Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости

  • 263
  • 0
Схема сегментации по модели Пёрду на плотной бумаге с уровнями от SIS до корпоративной сети. Красная аннотация обводит отсутствующую DMZ, рядом лежит перьевая ручка и латунный пресс-папье.


⚙️ На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.

NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.

💡 Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.

Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS

  • 239
  • 0
Крупный план промышленного ПЛК Modicon на чёрном антистатическом коврике со следами термического повреждения и щупом в серийном порту. Резкий белый свет выхватывает выжженные контакты из глубокой т...


💣 Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.

Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.

💡 Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.

Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента

  • 324
  • 0
Разрезанное промышленное реле на чёрном антистатическом коврике с обнажёнными медными катушками. На корпусе выгравирована маркировка уязвимости, из разлома поднимается тонкая струйка дыма.


💣 Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.

Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.

💡 SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.

Статья Asset Management для пентестера: полная карта атакуемой инфраструктуры и охота на забытые активы

  • 407
  • 0
Распечатанная карта инфраструктуры на кремовой бумаге с рукописными узлами сети и пометками инструментов разведки. Рядом лежат компас и перьевая ручка, мягкий оконный свет.


🗺️ Большинство организаций не знает, чем владеет буквально. В 9 из 10 проектов заказчик не видит собственной инфраструктуры целиком. Забытый dev-сервер, VPN-концентратор пятилетней давности, S3-бакет от уволившегося подрядчика — всё это реальные точки входа.

Навигационный хаб по 15 материалам: пассивная разведка через robots.txt, sitemap и .well-known; subdomain enumeration через Amass, Subfinder и dnsx; Passive DNS и CT-логи; Shadow IT от забытого поддомена до initial access; EASM-платформы и connectorless-перечисление; сравнение Shodan, Censys, FOFA и Netlas; SpiderFoot vs Recon-ng vs Amass; PhoneInfoga.

Decision tree по выбору стека: 1-3 домена за 1-2 дня — ручной workflow; корпорация с десятками доменов — автоматизированный pipeline; red team — continuous discovery через Certstream.

💡 Качественная инвентаризация определяет результат пентеста задолго до первого эксплойта. CMDB показывает узлы — пентестер видит пути.

Статья PageFile.sys - подкачка страниц в Windows

  • 655
  • 2
WinMem.webp


💾 Виртуализация памяти — реальная магия MMU. Pagefile.sys существует не из-за нехватки ОЗУ: спрос разработчиков всегда опережает железо. Разбираем механизм от GetPerformanceInfo() до побайтового содержимого PTE в WinDbg.

Глобальная база PFN: каждый 4-КБ фрейм физической памяти имеет 48-байтный паспорт MMPFN по адресу 0xFFFFFA80`00000000. Шесть списков WorkingSet — от MmZeroedPageListHead до MmBadPageListHead — определяют судьбу каждого фрейма. В своп сбрасываются только «грязные» (Dirty) страницы.

Каталог страниц процесса (CR3): четырёхуровневые таблицы PXE→PPE→PDE→PTE заполняются динамически обработчиком PageFault. При сбросе в своп бит Valid обнуляется, тип PTE меняется с Hardware на Software, старшие 32 бита хранят номер слота в Pagefile. При восстановлении — PageFrameNumber в PTE меняется на новый физический фрейм.

💡 Поле OriginalPte в MMPFN — ключ к восстановлению: именно оттуда берутся атрибуты при возврате страницы из свопа в рабочий набор.

Статья Вредоносные расширения Chrome: анализ кампании с 108 малварными аддонами и методы обнаружения

  • 388
  • 0
Рабочий стол аналитика с планшетом, на экране которого открыта таблица аудита разрешений вредоносных расширений. Рядом лежит перьевая ручка на бумаге с записанным доменом командного сервера.


🧬 108 вредоносных расширений Chrome сливали cookies Facebook Business и токены ChatGPT через CSP-stripping — кампания шла 7 месяцев, пока Cyberhaven не поймала свой аддон версии 24.10.4 за руку.

Атака стартовала с OAuth-фишинга: разработчики авторизовывали приложение с правом публикации в Chrome Web Store — MFA обходился полностью, токен давал прямой доступ без повторной аутентификации. Малварный код в service worker делал heartbeat на C2, получал JSON-конфиг и через declarativeNetRequest зачищал заголовок Content-Security-Policy — после чего инжектил скрипты в любую страницу.

💡 Chrome Web Store удалил расширения — но деинсталляции у пользователей не произошло. Миллионы остались скомпрометированы.

Статья Реагирование на инциденты в промышленных сетях: форензика PLC, TTPs атакующих и восстановление без остановки

  • 327
  • 0
Распечатанная форензик-хронология на кремовой бумаге с отмеченным синим маркером кодом Modbus и рукописной пометкой об аномалии. Перьевая ручка лежит поперёк листа в мягком дневном свете.


🏭 Modbus FC 0x10 на реакторе, TIA Portal с учётками инженера в отпуске — SOC увидел аномалию через 12 минут, но TRITON-подобный payload уже переписывал ladder logic Siemens S7.

На PLC нет диска для dd и нет ОС для Volatility. Форензика начинается с SPAN-порта и tcpdump, затем — historian OSIsoft PI для timeline, потом побайтовое сравнение OB/FC/FB-блоков с эталоном через TIA Portal. Modbus FC 0x05 и 0x06 EDR не видит: легитимный TCP на порт 502.

Защита строится на Zeek с ICS-плагинами и Claroty вместо слепого SIEM, whitelist Modbus function codes на уровне ACL, верификации .ACD-файлов через RSLogix diff.

💡 В OT приоритет Safety → Availability → Integrity. Изоляция скомпрометированного PLC может убить людей — IT-playbook здесь не работает.

Статья Утечки данных Россия 2026: 4,5 млрд записей за три года — как детектировать утечку до штрафа

  • 543
  • 0
Печатная столбчатая диаграмма на кремовой бумаге с тремя колонками роста утечек за 2023–2025 годы. Синий выделенный столбец, пометки тушью, латунные грузики на углах листа.


🚨 4,5 млрд записей за три года — и 48% инцидентов без установленного объёма компрометации. С 30 мая 2025 повторная утечка ПДн бьёт оборотным штрафом 1–3% выручки, минимум 25 млн руб.

InfoWatch фиксирует 592 инцидента в 2024-м при взрывном росте объёма — один мегаслив перекрывает сотню мелких. Kill chain типичный: Shodan-разведка периметра → эксплуатация веб-уязвимости → дамп БД → credential stuffing из аутентификационных записей.

Detection до штрафа требует UEBA на аномальный SELECT-объём, DLP-контроль облачных хранилищ (рост случайных утечек до 10%), алертинг на Rclone/exfil-паттерны. Уведомление в РКН — 24 часа на первичное, 72 — на развёрнутый отчёт.

💡 IBM считает средний цикл инцидента 258 дней — РКН узнаёт из Telegram раньше, чем SOC закрывает тикет.

Статья Атака Evil Twin на точку доступа: detection-playbook от deauth до алерта в SIEM

  • 315
  • 0
Тёмный зал SOC с изогнутой видеостеной, на которой светится карта сети с красным узлом-двойником и потоками пакетов деаутентификации. На консоли лежит устройство WiFi Pineapple с зелёным дисплеем.


📡 Evil Twin с парковки: за 12 минут — поддельная AP, через 22 — сброс паролей в AD. WIDS молчал два месяца после обновления инфраструктуры. Шесть комплектов доменных учёток ушли через captive portal.

Атакующий клонирует SSID через hostapd-wpe, шлёт deauth-фреймы aireplay-ng от имени легитимной AP — клиенты отваливаются и переподключаются к Rogue AP. dnsmasq перехватывает DNS, iptables редиректит HTTP. В WPA Enterprise hostapd-wpe поднимает фейковый RADIUS, захватывает MSCHAPv2-хеши — дальше hashcat. MITRE T1557.004, T1056.003, T1111.

💡 SOC смотрит в Windows Event Log — Evil Twin живёт в эфире. WIDS отключён? Kill chain закрыт за 22 минуты.

Статья Vaultjacking: фишинг Google Password Manager через один PIN — от AiTM до полного vault dump

  • 316
  • 0
Схема атаки на кремовой бумаге с этапами AiTM, перехвата PIN и дампа хранилища. Латунное пресс-папье и перьевая ручка на светлом столе в мягком дневном свете.


💣 Vaultjacking: один AiTM-поток + шестизначный PIN от Google Password Manager — и атакующий получает полный vault dump со всеми паролями и synced passkeys жертвы. Persistence переживает смену пароля.

Стандартный AiTM через Evilginx2 перехватывает сессию Google — но куки живут минуты, DBSC привязывает их к TPM. Vaultjacking добавляет JavaScript-шим (T1056.002), рендерящий PIN-модалку под нативный Google UI. После перехвата PIN атакующий join'ит своё устройство к Security Domain жертвы и через `trusted_vault` API получает Security Domain Secret — ключ ко всему хранилищу.

💡 SOC видит «новый вход на Windows» — стандартное уведомление. Push на существующие устройства Google не шлёт.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 770
Сообщения
347 179
Пользователи
161 595
Новый пользователь
VOX_2