Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации
Апрельский Patch Tuesday 2026: 163 CVE, 57% из них — Elevation of Privilege. Получить shell — полдела. Чтобы выключить EDR, дампнуть LSASS и прописать persistence — нужен SYSTEM.BlueHammer (CVE-2026-33825, CVSS 7.8): пять легитимных фич Windows в одной цепочке — Defender update workflow → VSS snapshot → Cloud Files API → Oplocks race condition → Symbolic Links → SAM-дамп. Работает на полностью пропатченных Win 10/11. Простая перекомпиляция обходила сигнатурный детект. CVE-2026-21533 (RDP): попал в CISA KEV — зафиксирована реальная эксплуатация. На терминальнике с 40+ сессиями три из них могут быть доменными админами. CVE-2026-27910 (msiexec): некорректный permission boundary в Windows Installer.
Полная таблица MITRE ATT&CK маппинга и пошаговая методология LPE от энумерации до SYSTEM-шелла.Статья Как браузерные расширения крадут данные: webRequest, declarativeNetRequest и техники перехвата трафика
Расширение-переводчик честно переводит страницы. И в фоне стягивает каждый Authorization-заголовок, сливая Bearer-токен на сервер атакующего через обычный fetch(). Никакого эксплойта — просто штатный API браузера.webRequest onBeforeSendHeaders — 11 строк кода, и все Cookie и Authorization-заголовки у атакующего. declarativeNetRequest в MV3 не закрыл вектор: observational webRequest остался, а modifyHeaders используется для удаления CSP и X-Frame-Options. Content script + MutationObserver в Gmail — слив переписки без единого сетевого артефакта.
Три реальные кампании 2025–2026: VK Styles (500 000 аккаунтов), AiFrame (260 000 установок под AI-брендами), 57 скрытых расширений (6 млн пользователей).
Полная таблица MITRE ATT&CK и чеклист аудита manifest.json из пяти флагов.Статья Форензика браузерных расширений: артефакты, анализ и incident response при компрометации
При инциденте «странное поведение браузера, утечка сессий» — первое, что нужно проверить, не история посещений. Лезьте в директорию расширений. Аддоны оказываются причиной куда чаще, чем принято думать.Cyberhaven декабрь 2024: вредоносное обновление прилетело через штатный механизм автообновления, 2,6 млн пользователей, 5,57 ГиБ данных за два дня. Кампания tapnetic.pro: 30 расширений под AI-ассистентов, единая кодовая база, MutationObserver в Gmail для слива переписки. Полная карта артефактов: Preferences, LevelDB Local Extension Settings, Service Worker ScriptCache — и что остаётся после удаления расширения.
MITRE ATT&CK маппинг по восьми техникам: T1176, T1539, T1185, T1056.001 и другие.
Пятишаговый триаж за 15 минут с jq-однострочником и IR-плейбук для containment/eradication.Статья Privilege Escalation в Active Directory: ACL-атаки, делегирование и цепочки от GenericAll до DCSync
Закрепился в домене под рядовым пользователем — и что дальше? Самые жирные цепочки privilege escalation в AD идут через ACL-мисконфигурации. Не zero-day, не аномальный трафик — штатные механизмы, просто не для тех целей.GenericAll на пользователя: сброс пароля → Kerberoasting → Shadow Credentials — на выбор. WriteDACL на объект домена: одна команда Add-DomainObjectAcl → DCSync → все NTLM-хеши домена. RBCD: WriteProperty на компьютер + Machine Account Quota > 0 → S4U2Proxy от имени Domain Admin за пять минут. Unconstrained Delegation + PrinterBug = TGT контроллера домена на руках без единого эксплойта.
Кастомные Cypher-запросы для BloodHound, LDAP relay через WebDAV/ADIDNS.
Маппинг на MITRE ATT&CK, детектирующие Event ID и защитные рекомендации для отчёта.Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.
Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.
FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.то иначе.Статья Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике
Получили reverse shell — отлично. Завтра администратор перезагрузит сервер, и вы потеряете всё. Persistence — то, что отличает случайное проникновение от полноценной операции.Пять техник с логикой выбора: cron (T1053.003) — шумный, но первое, за что хватаются; systemd с Restart=always (T1543.002) — переживёт падение процесса и перезагрузку; SSH-ключи (T1098.004) — бесшумны и переживают смену пароля; LD_PRELOAD через /etc/ld.so.preload (T1574.006) — перехват функций без модификации бинарей; LKM rootkit Diamorphine/Reptile (T1014) — ядро под контролем, userspace слеп.
Для каждой техники — конкретные места укрытия и методы обнаружения.
Сводный чеклист аудита persistence в пяти командах и матрица выбора техники по уровню привилегий и скрытности.Статья Эксплуатация бинарных уязвимостей: stack overflow, heap exploitation, ROP/JOP и обход современных защит
«Бинарные уязвимости мертвы» — три из четырёх pwn-тасков на последнем CTF решались через классические memory corruption примитивы. Просто с поправкой на ASLR, DEP и CFI.Stack overflow против stack canaries и NX: утечка канарейки через format string, обход DEP через ROP-цепочку. Heap: tcache poisoning даёт arbitrary write, UAF + vtable overwrite перехватывает виртуальные вызовы, fastbin dup через разрыв double-free проверки. ROP → ret2libc через двухэтапный leak GOT. JOP обходит Intel CET Shadow Stack там, где ret-гаджеты уже не работают.
CFI гранулярность по функциям — любая функция с нужной сигнатурой легитимна. Один модуль без CFG ломает всю цепочку.
Пятишаговый workflow от checksec до интерактивного шелла и сравнительная таблица техник vs митигаций.Статья Архитектура антифрод-платформы в банке: от событий до решений
Архитектура антифрод-платформы в банке: от событий до решений
Антифрод в банке давно перестал быть набором правил рядом с транзакцией. В статье разберём, как на самом деле устроен этот контур: от приёма событий из разных систем до скоринга, правил, ручного разбора и финального решения, которое нужно принять вовремя, а не “когда всё досчитается”.
По шагам посмотрим, зачем антифроду событийная шина, где без потоковой обработки уже не обойтись, почему признаки приходится делить на online и offline слои, и как в бою сочетаются модели, rule engine и оркестрация решений. Отдельно разберём, где такие платформы обычно начинают сыпаться: на задержках, рассинхроне данных, слабой маршрутизации кейсов и плохом возврате меток в обучение.Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.
Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.
Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.
Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.
YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.