Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Эксплуатация CVE в веб-приложениях: от чтения advisory до RCE за три шага
CVE-2025-32432 и CVE-2025-55182: как сухая строчка advisory превращается в pre-auth RCE — от patch diff до nuclei-шаблона.Craft CMS, React Server Components — два стека, одна болезнь: публичный эндпоинт ест сложные структуры без валидации. В Craft это gadget chain через Yii::createObject() с подменой __class, session poisoning и require на файл сессии. В React — голая десериализация CWE-502, CISA KEV, ransomware-кампании.
Разбираем методологию целиком: декомпозиция advisory по CWE и CVSS-вектору, patch diffing через git diff, воспроизведение в Docker, IoC для WAF из маркеров десериализации, nuclei-шаблон для массового сканирования и маппинг всей цепочки на MITRE ATT&CK.
Workflow на 6 шагов — от curl до отчёта.Статья Анализ CVE уязвимостей: от строчки в NVD до рабочей гипотезы эксплуатации
Нашёл CVE в сканировании — и завис на NVD? Это лечится. Разбираем, как читать advisory для реального engagement, а не для отчёта по комплаенсу.CVSS-скор — число для менеджеров. Пентестеру нужен вектор: AV:N + PR:N + UI:N — это атака без предусловий, CWE-502 — десериализация, CWE-78 — command injection. Log4Shell, Heartbleed, Shellshock, Stagefright — разбираем каждый по CWE и CVSS-вектору до root cause без единой строки исходников.
Patch diffing через Ghidra Version Tracking и BinDiff, пятишаговый workflow от advisory до тестируемой гипотезы, маппинг на MITRE ATT&CK и компактный чеклист для быстрой оценки CVE — всё, чтобы за три минуты понять: копать или идти дальше.
Статья CVE-2026-6112 и CVE-2026-6113: уязвимость Command Injection в Totolink A7100RU — от анализа прошивки до детекции
CVE-2026-6112 и CVE-2026-6113: два command injection в Totolink A7100RU — без аутентификации, PoC уже на GitHub, патча нет.Один POST-запрос к `/cgi-bin/cstecgi.cgi` с shell-метасимволом в параметре — и ты root на чужом роутере. CVSS 8.9, вектор полностью безагентный: сеть, без условий, без логина, без действий жертвы.
Разбираем обе CVE руками: распаковываем прошивку через binwalk, находим уязвимый `sprintf()→system()` в Ghidra, формируем рабочий PoC. Полный маппинг kill chain на MITRE ATT&CK — от T1190 до T1496. И главное: готовые Suricata-правила с pcre-детекцией shell-метасимволов, которых нет ни на одном русскоязычном ресурсе.
Плюс — митигация при отсутствии патча.Статья Cloud Security Posture Management (CSPM): обзор инструментов 2026
Cloud Security Posture Management (CSPM): обзор инструментов 2026
Облако редко ломается из-за чего-то экзотического. Чаще всё начинается с банальной misconfiguration: лишние права, открытый наружу сервис, забытое исключение в политике, отключённое журналирование. В этом материале разберём, почему CSPM в 2026 году уже нельзя считать просто “ещё одним сканером облака” и как он превратился в постоянный слой контроля за состоянием инфраструктуры. По шагам посмотрим, чем отличаются Wiz, Prisma Cloud, Orca Security и Cloud Custodian: где у них сильные стороны, на чём держится их подход, как они собирают контекст вокруг риска и где начинаются ограничения. Отдельно затронем российскую специфику, чтобы выбор не сводился к витрине глобальных вендоров и не ломался при первом столкновении с локальным облаком.Статья LLM Honeypot: строим приманку на базе языковой модели для мониторинга всех 65535 портов
LLM-honeypot своими руками: ловим ботнеты языковой моделью на всех 65535 портах.Cowrie с дефолтным баннером Mirai раскусывает за секунды — один и тот же fingerprint, десяток захардкоженных команд. LLM-honeypot работает иначе: модель генерирует контекстно-зависимый вывод в реальном времени, атакующий думает, что ломает живой сервер — и сливает свои TTPs.
Разворачиваем на Linux: единый asyncio-listener через nftables REDIRECT на все порты, Ollama или OpenAI в качестве движка, трёхуровневая защита бюджета от массовых сканов, логирование в JSON с маппингом на MITRE ATT&CK.
Полный код, prompt engineering без hallucination и детекция AI-агентов через prompt injection.Статья Sigma правила детекции Cisco SD-WAN: пишем детекты на CVE-2026-20127 и lateral movement через NETCONF
Sigma-правила для Cisco SD-WAN: детектируем CVE-2026-20127 и lateral movement через NETCONF.CISA выдала 48 часов вместо стандартных 21 дня — это говорит о масштабе угрозы. Группировка UAT-8616 сидела в SD-WAN-инфраструктурах незамеченной с 2023 года, а готовых Sigma-правил под этот attack chain не существует.
В статье разбираем всю цепочку: от обхода аутентификации (CVSS 10.0) и rogue-peer инъекции через NETCONF до anti-forensics и lateral movement. Пишем рабочие детекты под vManage/vSmart-логи, настраиваем pipeline-маппинг для Splunk и Elastic, разбираем валидацию без продакшн-инцидента.
Статья Захват домена Active Directory: от учётки стажёра до Domain Admin мимо SOC за миллионы
За последний год — десятки внутренних пентестов в организациях с enterprise SIEM и EDR. Среднее время от учётки стажёра до Domain Admin: 30 минут. Не zero-day. Kerberoasting сервисной учётки с паролем, который не менялся три года.Первые 15 минут атакующего: 0–3 мин — LDAP-разведка через SharpHound, пароли в полях Description (каждый пятый домен); 3–7 мин — Kerberoasting (T1558.003) и AS-REP Roasting; 7–12 мин — офлайн-взлом + анализ графа BloodHound; 12–15 мин — Pass-the-Hash (T1550.002), DCSync (T1003.006). DCSync через impacket secretsdump.py — тихо, без обращения к файловой системе DC. Golden Ticket живёт до двойной смены krbtgt.
SIEM без Audit Directory Service Access — дорогой лог-коллектор: событий 4662 с GUID репликации в нём нет.
Проверочный запрос для SIEM и что реально закрывает path к Domain Admin.Статья APT42 социальная инженерия: как IRGC-хакеры обходят MFA и крадут учётные данные без малвари
APT42 атакует людей — не периметр. Недели переписки в WhatsApp, легитимные PDF, приглашения на конференции. И только потом — ссылка, которая перехватывает MFA-токен в реальном времени. Ни одного вредоносного вложения.Три кластера инфраструктуры (Mandiant): фейковые СМИ и аналитические центры, легитимные платформы (Google Sites, Cloudflare Workers), AiTM с перехватом push-уведомлений (T1111, T1621). TOTP, SMS, push — не защищают. FIDO2/passkeys привязаны к origin домена криптографически — фишинговая страница ответа не получит. Бэкдоры TAMECAT (PowerShell, in-memory) и NICECURL (VBScript) — только для высокоценных целей.
Стандартный SOC APT42 не поймает: нет малвари, действия через легитимные облачные функции.
KQL-запрос для Microsoft Sentinel и шесть мер защиты по приоритету.Статья Уязвимости десериализации: эксплуатация через ysoserial, phpggc и построение gadget chain
Непонятный blob в cookie, ysoserial, и через полминуты — reverse shell на WebLogic. Десериализация RCE — это когда приложение берёт пользовательские данные и вызывает readObject(). Остальное делает gadget chain.Как читать сигнатуры: Java — ac ed 00 05 / rO0AB в Base64; PHP — O:, a:, s: текстом; Python pickle — \x80\x02 и cbuiltins. CVE-2015-4852 WebLogic (CVSS 9.8): T3-протокол, CommonsCollections, PR:N. CVE-2017-9805 Apache Struts (CVSS 8.1): XStream без фильтрации типов. PHP black-box: phpggc генерирует payload для всех RCE-chain, перебор через Burp Intruder, флаг -f (fast-destruct) обязателен. Python pickle: gadget chain не нужен — __reduce__() вызывает os.system() напрямую при loads().
ML-сервисы с .pkl-моделями — та же атака без лишних условий.
Митигация для Java (JEP 290), PHP (allowed_classes), Python (safetensors).Статья Эксплуатация CVE в пентесте: от публичного PoC до стабильного шелла в обход EDR
Три PoC с GitHub — и ноль шеллов. Первый роняет сервис, второй молча завершается, третий собран под другую минорную версию. Разница между «CVSS 10.0 на бумаге» и «CVSS 10.0 в бою» — часы адаптации.CVE-2024-3400 (PAN-OS, CRITICAL): Unit 42 зафиксировал четыре уровня реальной эксплуатации — от Level 0 (попытка провалена) до Level 3 (интерактивный шелл). APT-группа трижды безуспешно пыталась установить бэкдор до переключения на cron job. Чеклист оценки PoC: репутация автора, точная версия, что реально делает код. Стабилизация — убрать crash, восстановить поток выполнения. Интеграция в Sliver (mTLS, WireGuard, DNS) или Metasploit с check-методом.
Первые 60 секунд после шелла: ситуационная осведомлённость, персистенс, миграция из нестабильного процесса.
10-шаговый чеклист weaponization и разбор когда CVE лучше не эксплуатировать.