Codeby

Почему инциденты обходятся так дорого — и при чём тут оргструктура Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос. ❓Кто принимает решение об изоляции скомпрометированного сегмента? Кто уведомляет регулятора в срок? На ком ответственность за финансовые последствия? В компаниях без формализованного governance ответ на каждый из этих вопросов — тишина и импровизация под давлением. Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало. ➡️Три модели оргструктуры ИБ, которые встречаются на практике: • Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически. • Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным. • Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек. Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов. ❗️Отдельная боль — подчинение CISO. Самая распространённая схема в российских компаниях — CISO под CIO. И самая проблемная. Структурный конфликт интересов: CIO отвечает за uptime и скорость, CISO — за безопасность. Когда нужно остановить деплой из-за уязвимости, CIO и CISO оказываются по разные стороны. А итоговое решение принимает тот, кому CISO подчиняется, — то есть CIO. Угадайте, в чью пользу. Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает. 👉В полной версии статьи — разбор всех трёх моделей, конкретные примеры RACI-матриц, шаблоны reporting и привязка к техникам MITRE ATT&CK. Полезно и CISO, и тем, кто строит ИБ-функцию с нуля. https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/

CISA предупреждает об активно эксплуатируемой уязвимости в расширении JCE для Joomla, позволяющей выполнять PHP-код. 06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации. Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.

В расширении Widget Factory Joomla Content Editor обнаружена уязвимость, связанная с ненадлежащим контролем доступа; она позволяет неавторизованным пользователям загружать и выполнять PHP-код путем создания новых профилей редактора

На данный момент нет информации о том, как именно эта уязвимость эксплуатируется в реальных условиях. Федеральным гражданским ведомствам исполнительной власти (FCEB) предписано установить исправление до 19 июня 2026 года. #news #Joomla #PHP #CVE #vuln 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день» Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы. Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде. За один день вы: ✅ подключите источники событий и настроите обработку логов; ✅ разберётесь в работе аналитики и механизмах выявления угроз; ✅ познакомитесь с процессом обработки инцидентов на практике; ✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности. 📅 15 июля, 11:00 (МСК) 💻 Онлайн Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день. Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.

🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего. Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту. Это и есть граница между «отчётом сканера» и «результатом пентеста». ⚙️ На практике пентест веб-приложений делится на три подхода: • Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен. • Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный. • White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени. Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги. 📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах: 1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь. 2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира. 3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту. Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации. 🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки. В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby. https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/

🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего. Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту. Это и есть граница между «отчётом сканера» и «результатом пентеста». ⚙️ На практике пентест веб-приложений делится на три подхода: • Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен. • Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный. • White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени. Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги. 📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах: 1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь. 2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира. 3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту. Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации. 🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки. В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby. https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/

Английские власти хотят больше детской безопасности 🇬🇧 ⏺️Кир Стармер намерен запретить доступ к крупным социальным сетям - таким как TikTok, Instagram и X - для лиц моложе 16 лет - сообщает газета The Guardian. В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.

Также будут введены ограничения для подростков старшего возраста (до 18 лет), призванные предотвратить "бесконечный скроллинг" ленты в ночное время.

⏺️Источники в правительстве сообщили, что ключевыми причинами принятия столь строгих мер стало стремление защитить подростков от вредного контента, вызывающего зависимость (например, функции "бесконечной прокрутки"), а также от контактов с незнакомцами. ⏺️Кроме того, лицам моложе 18 лет будет запрещен доступ к чат-ботам с искусственным интеллектом, имитирующим романтическое или сексуальное общение. "Здесь не может быть полумер", — отметил один из собеседников. Источник: https://www.theguardian.com/uk-news/2026/jun/14/starmer-to-announce-australia-plus-ban-on-social-media-for-under-16s #news #socialnetworks #uk #law #internet 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🔄 Глобальное обновление на HackerLab! Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное: Новый облик Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий. Уровни и XP Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно. Серия (Streak) Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК). Рейтинг стал нагляднее Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции. Живая главная Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность. Профиль Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций. Удобнее искать задания В категориях заработали поиск, фильтры и сортировка, переключение вида (сетка / список), а на карточках — бейджи СЕЗОН и АРХИВ. Стало быстрее Оптимизировали загрузку — платформа и страницы открываются заметно шустрее. 💚 Залетай и смотри, что нового → hackerlab.pro

75% вторжений начинаются без единого эксплойта — просто с логина и пароля Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов. 🔑 Вот что говорят цифры за 2024–2025: • CrowdStrike: 75% вторжений используют действительные учётные данные — техника T1078 Valid Accounts • IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware • Verizon DBIR: 38% утечек напрямую связаны с кражей credentials Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти. ⚙️ Откуда берутся эти credentials? Инфостилеры — малварь, заточенная на автоматический сбор всего ценного с заражённой машины. Работают по модели Malware-as-a-Service: подписка на Lumma или StealC стоит $150–250 в месяц и включает билдер, панель управления и техподдержку. Барьер входа — околонулевой. Что крадут? Сохранённые пароли из браузеров (прямой доступ к Login Data через DPAPI), session cookies для обхода MFA, нажатия клавиш, скриншоты и полный fingerprint системы. На выходе — аккуратная директория с файлами по папкам: /Browsers/, /Cookies/, /System/. Готовый набор для атаки, собранный за секунды. 📊 Масштаб впечатляет: по агрегированным оценкам, за первую половину 2025 года стилерами похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств. Более 17 миллиардов browser cookies украдено только за 2024-й — включая authentication-токены, которые превращают MFA в декорацию. Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно. 🎯 Главный вывод для защитников: модель «детектируем эксплойт на периметре» не закрывает 75% реальных вторжений. Если вы не мониторите утечки credentials, не отслеживаете аномалии аутентификации и полагаетесь только на TOTP-based MFA — вы уязвимы. Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме. https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/

12 миллионов рублей за реализацию недопустимого сценария: на 17-й кибербитве Standoff анонсировали открытые кибериспытания В рамках круглого стола «Кибериспытано на себе: диалог об объективной оценке киберустойчивости» руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний. 🔑Это значит, что принять участие в программе и проверить устойчивость систем финтеха может любой желающий пентестер. ➡️Главная задача – найти и воспроизвести критическое событие. ➡️В случае успеха пентестер сможет получить до 12 млн рублей. Банк первый в России из финансового сектора запустил кибериспытания, тем более – в открытом формате. Стартуют кибериспытания 22 июня, но предварительная регистрация открывается уже сегодня.

💻 HackerLab в Standoff 17 Наша команда участвует в International Standoff 17 Cyberbattle, кибербитве, где решают скорость, точность и умение находить слабые места раньше других. Сейчас мы в рейтинге атакующих команд. Это тот формат, где каждый ход имеет значение. Один найденный вектор может изменить позицию в таблице, а ошибка - откинуть назад. Следить за рейтингом HackerLab можно здесь: 🔗 https://cyberbattle.standoff365.com/battle/55?section=ratings Поддержите нас реакцией — команда это видит.

🔥ИБТУСА🔥 03.07, 18:00 - время отдохнуть от сессии и конференций🍺 Джун или студент по ИБ? Приходи и найди: ✅того, кто расскажет о подводных камнях на твоем пути ✅друзей для хакатона и CTF ✅идею для пет-проекта, которую обсудите за баром Уже эксперт? Приходи быть для них живой легендой или просто похантить таланты до конкурентов Заявка: @ibtusa_bot ⬅️ ➡️Ген. спонсор: Серебриум — аудит безопасности на основе собственной интеллектуальной системы ➡️Спонсор CTF: НетХаб — флагман сетевой безопасности ➡️Ген. медиа: Sachok & Пакет Безопасности & Похек 🎁 Бонус: забирай папку с каналами по ибэ и получай актуальную инфу раньше преподов!

Сегодня вы познакомились за баром. Завтра — вы сеть, которая двигает рынок ИБ

Чатик 😎 Ролик

Тикетинг-системы — самая недооценённая точка входа в корпоративную сеть Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов. Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи. ➡️Три причины, почему атакующие целятся в тикетинг: • CMDB как карта инфраструктуры. Зачем шуметь nmap, когда все серверы, приложения и их владельцы уже аккуратно разложены по полочкам в CMDB? Одна SSRF с доступом к внутренним API — и атакующий получает полную карту без единого скана. • Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение. • Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно. 👉Конкретный пример — CVE-2022-26135. SSRF в Mobile Plugin for Jira. Endpoint /rest/nativemobile/1.0/batch принимает JSON-массив запросов и выполняет их на стороне сервера. Атакующий передаёт в поле location значение @targethost.com, и HTTP-клиент интерпретирует часть до @ как userinfo, отправляя запрос на произвольный хост. Изящно и просто. Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через /servicedesk/customer/user/signup. Формально аккаунт ограничен. На практике — его хватает для SSRF, чтения облачных метаданных и извлечения токенов. 🎇При этом ITSM-платформы включают в scope пентеста в последнюю очередь — если включают вообще. Парадокс: система, которая знает о вашей инфраструктуре больше всех, проверяется меньше всех. В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby. https://codeby.net/threads/uyazvimosti-itsm-sistem-ssrf-ssti-i-ataki-cherez-integratsii-jira-servicenow-i-freshservice.94101/

❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв? Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку». 🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая директива BOD 26-04 ужесточила требования: если уязвимость internet-facing, автоматизируемая и даёт полный контроль — due date может составлять один день. Свежий пример: CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки. ➡️Как выглядит рабочий конвейер приоритизации на практике: • Мониторинг KEV-каталога через cron каждые 4 часа + параллельный запрос EPSS через API FIRST • Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации • Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно) • Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз. В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки. https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/

Как один клик может парализовать корпорацию? Последствия одного неосторожного клика по фишинговой ссылке могут быть катастрофическими и остановить работу целой организации. Наглядную демонстрацию этого процесса представили специалисты Positive Technologies. В своей короткометражке, посвященной кибератакам на цепочку поставок, им удалось за 15 минут показать весь сценарий: от ошибки сотрудника до полной остановки угрозы с помощью MaxPatrol Endpoint Security. Посмотреть ролик можно здесь → Также приглашаем вас на онлайн-мероприятие Product Backstage, которое состоится 17 июня в 11:30. В рамках презентации новой версии MaxPatrol Endpoint Security вы сможете из первых рук узнать о современных методах защиты бизнеса от сложных киберугроз и обеспечении безопасности конечных устройств. Зарегистрироваться

Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа. 🔑Вся экономика атак через краденые креды — конвейер с тремя звеньями: • Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам • Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000 • Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000 Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход. Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль. Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина. 🪧Что реально помогает на практике? 1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало 2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection 3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают. Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме. https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/

🔎Разведка угроз без бюджета: как один безопасник закрывает TI за два часа в неделю Понедельник, утро. Бухгалтерия открыла письмо «от ФНС». На трёх машинах что-то грузится. Домен отправителя и хеши вложения лежали в бесплатном фиде URLhaus за двое суток до этого письма. Блокировка домена на NGFW — три минуты. Разбор инцидента постфактум — три рабочих дня. Для компании на 80 человек разница между «знали заранее» и «разгребали потом» — это не про деньги, а про время единственного специалиста. Типичная реакция руководства: «Нас-то кому атаковать?». А вот кому. По данным IBM X-Force 2025, 70% атак за прошлый год затронули организации критической инфраструктуры. Но это не только банки и энергетика — это их подрядчики, поставщики, интеграторы на 50–500 человек. Сканеру всё равно, сколько у вас выручка. Открытый RDP и список сотрудников на сайте — валидная цель для автоматизированного перебора. Что реально работает из бесплатного? Вот пять источников, проверенных на практике: • URLhaus и Feodo Tracker (abuse.ch) — самый чистый сигнал. Данные курируются сообществом, false positives минимальны. URLhaus обновляется несколько раз в час — URL вредоносных загрузок уходят прямо в блоклист прокси. Feodo Tracker — IP C2-серверов ботнетов, грузится в blocklist firewall за минуту. • AlienVault OTX — широчайший охват (IP, домены, хеши, URL в формате STIX/JSON), но без фильтрации по отрасли генерирует шум. Подключать стоит, но с ручной настройкой релевантности. • AbuseIPDB — crowd-sourced репорты. Осторожно: туда попадают VPN-провайдеры, CDN-узлы, поисковые боты. Автоматическая блокировка по нему — рецепт для проблем. Только для ручной проверки конкретных IP. • PhishTank — URL фишинговых страниц, обновление несколько раз в день. Хорошо дополняет URLhaus для блокировки на прокси. 🎇О чём молчит документация: у бесплатных фидов нет SLA на актуальность, нет гарантии покрытия вашей отрасли, контекст минимален — голый IOC без привязки к TTP и кампаниям. Если API перестал отвечать — разбираться будете сами. Вторая половина — OSINT-разведка собственной инфраструктуры. Если не знаете, что видит атакующий при сканировании ваших активов, работаете вслепую. Shodan покажет открытые порты и баннеры, theHarvester соберёт email и поддомены — всё, что атакующий найдёт на этапе разведки по MITRE ATT&CK. ➡️В полной статье — готовая схема минимальной TI-программы для одного аналитика: какие фиды куда подключать, как автоматизировать обогащение и сколько времени закладывать на каждый этап. Читайте и внедряйте. https://codeby.net/threads/threat-intelligence-dlya-malogo-biznesa-besplatnyye-instrumenty-osint-istochniki-i-minimal-naya-ti-programma-bez-byudzheta.94103/

🪪 У чата HackerLab теперь есть лицо! Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик. Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇 🔗 hackerlab.pro

⚠️ 14 июня — последний день акции! Скидка 20% на подписку действует до конца завтрашнего дня. Успей забрать полный доступ к заданиям, курсам и про-лабораториям. Промокод: Summer2026 ➡️ https://hackerlab.pro/subscription

🚩 Новые задания на платформе HackerLab! 🧰 Категория PWN — Кролик++ —————————————— 🗂 В архив добавлены задания + райтапы: 🔵Веб - Галерея 🔵Веб - Шифр Цезаря Приятного хакинга!

🔮Перед вами четыре панели. Ни слов, ни подсказок. Одна история. Одна атака.

Сможете её назвать?

Ждём версии в комментариях💫 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером