Codeby (@codeby_sec) — Telegram-канал | Telegram Dialogs
Все каналы
Codeby

Codeby

@codeby_sec

36.5K подписчиков технологии 💬 Комментарии открыты

Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina

Последние публикации

Codeby
15.06.2026 15:52 · 👁 930
❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв? Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку». 🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая директива BOD 26-04 ужесточила требования: если уязвимость internet-facing, автоматизируемая и даёт полный контроль — due date может составлять один день. Свежий пример: CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки. ➡️Как выглядит рабочий конвейер приоритизации на практике: • Мониторинг KEV-каталога через cron каждые 4 часа + параллельный запрос EPSS через API FIRST • Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации • Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно) • Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз. В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки. https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/
Codeby
15.06.2026 08:01 · 👁 1.5K
Как один клик может парализовать корпорацию? Последствия одного неосторожного клика по фишинговой ссылке могут быть катастрофическими и остановить работу целой организации. Наглядную демонстрацию этого процесса представили специалисты Positive Technologies. В своей короткометражке, посвященной кибератакам на цепочку поставок, им удалось за 15 минут показать весь сценарий: от ошибки сотрудника до полной остановки угрозы с помощью MaxPatrol Endpoint Security. Посмотреть ролик можно здесь → Также приглашаем вас на онлайн-мероприятие Product Backstage, которое состоится 17 июня в 11:30. В рамках презентации новой версии MaxPatrol Endpoint Security вы сможете из первых рук узнать о современных методах защиты бизнеса от сложных киберугроз и обеспечении безопасности конечных устройств. Зарегистрироваться
Codeby
15.06.2026 06:01 · 👁 1.5K
Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа. 🔑Вся экономика атак через краденые креды — конвейер с тремя звеньями: • Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам • Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000 • Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000 Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход. Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль. Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина. 🪧Что реально помогает на практике? 1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало 2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection 3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают. Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме. https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/
Codeby
14.06.2026 12:46 · 👁 1.8K
🔎Разведка угроз без бюджета: как один безопасник закрывает TI за два часа в неделю Понедельник, утро. Бухгалтерия открыла письмо «от ФНС». На трёх машинах что-то грузится. Домен отправителя и хеши вложения лежали в бесплатном фиде URLhaus за двое суток до этого письма. Блокировка домена на NGFW — три минуты. Разбор инцидента постфактум — три рабочих дня. Для компании на 80 человек разница между «знали заранее» и «разгребали потом» — это не про деньги, а про время единственного специалиста. Типичная реакция руководства: «Нас-то кому атаковать?». А вот кому. По данным IBM X-Force 2025, 70% атак за прошлый год затронули организации критической инфраструктуры. Но это не только банки и энергетика — это их подрядчики, поставщики, интеграторы на 50–500 человек. Сканеру всё равно, сколько у вас выручка. Открытый RDP и список сотрудников на сайте — валидная цель для автоматизированного перебора. Что реально работает из бесплатного? Вот пять источников, проверенных на практике: • URLhaus и Feodo Tracker (abuse.ch) — самый чистый сигнал. Данные курируются сообществом, false positives минимальны. URLhaus обновляется несколько раз в час — URL вредоносных загрузок уходят прямо в блоклист прокси. Feodo Tracker — IP C2-серверов ботнетов, грузится в blocklist firewall за минуту. • AlienVault OTX — широчайший охват (IP, домены, хеши, URL в формате STIX/JSON), но без фильтрации по отрасли генерирует шум. Подключать стоит, но с ручной настройкой релевантности. • AbuseIPDB — crowd-sourced репорты. Осторожно: туда попадают VPN-провайдеры, CDN-узлы, поисковые боты. Автоматическая блокировка по нему — рецепт для проблем. Только для ручной проверки конкретных IP. • PhishTank — URL фишинговых страниц, обновление несколько раз в день. Хорошо дополняет URLhaus для блокировки на прокси. 🎇О чём молчит документация: у бесплатных фидов нет SLA на актуальность, нет гарантии покрытия вашей отрасли, контекст минимален — голый IOC без привязки к TTP и кампаниям. Если API перестал отвечать — разбираться будете сами. Вторая половина — OSINT-разведка собственной инфраструктуры. Если не знаете, что видит атакующий при сканировании ваших активов, работаете вслепую. Shodan покажет открытые порты и баннеры, theHarvester соберёт email и поддомены — всё, что атакующий найдёт на этапе разведки по MITRE ATT&CK. ➡️В полной статье — готовая схема минимальной TI-программы для одного аналитика: какие фиды куда подключать, как автоматизировать обогащение и сколько времени закладывать на каждый этап. Читайте и внедряйте. https://codeby.net/threads/threat-intelligence-dlya-malogo-biznesa-besplatnyye-instrumenty-osint-istochniki-i-minimal-naya-ti-programma-bez-byudzheta.94103/
Codeby
13.06.2026 17:22 · 👁 2K
🪪 У чата HackerLab теперь есть лицо! Кликни на ник или аватарку собеседника прямо в чате — и откроется его карточка: уровень и ранг, место в рейтинге, сколько задач и CTF решено, активность на форуме. Тут же можно написать в личку, подписаться или заглянуть в полный профиль — в один клик. Чат всегда под рукой: на главной — бейджем в правом нижнем углу, а на страницах задач открыт сразу. Залетай, знакомься со своими 👇 🔗 hackerlab.pro
Codeby
13.06.2026 16:52 · 👁 1.9K
⚠️ 14 июня — последний день акции! Скидка 20% на подписку действует до конца завтрашнего дня. Успей забрать полный доступ к заданиям, курсам и про-лабораториям. Промокод: Summer2026 ➡️ https://hackerlab.pro/subscription
Codeby
13.06.2026 09:38 · 👁 2K
🚩 Новые задания на платформе HackerLab! 🧰 Категория PWN — Кролик++ —————————————— 🗂 В архив добавлены задания + райтапы: 🔵Веб - Галерея 🔵Веб - Шифр Цезаря Приятного хакинга!
Codeby
12.06.2026 14:02 · 👁 2.4K
🔮Перед вами четыре панели. Ни слов, ни подсказок. Одна история. Одна атака. Сможете её назвать? Ждём версии в комментариях💫 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Codeby
12.06.2026 08:09 · 👁 2.2K
Два дня команд через DNS — и ни одного алерта На одном из red team проектов в финансовом секторе я гонял C2-сессию через dnscat2, выгружая хеши из NTDS.dit. Suricata молчала. SIEM — пусто. SOC-аналитики разбирали HTTP-логи, а DNS-трафик спокойно уходил через корпоративный резолвер наружу. Никто не проверял энтропию поддоменов, никто не считал длину запросов. Почему так происходит? DNS и HTTP — протоколы, которым инфраструктура доверяет по умолчанию. Файрвол пропускает, прокси не лезет вглубь, baseline никто не строил. 🔍 Как работает DNS tunneling Атакующий регистрирует домен, поднимает авторитетный DNS-сервер. Агент на скомпрометированном хосте кодирует данные прямо в поддомен: base64data.c2.attacker.tld. Корпоративный резолвер по цепочке рекурсии доставляет запрос на сервер атакующего. Ответ приходит в TXT, CNAME или A-записи — внутри лежит команда. Ограничение: максимальная длина DNS-метки — 63 байта, полного имени — 253 байта. Скорость — единицы кбит/с. Для C2-команд хватает, для эксфильтрации терабайтов — забудьте. 🎇Инструменты, которые стоит знать • iodine — туннелирует IPv4 через DNS, создаёт виртуальный интерфейс dns0. Главный артефакт для детекта — фиксированная частота опроса в idle-режиме и непечатаемые символы в запросах. • dnscat2 — полноценный C2-фреймворк только через DNS. Шифрованная сессия, shell, загрузка файлов. Характерный след — последовательные hex-паттерны в hostname запросов. • Cobalt Strike DNS beacon — использует TXT, A и AAAA-записи. Поддерживает jitter и sleep, чтобы имитировать нерегулярный трафик. Часто работает как fallback: HTTPS основной, DNS на случай блокировки. Из реальных кампаний: SUNBURST (SolarWinds, 2020) использовал DNS-запросы к поддоменам avsvmcloud.com как stage-1 selector — идентификатор жертвы кодировался в поддомене, ответы классифицировали цели. В 2023-м Infoblox раскрыла кампанию Decoy Dog — Pupy RAT поверх DNS через TXT-записи. Два года разницы — одна схема. ❓Как ловить Три ключевых индикатора: 1. Энтропия поддоменов — легитимные запросы типа mail.google.com имеют низкую энтропию. Base64/hex-кодированные поддомены дают энтропию выше 3.5 бит на символ. 2. Длина и частота — запросы длиннее 50 символов с регулярным интервалом к одному домену — красный флаг. 3. Нетипичные типы записей — массовые TXT или NULL-запросы от рабочих станций в нормальной среде не встречаются. Если ваш SOC не мониторит DNS-трафик на эти аномалии — у вас слепая зона размером с весь периметр. Полный разбор с HTTP covert channels, примерами конфигов и правилами детекта — в статье на форуме. https://codeby.net/threads/skrytyye-kanaly-peredachi-dannykh-c2-dns-tunneling-i-http-covert-channels-ot-nastroiki-do-detekta.93927/
Codeby
11.06.2026 16:04 · 👁 2.2K
332 жертвы за пять месяцев: как устроен шифровальщик, который сам захватывает домен Представьте: шифровальщик попадает на одну машину в сети, а через минуты — без единой команды оператора — уже ползёт по SMB-шарам на всё, до чего дотянется. Оператор в это время спокойно сливает данные. Именно так работает The Gentlemen — RaaS-платформа, которую Microsoft отслеживает как Storm-2697. 🔑Мы разобрали конкретный семпл на Go до винтика. Вот что внутри. Происхождение. Группа выросла из осколка Qilin. Ядро команды работало как ArmCorp — аффилиаты внутри Qilin RaaS, пока не случился скандал с невыплаченными $48 000 комиссии. Первый билд The Gentlemen с рабочей инфраструктурой утечки появился на VirusTotal за пять дней до публичного разрыва — сплит готовили заранее. Разработчики систематически реверсят семплы Babuk, LockBit, Medusa, вытаскивая лучшие шифровальные рутины и техники обхода EDR. Результат — композитный продукт, а не форк. Точка входа. CVE-2024-55591 в FortiOS — обход аутентификации с CVSS 9.8. Удалённый атакующий получает super-admin через crafted-запросы к WebSocket-модулю. У группы в арсенале — 14 700 заранее скомпрометированных FortiGate-устройств. Это не теория, а готовый инвентарь для массовых атак. ➡️Шифрование. XChaCha20 + Curve25519 с per-file эфемерным ключом. Каждый файл получает уникальную пару ключей — bulk-дешифровка без приватного ключа оператора математически бессмысленна. Даже если вы перехватите ключ от одного файла, остальные останутся заблокированы. ➡️Самораспространение. Флаг --spread превращает бинарник в автономного червя. Шифровальщик сканирует сеть, копирует себя на доступные SMB-шары и запускается на удалённых машинах. По данным CrowdStrike, среднее время lateral movement после первичного доступа — 62 минуты. The Gentlemen сжимает это окно до предела: пока SOC разбирается с первым алертом, шифровальщик уже на десятках хостов. Что ещё интересно: • Бинарник на Go, stripped symbols — но структура pclntab сохраняется, и через GoReSym можно восстановить имена функций и пути к исходникам • Валидация пароля запуска защищает от запуска в песочнице — без правильного пароля семпл просто не работает • BYOVD через ThrottleStop.sys для убийства EDR, очистка логов, отключение Defender — полный набор defense evasion • Модель 90/10 в пользу аффилиата — агрессивнее рынка, где стандарт 70-80% В полной статье — детальный реверс бинарника, разбор kill chain по шагам, IOC и рекомендации по детектированию. https://codeby.net/threads/analiz-ransomware-the-gentlemen-revers-go-shifroval-shchika-storm-2697-s-samorasprostraneniyem-cherez-smb.93923/
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.