Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Атаки на менеджеры паролей браузера: как извлекают credentials из Chrome, Firefox и Edge
Первое, куда лезу на red team-энгейджменте — не контроллер домена, а директория Chrome. Файл Login Data весит пару мегабайт, но внутри — ключи ко всему: VPN, корпоративным порталам, облачным консолям.Chrome/Edge: SQLite + AES-256-GCM с DPAPI-защитой ключа. Firefox без мастер-пароля не сопротивляется вообще: PK11SDR_Decrypt отдаёт plaintext без аутентификации. Browser credential dumping — 21% всех инцидентов с кражей учётных данных. Используют APT33, APT41, Kimsuky, LAPSUS$, Emotet, Lumma Stealer.
Механика под капотом LaZagne и HackerBrowserData, таблица APT-групп, Sigma-правило и KQL-запрос для Sentinel по доступу к Login Data и key4.db не-браузерными процессами.
Что мониторить: Event ID 4663, вызовы CryptUnprotectData, Script Block Logging — и GPO-политика PasswordManagerEnabled = false.Статья Уязвимость Ninja Forms RCE CVE-2026-0740: полный разбор эксплуатации и защиты WordPress
CVE-2026-0740, CVSS 9.8: один POST-запрос к admin-ajax.php — и PHP-шелл лежит на сервере. Без логина, без пароля, без взаимодействия с пользователем.Ninja Forms — File Uploads, десятки тысяч установок, премиум-расширение без публичного аудита. CWE-434: валидации типа файла нет вообще. Версия 3.3.25 получила патч — но с bypass-вектором. Только 3.3.27 закрывает дыру полностью.
Kill chain по MITRE ATT&CK от T1190 до T1552.001: WPScan, POST к AJAX-хендлеру, чтение wp-config.php с DB-credentials через шелл. ModSecurity-правило, inotifywait для мониторинга в реальном времени, аудит уже загруженных файлов.
Defense-in-depth из пяти слоёв: обновление, WAF, .htaccess с php_flag engine off, мониторинг ФС и сетевая сегментация.Статья Pre-auth RCE PHP-инъекция: лаб-гайд по CVE-2026-39337 и CVE-2026-27681
CVE-2026-39337: CVSS 10.0, без логина, без пароля — просто шлёшь HTTP-запрос в setup wizard и получаешь шелл. CVE-2026-27681: CVSS 9.9 в SAP BPC, где дефолтные пароли SAP* и DDIC до сих пор работают.Обе CVE — Scope Changed: компрометация выходит за границы уязвимого компонента. CWE-94 в ChurchCRM: пользовательский ввод попадает в PHP-конфиг без экранирования и выполняется при следующем include(). CWE-89 в SAP BPC/BW: параметризованные запросы знают с 1990-х — в продакшене по-прежнему конкатенация строк.
Полный лаб-гайд с Docker-стендом: от перехвата запроса в Burp до веб-шелла через PHP-инъекцию, от sqlmap с tamper-скриптами до дампа БД в SAP. Sigma-правила для детекции обоих векторов.
Маппинг kill chain на MITRE ATT&CK от T1190 до T1005 и чеклист для пентеста корпоративных систем.Статья Разработка шеллкода: от ручного написания на ассемблере до инъекции в процесс
\x31\xc0\x50\x68 — это не мусор, а инструкции. Момент, когда байты становятся осмысленными, превращает пентестера из пользователя чужих тулз в инженера.msfvenom создаёт известные сигнатуры — AV знает их наизусть. Ручной шеллкод невозможно детектировать по базе. Проблема нулевого байта, PEB walking для поиска kernel32.dll, ROR13-хеширование имён API, многоступенчатое XOR-кодирование — весь цикл от NASM до рабочего пейлоада.
Пять техник инъекции с честным разбором скрытности: CreateRemoteThread (детектируется мгновенно), Process Hollowing, Early Bird APC (выполняется до EDR-хуков), Threadless Injection и Module Stomping против Unbacked Memory IOC.
Полный практический цикл: компиляция, извлечение байткода, XOR-энкодер, зашифрованный лоадер с callback-выполнением и отладка в x64dbg.Статья Обнаружение CVE в ядре Linux: автоматизация поиска незакрытых уязвимостей в backport-патчах
Вендор формально закрыл CVE — а attack surface остался нетронутым. Backport-патчи ядра Linux — слепая зона, где changelog врёт, а grep по CVE-номеру не работает.Upstream-фикс из трёх коммитов: в stable попали два. Третий «зависит от рефакторинга». Между фиксом CVE-2024-1086 и backport в 5.15 прошло несколько недель — рабочий эксплойт с 99.4% успешностью уже был публичен. Kernel CNA теперь выдаёт десятки CVE в день, а ваш RHEL 8 с ядром 4.18 ждёт.
Четыре метода автоматического обнаружения: git patch-id для точного сопоставления, kernel-backport-checker, coccinelle для семантического анализа AST и cve-bin-tool для бинарей без исходников. FixMorph (75.1%) и PortGPT (89.15%) — для генерации отсутствующих backport'ов.
Пятишаговый pipeline с Python-кодом для CI/CD и три типичные ловушки, которые автоматика регулярно пропускает.Статья Менеджер паролей для security-инженера: threat model, архитектура и результаты аудитов
«Независимый аудит пройден» — красивый фантик. Без конкретики: кто проводил, что нашли, что исправили — это пустые слова. Разбираем, что за ним стоит.Обзоры сравнивают фичи и цены — но не отвечают на главное: где именно хранится ключ шифрования хранилища и что получит атакующий при полной компрометации облачного провайдера. 1Password добавляет 128-битный Secret Key как второй фактор деривации. Bitwarden защищён только мастер-паролем — KDF решает всё.
Три продукта через MITRE ATT&CK threat model: архитектурные отличия AES-256-GCM vs CBC+HMAC, результаты аудитов Cure53 и NCC Group, три сценария компрометации и self-hosted Vaultwarden с Docker Compose.
Hardening checklist, Bitwarden CLI для CI/CD и схема «какой менеджер для какого контекста» — с обоснованием через архитектуру, а не маркетинг.Статья Supply chain атаки на разработчиков: от вредоносных IDE-плагинов до компрометации CI/CD
Разработчик открыл GitHub Issue — и через восемь часов на каждой машине с npm update стоит AI-агент с полным доступом к файловой системе. Через заголовок тикета.Clinejection (~700K установок Cline) показал: allowed_non_write_users: "*" + Bash-инструмент = компрометация CI/CD через cache poisoning и кража токенов публикации. IDE-расширения — слепая зона: npm audit их не видит, SBOM не покрывает, обновляются автоматически.
Три вектора с хронологией: Clinejection и cache poisoning в GitHub Actions, тайпсквоттинг-пакеты с postinstall-хуками, PoisonedSkills — атака на AI-агентов через «документацию» с bypass rate до 33.5%.
Чеклист защиты DevSecOps-пайплайна: lockfile enforcement, OIDC вместо static tokens, изоляция cache scope и KQL-правила для детекта вредоносных расширений.Статья CVE-2026-40175 Axios уязвимость: разбор цепочки Prototype Pollution → RCE и обход AWS IMDSv2
CVSS 10.0 в Axios — и сам исследователь говорит «в реальном продакшене это не должно сработать». Для пентестера критично понять, где именно проходит эта граница.Три CWE в одной цепочке: Prototype Pollution активирует гаджет в Axios, CRLF-инъекция формирует контрабандный PUT-запрос, request smuggling обходит IMDSv2 и крадёт IAM-credentials. Но Node.js блокирует CRLF на уровне рантайма — и стандартная цепочка не работает.
Разбираем каждое звено: где ломается эксплуатация, три сценария где она всё-таки работает (кастомный адаптер, raw sockets, proxy) и почему CVSS 10.0 при нерабочей цепочке — это не баг системы оценки.
Чеклист для пентестера и маппинг полной цепочки на MITRE ATT&CK.Статья Атаки на контроллер домена Active Directory: DCSync, Golden Ticket и Silver Ticket на практике
Domain Admin получен. Теперь вопрос в другом: как закрепиться так, чтобы смена скомпрометированного пароля ничего не изменила?DCSync прикидывается вторым DC и забирает хэши через протокол репликации — без физического доступа к контроллеру. Из хэша krbtgt лепится Golden Ticket на 10 лет. Silver Ticket идёт к конкретному сервису без обращения к DC — в логах контроллера тишина.
Полная цепочка post-exploitation: DCSync через Impacket и Mimikatz, создание Golden и Silver Ticket с разбором параметров, сравнение техник — плюс почему пароль krbtgt нужно менять именно дважды.
Детектирование через Event ID 4662/4768/4769 и защитные меры: ротация krbtgt, gMSA, валидация PAC и SPN Honeypot.Статья Rootkit обнаружение Windows: DKOM, SSDT hooking, minifilter и callback-манипуляции через WinDbg и Volatility
Антивирус говорит «чисто», а трафик утекает на C2. Kernel-mode руткит работает на одном уровне привилегий с ОС — и видит всё, что видит система.Руткиты — меньше 1% вредоносных программ, но каждый случай это серьёзный инцидент: APT-кампании, скрытый майнинг. DKOM удаляет процесс из ActiveProcessLinks — он живёт, но невидим. SSDT hooking перехватывает системные вызовы до антивируса. Callback-манипуляции выключают EDR, не трогая его процесс.
Разбираем каждую технику на уровне структур ядра: как руткит перелинковывает EPROCESS, подменяет записи в таблице системных вызовов, регистрирует minifilter с высоким altitude и зачищает callback-массивы защитных средств.
Пошаговый workflow обнаружения через WinDbg и Volatility — кросс-валидация pslist/psscan, проверка SSDT и анализ callbacks.