Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.Статья Cloud C2 обход детекции: Red Team playbook по облачным каналам управления APT-групп
Living off the cloud: C2-трафик через Google Sheets, Microsoft Graph и OpenAI API — NGFW видит легитимный запрос, SIEM молчит, SOC не знает на что триггериться.80% техник из топ-10 MITRE ATT&CK — в миллионе образцов малвари — связаны с уклонением от обнаружения и закреплением. GRIDTIDE использует гугл-таблицу для команд и batchClear на 1000 строк для заметания следов. SesameOp прячет C2 за api.openai.com — попробуйте заблокировать его в компании, где все «повышают продуктивность с ChatGPT».
Разбираем механику Microsoft Graph API C2 пошагово: OAuth client credentials, dead drop через OneDrive, jitter 30-300 секунд. Три кейса: GRIDTIDE (КНР, телекомы), Boggy Serpens (Иран, четыре волны за полгода), CLOUD#REVERSER (Google Drive + Dropbox). Detection playbook: KQL для Azure Sentinel, паттерны beaconing, корреляция EDR и сетевых логов.
Маппинг на MITRE ATT&CK и detection gaps типичного корпоративного стека.Статья Взлом беспроводных интерфейсов автомобиля: от Bluetooth и Wi-Fi до Cellular и V2X
Пять-семь радиоинтерфейсов в каждом современном авто — и каждый точка входа. Relay за $50, PerfektBlue в 350 млн машин, RCE через модем Unisoc из радиоэфира.Реальная атака на автомобиль почти всегда мультиинтерфейсная: вход через Bluetooth, pivot через Wi-Fi, выход на CAN-шину через cellular-модем. OpenSynergy BlueSDK — Ford, Mercedes, VW, Skoda. CVE-2024-45434 CVSS 9.8: RCE без сопряжения, атака из эфира через AVRCP.
Разбираем каждый вектор: relay на PKES за $50 с дальностью 100 метров, Evil Twin на парковке без уведомления водителя, IMSI Catching через srsRAN, стековое переполнение в RLC-обработчике Unisoc с ROP-цепочкой до Application Processor, Ghost Node в V2X-сети через SDR.
Матрица митигаций и трёхшаговая цепочка от эфира до CAN-шины.Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов
79% атак CrowdStrike в 2024 году — malware-free. Ваши certutil, mshta, rundll32 уже работают против вас. LOTL стал нормой, а не экзотикой.EDR молчит. Антивирус молчит. На диске — ни одного подозрительного файла. А атакующий уже дампит LSASS через rundll32 + comsvcs.dll и движется по сети через WMI и PSRemoting. Volt Typhoon — пять лет в критической инфраструктуре США без единого custom malware.
Хаб-навигатор по семи направлениям: 7 ключевых LOLBins с маппингом на MITRE ATT&CK, анатомия полной цепочки Remcos 2026 (mshta → curl → tar → forfiles), BYOVD для убийства EDR на уровне ядра, KQL-запрос для Defender for Endpoint и чеклист Blue Team по логированию и поведенческим правилам.
MAVInject.exe — LOLBin уровня nation-state с нулевым покрытием детектирования.Статья Социальная инженерия 2026: полная карта методов атак и защиты
Голосовой фишинг обогнал email: 11% всех взломов — один звонок, 22 секунды до передачи доступа. Scattered Spider от хелпдеска до Domain Admin за 40 минут — без единого эксплойта.Файрволы, EDR, SIEM — сильнее, чем когда-либо. Атакующим не нужно их ломать. Достаточно позвонить на поддержку и представиться сотрудником. ClickFix вырос на 517%: браузер заменил inbox, а пользователь сам вставляет PowerShell-команду в терминал.
Хаб-навигатор: 10 видов атак с MITRE ATT&CK, пять психологических триггеров (срочность, авторитет, страх, взаимность, социальное доказательство), deepfake-кейсы на $25 млн, 30-дневный план усиления защиты и четырёхуровневый чеклист с метриками.
Callback-верификация и phishing-resistant MFA — единственное, что работает против Scattered Spider.Статья Пентест Active Directory: полный гайд от разведки до Domain Admin — инструменты, техники, лабораторная среда
Active Directory пентест 2025: от первого LDAP-запроса до хеша krbtgt — рекорд 22 минуты. Карта всех этапов и инструментов.Один забытый SPN с паролем Summer2024!, одна кривая ACL «на время миграции» — и BloodHound рисует прямую линию к Domain Admin. AD проектировалась для удобства, а не для противодействия атакующему с валидным доменным аккаунтом.
Хаб-навигатор по семи этапам: разведка через LDAP и SharpHound, LLMNR poisoning и захват NTLMv2, Kerberoasting и AS-REP Roasting, ACL-атаки и делегирование Kerberos, Pass-the-Hash и lateral movement, DCSync и Golden Ticket, AD CS (ESC1–ESC13). Arсенал 2025: Impacket, NetExec, Rubeus, Certipy, BloodHound CE.
Критические CVE с прямым путём к DA и лабораторная среда GOAD для отработки.Статья Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS
Пентест автомобильных ECU: от OBD-II и UDS SecurityAccess до извлечения прошивки через JTAG и chip-off — практическое руководство без пересказа учебников.70–150 электронных блоков управления, связанных CAN, LIN и FlexRay. За каждым — своя прошивка, диагностический стек и уязвимости. Русскоязычная тема покрыта поверхностно: пересказы Car Hacker's Handbook и маркетинг. Здесь — конкретные методологии.
Разбираем полный цикл: пассивный захват CAN-трафика через candump, работа с UDS-сервисами (DiagnosticSessionControl, SecurityAccess), типичные ошибки реализации seed/key — фиксированный seed, XOR-алгоритм, отсутствие lockout. Физический доступ: UART с root shell без аутентификации, JTAG-дамп через OpenOCD, chip-off для NOR Flash.
Маппинг на MITRE ATT&CK и detection rules для VSOC.Статья Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team
Persistence на Windows: четыре механизма закрепления от Run Keys до Ghost Tasks — и почему один метод это непрофессионально.Beacon живой, сессия стабильная. Пользователь перезагрузился — и ты начинаешь всё сначала. Layered persistence — разница между одноразовым попаданием и месяцами устойчивого доступа.
Разбираем четыре техники с командами и OPSEC-соображениями: реестровые ключи от Run/RunOnce до Port Monitors и VerifierDlls (низкий мониторинг EDR), планировщик задач включая Ghost Task — задача исчезает из schtasks /query, но продолжает выполняться, WMI-подписки как fileless persistence, переживающий credential reset, и COM Hijacking без прав администратора.
Сравнительная таблица по привилегиям и детектируемости + стратегия decoy через Run Key.Статья BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году
BYOVD в 2026: Qilin и Warlock поставили обход EDR на конвейер — ротируемый пул драйверов, FNV-1a хэширование процессов, словарное кодирование payload.Идеальный имплант с indirect syscalls и обходом AMSI падает за три секунды — потому что EDR-драйвер зарегистрировал kernel callbacks ещё до того, как ваш код коснулся ntdll.dll. Единственный путь — Ring 0.
Разбираем полную цепочку: от sc create и IOCTL-примитивов до обнуления PspCreateProcessNotifyRoutine и снятия PPL через _EPROCESS.Protection. Dell dbutil_2_3.sys, WinRing0.sys, EnCase с отозванным сертификатом 2010 года — Windows загружает всё. Почему CRL не проверяется и что с этим не так.
Таблица детектирования для blue team и единственная архитектурная защита — HVCI.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
LuxkerrCodeby Team