Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике
whoami показывает CORP\j.smith, whoami /priv — стандартный набор без единого Enabled. Знакомое чувство? Повышение привилегий Windows — это путь от этой точки к SYSTEM через последовательную эксплуатацию мисконфигураций, а не одну волшебную команду.Приоритеты: SeImpersonatePrivilege → GodPotato/SweetPotato (SYSTEM за один запуск); Administrators + Medium IL → fodhelper UAC bypass через HKCU без единого диалога; Unquoted Service Path + writable-директория → payload при перезапуске сервиса; AlwaysInstallElevated = оба ключа в 1 → msiexec /qn с MSI-пейлоадом. DLL hijacking через procmon с фильтром NAME NOT FOUND — для кастомного ПО без ACL.
Kernel exploits — последнее средство: нестабильны, роняют хост.
Практический workflow от шелла до SYSTEM и детектирующие Sysmon Event ID для blue team.Статья CVE-2026-6154 и CVE-2026-6155: OS Command Injection в Totolink A7100RU — от CGI до шелла
T
Totolink A7100RU, прошивка 7.4cu.2313_b20191024: единый CGI-обработчик берёт пользовательский ввод и скармливает его прямо в system() без санитизации. Десять CVE с одним паттерном в одной прошивке — это не баги, это архитектура.CVE-2026-6154 (setWizardCfg, аргумент wizard) и CVE-2026-6155 (setWanCfg, аргумент pppoeServiceName) — CVSS 8.9, CWE-78, без аутентификации, публичный эксплойт. HTTP POST с метасимволом `;` в JSON-теле — и shell от root, потому что SOHO-роутеры почти всегда крутятся от суперпользователя. Паттерн тот же у Wavlink, других серий Totolink и десятков SOHO-вендоров: CGI + system() + отсутствие фильтров.
Time-based подтверждение через sleep, out-of-band через nslookup, нюансы BusyBox без флага -e.
Suricata-правило для детекта, MITRE ATT&CK маппинг и четыре шага митигации без патча.Статья Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике
79% детектируемых атак в 2025 году — без вредоносного ПО. Медианное время breakout — 48 минут, рекорд — 51 секунда. Когда на руках валидные креды, самая тупая ошибка — дропнуть на диск что-то, что EDR распознает за секунду.Три штатных механизма Windows без единого стороннего файла: WMI (T1047) — wmiprvse.exe как родитель, wmiexec.py забирает вывод через ADMIN$; PSRemoting (T1021.006) — wsmprovhost.exe, полноценная сессия, Evil-WinRM с Pass-the-Hash; DCOM (T1021.003) — MMC20.Application через mmc.exe, ShellWindows через explorer.exe — наименее триггерный parent для SOC.
Rule-based детект буксует: PowerShell и WMI используются легитимно каждый день. CVE-2025-24054: NTLMv2-хэши через .library-ms без единого клика.
Сравнительная таблица по 8 параметрам и трёхшаговый чеклист перед перемещением.Статья Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации
Апрельский Patch Tuesday 2026: 163 CVE, 57% из них — Elevation of Privilege. Получить shell — полдела. Чтобы выключить EDR, дампнуть LSASS и прописать persistence — нужен SYSTEM.BlueHammer (CVE-2026-33825, CVSS 7.8): пять легитимных фич Windows в одной цепочке — Defender update workflow → VSS snapshot → Cloud Files API → Oplocks race condition → Symbolic Links → SAM-дамп. Работает на полностью пропатченных Win 10/11. Простая перекомпиляция обходила сигнатурный детект. CVE-2026-21533 (RDP): попал в CISA KEV — зафиксирована реальная эксплуатация. На терминальнике с 40+ сессиями три из них могут быть доменными админами. CVE-2026-27910 (msiexec): некорректный permission boundary в Windows Installer.
Полная таблица MITRE ATT&CK маппинга и пошаговая методология LPE от энумерации до SYSTEM-шелла.Статья Как браузерные расширения крадут данные: webRequest, declarativeNetRequest и техники перехвата трафика
Расширение-переводчик честно переводит страницы. И в фоне стягивает каждый Authorization-заголовок, сливая Bearer-токен на сервер атакующего через обычный fetch(). Никакого эксплойта — просто штатный API браузера.webRequest onBeforeSendHeaders — 11 строк кода, и все Cookie и Authorization-заголовки у атакующего. declarativeNetRequest в MV3 не закрыл вектор: observational webRequest остался, а modifyHeaders используется для удаления CSP и X-Frame-Options. Content script + MutationObserver в Gmail — слив переписки без единого сетевого артефакта.
Три реальные кампании 2025–2026: VK Styles (500 000 аккаунтов), AiFrame (260 000 установок под AI-брендами), 57 скрытых расширений (6 млн пользователей).
Полная таблица MITRE ATT&CK и чеклист аудита manifest.json из пяти флагов.Статья Форензика браузерных расширений: артефакты, анализ и incident response при компрометации
При инциденте «странное поведение браузера, утечка сессий» — первое, что нужно проверить, не история посещений. Лезьте в директорию расширений. Аддоны оказываются причиной куда чаще, чем принято думать.Cyberhaven декабрь 2024: вредоносное обновление прилетело через штатный механизм автообновления, 2,6 млн пользователей, 5,57 ГиБ данных за два дня. Кампания tapnetic.pro: 30 расширений под AI-ассистентов, единая кодовая база, MutationObserver в Gmail для слива переписки. Полная карта артефактов: Preferences, LevelDB Local Extension Settings, Service Worker ScriptCache — и что остаётся после удаления расширения.
MITRE ATT&CK маппинг по восьми техникам: T1176, T1539, T1185, T1056.001 и другие.
Пятишаговый триаж за 15 минут с jq-однострочником и IR-плейбук для containment/eradication.Статья Privilege Escalation в Active Directory: ACL-атаки, делегирование и цепочки от GenericAll до DCSync
Закрепился в домене под рядовым пользователем — и что дальше? Самые жирные цепочки privilege escalation в AD идут через ACL-мисконфигурации. Не zero-day, не аномальный трафик — штатные механизмы, просто не для тех целей.GenericAll на пользователя: сброс пароля → Kerberoasting → Shadow Credentials — на выбор. WriteDACL на объект домена: одна команда Add-DomainObjectAcl → DCSync → все NTLM-хеши домена. RBCD: WriteProperty на компьютер + Machine Account Quota > 0 → S4U2Proxy от имени Domain Admin за пять минут. Unconstrained Delegation + PrinterBug = TGT контроллера домена на руках без единого эксплойта.
Кастомные Cypher-запросы для BloodHound, LDAP relay через WebDAV/ADIDNS.
Маппинг на MITRE ATT&CK, детектирующие Event ID и защитные рекомендации для отчёта.Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.
Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.
FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.то иначе.Статья Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике
Получили reverse shell — отлично. Завтра администратор перезагрузит сервер, и вы потеряете всё. Persistence — то, что отличает случайное проникновение от полноценной операции.Пять техник с логикой выбора: cron (T1053.003) — шумный, но первое, за что хватаются; systemd с Restart=always (T1543.002) — переживёт падение процесса и перезагрузку; SSH-ключи (T1098.004) — бесшумны и переживают смену пароля; LD_PRELOAD через /etc/ld.so.preload (T1574.006) — перехват функций без модификации бинарей; LKM rootkit Diamorphine/Reptile (T1014) — ядро под контролем, userspace слеп.
Для каждой техники — конкретные места укрытия и методы обнаружения.
Сводный чеклист аудита persistence в пяти командах и матрица выбора техники по уровню привилегий и скрытности.Статья Эксплуатация бинарных уязвимостей: stack overflow, heap exploitation, ROP/JOP и обход современных защит
«Бинарные уязвимости мертвы» — три из четырёх pwn-тасков на последнем CTF решались через классические memory corruption примитивы. Просто с поправкой на ASLR, DEP и CFI.Stack overflow против stack canaries и NX: утечка канарейки через format string, обход DEP через ROP-цепочку. Heap: tcache poisoning даёт arbitrary write, UAF + vtable overwrite перехватывает виртуальные вызовы, fastbin dup через разрыв double-free проверки. ROP → ret2libc через двухэтапный leak GOT. JOP обходит Intel CET Shadow Stack там, где ret-гаджеты уже не работают.
CFI гранулярность по функциям — любая функция с нужной сигнатурой легитимна. Один модуль без CFG ломает всю цепочку.
Пятишаговый workflow от checksec до интерактивного шелла и сравнительная таблица техник vs митигаций.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
JumuroCodeby Team