Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.Статья Data Protection в облаке: шифрование, KMS, tokenization
Data Protection в облаке: шифрование, KMS и токенизация
Данные в облаке редко живут только в одной базе. Они уходят в бакеты, резервные копии, очереди, логи, тестовые дампы и отчёты. В статье разберём, как не потерять контроль над ПДн, платёжными данными и служебными секретами после первой же выгрузки.
Поговорим про шифрование в хранении и передаче: где хватает server-side encryption, когда нужен client-side подход, зачем выносить ключи в KMS, как работает DEK/KEK и почему право `decrypt` должно быть редким исключением, а не стандартной ролью приложения.
Отдельно разберём токенизацию: как заменить исходные значения токенами, сократить чувствительный контур и не пустить настоящие данные в логи, очереди, BI-выгрузки и интеграции. Материал для тех, кто хочет защищать данные не галочками в облаке, а нормальной архитектурой.Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп
Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».
Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.
Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X
Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.
Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.
Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов
79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.
Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.
MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.Статья Социальная инженерия 2026: полная карта методов атак и защиты
Голосовой фишинг обогнал email: 11% всех взломов — один звонок, 22 секунды до передачи доступа. Scattered Spider от хелпдеска до Domain Admin за 40 минут — без единого эксплойта.Файрволы, EDR, SIEM — сильнее, чем когда-либо. Атакующим не нужно их ломать. Достаточно позвонить на поддержку и представиться сотрудником. ClickFix вырос на 517%: браузер заменил inbox, а пользователь сам вставляет PowerShell-команду в терминал.
Хаб-навигатор: 10 видов атак с MITRE ATT&CK, пять психологических триггеров (срочность, авторитет, страх, взаимность, социальное доказательство), deepfake-кейсы на $25 млн, 30-дневный план усиления защиты и четырёхуровневый чеклист с метриками.
Callback-верификация и phishing-resistant MFA — единственное, что работает против Scattered Spider.Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда
Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.
Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.
Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.Статья Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS
Пентест автомобильных ECU: от OBD-II и UDS SecurityAccess до извлечения прошивки через JTAG и chip-off — практическое руководство без пересказа учебников.70–150 электронных блоков управления, связанных CAN, LIN и FlexRay. За каждым — своя прошивка, диагностический стек и уязвимости. Русскоязычная тема покрыта поверхностно: пересказы Car Hacker's Handbook и маркетинг. Здесь — конкретные методологии.
Разбираем полный цикл: пассивный захват CAN-трафика через candump, работа с UDS-сервисами (DiagnosticSessionControl, SecurityAccess), типичные ошибки реализации seed/key — фиксированный seed, XOR-алгоритм, отсутствие lockout. Физический доступ: UART с root shell без аутентификации, JTAG-дамп через OpenOCD, chip-off для NOR Flash.
Маппинг на MITRE ATT&CK и detection rules для VSOC.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
JumuroCodeby Team