Codeby

Видеокарта как вектор атаки: почему GPU Rowhammer меняет модель угроз

Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?

🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.

Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.

⚡️ Что умеют три новые атаки:

• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.

• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый root shell на хосте. Тоже нужен отключённый IOMMU.

• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.

🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.

📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.

https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/

Пасхальная суббота, взломанная инфраструктура и CVE без патча

31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.

🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.

CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.

🔍 Что такое FortiClient EMS и почему это главная цель?

FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.

Компрометация EMS на red team — это джекпот. Атакующий получает:

• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией

По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.

⚙️ Почему баг вообще работает?

Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.

Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.

Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.

🔗 Параллельный вектор

CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.

Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.

https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/

Почему малварь прячется в RAM — и как её оттуда достать

За последний год через одну лабораторию прошло больше двадцати дампов с реальных инцидентов — и во всех случаях малварь жила исключительно в оперативной памяти. Ни одного файла на диске. Классическая дисковая форензика дала бы ноль.

🔍 Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe — для антивируса и EDR это выглядит как обычная работа системы. Но в оперативной памяти они оставляют следы, которые никуда не деваются.

Почему RAM важнее диска при реагировании

Образ диска на 250+ ГБ снимается часами. Дамп RAM на 8–32 ГБ — за минуты. Но дело не только в скорости.

Оперативная память хранит то, чего на диске нет в принципе:

• Расшифрованный payload — малварь шифрует себя на диске, но в RAM работает в открытом виде
• Инжектированный код — Process Injection (T1055) файлов не оставляет, только RWX-регионы в чужом адресном пространстве
• Скрытые процессы — руткит выдёргивает процесс из списка, но pool-теги остаются в физической памяти
• Активные C2-соединения — с PID, портами и IP, которые лог файервола мог не записать
• Хэши и билеты Kerberos — прямо в памяти lsass.exe

🛠 Volatility 3: что изменилось

Главная ловушка для тех, кто учился по старым руководствам: в тройке нет --profile. Вместо него — символьные таблицы в формате ISF, которые фреймворк стягивает сам при первом запуске. Не нужно угадывать точный билд Windows — Volatility 3 определяет его автоматически.

Синтаксис стал чище: vol -f dump.raw windows.pslist вместо громоздкого vol.py --profile=Win10x64_18362 pslist. Минорные билды Windows поддерживаются без обновления фреймворка.

⚠️ Ключевой момент про снятие дампа

Дамп снимается до перезагрузки — это очевидно, но на практике именно здесь теряют артефакты. Перезагрузили хост — потеряли всё.

На Windows используется WinPmem: winpmem_mini_x64_rc2.exe output.raw. Сразу после снятия фиксируется контрольная сумма: sha256sum output.raw > output.raw.sha256. Это не формальность — без chain of custody отчёт не примут ни в суде, ни на review у заказчика.

💡 Что реально разделяет pslist и psscan

Большинство руководств перечисляют плагины, не объясняя разницу. pslist идёт по двусвязному списку ядра — руткит может выдернуть оттуда запись. psscan сканирует физическую память по pool-тегам — и находит то, что скрыто. Расхождение между выводами двух плагинов — красный флаг.

Полный workflow расследования: от снятия дампа до IoC для отчёта — в статье.

https://codeby.net/threads/analiz-dampov-pamyati-volatility-3-prakticheskii-workflow-obnaruzheniya-malvari-i-in-yektsii.92825/

Почему Nmap без kill chain — просто сканер портов

Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»

Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.

🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.

В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.

⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.

🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод nmap -sV -sC -p- 10.10.10.100:

• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя

Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.

🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом -sV точечно добивает найденное. NSE-скрипты добавляют глубину: smb-vuln-ms17-010 проверяет EternalBlue, ssl-heartbleed обнаруживает Heartbleed, а http-enum находит стандартные директории веб-серверов за один проход.

Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇

https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/

XSS — это не просто alert(1)
Это уязвимость, которая может привести к краже сессии и полному захвату аккаунта.

Разобрали основные типы XSS и как от них защищаться — в карточках выше

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Альфа-Банк собирает хакеров на соревнования — среди лучших спецов разыгрывают 3 100 000 рублей. В этот раз участвовать могут и школьники — победителям этого трека банк оплатит поездку на научную конференцию.

Такие турниры — хорошая строчка в резюме: участие поможет при трудоустройстве. Соревноваться можно из любой точки мира, нужно только зарегистрироваться до 25 апреля.

Регистрация

RCE за три шага: как читать CVE advisory и не останавливаться на CVSS-балле

Большинство пентестеров смотрят на новую CVE, запоминают цифру 9.8 и идут дальше. Между тем в тексте advisory уже лежит готовый рецепт эксплойта — если знать, куда смотреть.

🔍 Три фазы для любого PHP/JS-стека:

1. Декомпозиция advisory — читать NVD, GHSA и CISA KEV. Вектор AV:N/AC:L/PR:N/UI:N сразу говорит: pre-auth RCE, максимальный приоритет
2. Patch diffing — коммит из GHSA показывает точку входа. Замена unserialize() или dol_eval() — ваш маяк
3. Цепочка до PoC — CWE-классификация как карта: CWE-502 → gadget chain, CWE-22 → доставка payload

Разобраны CVE-2025-32432 в Craft CMS (CVSS 10.0, CISA KEV) и CVE-2025-55182 в React Server Components — от advisory до шелла.

https://codeby.net/threads/ekspluatatsiya-cve-v-veb-prilozheniyakh-ot-chteniya-advisory-do-rce-za-tri-shaga.92809/

Один POST-запрос — и ты root. Без пароля.

🔓 Два command injection в роутере Totolink A7100RU работают без аутентификации. HTTP POST к /cgi-bin/cstecgi.cgi — и атакующий получает полный контроль. PoC уже на GitHub, патча нет.

cstecgi.cgi парсит JSON, берёт значение параметра и без проверок скармливает его в system() через sprintf(). Параметр ttyEnable, задуманный как булевый флаг, принимает строку любой длины с shell-метасимволами.

⚙️ В статье:
• Распаковка прошивки через binwalk и анализ MIPS-бинарника в Ghidra
• Формирование запросов для CVE-2026-6112 и CVE-2026-6113
• Готовые Suricata-правила для детекции

MITRE ATT&CK, CVSS 4.0 и разбор CWE-77/CWE-78 на реальном коде — в статье:

https://codeby.net/threads/cve-2026-6112-i-cve-2026-6113-uyazvimost-command-injection-v-totolink-a7100ru-ot-analiza-proshivki-do-detektsii.92788/

Charming Kitten не взламывает системы — они взламывают людей

Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.

APT42 (Charming Kitten, IRGC-IO) работает иначе:

• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки

Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.

Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:

https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/