tmp/result.json
# Извлечь результаты
kubectl cp <ns>/<pod>:/tmp/result.json ./result.json
Двоичный файл автоматически определяет, что он запущен в кластере, идентифицирует модуль и сервис-аккаунт и начинает поиск пути от вашей точки входа.
2️⃣С локального компьютера
# Использует ~/.kube/config или $KUBECONFIG
k8scout --all-namespaces --out result.json
# Цель на одно пространство имен
k8scout --namespace production --out result.json
3️⃣Режим проверки (полный аудит кластера)
# Разверните RBAC и задание, доступные только для чтения
kubectl apply -f deploy/rbac.yaml
kubectl apply -f deploy/job.yaml
# Или доступен запуск напрямую с разрешениями
k8scout --reviewer-mode --all-namespaces --out result.json
#k8s #tools #graphs
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 105 |
| 20 | ❗️По итогам первого полугодия 2026 года количество заражений мобильных устройств в России выросло на 70% год к году. Основной угрозой остается банковский троян Mamont, под ударом — около 1,5 млн. Android-устройств.
⏺️По данным систем мониторинга киберугроз «МегаФона», число выявленных заражений мобильных устройств увеличилось на 70% по сравнению с аналогичным периодом 2025 года. Первый значительный всплеск активности вредоносного ПО был отмечен еще в марте 2025 года, когда количество инцидентов выросло в 6,6 раза по сравнению с предыдущим месяцем.
По оценкам экспертов F6, примерно 1,5% всех Android-устройств в России (около 1,5 млн) скомпрометированы. Совокупный ущерб российских пользователей от действий мошенников в цифровых каналах в 2025–2026 годах превысил 600 млрд рублей.
⏺️Одной из главных угроз остается банковский Android-троян Mamont. Если в прошлом году на него приходилось 10–12% всех выявленных заражений, то в текущем году его доля достигла 15%. Троян после установки получает доступ к обработке СМС-уведомлений, а также платежной и личной информации. Основная слабость Mamont заключается в том, что пользователю нужно самостоятельно его установить себе на телефон, поэтому злоумышленникам приходится придумывать методы обмана — от социальной инженерии до массовых рассылок.
▶️Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6, отмечает, что активные кампании с использованием этого трояна проводятся с 2023 года:
«За это время вредоносный функционал серьезно эволюционировал. Злоумышленники увеличили перечень атакуемых приложений, усовершенствовали механизмы перехвата СМС и управления устройствами».
⏺️Дополнительным индикатором роста активности стало увеличение числа управляющих серверов (С2 — централизованные системы злоумышленников для удаленного управления вредоносным софтом на скомпрометированных устройствах).
- В первом полугодии 2025 года специалисты выявляли лишь несколько десятков серверов Mamont.
- Осенью их среднемесячное количество превысило 100.
- В марте 2026 года — 200.
По оценке «МегаФона», это свидетельствует о противодействии злоумышленников обнаружению и нацеленности на массовые атаки.
⏺️Антон Башарин, старший управляющий директор AppSec Solutions, связывает рост активности злоумышленников с изменением привычек пользователей:
«В условиях недоступности ряда иностранных приложений в официальных магазинах установка APK-файлов из сторонних источников стала для многих нормой. Пользователь регулярно ставит APK-файлы из ссылок в мессенджерах и поисковиках. Этим пользуются злоумышленники, создавая поддельный «банк» или «обновление приложения»».
Дополнительным фактором, по его словам, стал интерес к ИИ-сервисам, под видом которых распространяются трояны.
⏺️В отношении угроз для iOS-устройств эксперты F6 отмечают, что они традиционно менее подвержены массовым атакам из-за сложности разработки вредоносного ПО. Однако за последний год как минимум два iOS exploit kit — DarkSword и Coruna — были замечены в арсенале преступных группировок, нацеленных на кражу финансовой информации.
В «Лаборатории Касперского» подтверждают, что инструменты для кибершпионажа, такие как Coruna, могут со временем получать более широкое распространение. При этом говорить о выходе более сложных и дорогих решений (Pegasus или Predator) в массовый сегмент пока оснований нет.
Источник: https://www.kommersant.ru/doc/8779737
#кибербезопасность #Mamont #Android #трояны #мобильныеугрозы #МегаФон #F6 #AppSecSolutions #news
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 060 |
