Форум информационной безопасности - Codeby.net
Статья Анатомия реестра Windows[2] - структура CMHIVE в памяти
Реестр Windows в памяти — не просто файл REGF, спроецированный в страницы. Это огромный механизм: CMHIVE на вершине, HHIVE внутри, HMAP_TABLE для адресации 2 ГБ данных, dirty-вектор для отслеживания несброшенных блоков. И всё это живёт в Paged Pool с тегом CM10.Как найти адрес куста через CmpHiveListHead, распаковать DUAL-структуру Stable/Volatile, пройти от HMAP_DIRECTORY до первого HBIN с ячейкой KeyNode. Почему содержимое файла на диске и в памяти отличается — и как именно менеджер конфигурации строит собственную таблицу HMAP вместо PAGE_TABLE.
Всё через WinDbg: !reg dumppool, !reg dirtyvector, !pool, !reg baseblock — с живыми дампами и разбором каждого поля.
SmallDir в DUAL равен null — значит куст больше 2 МБ и используется стандартная схема с несколькими HMAP_TABLE.Статья Identity-based атаки: как атакующие используют легитимные учётные записи и как их детектировать
Lateral movement через 14 хостов, эксфильтрация 2 ТБ, 19 дней в инфраструктуре. CrowdStrike Falcon не сгенерировал ни одного алерта. Ноль. Атакующий ходил через штатный SMB с легитимными Kerberos-тикетами — ни вредоносного бинаря, ни C2-канала.75% вторжений в 2024 году — через валидные учётные данные. EDR смотрит на файлы и процессы. Identity-based атаки живут в логах Kerberos, NTLM и OAuth. Golden Ticket не генерирует Event ID 4768 — TGT подделан offline. Silver Ticket вообще не обращается к DC. Стандартный аудит это не видит.
Decision tree: 10 аномалий → техника ATT&CK → ключевой лог → приоритет. Конкретные KQL-запросы под Sentinel, пять слепых зон SIEM из реальных расследований, чеклист из 10 пунктов.
Аудит Kerberos выключен — все остальные правила бессмысленны. Проверьте прямо сейчас.Статья Incident Response расследование кибератаки: пошаговый разбор от triage до отчёта
Понедельник, 9:15. SIEM: сервисный аккаунт svc_backup аутентифицировался на трёх серверах за 40 секунд — каждый раз с разных source IP. К 15:00 стало ясно: атакующий сидел в инфраструктуре 11 дней. Бэкапы за последнюю неделю скомпрометированы.День 0: фишинг .docm → макрос → PowerShell. L1 закрыл алерт EDR как false positive — «бухгалтерия часто открывает макросы». День 4: переименованный Mimikatz, NTLM-хеши svc_backup и DA. Дни 5–10: lateral movement под валидными кредами, выглядит как штатная работа. День 11: ransomware + 4,7 ГБ эксфильтрации через HTTPS.
Пошаговый разбор: triage за 30 минут, сбор артефактов с chain of custody, реконструкция timeline по MITRE ATT&CK, containment без потери RAM, IR-отчёт для трёх аудиторий.
«Бэкапы есть» и «бэкапы чистые» — два разных утверждения.Статья Харденинг Active Directory глазами атакующего: Protected Users, Tiering Model и LAPS на внутреннем пентесте
Банковская инфраструктура. Domain Admin за 47 минут: Responder → NTLMv2-хеш через LLMNR poisoning → hashcat → Pass the Hash по всем станциям → дамп LSASS → DCSync. На следующем проекте — тот же масштаб, тот же стек — на четвёртый день всё ещё искали путь до Tier 0.Разница не в бюджете на EDR. Разница — Protected Users, Tiering Model и LAPS. Три бесплатные меры, которые превращают «обеденный перерыв до DCSync» в недели работы атакующего.
Protected Users убивает NTLM relay и PtH, блокирует RC4 в Kerberos и обнуляет delegation. Tiering Model разрывает цепочку DA-логон на рабочей станции → дамп LSASS → DA-хеш. LAPS закрывает PtH через единый пароль локального админа.
GPO для Tiering стоит ноль рублей. Не внедряют, потому что «неудобно держать отдельные учётки».Статья NTLM Coercion атаки Active Directory: от PetitPotam до NTLM Reflection в 2026
Depth Security в 2026 году продолжают находить хосты с CVE-2025-33073 (CVSS 8.8) на каждом engagement — включая контроллеры домена и Tier-0 серверы. И вот что неприятно: включённый SMB signing не спасает. NTLM Reflection проходит мимо всех подписей через cross-protocol relay на LDAP и AD CS.Coercion — не атака, а усилитель. От corp\testuser с минимальными правами до Domain Admin за 5–15 минут. PetitPotam, PrinterBug, DFSCoerce — это стандарт 2021 года. В 2026 атакующие переключаются на редкие RPC-интерфейсы (MS-EVEN и другие), которые стандартные средства не мониторят. 240+ непротестированных функций по данным Unit 42.
Decision tree по всем условиям среды: какую технику выбрать, если Spooler выключен, DFS недоступна, RPC-фильтры включены.
SOC мониторит SMB-аутентификацию. Relay уходит на HTTP/LDAP. Между ними пробел, в который влезает вся атака.Статья CVE-2026-0300: разбор уязвимости Palo Alto PAN-OS — от buffer overflow до root RCE
6 мая 2026 года CISA добавила CVE-2026-0300 в KEV. Дедлайн — 9 мая. Три дня. EPSS percentile 94.49% — топ-6% всех CVE по риску. AU:Y: атака автоматизируема. PR:N: привилегии не нужны. Один HTTP-запрос до root на PA-Series и VM-Series.Out-of-bounds write в User-ID Authentication Portal — компоненте, который by design обязан принимать untrusted-трафик. Captive Portal по архитектуре смотрит в недоверенную сеть. Это не баг конфигурации — это рецепт fleet-wide, internet-reachable, unauthenticated path to root.
После RCE: шеллкод в worker-процесс портала, EarthWorm и ReverseSocks5 для туннелирования, хирургическая зачистка crash-артефактов. Конфигурационные изменения переживают обновление прошивки.
Decision tree: три вопроса определяют, горите ли вы прямо сейчас.Статья Инъекция промптов в GitHub Actions: анатомия Agentic Workflow Injection
13 000 агентских workflow в GitHub Actions. 496 подтверждённых уязвимостей. 343 zero-day. Official Actions от Google, Anthropic, OpenAI — в списке затронутых. Время от создания malicious issue до эксфильтрации секретов — секунды. Человеческий review в цепочке отсутствует полностью.Agentic Workflow Injection — новый класс атак на стыке prompt injection и Poisoned Pipeline Execution. Атакующий контролирует заголовок issue или тело PR — агент сам вызывает shell, читает GITHUB_TOKEN и записывает секреты в открытый доступ. Не через эксплойт — через осмысленные инструкции на естественном языке. Regex-фильтры бессильны: модель оперирует семантикой, а не синтаксисом.
Два паттерна: Prompt-to-Agent (payload → промпт → tool call) и Prompt-to-Script (payload → output LLM → shell downstream). Decision tree для оценки своих workflow — пять шагов.
Только 21 action из 1033 на GitHub Marketplace имеет механизм контроля caller identity. Два процента.Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году
Высокую оценку от генеральных директоров получают только 25% CISO. Полуторакратный разрыв между самооценкой и восприятием бизнеса — не проблема самомнения. Инженер, который закрывает уязвимости быстрее всех, проваливает первое совещание с CFO, потому что не умеет конвертировать CVSS 9.8 в рубли ущерба.Медиана CISO в Москве — 520 000 руб./мес., верхняя граница с бонусами — 2 000 000. Шестикратный разрыв с позицией специалиста. Рынку не хватает людей, которые одновременно разбираются в технике, умеют управлять и понимают регуляторику — поиск CISO затягивается на 4–6 месяцев.
Три этапа roadmap: 0–3 года технической базы, 3–7 лет руководства направлением, 7+ лет на C-level. КИИ, 683-П, лицензирование ФСТЭК — проекты, которые двигают резюме. CISSP vs CISM vs CEH — что реально добавляет к вилке.
Простой индикатор готовности: когда вместо «критическая уязвимость в Apache» говорите «час простоя стоит 800 000 рублей» — вы уже мыслите как CISO.Статья Основы сетей для пентестера: модель OSI, TCP/IP и протоколы, которые нужно знать
Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.
TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.
Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.Статья Атаки через Microsoft Teams: кража учётных данных и обход MFA — техники и защита
Вишинг через Teams, Quick Assist, MSI с вредоносной DLL — и C2-канал. Device code phishing: пользователь проходит настоящую аутентификацию на настоящем microsoft.com, FIDO2 подтверждает домен — токен уходит атакующему. MFA не при делах by design.Teams — не мессенджер. OAuth-клиент с доступом к Microsoft Graph API, SharePoint и Entra ID. Компрометация через чат даёт живой токен внутри тенанта — почтовые фильтры вообще не задействованы.
Три вектора: вишинг через External Access, device code phishing через штатный OAuth-флоу, AiTM-прокси с перехватом сессии после любой MFA. Таблица: какой второй фактор от чего защищает — и где не защищает ничего.
CA policy для блокировки device code flow — пять минут настройки. Остановила бы целые кампании Storm-2372 на уровне аутентификации.ми и Sigma-правилами под разные SIEM-стеки.