Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Анатомия реестра Windows[2] - структура CMHIVE в памяти
Реестр Windows в памяти — не просто файл REGF, спроецированный в страницы. Это огромный механизм: CMHIVE на вершине, HHIVE внутри, HMAP_TABLE для адресации 2 ГБ данных, dirty-вектор для отслеживания несброшенных блоков. И всё это живёт в Paged Pool с тегом CM10.Как найти адрес куста через CmpHiveListHead, распаковать DUAL-структуру Stable/Volatile, пройти от HMAP_DIRECTORY до первого HBIN с ячейкой KeyNode. Почему содержимое файла на диске и в памяти отличается — и как именно менеджер конфигурации строит собственную таблицу HMAP вместо PAGE_TABLE.
Всё через WinDbg: !reg dumppool, !reg dirtyvector, !pool, !reg baseblock — с живыми дампами и разбором каждого поля.
SmallDir в DUAL равен null — значит куст больше 2 МБ и используется стандартная схема с несколькими HMAP_TABLE.Статья Identity-based атаки: как атакующие используют легитимные учётные записи и как их детектировать
Lateral movement через 14 хостов, эксфильтрация 2 ТБ, 19 дней в инфраструктуре. CrowdStrike Falcon не сгенерировал ни одного алерта. Ноль. Атакующий ходил через штатный SMB с легитимными Kerberos-тикетами — ни вредоносного бинаря, ни C2-канала.75% вторжений в 2024 году — через валидные учётные данные. EDR смотрит на файлы и процессы. Identity-based атаки живут в логах Kerberos, NTLM и OAuth. Golden Ticket не генерирует Event ID 4768 — TGT подделан offline. Silver Ticket вообще не обращается к DC. Стандартный аудит это не видит.
Decision tree: 10 аномалий → техника ATT&CK → ключевой лог → приоритет. Конкретные KQL-запросы под Sentinel, пять слепых зон SIEM из реальных расследований, чеклист из 10 пунктов.
Аудит Kerberos выключен — все остальные правила бессмысленны. Проверьте прямо сейчас.Статья Incident Response расследование кибератаки: пошаговый разбор от triage до отчёта
Понедельник, 9:15. SIEM: сервисный аккаунт svc_backup аутентифицировался на трёх серверах за 40 секунд — каждый раз с разных source IP. К 15:00 стало ясно: атакующий сидел в инфраструктуре 11 дней. Бэкапы за последнюю неделю скомпрометированы.День 0: фишинг .docm → макрос → PowerShell. L1 закрыл алерт EDR как false positive — «бухгалтерия часто открывает макросы». День 4: переименованный Mimikatz, NTLM-хеши svc_backup и DA. Дни 5–10: lateral movement под валидными кредами, выглядит как штатная работа. День 11: ransomware + 4,7 ГБ эксфильтрации через HTTPS.
Пошаговый разбор: triage за 30 минут, сбор артефактов с chain of custody, реконструкция timeline по MITRE ATT&CK, containment без потери RAM, IR-отчёт для трёх аудиторий.
«Бэкапы есть» и «бэкапы чистые» — два разных утверждения.Статья Харденинг Active Directory глазами атакующего: Protected Users, Tiering Model и LAPS на внутреннем пентесте
Банковская инфраструктура. Domain Admin за 47 минут: Responder → NTLMv2-хеш через LLMNR poisoning → hashcat → Pass the Hash по всем станциям → дамп LSASS → DCSync. На следующем проекте — тот же масштаб, тот же стек — на четвёртый день всё ещё искали путь до Tier 0.Разница не в бюджете на EDR. Разница — Protected Users, Tiering Model и LAPS. Три бесплатные меры, которые превращают «обеденный перерыв до DCSync» в недели работы атакующего.
Protected Users убивает NTLM relay и PtH, блокирует RC4 в Kerberos и обнуляет delegation. Tiering Model разрывает цепочку DA-логон на рабочей станции → дамп LSASS → DA-хеш. LAPS закрывает PtH через единый пароль локального админа.
GPO для Tiering стоит ноль рублей. Не внедряют, потому что «неудобно держать отдельные учётки».Статья NTLM Coercion атаки Active Directory: от PetitPotam до NTLM Reflection в 2026
Depth Security в 2026 году продолжают находить хосты с CVE-2025-33073 (CVSS 8.8) на каждом engagement — включая контроллеры домена и Tier-0 серверы. И вот что неприятно: включённый SMB signing не спасает. NTLM Reflection проходит мимо всех подписей через cross-protocol relay на LDAP и AD CS.Coercion — не атака, а усилитель. От corp\testuser с минимальными правами до Domain Admin за 5–15 минут. PetitPotam, PrinterBug, DFSCoerce — это стандарт 2021 года. В 2026 атакующие переключаются на редкие RPC-интерфейсы (MS-EVEN и другие), которые стандартные средства не мониторят. 240+ непротестированных функций по данным Unit 42.
Decision tree по всем условиям среды: какую технику выбрать, если Spooler выключен, DFS недоступна, RPC-фильтры включены.
SOC мониторит SMB-аутентификацию. Relay уходит на HTTP/LDAP. Между ними пробел, в который влезает вся атака.Статья CVE-2026-0300: разбор уязвимости Palo Alto PAN-OS — от buffer overflow до root RCE
6 мая 2026 года CISA добавила CVE-2026-0300 в KEV. Дедлайн — 9 мая. Три дня. EPSS percentile 94.49% — топ-6% всех CVE по риску. AU:Y: атака автоматизируема. PR:N: привилегии не нужны. Один HTTP-запрос до root на PA-Series и VM-Series.Out-of-bounds write в User-ID Authentication Portal — компоненте, который by design обязан принимать untrusted-трафик. Captive Portal по архитектуре смотрит в недоверенную сеть. Это не баг конфигурации — это рецепт fleet-wide, internet-reachable, unauthenticated path to root.
После RCE: шеллкод в worker-процесс портала, EarthWorm и ReverseSocks5 для туннелирования, хирургическая зачистка crash-артефактов. Конфигурационные изменения переживают обновление прошивки.
Decision tree: три вопроса определяют, горите ли вы прямо сейчас.Статья Инъекция промптов в GitHub Actions: анатомия Agentic Workflow Injection
13 000 агентских workflow в GitHub Actions. 496 подтверждённых уязвимостей. 343 zero-day. Official Actions от Google, Anthropic, OpenAI — в списке затронутых. Время от создания malicious issue до эксфильтрации секретов — секунды. Человеческий review в цепочке отсутствует полностью.Agentic Workflow Injection — новый класс атак на стыке prompt injection и Poisoned Pipeline Execution. Атакующий контролирует заголовок issue или тело PR — агент сам вызывает shell, читает GITHUB_TOKEN и записывает секреты в открытый доступ. Не через эксплойт — через осмысленные инструкции на естественном языке. Regex-фильтры бессильны: модель оперирует семантикой, а не синтаксисом.
Два паттерна: Prompt-to-Agent (payload → промпт → tool call) и Prompt-to-Script (payload → output LLM → shell downstream). Decision tree для оценки своих workflow — пять шагов.
Только 21 action из 1033 на GitHub Marketplace имеет механизм контроля caller identity. Два процента.Статья Основы сетей для пентестера: модель OSI, TCP/IP и протоколы, которые нужно знать
Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.
TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.
Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.Статья Атаки через Microsoft Teams: кража учётных данных и обход MFA — техники и защита
Вишинг через Teams, Quick Assist, MSI с вредоносной DLL — и C2-канал. Device code phishing: пользователь проходит настоящую аутентификацию на настоящем microsoft.com, FIDO2 подтверждает домен — токен уходит атакующему. MFA не при делах by design.Teams — не мессенджер. OAuth-клиент с доступом к Microsoft Graph API, SharePoint и Entra ID. Компрометация через чат даёт живой токен внутри тенанта — почтовые фильтры вообще не задействованы.
Три вектора: вишинг через External Access, device code phishing через штатный OAuth-флоу, AiTM-прокси с перехватом сессии после любой MFA. Таблица: какой второй фактор от чего защищает — и где не защищает ничего.
CA policy для блокировки device code flow — пять минут настройки. Остановила бы целые кампании Storm-2372 на уровне аутентификации.ми и Sigma-правилами под разные SIEM-стеки.Статья Malware Analysis для CTF: anti-debug, anti-VM, кастомные шифры и автоматизация с angr и Frida
Три уровня защиты в одном бинаре: TLS callback с IsDebuggerPresent, CPUID-запрос на гипервизор, кастомный XOR с динамическим ключом. Ручной разбор в Ghidra — от получаса. angr-скрипт на 15 строк — секунды.Разница между «два таска за восемь часов» и «шесть за то же время» — не талант, а понимание паттернов anti-analysis. Те же техники, что авторы CTF тащат из реального malware: IsDebuggerPresent, RDTSC timing checks, CPUID hypervisor bit, UPX с модифицированным заголовком, RC4 по S-box паттерну, TEA по константе 0x9E3779B9.
Decision tree: когда angr закрывает задачу за 30 секунд, когда Frida перехватывает крипто в рантайме, когда только ручной разбор. ScyllaHide, Findcrypt, Frida Stalker для VM-обфускации.
angr не замена пониманию — мультипликатор. Без чтения asm не будете знать, какой адрес передать в find.