Инструменты пентестера
Статья Feature engineering для сетевого трафика: почему качество фичей решает больше, чем выбор алгоритма в ML-моделях IDS
Две недели на подбор гиперпараметров LightGBM — F1 между 0.71 и 0.74. Один вечер на три новые фичи: стандартное отклонение IAT, энтропия payload и byte ratio. F1 прыгнул до 0.93. Алгоритм тот же, данные те же — изменилось то, что модель «видит» в трафике.Три уровня признаков: пакетный (TCP-флаги, TTL), flow (byte_ratio, pkt_ratio, IAT-статистика из Zeek conn.log) и поведенческий (энтропия dst_port за окно, SYN-ratio). Маппинг на MITRE ATT&CK: std_iat < 0.5с при сессии >5 мин → beacon T1071, энтропия dst_port > 4 бит → сканирование T1046, HTTP на порту 53 → туннелирование T1572.
Python-пайплайн: zeek → pandas → производные фичи → LightGBM → SHAP для интерпретации. Три ловушки: IP-адреса в фичах вместо поведенческих агрегатов, временная утечка при двунаправленном окне, мультиколлинеарность 80+ фичей CICFlowMeter.
Менять Random Forest на Transformer при плохих фичах — это ставить спортивный выхлоп на машину с пробитым...Статья Сравнение ML IDS/IPS систем обнаружения вторжений: Darktrace, Vectra AI и Cisco Secure — архитектура и слепые пятна
За год четыре red team/blue team учения против Darktrace, Vectra AI и Cisco Secure IPS. Ни одна система не поймала все три C2-канала. Каждая пропустила lateral movement на разных этапах kill chain. FP rate — от 3% до 28%. Вендоры обещают «полную видимость», production-реальность другая.Три архитектурных парадигмы: Darktrace строит модель «нормы» без сигнатур (если атакующий сидит в сети во время обучения — его C2 войдёт в baseline). Vectra AI сшивает слабые сигналы из сети, identity и cloud. Cisco Secure — сигнатурный движок Snort 3 с ML-аугментацией. Каждый силён в своём сценарии, каждый имеет конкретные слепые зоны по MITRE ATT&CK.
Что стабильно проходит сквозь все три: C2 через CDN с валидным TLS, low-and-slow recon, beacon с jitter 40–60% в рабочие часы. Decision tree выбора платформы под инфраструктуру.
Разница между хорошим и плохим ML-IDS определяется не продуктом, а тем, кто его разворачивает и тюнит.Статья Обход ML-детекторов в IDS: adversarial-атаки и тестирование робастности моделей
Тестировал adversarial-устойчивость ML-модулей в коммерческих IDS — минимальные пертурбации статистических признаков flow'ов стабильно снижали detection rate на десятки процентных пунктов. Модель с 97% accuracy на тестовой выборке видит C2-канал как «легитимный HTTPS».FGSM-атака на NSL-KDD в 20 строк Python: градиент loss-функции по входу, сдвиг фичей в сторону максимальной ошибки классификатора. Как перевести пертурбацию обратно в реальные единицы (байты, миллисекунды) через scaler.inverse_transform(). Transferability: adversarial-примеры с surrogate DNN переносятся на целевую модель, но для tree-based (Random Forest, XGBoost) это непредсказуемо.
Что не ломается: protocol-aware фичи (TCP flags consistency, TLS handshake order) — атакующему нечего крутить. Где слепые зоны: DPI параллельно с ML, JA3-отпечаток TLS, concept drift.
97% accuracy на holdout-выборке — это не robustness. Это accuracy на данных того же распределения, что обучающие.Статья Эмуляция прошивок embedded Linux: QEMU, Firmadyne и динамический анализ без устройства
Три месяца назад получил прошивку промышленного роутера на MIPS — устройство стояло на закрытом объекте за двумя периметрами. Через 40 минут после binwalk -e работал lighttpd в QEMU user-mode, через два часа — command injection в CGI-обработчике. Физическое устройство не понадобилось.QEMU user-mode vs system-mode: когда chroot достаточно, а когда нужен полный стек. Firmadyne — автоматизированный пайплайн из пяти шагов: extractor.py → getArch.sh → makeImage.sh → inferNetwork.sh → run.sh. Где ломается: NVRAM-зависимости, вендорские модули ядра, привязка к MMIO-периферии SoC. Как чинить: заглушки через LD_PRELOAD, NOP проверок оборудования в Ghidra, nandsim для MTD-партиций.
Сравнительная таблица шести инструментов: QEMU, Firmadyne, FirmAE, Qiling, Renode — с границами применимости. Минилаб на прошивках D-Link DIR-822 и NetGear WN604.
Статический анализ закрывает 30% поверхности атаки. Остальные 70% — runtime-баги, которые видны только при...Статья ML IDS обнаружение атак без сигнатур: слепые зоны поведенческого детектора
Isolation Forest с F1 0.97 на CICIDS 2017 пропустил DNS-туннель на 800 КБ: feature vector оставался в двух стандартных отклонениях от нормы. Модель с отличными метриками на датасете в продакшене оказалась слепой. После этого каждый ML-детектор проходит adversarial-тестирование до включения в боевую инфраструктуру.Mimicry-атака: fingerprinting baseline → адаптация C2-beacon под профиль легитимного трафика. Low-and-slow: exfiltration по 50 КБ раз в 10 минут через DNS, lateral movement 1–2 соединения в час, jitter 30–50% против LSTM-детекторов. Poisoning: «растягивание» границы нормы в период переобучения модели.
Decision table: какой сценарий какая модель ловит и что делать атакующему. Python-код детекции distribution shift через KS-тест для выявления poisoning. Ensemble-подход и adversarial validation как единственные работающие контрмеры.
Тихий оператор, настроивший C2 под baseline, проходит через большинство коммерческих...Статья OWASP MASVS v2.0.0: ключевые обновления стандарта безопасности мобильных приложений
Клиент запросил «проверку на L2 по MASVS» — открываю стандарт, а уровней L1, L2 и R там больше нет. OWASP убрал их в v2.0.0. Разговор о скоупе затянулся на два часа: клиент оперировал терминами из v1.5.0, а стандарт жил по другим правилам.Ключевые изменения v2.0.0: MASVS-ARCH с нетестируемыми архитектурными контролями удалён полностью. Уровни L1/L2/R заменены на Testing Profiles в MASTG. MASVS-STORAGE сведена с десятка контролей до двух. MASVS-AUTH разделена на клиентскую и серверную — серверная делегирована OWASP ASVS. MASVS-NETWORK однозначно требует certificate pinning.
Маппинг MASVS-групп на MITRE ATT&CK: STORAGE→T1552, CRYPTO→T1552.004, RESILIENCE→T1027. Три шага обновления пентест-процесса под актуальный стандарт. Добавление MASWE как промежуточного звена между MASVS и MASTG.
Добавьте колонку ATT&CK ID в следующий отчёт — документ понятный SOC-команде заказчика вместо формальной бумаги.Статья Детектирование lateral movement с помощью машинного обучения: от признаков в логах до рабочей модели в SIEM
51 секунда — рекордное время lateral movement после initial access (CrowdStrike 2025). Beacon Cobalt Strike прожил в сети больше недели при работающем SIEM с полным набором правил. Jitter 40%, HTTPS к легитимному CDN, нормальный размер пакетов. Выдала его аномальная периодичность — Isolation Forest из Zeek-логов.79% атак 2024 года — без malware. Volt Typhoon работает исключительно через LOTL. Сигнатурный подход против этого мёртв. Feature engineering для ML: inter-arrival time, coefficient of variation IAT, upload/download ratio, communication graph fan-out. Windows Event 4624 Type 3 + Sysmon process tree + Zeek conn.log.
Python-код Isolation Forest на Zeek-данных. KQL-запрос в Sentinel на аномальный fan-out Type 3. Decision table алгоритмов: Isolation Forest vs One-Class SVM vs Random Forest vs graph-anomaly по сценарию.
ML работает, когда инженер строит baseline, калибрует пороги и переобучает модель. Подписка на вендорский...Статья Уязвимости IoT устройств: критическая карта атак и патч-менеджмент
18,8 миллиарда IoT-устройств в сети. У большинства последнее обновление прошивки было единственным — заводским. На реальных пентестах чаще заходят через забытый роутер с Telnet, чем через фишинговое письмо: на роутере нет ни антивируса, ни логов, ни человека, который за него отвечает.Навигационный хаб по безопасности IoT: 8 классов уязвимостей (CWE-78, CWE-287, CWE-787 — топ KEV 2024), карта атак по MITRE ATT&CK от T1190 до T1495, firmware-анализ через binwalk и Firmwalker, ботнеты от Mirai до China-nexus covert-сетей. Почему 85% организаций не обновляют OT-устройства и как выстроить патч-менеджмент без SIEM.
11 связанных материалов кластера: CVE в Totolink, PAN-OS, Fortinet, Cisco ASA, Ivanti. Decision tree выбора вектора атаки. Чеклист аудита из 12 пунктов для передачи сисадмину.
Вопрос «какая версия прошивки на вашем пограничном роутере» ставит большинство компаний в тупик. Это не мелкий пробел — фундаментальная...Статья Белый хакер: как легально монетизировать навыки — Bug Bounty, пентест и сертификации
Первый принятый репорт на HackerOne — $150 за IDOR, декабрь 2021. До него три месяца без единого accepted: 11 отклонённых репортов, 4 дубликата, один N/A вне scope. 200+ потраченных часов — меньше доллара в час. Через полтора года: $2,000–3,000/мес Bug Bounty плюс пентест-контракт на $4,000.Три канала монетизации с разной экономикой: Bug Bounty (сдельно — за уязвимость), пентест-контракты (за время и экспертизу), сертификации (мультипликатор ставки). Почему стандартный пентестерский подход не приносит денег в BB — и что реально работает: мониторинг изменений, blind-атаки, фокус на свежих фичах и российских программах с меньшей конкуренцией.
Таблица сертификаций OSCP/BSCP/eWPTX с ценами и рыночной ценностью. Стратегия на 12 месяцев от нуля до комбинированного дохода с бюджетом по месяцам.
BB как единственный источник дохода — путь для верхних 2–3% хантеров. Остальные выгорают за первый год.Статья Лучший дистрибутив для пентеста: Kali Linux vs Parrot OS vs BlackArch — честное сравнение 2026
На воркшопе 12 человек из 20 пришли с BlackArch — «там больше инструментов». Первый час группа воевала с pacman и отсутствием GUI, пока остальные восемь с Kali уже сканировали цели через nmap. Один человек с Parrot тихо работал весь день без единой проблемы.Лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать. Kali на Debian Testing с курированным набором 600+ инструментов и огромным сообществом. Parrot OS — легче по ресурсам, AnonSurf из коробки, подходит как повседневная ОС. BlackArch — 1500+ пакетов без стабилизации, высокий порог входа, ломается при обновлениях в три ночи.
Таблица системных требований с реальными цифрами потребления RAM. Время от ISO до первого nmap-скана: Kali/Parrot — 20 минут, BlackArch — 1–3 часа. Decision tree выбора из шести условий.
Дистрибутив — это молоток. Ставьте Kali и идите решать машины.