LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
Пайплайн за откриване

Как се улавя експлойт на трети страни за по-малко от 12 минути.

Осем етапа между появата на злонамерен скрипт на вашия сайт и пристигането на предупреждение за криминални доказателства във вашата поща. Всеки етап е регистриран, с клеймо за време и е възпроизводим.

01

Иницииране

Безглавият (headless) Chromium работник наема вашия домейн от нашия разпределен планировчик на всеки 300 секунди. Всяко сканиране използва свеж контекст на браузъра с изчистени бисквитки, кеш и хранилище, така че винаги наблюдаваме това, което би видял напълно нов посетител.

02

Пълно рендиране на страница

Изпълняваме всеки скрипт на страницата точно както би го направил браузърът на реален клиент — синхронни тагове, асинхронни модули, отложени пакети, инжектирани партньори от таг мениджъри, мързеливо зареждани iframes и service workers. Server-side cloaking не може да се скрие от реален рендер.

03

Прихващане на мрежата

Всяка изходяща заявка — XHR, fetch, WebSocket, image beacon, script src, шрифт, stylesheet, iframe и prefetch — се улавя в регистър в HAR-стил с метод, хедъри, размер на отговора, MIME тип, инициаторски стек и време.

04

Кръстосана проверка със списък за блокиране

Всеки уникален домейн на трета страна се нормализира и съпоставя паралелно с над 500 списъка за блокиране: Spamhaus, URLhaus, OpenPhish, PhishTank, abuse.ch, MalwareBazaar, Feodo Tracker, ThreatFox, Maltrail, Quad9 и десетки други общностни и търговски източници, обновявани на всеки час.

05

Съдебна тревога

Ако бъде открит удар, ние изпращаме имейл в рамките на секунди, съдържащ проблемния домейн, иницииращия скрипт и номер на ред, пълната заявка/отговор, екранна снимка на рендираната страница, HAR файла и еднократен URL адрес за възпроизвеждане с едно щракване.

Инженерни подробности

Всеки работник за сканиране е изолиран контейнеризиран екземпляр на Chromium без споделено състояние между изпълненията. Работниците се наемат от регионален пул (US-East, EU-West, AP-Southeast), така че можем да откриваме гео-таргетирани полезни товари, които се задействат само за конкретни региони на посетители.

Прихващането на мрежата се осъществява на ниво CDP (Chrome DevTools Protocol), като се улавя всяка заявка, преди да напусне пясъчника: пълен URL, метод, заглавки на заявката, заглавки на отговора, MIME тип, размер в байтове, стека на инициатора и високорезолюционно време. Резултатът е HAR файл, по-богат от този, който ще покаже вашият раздел DevTools.

Съвпадението на домейни се извършва спрямо вграден в паметта индекс на филтър на Блум от 500+ дедупликирани списъка за блокиране, с вторична проверка на точни низове при попадения за елиминиране на фалшиви положителни резултати от случайни хеш сблъсъци. Пълният каталог на емисиите се обновява на всеки час и се проследява със съдържание, което можете да одитирате.

Сигналите се изпращат в рамките на секунди след откриването, опитват се отново при отказ и се отразяват на крайни точки за уебкуки (Slack, Teams, PagerDuty, Opsgenie, общ HTTP). Всеки сигнал носи стабилен replay_url , който повторно изпълнява точното сканиране в пясъчник, така че вашите разработчици да могат да валидират корекцията, без да чакат следващия 5-минутен цикъл.