Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.
Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.
FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.то иначе.Статья Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике
Получили reverse shell — отлично. Завтра администратор перезагрузит сервер, и вы потеряете всё. Persistence — то, что отличает случайное проникновение от полноценной операции.Пять техник с логикой выбора: cron (T1053.003) — шумный, но первое, за что хватаются; systemd с Restart=always (T1543.002) — переживёт падение процесса и перезагрузку; SSH-ключи (T1098.004) — бесшумны и переживают смену пароля; LD_PRELOAD через /etc/ld.so.preload (T1574.006) — перехват функций без модификации бинарей; LKM rootkit Diamorphine/Reptile (T1014) — ядро под контролем, userspace слеп.
Для каждой техники — конкретные места укрытия и методы обнаружения.
Сводный чеклист аудита persistence в пяти командах и матрица выбора техники по уровню привилегий и скрытности.Статья Эксплуатация бинарных уязвимостей: stack overflow, heap exploitation, ROP/JOP и обход современных защит
«Бинарные уязвимости мертвы» — три из четырёх pwn-тасков на последнем CTF решались через классические memory corruption примитивы. Просто с поправкой на ASLR, DEP и CFI.Stack overflow против stack canaries и NX: утечка канарейки через format string, обход DEP через ROP-цепочку. Heap: tcache poisoning даёт arbitrary write, UAF + vtable overwrite перехватывает виртуальные вызовы, fastbin dup через разрыв double-free проверки. ROP → ret2libc через двухэтапный leak GOT. JOP обходит Intel CET Shadow Stack там, где ret-гаджеты уже не работают.
CFI гранулярность по функциям — любая функция с нужной сигнатурой легитимна. Один модуль без CFG ломает всю цепочку.
Пятишаговый workflow от checksec до интерактивного шелла и сравнительная таблица техник vs митигаций.Статья Архитектура антифрод-платформы в банке: от событий до решений
Архитектура антифрод-платформы в банке: от событий до решений
Антифрод в банке давно перестал быть набором правил рядом с транзакцией. В статье разберём, как на самом деле устроен этот контур: от приёма событий из разных систем до скоринга, правил, ручного разбора и финального решения, которое нужно принять вовремя, а не “когда всё досчитается”.
По шагам посмотрим, зачем антифроду событийная шина, где без потоковой обработки уже не обойтись, почему признаки приходится делить на online и offline слои, и как в бою сочетаются модели, rule engine и оркестрация решений. Отдельно разберём, где такие платформы обычно начинают сыпаться: на задержках, рассинхроне данных, слабой маршрутизации кейсов и плохом возврате меток в обучение.Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.
Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.
Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.
Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.
YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.Статья Sandbox escape в AI-агентах 2026: разбираем CVE-2026-39888 и CVE-2026-34208
Апрель 2026-го принёс два advisory, разносящих иллюзию безопасной изоляции в AI-агентах. CVE-2026-39888 (CVSS 9.9) — побег из PraisonAI через frame traversal. CVE-2026-34208 (CVSS 10.0) — prototype mutation в SandboxJS без аутентификации.PraisonAI: AST-блоклист subprocess-режима содержит 11 атрибутов вместо 30+. Цепочка __traceback__ → tb_frame → f_back → f_builtins извлекает неограниченный exec — полный RCE на хосте. SandboxJS: this.constructor.call() мутирует хостовые глобалы, и отравление живёт между сессиями разных пользователей.
Аналогичный класс уязвимостей (CBSE) найден в Claude Code, Gemini CLI и Codex CLI — архитектурная проблема, а не единичный баг.
Шестишаговый чеклист аудита sandbox AI + MITRE ATT&CK маппинг T1059.006, T1059.007, T1611.Статья Пентест контейнеров Docker и Kubernetes: от побега из контейнера до захвата кластера
На каждом втором red team-проекте с контейнерной инфраструктурой одна и та же картина: команда считает, что контейнер изолирует как виртуалка. Нет. Это группа процессов за Linux-примитивами, и один треснувший заборчик — выход на хост.Docker socket в CI/CD — container breakout за 30 секунд через curl к daemon API. CVE-2024-21626 (runc, CVSS 8.6) — побег без привилегированного режима. CVE-2025-9074 (Docker Desktop, CVSS 9.3) — доступ к Engine API без аутентификации через внутреннюю подсеть. В Kubernetes: `create pods` = DaemonSet на всех нодах, `create clusterrolebindings` = одна команда до cluster-admin.
Полная цепочка: разведка → ориентирование в поде → container breakout → RBAC abuse → захват кластера. Инструменты: CDK, kube-hunter, Peirates, kubesploit.
Восьмишаговый чеклист пентеста с MITRE ATT&CK маппингом и защита, которая реально останавливает атакующего.Статья Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
DAST-сканер слеп как крот, когда GET /api/v1/orders/1337 отдаёт чужой заказ при подмене ID. OWASP API Top 10 2023 — рабочая карта атакующего, а не чеклист для менеджеров.Три пункта из десяти — про контроль доступа: BOLA (подмена ID в Burp Repeater), BFLA (смена метода или пути на /admin/), Broken Object Property Level Authorization (mass assignment + excessive data exposure). Инъекции больше не выделены отдельно — логические баги статистически преобладают.
Каждая категория через HTTP-запросы, инструменты (Autorize, jwt_tool, Arjun, nuclei, InQL) и MITRE ATT&CK маппинг. GraphQL: интроспекция на production раскрывает всю схему, batch-запросы обходят rate limiting.
Шести шаговая методика API пентеста — за порогом регистрации.Статья Kubernetes Privilege Escalation: от скомпрометированного пода до cluster-admin через RBAC
⎈ Операции с кражей Kubernetes-токенов выросли на 282% за год. Подозрительная активность вокруг SA-токенов — в 22% облачных сред. Ключ лежит под ковриком.
Пять векторов RBAC-эскалации: create pods без admission controller = root на ноде; get secrets = все SA в namespace; impersonate = действуешь от имени кого угодно без новых объектов; bind и escalate — наименее известные, но наиболее разрушительные. Lazarus/Slow Pisces использовали этот паттерн на криптобирже в 2025. IngressNightmare (CVE-2025-1974, CVSS 9.8) — 43% облачных сред.
Полная цепочка «токен → разведка → под с привилегированным SA → cluster-admin» с командами через curl и kubectl.
Чеклист из 11 проверок для аудита RBAC и защита: PSA, Kyverno, аудит опасных verbs.