lateral movement

За последние два года я разбирал больше полусотни инцидентов, где initial access начинался с одной пары логин/пароль из стилер-лога. В семи из десяти случаев от первого логина с украденными учётными данными до domain admin проходило меньше 48 часов. Рекорд в публичном поле - предположительно...

В облачном пентесте первый скан часто даёт странную картину: наружу торчит мало, веб закрыт CDN и WAF, SSH нет, привычная карта сети почти пустая. При этом внутри аккаунта может лежать куда более опасная цепочка: роль приложения читает секреты production, CI/CD-пайплайн умеет передавать...

Февраль 2026 - CISA выпускает Emergency Directive 26-03, Cisco Talos публикует разбор деятельности группировки UAT-8616, а Австралийский центр кибербезопасности (ASD-ACSC) выкладывает полноценный Hunt Guide по SD-WAN. Цепочка эксплуатации CVE-2026-20127 (CVSS 10.0, активно эксплуатируется -...

Справочник для red team операторов и пентестеров, у которых EDR (CrowdStrike Falcon, Defender for Endpoint) прибил весь привычный инструментарий, а доступ к cmd/PowerShell от непривилегированного пользователя - есть. Windows 10/Server 2016+, AppLocker с дефолтными правилами. Знакомая ситуация...

Lateral movement - тот этап, после которого компрометация почти перестаёт быть локальной проблемой. Пока атакующий держится в рамках одного хоста, инцидент ещё можно быстро изолировать. Как только начинается движение по соседним системам, цена ошибки растёт резко: появляются новые точки доступа...

Вроде бы ты только что достал LSASS - и вот, уже по всей сети все летает, домен в руках, пароли и токены наготове. Ну, это было в прошлом. Теперь, в 2026, скажем прямо: те старые методы, которые ещё год назад летали как по маслу, нынче уже не катят. Mimikatz? Пожалуй, все слышали, и все его...