Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Повышение привилегий AWS IAM: техники эскалации через роли, политики и misconfiguration
CI/CD-пользователь с единственным «лишним» разрешением — iam:CreatePolicyVersion. Три команды aws-cli, пять минут — AdministratorAccess на весь аккаунт. Считался readonly по документации.Три поколения IAM privilege escalation: прямая модификация политик (высокий шум, гарантированный результат), удаление Permission Boundary (снимает ограничения вместо добавления прав — мониторинг не замечает), PassRole как ключевой примитив — создать Lambda с привилегированной ролью тише EC2 и без SSH. Новый вектор: PassRole + bedrock-agentcore:InvokeCodeInterpreter.
SCP не поддерживает resource-level ARN для iam:CreatePolicyVersion — только полный запрет, что ломает CI/CD. PassRole + Lambda сливается с легитимным шумом в dev-аккаунтах. Lateral через S3 фактически невидим без data events — большинство аккаунтов их не включает.
pmapper query 'who can do iam:* with *' — сразу видны все пути до admin.Статья Machine learning в кибербезопасности: как ML-scoring сократил триаж SOC с тысяч алертов до десятков
3 847 алертов за смену — lateral movement по легитимной учётке нашли через 48 часов по жалобе пользователя. Isolation Forest поднимает аналогичный паттерн до risk score 94/100 за секунды.Правила корреляции линейны: условие, порог, действие. Valid Accounts (T1078) — каждый логин выглядит нормально, порога нет. ML строит baseline и измеряет отклонения. Три алгоритма под три задачи: Isolation Forest для агрегированных метрик аутентификации, Autoencoder для UEBA и time-series, One-Class SVM для индивидуального baseline привилегированных учёток.
contamination=0.02 — 2% аномалий. При 50 000 событий в сутки это 1 000 эскалаций — порог risk_score калибруется под пропускную способность L1. Из восьми внедрений пять деактивированы за три месяца: не занимались feature engineering. CVE-2025-32434 в PyTorch (CVSS 9.3): RCE при загрузке модели — ML-пайплайн такой же артефакт инфраструктуры, как любое ПО.
ML в SOC — процесс, а не продукт. Переобучение каждые 2-4...Статья Пентест как сервис (PTaaS): сравнение платформ, модели работы и когда платформа заменяет классический проект
Классика за четыре дня — SQL injection до lateral movement во внутреннюю сеть. PTaaS за месяц — 47 уязвимостей веб-периметра, но не прикоснулась к AD. Это про «когда что применять», а не «что лучше».Deployment velocity gap: при еженедельных деплоях окно обнаружения при годовом пентесте — 180 дней. Баг из января всплывёт при следующем тестировании через полгода. PDF, описывающий призрак: система уже не та, что при скоупинге.
Hybrid — стандарт зрелых платформ. Autonomous — не видит business logic, не адаптируется к кастомной ролевой модели. Провайдер не объясняет, какие артефакты покрывают какие контроли SOC 2 — compliance-обещание пустое. Ни один PTaaS не дошёл до domain admin.
Середина рынка — «Nessus + ручная Top 10 за $20K» — сжимается. Через два-три года: senior с глубокими цепочками или оператор PTaaS.Статья SSRF атака на облачные credentials: эксплуатация metadata endpoint от IMDSv1 до постэксплуатации
PDF-генератор принял http://169.254.169.254 как URL документа. Три GET-запроса — JSON с AccessKeyId, SecretAccessKey и SessionToken. Одиннадцать минут от SSRF до aws s3 ls.IMDSv1 не требует заголовков — любой GET с инстанса возвращает IAM credentials. IMDSv2 блокирует базовый SSRF, но HttpTokens: optional оставляет IMDSv1 в качестве fallback. На каждом втором cloud-пентесте тикет в Jira создан полгода назад, а optional до сих пор стоит. Кампания марта 2025: автоматизированный перебор шести параметров и четырёх subpath с ASN 34534 — ковровая бомбардировка EC2 в поиске SSRF.
WAF на строку 169.254.169.254 пропускает decimal (2852039166), hex (0xA9FEA9FE), octal и DNS rebinding. GuardDuty ловит exfiltration по source IP — работайте с украденными credentials через свой EC2 в том же регионе. 452% рост SSRF-атак 2023→2024.
Одна команда: aws ec2 modify-instance-metadata-options --http-tokens required.Статья Банковский троян Casbaneiro: техники уклонения от детекции и механизмы самораспространения
Casbaneiro 2023: трёхкратный рост активности у трояна, которого списали со счетов. Четыре криптоалгоритма, два метода через доверенные PE, UAC bypass, Dead Drop через YouTube — это поддерживаемый продукт с версионированием.Строковая таблица уничтожается после каждого обращения — в memory dump строки живут доли секунды. XOR с зависимостью от предыдущего байта, ключ конструируется из десятков фрагментов в рантайме. AutoIt-скрипт вызывает экспортируемую функцию вида F0x000102030405... через DllCall в контексте подписанного PE. DLL side-loading через Oracle Java kinit.exe — unsigned jli.dll без подписи Oracle.
Самораспространение через Outlook MAPI: письма из легитимного ящика, SPF/DKIM/DMARC проходят. Horabot 2025 — динамически генерируемый PDF с уникальным PIN ломает сигнатурный детект. WhatsApp и ClickFix как дополнительные каналы.
«Нацелен на Латинскую Америку» — устарело: семплы из Испании и США с 2023 года.Статья Обход антифрод систем: как атакующие уклоняются от фрод-мониторинга и где защита слепа
ML-движок за семизначный ценник пропускал CNP-транзакции до 150 000 рублей без алерта. Четыре часа — три уровня антифрода обойдены. Главный зазор: система откалибрована под минимизацию false positives.Конвейер: JS-коллектор → feature extraction → rule engine → ML scoring (0.3/0.7 пороги) → decision. Device fingerprint spoofing требует консистентности: Canvas указывает Intel, WebGL возвращает NVIDIA — флаг. Residential proxy — минимальное требование, datacenter IP убивает любую маскировку.
Behavioral hijacking 4th-gen ботов: запись и воспроизведение реальных сессий, а не генерация «человекоподобных» движений. ML деградирует через data drift — окно между новым паттерном и переобучением. Slow-drip: 5 транзакций блокируют — проводим 4. Граф-анализ единственный механизм, делающий цену атаки выше её выгоды.
LLM-боты 5-го поколения: синтетическое адаптивное поведение в реальном времени — через год-два.Статья Мисконфигурация облака как вектор атаки: S3-бакеты, снапшоты и storage AWS/Azure/GCP
S3-бакет с продакшн-бэкапами БД за три минуты — aws s3 ls --no-sign-request. SQL-дампы с PII, ключи API платёжного шлюза, .env с credentials от RDS. Бакет висел больше года.Три сценария: только чтение (T1530 — терабайты за часы, среднее время обнаружения 200+ дней), запись (подмена ассетов, supply chain через статику, S3 bucket takeover через устаревшую DNS-запись), ransomware через SSE-C с ключом атакующего. Публичные EBS-снапшоты — часто продуктивнее открытых бакетов: .env с DB credentials, SSH-ключи, Docker registry tokens.
CloudTrail: data events (GetObject, PutObject, ListObjects) выключены по умолчанию. CSPM пропускает cross-account wildcard IAM, shadow IT бакеты и signed URL утечки. Логирование без анализа = отсутствие логирования.
Пока ownership бакета не закреплён за конкретным инженером — CSPM генерирует шум, а не защиту.Статья Анатомия реестра Windows[1] - формат файлов REGF на диске
Реестр Windows под микроскопом: бинарный формат REGF — это сложная файловая система без официальной спецификации за 30 лет. Открыли HxD, наложили структуру — и реестр стал читаем как книга.Иерархия трёх уровней: HBASE_BLOCK (4 КБ заголовок с контрольной суммой и временем записи) → контейнеры HBIN (также 4 КБ, могут объединяться до 64 КБ) → ячейки CELL с сигнатурами nk/vk/sk/db. Знак первого дворда ячейки — занята или свободна: NEG от 0xFFFFFF78 даёт реальный размер 0x88. Исследователь Матеуш Юрчик потратил два года и нашёл 57 уязвимостей.
Пять способов получить куст SAM/SYSTEM/SECURITY: LiveCD, reg save от админа, смена ACL в Regedit, psexec -sid, VDI-образ через 7-ZIP. Удалённые из реестра ключи остаются в REGF на диске — артефакт для криминалистики.
Исходник парсера на FASM с рекурсивным обходом дерева узлов — во вложении.Статья Threat hunting lateral movement: SIEM-запросы и поиск бокового перемещения во время инцидента
EDR сработал через 40 минут — атакующий уже на трёх соседних машинах. Тикет закрыт, все довольны. Но разница между закрытым тикетом и закрытым инцидентом — это и есть threat hunting lateral movement.62 минуты — среднее время breakout по CrowdStrike 2025, рекорд 51 секунда. 79% атак без malware: hands-on-keyboard, net.exe, WMI — файловых IOC нет. Один source IP → 5+ хостов за 10 минут — поведенческий IOC. RC4 (0x17) в AES-домене — как бензиновый двигатель в Tesla: работает, но сразу видно.
Decision tree: алерт на T1003.001 → ищем Logon Type 3 с source скомпрометированного хоста. EventID 7045 → корреляция с предшествующим 4624 Type 3. RC4 Kerberos → 4769 без baseline lookup бесполезен. Pivot от известного хоста, рекурсивный обратный pivot — минимум 2-3 уровня.
Без 30-дневного baseline любое правило из таблицы — сотни ложных срабатываний в день.Статья Пентест облачной инфраструктуры: методология, инструменты и реальные цепочки атак
Read-only IAM-ключи «для аудита» — через четыре часа полный доступ к production-бакету с ПДн. Ни одного эксплойта, ни одной CVE. Только iam:PassRole на забытой dev-роли и штатные API-вызовы AWS.80% облачных инцидентов — ошибки конфигурации, не уязвимости ПО. Вектор: от сетевых дыр к IAM-цепочкам. ScoutSuite — карта аккаунта за 30 минут, Prowler — compliance + логирование, Pacu iam__privesc_scan — ~20 известных цепочек привилегий. ScoutSuite цепочки не видит, только точки.
IMDSv1 (HttpTokens=optional) + SSRF → temporary credentials роли → Secrets Manager → RDS: три команды, данные клиентов.
Overprivileged Lambda + iam:PassRole → AdminAccess за две API-команды. CloudTrail видит AssumeRole и CreateAccessKey — видит ли SOC? GuardDuty срабатывает мгновенно на credentials EC2 с внешнего IP. Compliance-аудит ≠ пентест: если нет ни одной эксплуатированной цепочки — это был аудит.