Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья CVE-2026-32202: уязвимость Windows Shell — zero-click кража NTLM-хешей через LNK-файлы
CVE-2026-32202: неполный патч февраля оставил zero-click кражу Net-NTLMv2 через .lnk — открыл папку в Explorer, хеш уже у атакующего. CVSS 4.3, но в домене это lateral movement.Microsoft залатал RCE (CVE-2026-21510, CVSS 8.8), но не тронул механизм аутентификации. Windows Shell резолвит UNC-путь из .lnk ещё до SmartScreen — SMB-хендшейк происходит на этапе path resolution. Responder перехватывает Net-NTLMv2 без единого клика. По документам UI:R, по факту — открытие папки в Explorer.
NTLM relay на Exchange/LDAP/SMB без SMB Signing, offline hashcat -m 5600 — C:L в CVSS не учитывает каскадный эффект. APT28 использовала тот же класс в январской кампании против Украины. CISA KEV, дедлайн 12 мая для федеральных агентств.
Sigma-правило: explorer.exe + outbound TCP 445 вне internal subnet — высокоприоритетный алерт.Статья Утечка данных криптобиржи в России 2026: взлом Grinex на $13,7 млн — разбор TTPs и detection-чеклист для SOC
Взлом Grinex: $13,7 млн за минуты. Преемник Garantex под санкциями США — и те же уязвимости в архитектуре. Kill chain по MITRE ATT&CK и Sigma-правила для SOC на реальных TTPs Q1 2026.Grinex запустился в марте 2026 как замена Garantex после блокировки FinCEN. Архитектура воспроизводилась в спешке — и воспроизвела уязвимости. Атака использовала скомпрометированные API-ключи и инсайдерский доступ к горячим кошелькам. Классический паттерн: privileged credential abuse без аномального детекта.
Разбор TTP: Initial Access через stolen API keys, lateral movement по внутренним сервисам без MFA, вывод через mixer-цепочку. Sigma-правила на аномальные API-запросы и массовый вывод. Чеклист для SOC финтех/крипто-платформ: privileged access audit, аномалии транзакций, мониторинг горячих кошельков.
Маппинг на MITRE ATT&CK и detection checklist.Статья APT28 кампания PRISMEX: анализ цепочки заражения, облачный C2 и detection для SOC
APT28 зарегистрировала WebDAV-домены за 14 дней до патча CVE-2026-21509. 72 часа — 29 писем с реальных госаккаунтов по девяти странам. Эксплойт готов раньше, чем фикс Microsoft.Открыл RTF → Shell.Explorer.2 через OLE инициирует WebDAV → загружается LNK → CVE-2026-21513 обходит MSHTML sandbox → шеллкод. Без макросов. Protected View не спасает. Два варианта после: MiniDoor пересылает входящую почту через SMTP с DeleteAfterSubmit, PRISMEX-цепочка прячет .NET-payload в PNG методом Bit Plane Round Robin и грузит Covenant Grunt через Filen.io.
COM hijacking EhStorShell.dll, scheduled task OneDriveHealth, CLR hosting fileless — модульная архитектура, где компоненты взаимозаменяемы. Октябрь 2025: wiper уничтожил все файлы в %USERPROFILE%.
Sigma-правило, IOC-таблица и маппинг на MITRE ATT&CK.Статья GitHub Enterprise RCE CVE-2026-3854: от реверса закрытых бинарников до полной компрометации сервера
CVE-2026-3854: один git push с semicolon в push option — RCE на GitHub.com и полная компрометация GHES. 40 минут на подтверждение, два часа на патч, 88% инстансов уязвимы.babeld берёт push option без санитизации, вставляет в X-Stat header как есть. Semicolon — делимитер протокола — ломает поле и создаёт новые. Last-write-wins парсинг в gitrpcd: инжектированный rails_env=test перезаписывает production — sandbox отключается. custom_hooks_dir указывает на контролируемую директорию. Произвольные shell-команды от git-пользователя.
Методология Wiz: AI-augmented реверс через IDA MCP ускорил декомпиляцию закрытых бинарников на порядок. Но обнаружение уязвимости — человеческий инсайт: semicolon в shared header это точка инъекции, last-write-wins превращает field injection в override security-полей.
IoC для GHES-администраторов и patch diffing для n-day research.Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.