Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Отключить NTLMv1 через GPO — и всё равно увидеть его в pcap: обход LmCompatibilityLevel и аудит legacy-трафика
Домен на Windows Server 2019, GPO LmCompatibilityLevel = 5, NTLMv1 «отключён три года назад». Через двадцать минут Responder в серверном VLAN — NetNTLMv1-хеш от сервисной учётки. Legacy-приложение на IIS запрашивало NTLMv1 через собственные флаги, игнорируя GPO.Архитектурная проблема AD: LmCompatibilityLevel управляет поведением Windows-машины как прямого участника аутентификации, но не контролирует, что DC получает через MS-NRPC для валидации. Исследование Silverfort (январь 2025): on-prem приложения могут принудительно запрашивать NTLMv1 у клиентов, обходя политику. Server 2025 убирает NTLMv1 из ОС, но DC на 2025 по-прежнему валидирует его через Netlogon.
PowerShell-запрос Event ID 4624 со всех DC за неделю с фильтром NTLM V1. Wireshark-фильтры для определения версии по длине NTLM Response. NTLM relay: в NTLMv1 нет AV_PAIRS привязки к серверу — relay тривиален в отличие от NTLMv2.
Responder -A в режиме анализа за сутки покажет реальную картину NTLMv1 в сети — и она...Статья Пентест IoT-устройств: от разведки и разборки до эксплуатации по OWASP ISTG
На трёх последних IoT-проектах — в двух случаях из трёх root-шелл через UART без единого запроса пароля. Третье устройство запросило логин: admin:admin прошёл сразу. Открытый отладочный интерфейс в продакшне — не баг, а состояние индустрии.OWASP ISTG: компонентная модель IoT по двум осям — физический доступ (PA-1 удалённый до PA-4 инвазивный) и авторизация (AA-1 анонимный до AA-4 root). Аппаратный пентест: поиск UART по PCB мультиметром, определение baud rate логическим анализатором, screen /dev/ttyUSB0 115200 — и лог загрузки ядра Linux с шеллом. JTAG через JTAGulator + OpenOCD. Дамп флеш-чипа через CH341A + flashrom.
Binwalk для извлечения SquashFS, firmwalker для поиска credentials в прошивке, MQTT без аутентификации — mosquitto_sub -t '#' показывает все сообщения всех устройств. Decision tree выбора вектора: физический доступ → UART, нет доступа → сетевой уровень + прошивка с сайта вендора.
UART-шелл за 15 минут...Статья Preauth RCE и обход mTLS: разбор уязвимостей Mongoose на миллионах устройств
«ignore secp386 for now» — комментарий в коде Mongoose, и P-384 mTLS превращается в декорацию. Heap overflow в TLS-хендшейке даёт preauth RCE до первого HTTP-запроса. Библиотека заявленно работает на сотнях миллионов устройств Siemens, Schneider Electric, Google, Samsung.Три CVE в Mongoose 7.0–7.20: CVE-2026-5244 — heap overflow при парсинге клиентского сертификата, pubkey копируется в 528-байтный буфер без проверки длины из DER, RSA-8192 даёт 509 байт за пределами. На embedded MIPS без ASLR и с исполняемой кучей — прямой shellcode от root. CVE-2026-5246 — любой самоподписанный сертификат проходит P-384 верификацию. CVE-2026-5245 — stack overflow одним UDP-пакетом через mDNS.
Fingerprinting через HTTP-заголовок Server: Mongoose/X.XX и TLS-fingerprint. Патч в v7.21. Для непатчируемых устройств: отказ от P-384 CA и сетевая сегментация с мониторингом oversized сертификатов.
CVSS 5.5 (MEDIUM) — это preauth root shell на IoT без ASLR. Формальный score не учитывает реальность embedded.Статья APT42 и Seedworm: credential harvesting через социальную инженерию — как иранские APT крадут учётные данные без малвари
APT42 взломала предвыборный штаб Трампа без единого вредоносного вложения: AiTM-прокси перехватывает TOTP и сессионный cookie в реальном времени, FIDO2 — единственное что устояло. Seedworm предположительно сидела в сетях американских организаций до начала эскалации.Два иранских APT, два куратора (IRGC-IO и MOIS), разные kill chain. APT42 строит rapport неделями через WhatsApp и email — первые письма чисты, антифишинг молчит. После перехвата сессии: регистрация своего MFA-устройства, Remote Email Collection через M365 без малвари, эксфильтрация на подконтрольный OneDrive. EDR на эндпоинте бесполезен.
Seedworm 2026: бэкдоры на Deno и Python, эксфильтрация через Rclone в Wasabi. KQL-правила для Sentinel: User registered security info после нетипичного входа, MailItemsAccessed с корреляцией по геолокации. Чеклист hardening из десяти пунктов.
SOC мониторит эндпоинты — APT42 работает в облаке. 11 дней в M365 при полной тишине в...Статья Атаки на SAML аутентификацию: XML Signature Wrapping, Golden SAML и обход федеративного SSO
Перехватил SAMLResponse в Burp, переместил подписанный Assertion в другую ветку DOM, вставил поддельный NameID=admin@company.local — SP пустил как доменного администратора. Подпись валидна. Три правки в XML, ноль взаимодействия с IdP.XML Signature Wrapping: валидатор проверяет одну часть документа, приложение обрабатывает другую. SAML Raider в Burp — восемь вариантов XSW от замены корневого элемента до вложения в Extensions. CVE-2024-45409 ruby-saml (CVSS 10.0) и CVE-2025-47949 samlify (CVSS 9.9) — parser differential: два парсера в одной библиотеке видят разные элементы.
Golden SAML: Token Signing Certificate из ADFS → shimit генерирует валидный Assertion для любого пользователя к любому SP. Ноль событий в IdP. Silver SAML через external signing cert в Entra ID. Decision tree выбора вектора: XSW для initial access, Golden/Silver SAML для lateral movement.
SAML ломают не через криптографию, а через парсеры — fingerprinting библиотеки SP первый...Статья PCI DSS пентест на практике: scope, методология и отличия от стандартного тестирования
Отчёт предыдущей команды QSA заворачивал трижды: нет proof of exploitation, маппинг на CDE отсутствует, segmentation testing подменён выводом Nessus. Тот же объект, другой подход к документированию — принят с первого раза. Разница между «провести пентест» и «провести PCI DSS пентест» целиком в деталях.PCI DSS v4.0 с марта 2024 — единственный действующий стандарт. Requirement 11.4: retesting обязателен с evidence фикса, segmentation testing — отдельный блок каждые полгода для service providers. Kill chain привязан к CDE: lateral movement от non-CDE до cardholder data, а не до Domain Admin. Команды nmap с флагом --reason для доказательства работы firewall-правил.
Шесть компонентов отчёта без которых QSA завернёт: методология, scope с маппингом на CDE, CVSS + proof of exploitation, результаты segmentation testing, evidence ретеста, квалификация тестировщика.
Пентест за 3 000$ который заворачивают, обходится дороже чем за 15 000$ принятый с первого раза.Статья Обход Secure Boot: техники атаки на верификацию загрузчика для пентестеров
Red Team-проект: SYSTEM получен через Kerberoasting, persistence ниже ОС не получается — Secure Boot отклоняет неподписанный загрузчик. Отключить через BIOS? Оставляет следы. Задача другая: обойти верификацию, сохранив видимость штатной работы.CVE-2024-7344 (CVSS 8.2): UEFI-приложение Reloader подписано Microsoft, но использует кастомный PE-загрузчик вместо штатных LoadImage/StartImage. Грузит произвольный бинарь из cloak.dat без проверки подписи — код исполняется в UEFI-контексте до старта ОС. Attack path: admin → монтирование ESP → reloader.efi + cloak.dat → bcdedit → перезагрузка. Secure Boot формально включён, фактически обойден.
GNU/Linux через MOK-ключи: собственный ключ не попадает в dbx-обновления Microsoft. SPI-флеш при физическом доступе для legacy без Boot Guard. Chipsec для fingerprinting: common.secureboot.variables и common.bios_wp.
Между «Secure Boot включён» и «цепочка загрузки верифицирована end-to-end»...Статья Аудит сервисных аккаунтов Active Directory: инвентаризация, Kerberoasting-риски и least privilege
Понедельник, 9:15. Аудит AD банка — «у нас всё под контролем». Через два часа: 847 сервисных аккаунтов, 312 с SPN, 94 в Domain Admins, у 23 пароль не менялся пять лет. Контролировало их ноль человек. Каждый такой аккаунт — готовая мишень для Kerberoasting.Service account sprawl: организация имеет в 10–20 раз больше сервисных аккаунтов, чем пользовательских. У них нет рабочих часов и географических паттернов — поведенческие алерты не срабатывают. PowerShell-запрос для инвентаризации всех SPN с возрастом пароля и членством в Domain Admins. BloodHound Cypher для визуализации путей эскалации.
gMSA как технический ответ на Kerberoasting: 120-символьный автопароль, ротация 30 дней, никто его не знает. Правило корреляции для SIEM: EventID 4769 с TicketEncryptionType 0x17 > 10 запросов за 5 минут. Чеклист из 10 пунктов.
Каждый аудит начинается с «мы точно знаем все свои сервисные аккаунты» — и каждый раз реальное число в 3–5 раз больше.