Форум информационной безопасности - yg140.servegame.com

Persistence на Windows: четыре механизма закрепления от Run Keys до Ghost Tasks — и почему один метод это непрофессионально.

Beacon живой, сессия стабильная. Пользователь перезагрузился — и ты начинаешь всё сначала. Layered persistence — разница между одноразовым попаданием и месяцами устойчивого доступа.

Разбираем четыре техники с командами и OPSEC-соображениями: реестровые ключи от Run/RunOnce до Port Monitors и VerifierDlls (низкий мониторинг EDR), планировщик задач включая Ghost Task — задача исчезает из schtasks /query, но продолжает выполняться, WMI-подписки как fileless persistence, переживающий credential reset, и COM Hijacking без прав администратора.

Сравнительная таблица по привилегиям и детектируемости + стратегия decoy через Run Key.

BYOVD в 2026: Qilin и Warlock поставили обход EDR на конвейер — ротируемый пул драйверов, FNV-1a хэширование процессов, словарное кодирование payload.

Идеальный имплант с indirect syscalls и обходом AMSI падает за три секунды — потому что EDR-драйвер зарегистрировал kernel callbacks ещё до того, как ваш код коснулся ntdll.dll. Единственный путь — Ring 0.

Разбираем полную цепочку: от sc create и IOCTL-примитивов до обнуления PspCreateProcessNotifyRoutine и снятия PPL через _EPROCESS.Protection. Dell dbutil_2_3.sys, WinRing0.sys, EnCase с отозванным сертификатом 2010 года — Windows загружает всё. Почему CRL не проверяется и что с этим не так.

Таблица детектирования для blue team и единственная архитектурная защита — HVCI.

Codeby Academy vs OSCP: не «что круче» — а что выбрать, если ты сейчас стоишь перед этим выбором. Разбор от того, кто сдал PEN-200 со второй попытки.

OSCP и русскоязычный курс — не конкуренты, а разные инструменты. «Try Harder» без уверенного B2+ в стрессе 23-часового экзамена — это отдельный квест. Codeby Academy снимает языковой барьер и даёт более глубокую AD-подготовку: Kerberoasting, Pass the Hash, secretsdump — против базового уровня PEN-200.

Сравнение по MITRE ATT&CK, таблица против CEH/PNPT/CompTIA, полный расчёт стоимости без скрытых платежей и трёхвопросный алгоритм выбора. Плюс — 10-месячный план, где оба трека совмещаются без потери времени.

Что ценят российские работодатели — и когда OSCP реально нужен.

FASM и манифесты PE: почему ваша ASM-программа выглядит как Win2k - и как это исправить тремя строками в секции .rsrc.

Без манифеста загрузчик считает, что перед ним программа для XP: кнопки без теней, GetVersionEx() всегда возвращает Win8, UAC-запрос не срабатывает. В IDE это решается парой кликов - но в FASM полный контроль над каждым байтом ресурса.

Разбираем два способа встраивания RT_MANIFEST: внешний XML через директиву file и прямая db-строка в коде. Добавляем VERSIONINFO для свойств файла, объясняем, почему у обоих ресурсов ID=1 и почему это не конфликт - а трёхуровневая иерархия Type+ID+Lang.

Рабочий исходник генератора манифестов на FASM64 с диалогом UAC - в приложении.

Сотня технических интервью в ИБ — и один вывод: проваливаются не те, кто мало знает, а те, кто готовится не к тому.

Зубрят определение OSI, но не могут объяснить, на каком уровне работает их сниффер. Говорят «Wireshark» — и тишина, без контекста и примера. Разбираем, что реально спрашивают на собеседовании пентестером и SOC-аналитиком: модели TCP/IP и OSI, TLS-handshake, XSS vs SQL-инъекция, IDS vs EDR — с примерами хороших и провальных ответов.

Двухнедельный план подготовки: лабораторные в Wireshark и Nmap, комнаты TryHackMe, mock-интервью на камеру, портфолио на GitHub. Плюс — как войти в ИБ без коммерческого опыта через CTF, eJPT и bug bounty.

Чек-лист на день до собеседования и три способа сломать замкнутый круг «нет опыта».

VPC Security: сегментация сетей в облаке правильно

Облачная сеть редко разваливается из-за одной громкой ошибки. Чаще всё начинается с “временного” правила, лишнего маршрута, открытого peering или приватного сервиса, который внезапно оказывается достижим через старую связность. В статье разберём, как проектировать VPC так, чтобы компрометация одной рабочей нагрузки не открывала путь ко всему внутреннему контуру.

По шагам пройдём базовую архитектуру: public и private подсети, таблицы маршрутов, security groups, Network ACL, hub-spoke, shared VPC и трёхслойную модель web/app/db. Отдельно посмотрим, где такие схемы ломаются в проде: широкие CIDR, забытые исключения, “allow internal”, временные маршруты и смешение dev, stage и prod.

HackTheBox vs TryHackMe vs PentesterLab vs VulnHub: не «что лучше» — а в какой последовательности. Разбор от практика, который терял мотивацию на «Lame».

Русскоязычный интернет забит списками платформ без единого практического критерия. Правда проще: TryHackMe — автошкола, HTB — городская дорога без инструктора, PentesterLab — глубина веб-уязвимостей, VulnHub — своя лаборатория без подписки.

Маршрут на 6 месяцев с конкретными машинами и командами, маппинг на MITRE ATT&CK для каждой платформы, таблица сравнения по 10 параметрам и реальный бюджет: от $64 до $163 за полгода. Спойлер — не трогайте HTB без подготовки на TryHackMe.

Конкретные машины для старта и bash-workflow для первой разведки.

GDDRHammer, GeForge, GPUBreach: Rowhammer добрался до видеопамяти — и GPUBreach обходит IOMMU, который считался надёжным барьером.

Десять лет Rowhammer бил по CPU-памяти. GDDR6 считалась изолированной — максимум деградация нейросети. Три препринта 2025–2026 меняют картину: 1171 bit flip на RTX 3060, root shell на хосте, и GPUBreach работает даже с включённым IOMMU — через memory-safety баги в kernel-mode драйвере NVIDIA, до которого IOMMU просто не дотягивается.

Разбираем kill chain каждой атаки: memory massaging через sparse UVM, CUDA-ядро для хаммеринга GDDR6, эскалация через page table до драйвера. Маппинг на MITRE ATT&CK — T1068, T1565.003. Почему ECC не спасает на GeForce. Что проверять в shared GPU-инфраструктуре облака.

Базовый CUDA-код для воспроизведения в лаборатории.

MAX сейчас только набирает обороты, но там уже есть аудитория, которой интересна ИБ и вокруг неё пока мало нормального контента — решили зайти одними из первых.

В канал будем выкатывать:

• практические разборы атак и защитных механик;
• интересные кейсы из HackerLab (в том числе то, что не попадает в открытый доступ);
• апдейты по курсам codeby.academy и новым сценариям в лабах;
• иногда — вакансии, движуху и внутреннюю кухню экосистемы.

Формат — короткие, прикладные посты без воды, 5–7 постов в день. Если вы уже живёте в MAX или хотите посмотреть, что там происходит, залетайте по ссылке:


Канал пока без лишнего официоза, поэтому чем раньше придёте, тем больше повлияете на то, во что он превратится.

CVE-2026-35616: pre-auth RCE в FortiClient EMS — эксплуатировался как zero-day в пасхальную субботу, пока SOC смотрел в потолок.

CVSS 9.8, zero-day, CISA KEV с дедлайном три дня на патчинг. Вектор — crafted HTTP-запрос, аутентификация просто не навешена на конкретный маршрут. За ним — весь management plane Fortinet: политики endpoint'ов, FortiSandbox, VPN-конфигурации на каждой машине с агентом.

Разбираем механику API bypass и kill chain от T1190 до lateral movement через легитимный push-механизм EMS. Параллельный вектор — CVE-2026-21643 (SQL-инъекция, тот же CVSS 9.8): обновился с 7.4.4 до 7.4.5, закрыл одну дыру — влетел в другую.

Хантинг без официальных IOC и PowerShell-запрос для детекта подозрительных дочерних процессов EMS.