Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда
Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.
Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.
Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.Статья Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS
Пентест автомобильных ECU: от OBD-II и UDS SecurityAccess до извлечения прошивки через JTAG и chip-off — практическое руководство без пересказа учебников.70–150 электронных блоков управления, связанных CAN, LIN и FlexRay. За каждым — своя прошивка, диагностический стек и уязвимости. Русскоязычная тема покрыта поверхностно: пересказы Car Hacker's Handbook и маркетинг. Здесь — конкретные методологии.
Разбираем полный цикл: пассивный захват CAN-трафика через candump, работа с UDS-сервисами (DiagnosticSessionControl, SecurityAccess), типичные ошибки реализации seed/key — фиксированный seed, XOR-алгоритм, отсутствие lockout. Физический доступ: UART с root shell без аутентификации, JTAG-дамп через OpenOCD, chip-off для NOR Flash.
Маппинг на MITRE ATT&CK и detection rules для VSOC.Статья Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team
Persistence на Windows: четыре механизма закрепления от Run Keys до Ghost Tasks — и почему один метод это непрофессионально.Beacon живой, сессия стабильная. Пользователь перезагрузился — и ты начинаешь всё сначала. Layered persistence — разница между одноразовым попаданием и месяцами устойчивого доступа.
Разбираем четыре техники с командами и OPSEC-соображениями: реестровые ключи от Run/RunOnce до Port Monitors и VerifierDlls (низкий мониторинг EDR), планировщик задач включая Ghost Task — задача исчезает из schtasks /query, но продолжает выполняться, WMI-подписки как fileless persistence, переживающий credential reset, и COM Hijacking без прав администратора.
Сравнительная таблица по привилегиям и детектируемости + стратегия decoy через Run Key.Статья BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году
BYOVD в 2026: Qilin и Warlock поставили обход EDR на конвейер — ротируемый пул драйверов, FNV-1a хэширование процессов, словарное кодирование payload.Идеальный имплант с indirect syscalls и обходом AMSI падает за три секунды — потому что EDR-драйвер зарегистрировал kernel callbacks ещё до того, как ваш код коснулся ntdll.dll. Единственный путь — Ring 0.
Разбираем полную цепочку: от sc create и IOCTL-примитивов до обнуления PspCreateProcessNotifyRoutine и снятия PPL через _EPROCESS.Protection. Dell dbutil_2_3.sys, WinRing0.sys, EnCase с отозванным сертификатом 2010 года — Windows загружает всё. Почему CRL не проверяется и что с этим не так.
Таблица детектирования для blue team и единственная архитектурная защита — HVCI.Статья VPC Security: сегментация сетей в облаке правильно
VPC Security: сегментация сетей в облаке правильно
Облачная сеть редко разваливается из-за одной громкой ошибки. Чаще всё начинается с “временного” правила, лишнего маршрута, открытого peering или приватного сервиса, который внезапно оказывается достижим через старую связность. В статье разберём, как проектировать VPC так, чтобы компрометация одной рабочей нагрузки не открывала путь ко всему внутреннему контуру.
По шагам пройдём базовую архитектуру: public и private подсети, таблицы маршрутов, security groups, Network ACL, hub-spoke, shared VPC и трёхслойную модель web/app/db. Отдельно посмотрим, где такие схемы ломаются в проде: широкие CIDR, забытые исключения, “allow internal”, временные маршруты и смешение dev, stage и prod.Статья GPUBreach: Rowhammer атака GPU с эскалацией привилегий до root — полный разбор kill chain
GDDRHammer, GeForge, GPUBreach: Rowhammer добрался до видеопамяти — и GPUBreach обходит IOMMU, который считался надёжным барьером.Десять лет Rowhammer бил по CPU-памяти. GDDR6 считалась изолированной — максимум деградация нейросети. Три препринта 2025–2026 меняют картину: 1171 bit flip на RTX 3060, root shell на хосте, и GPUBreach работает даже с включённым IOMMU — через memory-safety баги в kernel-mode драйвере NVIDIA, до которого IOMMU просто не дотягивается.
Разбираем kill chain каждой атаки: memory massaging через sparse UVM, CUDA-ядро для хаммеринга GDDR6, эскалация через page table до драйвера. Маппинг на MITRE ATT&CK — T1068, T1565.003. Почему ECC не спасает на GeForce. Что проверять в shared GPU-инфраструктуре облака.
Базовый CUDA-код для воспроизведения в лаборатории.Статья CVE-2026-35616: эксплуатация уязвимости FortiClient EMS — от API bypass до захвата Fortinet-инфраструктуры
CVE-2026-35616: pre-auth RCE в FortiClient EMS — эксплуатировался как zero-day в пасхальную субботу, пока SOC смотрел в потолок.CVSS 9.8, zero-day, CISA KEV с дедлайном три дня на патчинг. Вектор — crafted HTTP-запрос, аутентификация просто не навешена на конкретный маршрут. За ним — весь management plane Fortinet: политики endpoint'ов, FortiSandbox, VPN-конфигурации на каждой машине с агентом.
Разбираем механику API bypass и kill chain от T1190 до lateral movement через легитимный push-механизм EMS. Параллельный вектор — CVE-2026-21643 (SQL-инъекция, тот же CVSS 9.8): обновился с 7.4.4 до 7.4.5, закрыл одну дыру — влетел в другую.
Хантинг без официальных IOC и PowerShell-запрос для детекта подозрительных дочерних процессов EMS.Статья Анализ дампов памяти Volatility 3: практический workflow обнаружения малвари и инъекций
Volatility 3: пошаговый DFIR-workflow от снятия дампа до IoC — для fileless-атак и инъекций, которые дисковая форензика не видит.Cobalt Strike beacon в RWX-регионе легитимного svchost.exe, reflective DLL injection, расшифрованный payload в памяти — ни одного файла на диске. Классические инструменты слепы. Единственный путь — дамп RAM.
Разбираем практический workflow: снятие дампа через WinPmem/LiME, ключевое отличие Volatility 3 от двойки (никакого --profile), три плагина вместо одного — pslist, pstree, psscan — и почему использовать только один значит гарантированно пропустить DKOM-руткит. Красные флаги в дереве процессов с привязкой к MITRE ATT&CK: T1055, T1014, T1036.005, T1003.001.
Chain of custody и маппинг артефактов на тактики.Статья Эксплуатация CVE в веб-приложениях: от чтения advisory до RCE за три шага
CVE-2025-32432 и CVE-2025-55182: как сухая строчка advisory превращается в pre-auth RCE — от patch diff до nuclei-шаблона.Craft CMS, React Server Components — два стека, одна болезнь: публичный эндпоинт ест сложные структуры без валидации. В Craft это gadget chain через Yii::createObject() с подменой __class, session poisoning и require на файл сессии. В React — голая десериализация CWE-502, CISA KEV, ransomware-кампании.
Разбираем методологию целиком: декомпозиция advisory по CWE и CVSS-вектору, patch diffing через git diff, воспроизведение в Docker, IoC для WAF из маркеров десериализации, nuclei-шаблон для массового сканирования и маппинг всей цепочки на MITRE ATT&CK.
Workflow на 6 шагов — от curl до отчёта.Статья Анализ CVE уязвимостей: от строчки в NVD до рабочей гипотезы эксплуатации
Нашёл CVE в сканировании — и завис на NVD? Это лечится. Разбираем, как читать advisory для реального engagement, а не для отчёта по комплаенсу.CVSS-скор — число для менеджеров. Пентестеру нужен вектор: AV:N + PR:N + UI:N — это атака без предусловий, CWE-502 — десериализация, CWE-78 — command injection. Log4Shell, Heartbleed, Shellshock, Stagefright — разбираем каждый по CWE и CVSS-вектору до root cause без единой строки исходников.
Patch diffing через Ghidra Version Tracking и BinDiff, пятишаговый workflow от advisory до тестируемой гипотезы, маппинг на MITRE ATT&CK и компактный чеклист для быстрой оценки CVE — всё, чтобы за три минуты понять: копать или идти дальше.