mitre att&ck

Организация потратила восьмизначный бюджет на NGFW, EDR, SIEM, WAF и ещё десяток аббревиатур. На бумаге - покрытие по каждому вектору. На практике - ни одну из этих систем никто не проверял реальной атакой. Атакующие тем временем сменили тактику: по данным Picus Red Report 2026, объём атак с...

По данным Mandiant M-Trends 2025, 57% организаций узнают о компрометации от внешней стороны - партнёра, регулятора или журналиста. Не от своего SIEM, не от SOC-аналитика, не из алерта EDR. Медианное время нахождения атакующего в сети до обнаружения - 11 дней. Это исторический минимум, но за эти...

Полгода назад я разбирал инцидент в финансовой компании: lateral movement через 14 хостов, эксфильтрация 2 ТБ данных, время пребывания - 19 дней. CrowdStrike Falcon на endpoint'ах не сгенерировал ни одного алерта. Ноль. Причина: атакующий угнал сервисный аккаунт с domain admin привилегиями и...

В прошлом году мы проводили adversary simulation для финансовой организации - SOC из 15 аналитиков, Splunk Enterprise, CrowdStrike Falcon на эндпоинтах. Четверг, 10:40 утра: red team получает начальный доступ через Valid Accounts (T1078, Initial Access) - учётные данные VPN-подрядчика из утёкшей...

На purple team упражнении в начале 2025 года мы прогнали 47 техник из профиля, построенного по TTP реальной группировки, через инфраструктуру финансовой организации. SOC задетектировал 12. Не 12 из 14 тактик - 12 из 47 конкретных техник. Четверть. По данным Mandiant M-Trends 2025, медианное...

На разборе инцидента в финансовой организации команда получила PE-файл размером 847 КБ: ни одного экспортируемого символа, энтропия секции .text - 7.92 из 8, IAT содержит ровно две записи - LoadLibraryA и GetProcAddress. Ghidra на автоанализе выдал один гигантский блок с арифметическими...

12 января 2026 года APT28 зарегистрировала WebDAV-домены - за две недели до публичного раскрытия CVE-2026-21509. Задумайтесь: эксплойт готов раньше, чем патч. К моменту выхода внеочередного фикса Microsoft 26 января рабочий эксплойт уже сидел в RTF-документах, а через 72 часа фишинговая рассылка...

По данным Palisade Research (palisaderesearch.org/blog/llm-honeypot), их модифицированный Cowrie за несколько месяцев собрал миллионы SSH-сессий. Единичные прошли тест на prompt injection, и как минимум одна предположительно принадлежала автономному AI-агенту - среднее время ответа 1–2 секунды...

Первая ночная смена в SOC запоминается навсегда. Монитор залит дашбордами SIEM, в очереди мигают сотни алертов, а ты не понимаешь - это реальная атака или антивирус на бухгалтерском ПК поругался на макрос в Excel. Я через это прошёл сам, потом провёл через это два десятка стажёров. И каждый раз...

Ваш EDR не сработал. Антивирус молчит. На диск не упал ни один подозрительный файл - а атакующий уже дампит LSASS и двигается по сети, используя исключительно бинарники, которые Microsoft поставляет с каждой копией Windows. По данным CrowdStrike Global Threat Report 2025, 79% обнаружений...

За последний год через мою лабораторию прошло больше двадцати дампов с инцидентов, где вредоносная программа жила исключительно в оперативке - ни одного файла на диске. Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe - для классической...

Классический Cowrie с дефолтным SSH-баннером обманывает автоматический сканер ровно до момента, когда тот шлёт нестандартную команду и получает заскриптованный ответ. Один и тот же баннер, десяток захардкоженных команд, идентичная файловая система на каждом экземпляре - Mirai-подобные ботнеты и...

Вы получили initial access. Beacon жив, C2-канал поднят. Через минуту MsMpEng.exe режет нагрузку, Script Block Logging пишет каждый чих в Event Log, а AppLocker не даёт запустить ничего кроме notepad.exe. Если вы работали на реальных engagement'ах - знаете это чувство, когда красивый initial...

В мире информационной безопасности существует огромный поток данных: каждый день появляются новые уязвимости, угрозы, решения и нововведения в технологиях. Для профессионалов это как двусторонний меч: — с одной стороны, важная информация помогает оставаться на гребне волны, с другой — из-за...

Почему 90% компаний до сих пор уязвимы? Active Directory остаётся "святым Граалем" для хакеров — по данным CrowdStrike, 80% успешных атак на предприятия начинаются с компрометации AD. В этой статье мы не только разберём ТОП-10 методов атак, но и покажем: Конкретные команды эксплуатации (с...

Kubernetes -это самая популярная контейнерная оркестровка и один из самых быстрорастущих проектов в истории открытого программного обеспечения, которая занимает значительную часть вычислительного стека многих компаний. Гибкость и масштабируемость контейнеров побуждает многих разработчиков...