Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Пентест банкоматов и POS-терминалов: jackpotting, shimming и detection для SOC
Волна jackpotting по США, 2024–2025. Ploutus выдаёт более 100 купюр в минуту. Восстановление одного заражённого банкомата — свыше $25 000. Application whitelist на сотнях ATM стоит в audit mode с момента установки. Замок верхней панели — одинаковый на всей серии.Два вектора: малварный jackpotting через подмену msxfs.dll и персистентность в Userinit, и black-box — отключить системный блок, подключить одноплатник к шине диспенсера, опустошить кассеты за 10 минут. XFS-команды не требуют аутентификации бэкенда — процессинг не видит ни одной транзакции.
Таблица из 8 SIEM-алертов с приоритетами, Suricata-правило на нетипичные исходящие с ATM, hardening-чеклист из 12 пунктов для IT-подразделения.
ATM перестал отправлять логи в SIEM — это алерт, а не «проблема с сетью». Всегда.Статья Динамический анализ бинарных файлов: Frida, PIN и DynamoRIO — от трассировки до распаковки
Упакованный Themida бинарь. Ghidra — шум, IDA Pro разваливает границы функций, x64dbg — антиотладочные проверки каждые десять инструкций. Три часа статического анализа, ноль выхлопа. Frida-хук на VirtualAlloc, дамп RWX-страницы — двадцать минут до чистого payload.Три DBI-фреймворка, три разных задачи. Frida — точечные перехваты и обход антиотладки, шесть строк JavaScript вместо часов ручной работы в отладчике. DynamoRIO — полная трассировка через JIT code cache, coverage-guided фаззинг с AFL++ и WinAFL, детектор shellcode. Intel PIN — instruction-level профилирование и трассировки для символьных движков.
Все три работают в user space — ни один не невидим. Timing через rdtsc, целостность кода, артефакты в памяти, direct syscalls — таблица векторов детекта для каждого фреймворка.
Натягивать Frida Stalker на полную трассировку — скрипт на 500 строк, который криво делает то, что DynamoRIO-клиент на 30 строк C делает...Статья Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.
Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.
Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.Статья Динамический анализ бинарных файлов: GDB, x64dbg, WinDbg — от брейкпоинта до обхода антиотладки
Три слоя XOR-шифрования, два VirtualAlloc и NtQueryInformationProcess на ProcessDebugPort — реальный сэмпл из инцидента. Коллега параллельно смотрел ELF-дроппер того же семейства в GDB. Один сэмпл, два отладчика, два принципиально разных workflow.Отладчик — не вопрос вкуса. GDB + pwndbg — ELF, CTF-pwn, Linux-малварь. x64dbg + ScyllaHide — Windows PE, распаковка, анализ IAT, автоматический обход антиотладки. WinDbg — kernel-mode, rootkit-анализ, crash dumps. Открыть PE в WinDbg технически можно, но x64dbg быстрее.
Аппаратные брейкпоинты против self-checksumming, ptrace-обход через LD_PRELOAD, ScyllaHide против PEB-проверок. Decision tree по всем техникам антиотладки.
Час в Ghidra на раннем этапе экономит три часа в отладчике. Мышление за аналитика инструменты пока не делают.Статья Атаки на serverless функции: injection, event poisoning и privilege escalation
Cloud-пентест финтех-компании. Утёкший access key из GitHub. 47 Lambda-функций, 12 с Action: "*" на S3 и DynamoDB. От event injection в SQS-триггер до чтения production-таблицы с платёжными данными — 85 минут. SOC не увидел ничего.Serverless-атаки живут в зазоре между CloudTrail и SIEM: данные есть, detection нет. UpdateFunctionCode заменяет handler на payload — один вызов, и в аккаунте новый IAM-пользователь с AdministratorAccess. CloudFox за 10 минут сканирует все функции и вытаскивает plaintext-секреты из env vars. В 6 из 10 аккаунтов они там лежат.
Четыре корреляционных правила под CloudTrail, чеклист hardening из 10 пунктов, разбор
iam:PassRole + UpdateFunctionCode как вектора эскалации. «CloudTrail включён» — не detection. Включили камеру в серверной, монитор забыли подключить.Статья Анатомия реестра Windows[2] - структура CMHIVE в памяти
Реестр Windows в памяти — не просто файл REGF, спроецированный в страницы. Это огромный механизм: CMHIVE на вершине, HHIVE внутри, HMAP_TABLE для адресации 2 ГБ данных, dirty-вектор для отслеживания несброшенных блоков. И всё это живёт в Paged Pool с тегом CM10.Как найти адрес куста через CmpHiveListHead, распаковать DUAL-структуру Stable/Volatile, пройти от HMAP_DIRECTORY до первого HBIN с ячейкой KeyNode. Почему содержимое файла на диске и в памяти отличается — и как именно менеджер конфигурации строит собственную таблицу HMAP вместо PAGE_TABLE.
Всё через WinDbg: !reg dumppool, !reg dirtyvector, !pool, !reg baseblock — с живыми дампами и разбором каждого поля.
SmallDir в DUAL равен null — значит куст больше 2 МБ и используется стандартная схема с несколькими HMAP_TABLE.Статья Identity-based атаки: как атакующие используют легитимные учётные записи и как их детектировать
Lateral movement через 14 хостов, эксфильтрация 2 ТБ, 19 дней в инфраструктуре. CrowdStrike Falcon не сгенерировал ни одного алерта. Ноль. Атакующий ходил через штатный SMB с легитимными Kerberos-тикетами — ни вредоносного бинаря, ни C2-канала.75% вторжений в 2024 году — через валидные учётные данные. EDR смотрит на файлы и процессы. Identity-based атаки живут в логах Kerberos, NTLM и OAuth. Golden Ticket не генерирует Event ID 4768 — TGT подделан offline. Silver Ticket вообще не обращается к DC. Стандартный аудит это не видит.
Decision tree: 10 аномалий → техника ATT&CK → ключевой лог → приоритет. Конкретные KQL-запросы под Sentinel, пять слепых зон SIEM из реальных расследований, чеклист из 10 пунктов.
Аудит Kerberos выключен — все остальные правила бессмысленны. Проверьте прямо сейчас.Статья Incident Response расследование кибератаки: пошаговый разбор от triage до отчёта
Понедельник, 9:15. SIEM: сервисный аккаунт svc_backup аутентифицировался на трёх серверах за 40 секунд — каждый раз с разных source IP. К 15:00 стало ясно: атакующий сидел в инфраструктуре 11 дней. Бэкапы за последнюю неделю скомпрометированы.День 0: фишинг .docm → макрос → PowerShell. L1 закрыл алерт EDR как false positive — «бухгалтерия часто открывает макросы». День 4: переименованный Mimikatz, NTLM-хеши svc_backup и DA. Дни 5–10: lateral movement под валидными кредами, выглядит как штатная работа. День 11: ransomware + 4,7 ГБ эксфильтрации через HTTPS.
Пошаговый разбор: triage за 30 минут, сбор артефактов с chain of custody, реконструкция timeline по MITRE ATT&CK, containment без потери RAM, IR-отчёт для трёх аудиторий.
«Бэкапы есть» и «бэкапы чистые» — два разных утверждения.Статья Харденинг Active Directory глазами атакующего: Protected Users, Tiering Model и LAPS на внутреннем пентесте
Банковская инфраструктура. Domain Admin за 47 минут: Responder → NTLMv2-хеш через LLMNR poisoning → hashcat → Pass the Hash по всем станциям → дамп LSASS → DCSync. На следующем проекте — тот же масштаб, тот же стек — на четвёртый день всё ещё искали путь до Tier 0.Разница не в бюджете на EDR. Разница — Protected Users, Tiering Model и LAPS. Три бесплатные меры, которые превращают «обеденный перерыв до DCSync» в недели работы атакующего.
Protected Users убивает NTLM relay и PtH, блокирует RC4 в Kerberos и обнуляет delegation. Tiering Model разрывает цепочку DA-логон на рабочей станции → дамп LSASS → DA-хеш. LAPS закрывает PtH через единый пароль локального админа.
GPO для Tiering стоит ноль рублей. Не внедряют, потому что «неудобно держать отдельные учётки».Статья NTLM Coercion атаки Active Directory: от PetitPotam до NTLM Reflection в 2026
Depth Security в 2026 году продолжают находить хосты с CVE-2025-33073 (CVSS 8.8) на каждом engagement — включая контроллеры домена и Tier-0 серверы. И вот что неприятно: включённый SMB signing не спасает. NTLM Reflection проходит мимо всех подписей через cross-protocol relay на LDAP и AD CS.Coercion — не атака, а усилитель. От corp\testuser с минимальными правами до Domain Admin за 5–15 минут. PetitPotam, PrinterBug, DFSCoerce — это стандарт 2021 года. В 2026 атакующие переключаются на редкие RPC-интерфейсы (MS-EVEN и другие), которые стандартные средства не мониторят. 240+ непротестированных функций по данным Unit 42.
Decision tree по всем условиям среды: какую технику выбрать, если Spooler выключен, DFS недоступна, RPC-фильтры включены.
SOC мониторит SMB-аутентификацию. Relay уходит на HTTP/LDAP. Между ними пробел, в который влезает вся атака.