Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья APT атаки 2026: тренды и тактики Q1 — от identity-based компрометации до спутниковых целей
Identity — новый периметр: Salt Typhoon в Конгрессе, APT29 в OAuth-токенах и Volt Typhoon без единого малваря.Когда Salt Typhoon предположительно добрался до переписки комитетов Конгресса по нацбезопасности, стало окончательно ясно: identity-based атаки — основной вектор государственных APT-группировок. При этом Volt Typhoon не оставляет ни хэшей, ни C2-доменов — только аномальные цепочки системных утилит.
Сравниваем TTPs Salt Typhoon, Volt Typhoon, APT29 и Scattered Spider через MITRE ATT&CK: Golden SAML, MFA fatigue, OAuth abuse и living-off-the-land — с KQL-запросами для Microsoft Sentinel, готовыми к запуску сегодня.
Практический чеклист для SOC и security engineers: от аудита identity-поверхности до threat hunting на LotL-активность...Статья Обход антивируса и EDR: разработка кастомных пейлоадов от шифрования до in-memory execution
Четыре уровня детекта — четыре техники обхода: полный пайплайн кастомного загрузчика против современного EDR.Стандартный msfvenom живёт ровно до первых байтов — сигнатура fc 48 83 e4 f0 в базах каждого вендора. Но зашифровать пейлоад мало: EDR перехватит вызовы через хуки в ntdll, а поведенческий движок соберёт цепочку VirtualAlloc → WriteProcessMemory → CreateRemoteThread и вынесет вердикт.
Разбираем полный цикл: XOR/RC4/AES шифрование без системных API, API hashing вместо строковых имён, unhooking через KnownDLLs, indirect syscalls с корректным call stack, ETW patching и anti-sandbox keying — с рабочим кодом на C и разбором каждого решения.
Пайплайн из 10 этапов для red team операторов — от генерации шеллкода до очистки памяти после исполнения.Статья OAuth 2.0 Security: распространенные уязвимости и тестирование
Кнопка “Войти через Google” выглядит безобидно ровно до первого отчёта с захватом аккаунта. В этой статье разбираем, как OAuth 2.0 ломается не в теории и не в криптографии, а в реальных интеграциях: через `redirect_uri`, утечки code и token, слабую проверку `state`, ошибки в `nonce` и опасную логику привязки учётных записей.
Покажем, где именно разваливается доверие между приложением, браузером и поставщиком удостоверения: почему `email` нельзя использовать как главный идентификатор, как pre-account takeover вырастает из обычной регистрации, чем опасны open redirect и wildcard-поддомены, и почему PKCE сам по себе не спасает, если реализация сделана небрежно.
Это не пересказ RFC и не обзор OAuth “для начинающих”. Это практический разбор attack surface, типовых ошибок интеграции и того, что действительно стоит проверять руками через Burp, DevTools и `.well-known`-метаданные, если цель - не просто пройти...Статья Kernel Rootkit Linux: перехват syscall table, модификация VFS и сокрытие процессов — от кода до детектирования
Руткит в ring 0: SELinux не видит, антивирус не слышит — разбираем LKM-руткиты на уровне кода ядра.Загрузили вредоносный модуль — и между атакующим и железом пусто. AppArmor, EDR, chkrootkit работают этажом выше и слепы к тому, что творится внутри ядра. Kernel rootkit на Linux остаётся одной из самых недооценённых угроз в русскоязычном сообществе.
Разбираем три ключевые техники LKM-руткитов: перехват syscall table через kprobes, модификацию VFS для сокрытия файлов и DKOM для манипуляций с task_struct. Рабочий код на C и взгляд с позиции защитника: что видит Volatility3, где бессилен rkhunter и как memory forensics ловит то, что живая система скрывает.
Практический разбор с чек-листом из 6 шагов — для пентестеров и blue team, которые хотят понять руткиты...Статья Гипервизорный руткит обнаружение: Blue Pill, EPT-abuse и практические техники детекции subverted hypervisor
Охранник смотрит в камеру, а там — запись вчерашнего дня: как гипервизорный руткит прячется ниже ядра и EDR.Привыкли искать хуки в SSDT и аномалии в Ring 0? Гипервизорный руткит работает в Ring -1 — он перемещает всю ОС в виртуальную машину, и ядро продолжает считать себя хозяином. EDR сканирует «чистую» память, PatchGuard видит неизменённый код — оба смотрят в подставную картинку через EPT split-view.
Разбираем архитектуру Blue Pill и EPT-hooking, почему антивирусы слепы к VMM-компрометации, и четыре рабочих метода детекции: timing-анализ RDTSC, CPUID fingerprinting, поиск VMCS-артефактов через Volatility и аппаратная аттестация TPM.
Пошаговый алгоритм обнаружения subverted hypervisor для red team — с командами, Python-скриптом и маппингом на MITRE ATT&CK.Статья UEFI буткит и защита Secure Boot: разбор BlackLotus, CosmicStrand и атак на цепочку загрузки
Ниже ядра, ниже EDR: как BlackLotus и CosmicStrand живут там, куда защитники никогда не заглядывают.Привыкли работать на уровне ring 0? BlackLotus обходит Secure Boot на полностью обновлённой Windows 11, а CosmicStrand прописывается в SPI-флеше материнской платы — переустановка ОС и замена диска ему безразличны. Persistence ниже всего, что ты привык мониторить.
Разбираем boot flow от SEC до TSL, точки внедрения в цепочку загрузки, механику CVE-2022-21894 и почему патч Microsoft не помог. Плюс практика: CHIPSEC, UEFITool, мониторинг ESP и TPM attestation — с командами из реального стенда.
Пошаговый чеклист обнаружения firmware-угроз для тех, кто готов заглянуть глубже классического EDR.Статья Социальная инженерия: методы атак и практическая защита
Взлом без кода: как пентестер проходит через проходную с поддельным бейджем и уходит с доменными паролями.Компании тратят миллионы на файрволы и EDR — и ломаются на сотруднике, который придержал дверь курьеру с коробками. Социальная инженерия бьёт туда, где не работают патчи: в психологию.
Разбираем полный арсенал — фишинг через GoPhish, вишинг-сценарии, претекстинг, байтинг с флешками и дипфейк-звонки уровня $25 млн. Реальные кейсы, команды и чек-лист защиты от пентестера, который делает это легально.
Практическое руководство для тех, кто хочет понять атаку изнутри — и выстроить защиту, которая реально работает.Статья ConnectWise ScreenConnect уязвимости: разбор CVE, цепочки атак и практическая защита RMM
ConnectWise ScreenConnect: один запрос — и тысячи эндпоинтов в чужих руках.На момент раскрытия CVE-2024-1709 в феврале 2024 года в интернете висело 18 188 уязвимых ScreenConnect-инстансов, почти 8 800 из них — без патча. Для MSP это не worst-case, это game over: один торчащий наружу сервер превращается в точку входа во всю управляемую инфраструктуру.
В статье — разбор трёх ключевых CVE: auth bypass через path confusion в SetupWizard.aspx (CVSS 10.0), zip slip в InstallExtension для RCE и ViewState injection 2025 года. Полный kill chain от Shodan-разведки до ransomware, кейсы Kimsuky и ToddlerShark, готовые Sigma-правила и Sysmon-фильтры для детекта.
Практический материал для SOC-аналитиков, MSP-инженеров и red team операторов, работающих с RMM-платформами.Статья Обход AMSI и антивирусных хуков: практическое руководство для offensive-разработчика 2025–2026
Обход AMSI и антивирусных хуков 2026: почему один трюк больше не работает.Бикон ожил — и через тридцать секунд тишина. EDR срезал соединение, в SOC уже смотрят на алерт. В 2026 году стандартный набор «AMSI patch + Invoke-Mimikatz» — билет в один конец: Defender ловит патчинг по сигнатурам, CrowdStrike мониторит ETW из ядра, SentinelOne анализирует stack trace.
В статье — четыре слоя защиты Windows и актуальные техники обхода: hardware breakpoints вместо классического AMSI-патча, AMSI Write Raid через writable entry в CLR, indirect syscalls со stack spoofing и BYOVD для kernel callbacks. С рабочим кодом на C/C++ и сравнением против Defender, CrowdStrike и SentinelOne.
Практический гайд для red team операторов, которые хотят понимать, почему срабатывает детект, а не слепо копировать bypass-ы с GitHub.Статья Атаки на Active Directory аутентификацию: Kerberoasting и AS-REP Roasting от разведки до детекта
Kerberoasting и AS-REP Roasting: как выпотрошить Active Directory без единого эксплойта.В восьми из десяти внутренних пентестов обычная доменная учётка даёт прямой путь к повышению привилегий. Ни один антивирус не пикнет — всё, что делает атакующий, это легитимные запросы к KDC, предусмотренные самим протоколом Kerberos. Штатная функция, а не уязвимость.
В статье — полный цикл атак на AD-аутентификацию: разведка SPN через LDAP и BloodHound, запрос TGS через Impacket и Rubeus, офлайн-крекинг в Hashcat (режимы 13100, 18200, 19700), связка с DCSync и Golden Ticket. Плюс Purple Team-часть: детект по Event ID 4769/4768 с готовыми Splunk-запросами и honeypot SPN с нулевым false positive.
Практический гайд для пентестеров, Red Team и SOC-аналитиков, которые хотят видеть атаку с обеих сторон — от запроса билета до алерта в...🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team