Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Red Team vs SOC: как пентестер обходит EDR и SIEM в реальных проектах
Indirect syscalls, ETW-патчинг, BOF-цепочки — и всё равно CrowdStrike поймал за четыре секунды. Не бинарник, не хэш — поведенческий паттерн.Обход EDR в Red Team — это про три вещи одновременно: что видит агент на эндпоинте, что попадает в SIEM, и какие корреляционные правила связывают одно с другим. 82% обнаружений атак — без единого кастомного бинарника, через легитимные инструменты.
Разбираем три семейства техник уклонения (blinding, blocking, hiding), BYOVD с реальными кейсами RansomHub и BlackByte, indirect syscalls против kernel callbacks, C2 через Slack/Telegram API и time-differential атаки — с кодом и объяснением, почему каждый подход ломается.
Три провала из практики, где EDR выиграл — и рекомендации для Purple Team.Статья Пентест Azure AD: разведка, обход Conditional Access и эскалация привилегий в Entra ID
В Azure нет открытых портов и непропатченных сервисов — атакуемая поверхность здесь определяется конфигурацией identity-слоя, а не уязвимым софтом.Мисконфигурированный Service Principal с Application.ReadWrite.All даёт цепочку до Global Admin. Device Code phishing обходит MFA без знания пароля. Service Principal sign-in'ы вообще не покрываются Conditional Access — заходи кто хочешь, без ограничений по геолокации и device compliance.
Полный kill chain пентеста Entra ID: разведка tenant'а без учётных данных через AADInternals, password spraying, кража OAuth-токенов, маппинг путей эскалации через AzureHound и federated domain backdoor — с командами из реальных engagement'ов.
Рабочий арсенал (AADInternals, ROADtools, GraphRunner, TokenTactics), маппинг...Статья Харденинг Active Directory: LAPS, LLMNR и NBT-NS — три меры против 80% внутренних атак
Responder запущен, кофе ещё не заварился — а первый NTLMv2-хеш уже прилетел. Так выглядит каждый внутренний пентест без харденинга AD.9 из 10 кибератак эксплуатируют Active Directory. Но три меры без единой лицензии закрывают основные векторы credential harvesting: отключить LLMNR через GPO, NBT-NS через NodeType=2 в реестре и развернуть Windows LAPS с уникальными паролями на каждой машине.
Конкретные команды, GPO-пути, ключи реестра и грабли из реальных проектов на 200–3000 машин: почему startup script для NBT-NS не покрывает VPN-адаптеры, как GPP-пароли в SYSVOL убивают весь смысл LAPS и что покажет контрольный запуск CrackMapExec после внедрения.
Порядок внедрения шести мер с верификацией до и после — глазами...Статья Иранские APT атакуют промышленные ПЛК: разбор TTP и Detection Engineering для OT/ICS-сред
Шесть агентств США одновременно — это не учебная тревога: иранские APT атакуют промышленные ПЛК с реальным операционным ущербом.CVE-2021-22681 (CVSS 9.8) на Rockwell CompactLogix через Studio 5000 Logix Designer — легитимный инженерный инструмент как вектор атаки. Стандартный EDR бесполезен: ПЛК не принимают агентов, а трафик EtherNet/IP неотличим от штатной работы инженера.
Полная цепочка TTP по MITRE ATT&CK for ICS, Sigma-правила для Modbus/S7/EtherNet/IP, Zeek-скрипты и Splunk/KQL-запросы — то, чего нет ни в одном русскоязычном источнике.
Пошаговый план защиты: от первых 24 часов до постоянного OT-мониторинга.Статья Userland rootkit техники сокрытия: LD_PRELOAD, DLL injection, IAT/EAT hooking на практике
Ring 3 хватает: userland rootkit прячет процессы, файлы и бэкдоры без единой строки кода в ядре.Атакующие в реальных red team-кампаниях не лезут в Ring 0 — им хватает Ring 3. LD_PRELOAD перехватывает readdir() до того, как ls и ps увидят данные. DLL injection загружает код в чужой процесс через CreateRemoteThread. IAT hooking подменяет адреса в таблице импорта. И всё это без kernel panic и без борьбы с Secure Boot.
Разбираем четыре техники с рабочим кодом на C: LD_PRELOAD rootkit с глобальной персистентностью через /etc/ld.so.preload, reflective DLL injection без следов в PEB, IAT/EAT hooking и inline hooking с unhooking EDR через чистую ntdll.
Практический блок с полным циклом LD_PRELOAD rootkit и детект-правилами Falco — включая то, что userland-антируткиты не поймают в принципе.Статья Повышение привилегий Linux: от первичной разведки до root через LinPEAS, LinEnum и ручные техники
Shell получен. Курсор мигает от www-data. До root — один шаг, но он может занять пять минут или пять часов.Зависит от того, умеешь ли ты читать систему. sudo -l с NOPASSWD на любом бинаре из GTFOBins — можно идти пить кофе. Writable cron-скрипт от root — модифицируй и жди минуту. Нестандартный SUID-бинарь — анализируй через strings и PATH manipulation.
Разбираем полный чейн privilege escalation: ручная разведка, LinPEAS с разбором цветовой маркировки, LinEnum и pspy для скрытых процессов, эксплуатация SUID, sudo misconfiguration, cron jobs и Dirty COW — с командами из реальных пентестов и CTF.
Пошаговый алгоритм от первой команды до root и таблица Linux hardening — что закрывать, чтобы этот чейн не сработал против вас.Статья Race Conditions в веб-приложениях: Time-of-Check to Time-of-Use
Купон на скидку должен сработать один раз, баланс - списаться один раз, заказ - оформиться один раз. А потом несколько одинаковых запросов приходят почти одновременно, и бизнес-логика рассыпается: скидка применяется повторно, деньги уходят в минус, а сервер честно считает всё это легитимной нагрузкой. В статье разбираем, как race conditions из редкой экзотики превратились в практический класс веб-уязвимостей.
Покажем, как работает TOCTOU, почему старые подходы к тестированию race conditions были ненадёжны и что изменил single-packet attack. Разберём типовые сценарии: limit overrun, multi-endpoint race, single-endpoint race и проблемы сессий, а также посмотрим, как всё это воспроизводить через Burp Repeater и Turbo Intruder.
Это практический разбор без воды: с примерами кода, публичными кейсами, объяснением, где ломается серверная логика, и мерами защиты, которые реально работают - от атомарных операций и блокировок...Статья APT атаки 2026: тренды и тактики Q1 — от identity-based компрометации до спутниковых целей
Identity — новый периметр: Salt Typhoon в Конгрессе, APT29 в OAuth-токенах и Volt Typhoon без единого малваря.Когда Salt Typhoon предположительно добрался до переписки комитетов Конгресса по нацбезопасности, стало окончательно ясно: identity-based атаки — основной вектор государственных APT-группировок. При этом Volt Typhoon не оставляет ни хэшей, ни C2-доменов — только аномальные цепочки системных утилит.
Сравниваем TTPs Salt Typhoon, Volt Typhoon, APT29 и Scattered Spider через MITRE ATT&CK: Golden SAML, MFA fatigue, OAuth abuse и living-off-the-land — с KQL-запросами для Microsoft Sentinel, готовыми к запуску сегодня.
Практический чеклист для SOC и security engineers: от аудита identity-поверхности до threat hunting на LotL-активность...Статья Обход антивируса и EDR: разработка кастомных пейлоадов от шифрования до in-memory execution
Четыре уровня детекта — четыре техники обхода: полный пайплайн кастомного загрузчика против современного EDR.Стандартный msfvenom живёт ровно до первых байтов — сигнатура fc 48 83 e4 f0 в базах каждого вендора. Но зашифровать пейлоад мало: EDR перехватит вызовы через хуки в ntdll, а поведенческий движок соберёт цепочку VirtualAlloc → WriteProcessMemory → CreateRemoteThread и вынесет вердикт.
Разбираем полный цикл: XOR/RC4/AES шифрование без системных API, API hashing вместо строковых имён, unhooking через KnownDLLs, indirect syscalls с корректным call stack, ETW patching и anti-sandbox keying — с рабочим кодом на C и разбором каждого решения.
Пайплайн из 10 этапов для red team операторов — от генерации шеллкода до очистки памяти после исполнения.Статья OAuth 2.0 Security: распространенные уязвимости и тестирование
Кнопка “Войти через Google” выглядит безобидно ровно до первого отчёта с захватом аккаунта. В этой статье разбираем, как OAuth 2.0 ломается не в теории и не в криптографии, а в реальных интеграциях: через `redirect_uri`, утечки code и token, слабую проверку `state`, ошибки в `nonce` и опасную логику привязки учётных записей.
Покажем, где именно разваливается доверие между приложением, браузером и поставщиком удостоверения: почему `email` нельзя использовать как главный идентификатор, как pre-account takeover вырастает из обычной регистрации, чем опасны open redirect и wildcard-поддомены, и почему PKCE сам по себе не спасает, если реализация сделана небрежно. Это не пересказ RFC и не обзор OAuth “для начинающих”. Это практический разбор attack surface, типовых ошибок интеграции и того, что действительно стоит проверять руками через Burp, DevTools и `.well-known`-метаданные, если цель - не просто пройти...🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
