Инструменты пентестера
Статья Расследование кибератаки: полная карта Incident Response от обнаружения до отчёта
57% организаций узнают о компрометации от внешней стороны — партнёра, регулятора или журналиста. Не от своего SIEM. Медиана нахождения атакующего в сети до обнаружения — 11 дней. За это время — полный kill chain от фишинга до шифрования инфраструктуры.Карта темы из 9 подтем: от первых 30 минут triage до IR-отчёта и разбора реальных атак. NIST vs SANS — чем отличаются и когда какой выбирать. Три стратегии сдерживания, которые не останавливают бизнес. Минимальный DFIR-стек с инструментами и условиями применения.
7 ошибок, которые уничтожают доказательства — каждая из реальных расследований. Чеклист из 16 пунктов для команды. Маппинг ransomware kill chain на MITRE ATT&CK.
Инструмент без понимания, что он должен показать — дорогой шум. Героизм не масштабируется. Процесс — масштабируется.Статья IR отчёт по инциденту: структура, timeline и IOC-приложения для бизнеса и техкоманды
Ransomware-кейс закрыт за 52 часа. Containment — 4 часа, ни один критичный хост не потерян. А потом начался второй инцидент — оформление результатов. Страховая отклонила выплату из-за нечёткой хронологии. Регулятор запросил разъяснения. CISO не смог объяснить масштаб ущерба совету директоров.Два документа вместо одного: executive summary на 1–2 страницы для руководства и юристов, технический отчёт с timeline в UTC, root cause по методологии 5 Whys, маппингом на MITRE ATT&CK и IOC-приложениями в STIX 2.1 и YARA.
Root cause — не «пользователь кликнул». Это отсутствие процесса управления привилегированными учётками. Именно эта формулировка ведёт к remediation.
Чеклист из 17 пунктов перед передачей отчёта. Меньше 12 — у вас та же проблема, что у большинства команд.Статья Breach and Attack Simulation платформы: Cymulate vs AttackIQ vs SafeBreach — что реально работает в enterprise
Cymulate показала семь непокрытых техник — три оказались false negative из-за сетевой сегментации между VLAN'ами. Вот этот зазор между дашбордом BAS и реальной защитой — то, о чём вендоры молчат.Три архитектуры под три задачи: Cymulate — prevention-валидация за час без инфраструктуры ($84K+/год, SaaS only), AttackIQ — ATT&CK-центричная валидация с on-prem опцией ($40K+/год, co-founder CTID), SafeBreach — simulator-based для гетерогенных сред без агентов на каждом хосте ($50K+/год). Рыночная доля SafeBreach упала с 9,7% до 6,2%.
Simulator vs emulation: SafeBreach воспроизводит результат, а не поведение. CrowdStrike Falcon с behavioral detection может не триггернуть на симулятор — и сработать на реального атакующего. Ни одна платформа не закрывает полную цепочку SOC response. Библиотека всегда отстаёт от кастомного evasion.
BAS автоматизирует рутину. Red team закрывает креатив. Одно не заменяет другое.Статья AI-агенты в пентесте: от 91% на CTF до провала в Active Directory
PentestGPT v2: 91% на веб-задачах и 4/5 хостов в GOAD — но агент без throttling'а засвечивается быстрее шумного скрипт-кидди. Два типа отказов, которые не лечатся заменой модели.28 LLM-агентов проанализированы — и у всех один разлом. Type A (нет инструмента, плохой промпт) лечится инженерией. Type B (преждевременная фиксация на ветке, бесконечная разведка, забывание контекста на шаге 7) — нет. GPT-5 как backbone сжимает разрыв между агентами вдвое: архитектурные надстройки деградируют по мере прогресса моделей.
TDA — difficulty-aware planning — снижает долю Type B с 58% до 27%. State management удваивает результаты hackingBuddyGPT на privesc без замены модели. Sigma-набор на T1046 ловит агента раньше, чем он добирается до эксплуатации.
Decision tree: когда AI-агент даёт ROI, а когда — шум в логах SOC.Статья Настройка Kali Linux для пентеста: кастомизация, инструменты и оптимизация окружения
Kali Linux из коробки — заготовка, не рабочий инструмент. Первые полчаса уходят не на взлом, а на превращение дистрибутива в нормальное рабочее место.Kali vs Parrot: критерии выбора по RAM, сообществу и AnonSurf. Правильная последовательность обновления в VM: сначала гостевые дополнения и snapshot — потом apt full-upgrade, иначе 800x600 и никакого буфера обмена. Алиасы nmap в одну строку, функция mkproject со структурой scans/loot/notes/exploits, tmux для сохранения сессий при обрыве.
Must-have сверх стандартного набора: netexec вместо мёртвого CrackMapExec, ligolo-ng для pivoting, autorecon для автоматической разведки, pspy без root на цели. vm.swappiness=10, отключить compositor в Xfce. Пять типичных ошибок: root постоянно, обновление без snapshot, Kali как основная ОС, rockyou вместо seclists, ненастроенный Metasploit.
sudo msfdb init — 30 секунд, которые делают Metasploit нормальным инструментом.Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.Статья Linux для пентестера: полное руководство по инструментам, техникам и автоматизации в 2026 году
Семь из десяти сетей скомпрометированы за 48 часов. Каждая атака начиналась с терминала Linux. Карта всего kill chain — от первого nmap до secretsdump.py и персистенса через systemd.Kali vs Parrot vs BlackArch — выбор ящика для инструментов, а не самих инструментов. Связка masscan + nmap: сначала широкий охват, потом -sV -sC по конкретным хостам. SUID через GTFOBins, sudo -l, capabilities, docker-группа — шесть векторов до root с командами для каждого.
Bash-пайплайн subfinder + httpx + nuclei в одну команду, Python через Impacket для lateral movement из Linux в AD, `/etc/shadow` и `grep -rli 'password'` по `/opt/` — именно так находятся AWS-ключи в `.env`. Три тренда: eBPF-агенты, облачные цели, ИИ-аудит.
Хаб-навигатор по 6 статьям форума + маппинг на MITRE ATT&CK.Статья Пентест веб-приложений по OWASP Top 10: что пропускают сканеры и как находить уязвимости в Burp Suite
За 50+ проектов выработал правило: полагаешься только на сканер — пропустишь треть критических находок. IDOR, SSRF, логические ошибки Burp Scanner не видит. Не понимает, что смотрит.Системный пентест по OWASP Top 10 2021 в Burp Suite: маппинг приложения через Proxy + ffuf, IDOR между аккаунтами в Repeater с перебором ID через Intruder, time-based SQLi с SLEEP(5) под конкретную СУБД, stored XSS с Collaborator вместо alert(1), blind SSRF через внутренние адреса AWS и Redis.
Log4Shell (CVE-2021-44228, CVSS 10.0) через `${jndi:ldap://}` в заголовках, CVE-2024-4367 в PDF.js — проверка версии pdfjs-dist. Почему WAF-байпасов без контекста не бывает и когда тайминг-атаки врут. Маппинг T1190, T1539, T1185, T1505.003 на MITRE ATT&CK.
Команда ffuf для скрытых API-эндпоинтов с токеном авторизации.Статья Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
Разработка Red Team инструментов: коммерческий C2 за $10 000 детектируется за 12 секунд, кастомный имплант живёт месяцами. Карта всей дисциплины — от loader'а до kernel rootkit'а.Cobalt Strike, Nighthawk, Brute Ratel, Sliver, Mythic, Havoc — матрица выбора с весовыми критериями. Архитектура: loader → redirector → teamserver, стейджинг в два слоя, транспорты DNS/HTTP/SMB. Выбор языка: C для минимального бинаря, Rust для производства, Nim за скорость разработки, Go — только для серверной части.
Process injection 2025: classic injection ловится любым EDR, thread pool injection через NtSetInformationWorkerFactory — пока в слепой зоне. Direct syscalls, indirect syscalls, unhooking ntdll — и почему AMSI-патч уже сам стал сигнатурой. Sleep с шифрованием стека и heap, stack spoofing, runtime polymorphism — принципы SECFORCE.
Таблица детектируемости 5 injection-техник и навигатор по 7 spoke-статьям кластера.Статья OWASP Top 10 для LLM 2025: полный разбор изменений с позиции атакующего
OWASP Top 10 для LLM 2025: diff с версией 2023 — три новые категории, три удалённые, и ни один русскоязычный ресурс не даёт этот список с маппингом на MITRE ATT&CK.RAG стал стандартом — и две из трёх новых категорий прямо связаны с ним. System Prompt Leakage (LLM07) — отдельный класс с 2025 года: credentials в промпте, правила фильтрации, внутренняя логика агента. Vector and Embedding Weaknesses (LLM08) — Weaviate без аутентификации = прямая запись embedding-ов. Unbounded Consumption — Denial of Wallet вместо DoS: система работает, кошелёк заказчика нет.
Сводная таблица 2023 vs 2025, маппинг всех категорий на MITRE ATT&CK и MITRE ATLAS, пятишаговый чеклист red team оценки с конкретными Garak-командами и payload для indirect prompt injection через RAG-пайплайн.
Insecure Plugin Design удалили — риски переехали в три другие категории.