Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Grav CMS уязвимость path traversal: 0-day в FormFlash без аутентификации
CVSS 8.8, ноль привилегий, автоматизируемая эксплуатация. CVE-2026-42608 в Grav CMS — один POST-параметр __form-flash-id без валидации превращает любую страницу с формой в точку входа. Неаутентифицированный атакующий пишет YAML-файлы прямо в user/config/ и user/accounts/.Grav хранит всё в файловой системе: конфигурация, хеши паролей, 2FA-секреты. Запись в произвольный каталог — это не «потенциальный импакт», это прямая Configuration Injection. Один traversal-запрос, 302 в ответ, файл на диске.
Полный разбор уязвимого PHP-кода FormFlash, пошаговое воспроизведение через curl/Burp, три вектора развития атаки. История CVE в Grav: цепочка от unauthenticated path traversal до RCE через Scheduler. 36 000 инстансов на ZoomEye.
Один regex [A-Za-z0-9,_-]{1,64} — и уязвимости нет. Разработчики закрыли её в патче за один коммит.Статья Patch2Vuln: анализ бинарных патчей для автоматического восстановления уязвимостей Linux
LLM-агент без CVE-описания, без advisory, без исходника — только два бинарника. Patch2Vuln локализовал security-relevant функцию в 10 из 20 реальных Ubuntu .deb-пакетов. 6 провалов из 20 случились до того, как модель вообще увидела данные — на этапе бинарного диффа.Основной bottleneck в автоматическом анализе бинарных патчей — не LLM, а диффер. Ghidriff не гарантирует, что security-relevant изменение попадёт в топ кандидатов. Компилятор инлайнит функции, LTO перекраивает layout, а добавление stack canaries создаёт шум на весь diff.
Сравнение Patch2Vuln и Bishop Fox: разные стеки (Ghidra/Ghidriff vs Binary Ninja/BinDiff), разные входные данные (без advisory vs с ним). Authorization bypass с 1400+ функций стоит $35 за прогон на Claude Sonnet 3.7.
Следующий рывок — не в промптинге и не в более мощных моделях. В дифферах и ранкерах.ю цепочку.Статья Ransomware-as-a-Service 2026: The Gentlemen и анализ RaaS-экосистемы — аффилиаты, TTPs, detection
19 мая 2026 года — десять новых жертв на DLS пяти группировок за одни сутки. DragonForce, Play, Payload, Nova, Akira. Это не аномалия — это стабильный фон, сложившийся после коллапсов Black Basta и RansomHub и волны аффилиатной миграции.White-label RansomBay от DragonForce снизил порог входа до уровня Telegram-подписки. 75% вторжений — через валидные учётные данные. Среднее время lateral movement — 62 минуты. Детект на этапе шифрования — уже поздно.
Разбор структуры RaaS-операции, профилирование The Gentlemen через TI-методологию, анализ финансовой модели двойного вымогательства. Detection-чеклист из семи приоритетов: VSS deletion, rstrtmgr.dll, credential dumping, canary-файлы.
Группировка сменит DLS и бренд — но не удалит Shadow Copies перед шифрованием иначе. Behavioral detection переживёт любой ребрендинг.Статья Бинарный анализ уязвимостей: полное руководство для пентестера и CTF-игрока
Conficker, Stuxnet, EternalBlue — каждый начинался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Бинарный анализ уязвимостей отделяет того, кто запускает готовый эксплойт из Metasploit, от того, кто вскрывает проприетарный бинарь без исходников.Карта направления из 8 гайдов: статический анализ в Ghidra и IDA, динамический через GDB/x64dbg/WinDbg и DBI-фреймворки, 6 классов бинарных уязвимостей от stack overflow до tcache poisoning, coverage-guided фаззинг, символьное исполнение через angr.
NX, ASLR, Canary, Full RELRO — что каждая защита закрывает и как обходится. Trade-off таблица инструментов. Decision tree выбора метода под задачу: CTF pwn, аудит бинарника, прошивка IoT, упакованная малварь.
Один человек с навыками бинарного анализа в красной команде меняет результат проекта радикальнее, чем ещё два веб-пентестера.Статья Атаки на SCADA системы: разбор взломов водоочистных станций и detection-playbook для OT-сети
Январь 2024. CARR зашла в системы управления водоснабжением в Muleshoe, Техас. Перенастроила параметры, вызвала перелив водонапорной башни, выложила видео в открытый доступ. Не zero-day, не кастомный эксплойт — просто VNC с дефолтными кредами.Modbus TCP из 1979 года не предусматривает ни аутентификации, ни шифрования. FC6 меняет уставку процесса без пароля, без токена, без логирования на уровне протокола. ПЛК доверяет всем. Всегда. Патч-менеджмент в OT — окно обслуживания раз в квартал, потому что остановка процесса хлорирования воды угрожает здоровью людей.
Kill chain по MITRE ATT&CK for ICS: дефолтные учётки, открытый remote access, сканирование промышленных портов. Правила корреляции для SIEM, Suricata-правило на запись в Modbus-регистры с нештатного адреса.
Только 20% водных систем в США внедрили базовые меры защиты. Volt Typhoon сидел в инфраструктуре пять лет.Статья Защита от zero-day уязвимостей: playbook для SOC, когда патча ещё нет
Понедельник, 9:15. CVE в CISA KEV, EPSS Top 5%, эксплуатация активна, автоматизируема, патча нет. В ту же неделю — CVE-2026-22769, hardcoded credentials в Dell RecoverPoint, CVSS 10.0, тоже без исправления. EDR на appliance не стоит и стоять не может.Time-to-exploit упал до двух дней. Среднее время устранения — 29 месяцев. Playbook «получили CVE — накатили патч» разваливается на втором шаге, когда патча не существует в природе.
Decision tree для первых 6 часов: KEV + EPSS + SSVC → изоляция management-интерфейсов → ретроспективный threat hunting за 30–90 дней. Виртуальный патч работает только при CWE-20, бесполезен при CWE-287 и CWE-798. Поведенческие SIEM-корреляции без сигнатур — единственный рабочий инструмент.
Если инфраструктура не готова к ситуации, когда патча не существует — она сломается в первый же zero-day инцидент.Статья Детектирование lateral movement через доверенные учётки: обнаружение горизонтального перемещения без вредоносного кода
Сервисная учётка SCCM три ночи подряд генерировала Type 3 logon на 17 хостах. CrowdStrike Falcon молчал. Антивирус — тоже. Ни одного подозрительного файла. Время обнаружения — 3:17 ночи, аналитик L2, несовпадение source workstation в Event ID 4776.75% вторжений — через валидные учётные данные. Breakout time — 62 минуты. EDR без контекста аутентификации не отличает wmic process list от wmic process call create. Это задача для корреляции событий и поведенческого baseline.
Event ID 4624/4648/4672/4776 — что каждый фиксирует и на каком хосте. PtH-артефакт seclogo и почему 4776 важнее, чем 4624. Low-and-slow sweep, credential rotation, jump host — как атакующий обходит пороговые правила. CVE-2025-24054 — NTLM-хеш без Mimikatz и LSASS.
Большинство SOC не мониторят Event ID 4776. А это единственное событие, которое ловит PtH до состоявшейся аутентификации.Статья Пентест банкоматов и POS-терминалов: jackpotting, shimming и detection для SOC
Волна jackpotting по США, 2024–2025. Ploutus выдаёт более 100 купюр в минуту. Восстановление одного заражённого банкомата — свыше $25 000. Application whitelist на сотнях ATM стоит в audit mode с момента установки. Замок верхней панели — одинаковый на всей серии.Два вектора: малварный jackpotting через подмену msxfs.dll и персистентность в Userinit, и black-box — отключить системный блок, подключить одноплатник к шине диспенсера, опустошить кассеты за 10 минут. XFS-команды не требуют аутентификации бэкенда — процессинг не видит ни одной транзакции.
Таблица из 8 SIEM-алертов с приоритетами, Suricata-правило на нетипичные исходящие с ATM, hardening-чеклист из 12 пунктов для IT-подразделения.
ATM перестал отправлять логи в SIEM — это алерт, а не «проблема с сетью». Всегда.Статья Динамический анализ бинарных файлов: Frida, PIN и DynamoRIO — от трассировки до распаковки
Упакованный Themida бинарь. Ghidra — шум, IDA Pro разваливает границы функций, x64dbg — антиотладочные проверки каждые десять инструкций. Три часа статического анализа, ноль выхлопа. Frida-хук на VirtualAlloc, дамп RWX-страницы — двадцать минут до чистого payload.Три DBI-фреймворка, три разных задачи. Frida — точечные перехваты и обход антиотладки, шесть строк JavaScript вместо часов ручной работы в отладчике. DynamoRIO — полная трассировка через JIT code cache, coverage-guided фаззинг с AFL++ и WinAFL, детектор shellcode. Intel PIN — instruction-level профилирование и трассировки для символьных движков.
Все три работают в user space — ни один не невидим. Timing через rdtsc, целостность кода, артефакты в памяти, direct syscalls — таблица векторов детекта для каждого фреймворка.
Натягивать Frida Stalker на полную трассировку — скрипт на 500 строк, который криво делает то, что DynamoRIO-клиент на 30 строк C делает...Статья Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.Три поверхности атаки: веб-ДБО (IDOR, race condition, обход MFA), мобильный банк (SSL pinning bypass, небезопасное хранение токенов, реверс APK), API платёжных систем (JWT с alg:none, BOLA, Unrestricted Resource Consumption). JWT с секретом secret в продакшене банка — три минуты до полного контроля над сессией.
Девять корреляционных правил для SIEM с порогами, источниками логов и маппингом на MITRE ATT&CK. Sigma-правило для детекции BOLA-паттерна — готово к адаптации.
Банк закрывает конкретный IDOR, но не создаёт правило на BOLA-паттерн. Следующий релиз — новый эндпоинт, тот же класс ошибки, ноль алертов.