ОАЦ и Приказ №66 — это не повод сливать годовой бюджет на лицензии, чтобы просто получить «бумажную» безопасность.

Давайте честно: хакеру плевать, сколько вы заплатили за SIEM — 50 тысяч долларов или ноль. Ему важно, увидит ли SOC его активность в сети или будет спать. А регулятору важен не чек об оплате, а выполнение мер защиты.

Многие CISO до сих пор живут в парадигме «купить коробку = закрыть вопрос». Это путь в никуда. Я подготовил жесткий разбор того, как выстроить эшелонированную оборону на Open Source, которая реально работает и проходит аттестацию в Беларуси.

В статье разобрал «святую троицу», закрывающую 90% технических требований Приказа №66:
💀 Wazuh — вместо KUMA и MaxPatrol. Делаем полноценный SIEM/XDR, настраиваем FIM (контроль целостности) и retention policy для логов, чтобы аудитор был счастлив, а периметр под присмотром.
💀 OpenVAS — вместо дорогих сканеров. Как настроить Authenticated Scan и находить CVE внутри системы до того, как их проэксплуатируют пентестеры (или реальные злоумышленники).
💀 GoPhish — потому что «инструктаж под роспись» не работает. Запускаем свои фишинговые кампании и лечим сотрудников, которые любят открывать вложения от «налоговой».

Хватит кормить вендоров, лучше прокачивайте экспертизу внутри команды. Безопасность — это процесс, а не покупка индульгенций.
Мануал по развертыванию и аргументация для бизнеса здесь:
https://redsec.by/article/optimizaciya-zatrat-na-ib-kak-open-source-zakryvaet-trebovaniya-oac-bez-pokupki-boinga/

Бумажный щит не спасет от реального шелла.

Давайте честно: аттестат соответствия, висящий в рамке у CISO, не остановит ни шифровальщика, ни целевую атаку. В нашей индустрии есть опасная иллюзия, что Compliance = Security. На практике же аудиторы проверяют документы, а мы проверяем реальность. И реальность обычно проигрывает.

Я подготовил жесткий разбор белорусской нормативки (Приказ ОАЦ №66, Указ №449, Закон о ПДн), но не с точки зрения юриста, а через прицел Red Team. Разобрал, как скучные пункты законов превращаются в векторы атак.

В статье:
▪️ Почему ваша парольная политика по Приказу №66 падает за 20 минут через Password Spraying и Kerberoasting.
▪️ Как требование сегментации КВОИ (Указ №449) обходится через Lateral Movement и забытые SMB-шары.
▪️ Почему SSL-сертификат на сайте не спасает от MitM и штрафов по 99-З, если дев-команда забыла про HSTS.

Это мануал о том, как продать руководству реальную безопасность, используя страх перед регулятором. Переводим юридический язык на язык эксплойтов и бизнес-рисков.
Читать полный гайд: https://redsec.by/article/navigator-po-kiber-zakonam-rb-dlya-red-team-i-ciso-kak-prevratit-trebovaniya-oac-v-scenarii-dlya-pentesta/

Зачем мне ломать ваш Firewall за $50k, если я могу зайти через парадную дверь с коробкой пиццы и ламинированным бейджем?

Red Team — это тест на прочность не ваших серверов, а вашей организации в целом. Мы смотрим, насколько легко ваши сотрудники ведутся на социалку, как быстро охрана теряет бдительность в обеденный перерыв и сколько «мертвых душ» из числа уволенных админов всё еще имеют права доступа к вашим бэкапам.

Технологии — это только фасад. Настоящая дыра в безопасности — это человеческая вежливость, избыточные права доступа и процессы, которые существуют только на бумаге.

Разложил по полочкам, как мы обходим «электронную охрану» с помощью психологии, почему фишинг — это всё еще 80% успеха любого взлома и как реально прокачать «Человеческий файрвол» до версии 2.0. Внутри — рабочие кейсы по физическому проникновению, вишингу и созданию Security Champions в каждом отделе.

Если вы думаете, что ваша компания защищена, потому что у вас стоит дорогой EDR — эта статья для вас. Хакеры не ломают замки, они просят их открыть.

Читаем здесь:
https://redsec.by/article/chelovecheskij-fajrvol-20-organizacionnaya-zashita-ot-red-team-atak/

100 страниц «идеальной» политики безопасности против одного голодного Red Teamера. Кто победит?

Спойлер: тот, у кого в руках хеш вашего сервисного аккаунта через 2 часа после старта.

В 2025 году мы всё еще видим этот карго-культ: компании тратят миллионы на консалтинг и «бумажную безопасность», которая рассыпается в прах при первой же попытке Kerberoasting. Галочка в чек-листе регулятора не защищает от Lateral Movement, а требование «не открывать вредоносные файлы» вызывает у атакующих только циничную улыбку.

Если ваша политика безопасности живет только в Вики, а не в правилах Firewall и конфигах PAM-системы — у вас нет безопасности. У вас есть иллюзия.

Разложил по полочкам, почему «мертвые» политики — это подарок для хакера, и как превратить скучный регламент в живой механизм, который реально усложнит нам жизнь. Внутри — технический разбор анатомии взлома, реальные кейсы по Tiered Administration и микросегментации, которые не дают захватить домен за обеденный перерыв.

Статья для тех, кто устал от ИБ «для галочки» и хочет строить защиту, исходя из парадигмы Assume Breach.

Читай здесь:
https://redsec.by/article/politiki-informacionnoj-bezopasnosti-kotorye-vyderzhivayut-udar-red-team-ot-bumazhnoj-bezopasnosti-k-zhivym-kontrolyam/

Большинство компаний до сих пор верят, что файрвол — это панацея. Спойлер: нет. В 2025 году сетевой периметр — это не бетонная стена, а дырявый забор, где новые дыры оставляют сами владельцы.

Забытые инстансы в облаках, открытый RDP «на полчасика» для удаленки и VPN с паролем уровня Company2024 — это классика, которая ежедневно кормит группировки шифровальщиков. Red Team не читает ваши красивые регламенты и не смотрит в схемы сети. Мы ищем то, что вы забыли внести в инвентаризацию. Если сервер отвечает в интернет — он потенциально наш.

В новом материале разложил по полочкам всю механику прорыва: от OSINT-разведки, когда мы не отправляем ни одного пакета на ваши узлы, до захвата контроллера домена через «дырявый» тестовый веб-сервер.

Разбираем:
— Почему OSINT эффективнее любого сканера уязвимостей.
— Как дефолтные креденшалы в Tomcat и Jenkins становятся пригласительным билетом в вашу внутреннюю сеть.
— Почему «бумажная» безопасность и комплаенс ОАЦ РБ разбиваются о реальный брутфорс за 4 часа.
— И главное: как закрыть периметр так, чтобы Red Team ушла ни с чем.

Лонгрид для тех, кто хочет строить реальную защиту, а не жить в иллюзиях:
https://redsec.by/article/perimetr-seti-pod-pricelom-kak-red-team-nahodit-dyry-v-vashej-zashite-do-togo-kak-eto-sdelayut-hakery/

Плоская сеть — это не просто архитектурная ошибка, это открытое приглашение на чаепитие к вашему контроллеру домена. Для любого, кто хоть раз держал в руках BloodHound, отсутствие сегментации превращает захват организации в легкую прогулку. Пока админы спорят о сложности паролей, мы смотрим на топологию. Если я упал на хост в VLAN 10 и вижу по SMB весь серверный сегмент — игра окончена.

В 2025 году скорость решает всё. Тот же LockBit шифрует инфраструктуру быстрее, чем вы успеете налить кофе. У Red Team есть в среднем 48 минут на латеральное движение, но в плоской сети этот тайминг сокращается до клика мышкой. Если между бухгалтером и базой данных нет жесткого ACL, блокирующего 445-й порт и WinRM, то никакая EDR-система вас не спасет — вы просто будете наблюдать за своей гибелью в прямом эфире.

В новом материале разобрал техническую сторону вопроса: от конфигурации тегированных VLAN на Cisco до создания «непробиваемых» политик на FortiGate. Никакой воды, только хардкор: какие порты резать в первую очередь, как изолировать гостевой Wi-Fi и почему принцип Default Deny — это единственное, что заставит атакующего потеть и ошибаться.

Если ваша сеть до сих пор напоминает проходной двор без дверей — этот гайд для вас. Читайте, внедряйте и не давайте нам шансов на легкий Domain Admin.

https://redsec.by/article/segmentaciya-seti-kotoraya-realno-rabotaet-kak-ostanovit-lateralnoe-dvizhenie-red-team-i-spasti-biznes/

«User12345» — это не пароль, это бэкдор, который вы сами открыли для Red Team. Пока вы верите в магию 8-символьных комбинаций и смену пароля раз в квартал, мы заходим в вашу сеть через парадную дверь.

Механика каскадной компрометации проста и гениальна: одна утечка с забытого маркетингового форума, и через 10 минут скрипт credential stuffing проверяет эту пару на вашем Exchange, VPN и портале самообслуживания. В 2025 году переиспользование пароля — это добровольная передача ключей от сейфа первому встречному.

В новой статье разбираем «театр безопасности», который так любят в госучреждениях и финтехе. Рассказал, почему принудительная смена паролей делает сеть только слабее и как RTX 4090 щелкает ваши «сложные» 8-символьные наборы как семечки.

Специально для тех, кто работает в РБ: разобрал Приказ ОАЦ №259, который вступает в силу с 1 марта. Там всё серьезно — от обязательного 2FA до внедрения EDR. Внутри статьи найдете готовую матрицу контролей для прохождения аттестации и мой личный алгоритм создания 16-символьных парольных фраз, которые невозможно взломать брутфорсом, но очень легко запомнить без всяких стикеров на мониторе.
Если ваша безопасность держится на «честном слове» сотрудников — пора закручивать гайки по-настоящему.

https://redsec.by/article/kaskadnaya-komprometaciya-cherez-paroli-pochemu-attestaciya-po-oac-ne-spasaet-ot-12345/

Хватит кормить вендоров и надеяться на «чудо-коробки», которые якобы спасут вас от APT. Пока вы ждете первого удара, чтобы начать реагировать, мы уже внутри.

Единственное, что реально ломает нам игру — это когда защита знает наши ходы наперед.
Threat Intelligence — это не дорогая игрушка для корпораций, а способ заставить врага работать вхолостую. Зачем платить миллионы за аутсорс-SOC, если можно своими руками развернуть MISP, подключить правильные фиды и блокировать наши C2-серверы еще на этапе их регистрации?

В новой статье разобрал, как выстроить свою TI-программу без раздувания бюджета. Рассказываю на пальцах: как превратить «мусорные» списки IP в боевые правила для файрволов, зачем мониторить ошибки в коде вредоносов и почему один вовремя заблокированный хеш экономит вашей компании десятки тысяч долларов за один вечер.

Если хотите перестать тушить пожары и начать их предотвращать — этот мануал для вас. Меньше реактивности, больше интеллекта.

https://redsec.by/article/umnaya-zashita-vmesto-dorogih-korobok-kak-postroit-threat-intelligence-i-ekonomit-milliony/

Защита за полмиллиона долларов против одного вовремя отправленного письма. Как думаете, кто победит?

Пока Blue Team строит стены из NGFW и обкладывается SIEM-системами, мы ищем путь в обход — через человеческую психику. Red Team не всегда умнее технически, но мы всегда гибче. Мы эксплуатируем то, что не патчится обновлениями: когнитивные искажения.

Авторитет. Срочность. Предвзятость. Эти три рычага отключают критическое мышление даже у опытных ИТ-лидеров. Статистика неумолима: 64% руководителей кликают по фишингу, потому что письмо «от CEO» в пятницу вечером превращает аналитика в исполнительного робота. Мы атакуем не компьютеры, мы атакуем нейронные связи.
В новом материале разложил по полочкам механику психологического взлома. Почему SOC-аналитики становятся «слепыми» после 12 часов смены, как deepfake-голоса обходят многоступенчатые проверки и почему ваш дорогой Firewall — это просто красивая гирлянда, если ваша команда верит в его непогрешимость.

Разбираем мышление атакующего и учимся видеть инфраструктуру глазами тех, кто ищет не уязвимость в коде, а слабость в человеке.

https://redsec.by/article/myshlenie-atakuyushego-kak-red-team-ispolzuet-psihologiyu-i-nahodit-put-vnutr/

Знаешь, какой самый простой вектор атаки на твою инфраструктуру? Нет, это не 0-day в фаерволе и не фишинг на бухгалтера. Это твой аналитик SOC в 3 часа ночи.

Человек, который смотрит в монитор двенадцатый час подряд, у которого дергается глаз от бесконечного потока «фолс-позитивов», и который уже написал заявление об уходе в черновиках.

Я часто вижу это на пентестах. Мы проходим периметр не потому, что защита слабая, а потому что защитник просто «кончился». Статистика убийственная: 84% специалистов по ИБ выгорели в ноль. В среднем SOC прилетает 1000 алертов в сутки, а качественно разобрать люди могут от силы десяток. Остальное — в /dev/null или «skip».

Это не проблема кадров. Это системный баг индустрии, который мы привыкли игнорировать.
В новой статье разобрали анатомию этого кризиса без HR-воды.

Только хардкор:
— Почему SIEM превратился в генератор шума и как это убивает бдительность.
— Как ночные смены ломают циркадные ритмы (и почему аналитик ночью тупеет на 20%).
— SOAR: как отдать рутину скриптам и оставить людям охоту за угрозами.
— Конкретные метрики и графики, чтобы твои лучшие спецы не ушли к конкурентам (или не начали работать против тебя).
Читать обязательно, если не хочешь остаться с пустым SOC-ом и открытым периметром.

https://redsec.by/article/professionalnoe-vygoranie-v-kiberbezopasnosti-pochemu-vash-luchshij-analitik-mozhet-uvolitsya-zavtra/

Пока вы генерируете картинки в Midjourney, мы генерируем эксплойты.

Давайте честно: порог входа в Red Teaming упал ниже плинтуса. Если раньше для качественного фишинга мне нужно было сутками изучать жертву, парсить ее соцсети и подстраиваться под стиль общения, то сегодня WormGPT делает это за 5 минут. И да, вы не отличите этот текст от письма вашего гендира.
В новой статье разобрал, как нейросети окончательно убили классическую безопасность.

Сигнатурный анализ мертв. Совсем. Полиморфный код, который переписывает сам себя через LLM при каждом запуске (привет, BlackMamba), проходит сквозь ваши антивирусы как нож сквозь масло. 100% Evasion Rate — это не маркетинговая цифра, это сухие факты тестов.

Google Big Sleep уже находит 0-day уязвимости в коде без участия человека. Мы получили инструмент, который масштабирует атаки в тысячи раз.
Что делать "синим"? Если у вас в SOC сидят люди и глазами смотрят алерты — вы уже проиграли. Скорость реакции человека — это бутылочное горлышко. Единственный шанс выжить для белорусского энтерпрайза (особенно под ОАЦ) — выставить алгоритм против алгоритма. Поведенческий анализ и автономные системы, которые рубят соединения до того, как шифровальщик начнет работу.

В материале подробно расписал механику AI-атак и то, чем реально можно прикрыться в 2026 году. Читайте, пока ваши логи не утекли в даркнет.

https://redsec.by/article/bitva-algoritmov-ii-na-sluzhbe-red-team-i-blue-team-kak-nejroseti-menyayut-landshaft-kiberbezopasnosti-belarusi/

Правила мертвы. Да здравствует поведение.

Давайте честно: ваши корреляционные правила в SIEM — это решето. Как Red Teamer, я могу обойти 90% ваших «алертов» просто используя легитимные инструменты администрирования (LOLBins). Я зайду под валидной учеткой, буду использовать PowerShell и net.exe, и ваш SIEM даже не пикнет, потому что для него это «нормальный системный процесс».

Пока ваши аналитики тонут в тысячах ложных срабатываний и проверяют, почему у бухгалтера отвалился VPN, я уже закрепляюсь в сети и сливаю базу клиентов.

Но правила игры меняются. И, к сожалению для нас (и к счастью для бизнеса), Blue Team наконец-то начала использовать мозги, а не только регулярные выражения.

Речь про AI и поведенческий анализ (UEBA).
Это та самая штука, которую невозможно обмануть сменой хэша или обфускацией кода.
Нейросети плевать на сигнатуры. Ей плевать, какой у меня IP. Она смотрит на профиль.

— «Почему этот админ, который 5 лет работал только днём, вдруг зашел в 3 ночи?»
— «Почему с этого хоста пошел трафик на внешний ресурс, хотя раньше он общался только с контроллером домена?»
— «Зачем explorer.exe породил процесс cmd.exe?»

Поведение подделать сложнее всего. В новой статье разобрали, как именно работает AI на стороне защиты.

Внутри:
💀 Почему традиционный SIEM — это путь к выгоранию SOC.

🤖 Как отличить легитимного админа от хакера с его кредами.

🧠 Три уровня детекции: от процессов до бокового перемещения.

📉 Цифры: как снизить False Positives с 90% до 3%.
Если вы защищаете инфраструктуру — это ваш мануал по выживанию. Если атакуете — изучайте, на чём вы скоро начнете палиться.

https://redsec.by/article/blue-team-ai-kak-nejroseti-vyyavlyayut-anomalii-nevidimye-dlya-tradicionnyh-pravil/

Думаете, шифровальщик — это когда бухгалтер случайно открыла «Счет.docx.exe» и экран погас?
Смешно.
Это сказки для отчетов руководству.
В реальности, когда вы видите записку с требованием выкупа, война уже проиграна. Мы сидим в вашей инфраструктуре уже недели две. Мы читаем почту вашего CEO, мы знаем структуру вашей AD лучше, чем ваши админы, и мы уже слили сотни гигабайт ваших данных на свои сервера.

Шифрование — это не атака. Это просто громкий хлопок дверью на прощание, чтобы вы наконец обратили на нас внимание.

На сайте выкатил лонгрид с разбором анатомии современной Human-Operated атаки. Без воды и маркетинговой чуши, чисто технический фарш по матрице MITRE ATT&CK.

Разбираем по косточкам:

💀 Initial Access: Почему RDP и непропатченный VPN — это открытая дверь, в которую даже стучать не надо.

💀 Persistence & PrivEsc: Как мы закрепляемся так, что перезагрузка серверов вам не поможет, и как за пару часов поднимаем права до Domain Admin.

💀 Discovery: Зачем мы используем BloodHound (да, тот же софт, что и ваши пентестеры) и как строим маршрут к вашим бэкапам.

💀 Double Extortion: Почему наличие резервных копий больше не спасает от потери денег. Сначала — эксфильтрация, потом — криптолокер.

Если вы Blue Team — читайте, чтобы знать, где искать следы, пока не стало поздно. Если вы CISO — киньте ссылку своему бизнесу, чтобы они поняли: мы не хакаем компьютеры, мы хакаем процессы.

Материал жесткий, с опорой на кейсы 2024–2025 годов и требования регулятора.

Читать полную версию:
https://redsec.by/article/anatomiya-ataki-shifrovalshika-ot-fishinga-do-zapiski-s-vykupom-glubokij-razbor-po-matrice-mitre-attck/

Шифровальщик не стучится — он выбивает дверь с ноги.

Давайте честно. Когда я провожу пентест и захожу в вашу сеть, мне плевать на ваш дорогой фаервол на периметре. Если внутри у вас «плоская» сеть, админские учётки без MFA и бэкапы, лежащие на соседней с контроллером домена шаре — считайте, что ваша инфраструктура уже принадлежит мне. Или оператору BlackByte.

Большинство админов до сих пор живут в 2010 году, защищая периметр и забывая про нутро. Но реальность такова: периметр будет пробит. Вопрос лишь в том, как быстро злоумышленник заберет всё остальное.

Я подготовил жесткий разбор архитектуры защиты, которая реально работает против современных группировок вымогателей. Никакой воды, только хардкорные методики, которые спасают бизнес, когда всё летит в тартарары.

Внутри статьи:
💀 Почему правило бэкапов 3-2-1 сдохло и что такое 3-2-1-1-0 (спойлер: если я могу стереть ваши бэкапы, у вас нет бэкапов).

💀 Воздушный зазор и Immutable-хранилища: как сделать так, чтобы даже с root-правами я не смог вайпнуть ваши данные.

💀 RDP и VPN: закрываем дыры, через которые залетает 90% пейлоадов.

💀 Оборона внутри: почему LAPS и сегментация — это ваша единственная надежда остановить латеральное движение.

💀 EDR и ловушки: как палить хакеров на "канарейках", пока они не запустили шифрование.
Мы также прошлись по требованиям ОАЦ. Ирония в том, что если строить защиту по уму, вы автоматически закрываете регуляторку. Но если делать для галочки — вас положат.

Не будьте «легкой мишенью». Читайте, внедряйте, выживайте.

🔗 Читать полный гайд: https://redsec.by/article/ne-dat-shansa-vymogatelyu-stroim-eshelonirovannuyu-zashitu-ot-shifrovalshikov-po-metodikam-oac-i-mirovym-praktikam/

Первая реакция на шифровальщика — паника.
Вторая — глупость.
Третья — потеря бизнеса.

Когда на мониторах загорается красный баннер с требованием выкупа, у вас есть ровно 60 минут. Это «Золотой час». Если вы потратите его на истерику в чатах или попытки перезагрузить сервер — вы труп.
Я видел десятки инцидентов. Админы совершают одни и те же фатальные ошибки: они дергают питание (убивая ключи расшифровки в RAM), они пытаются лечить файлы антивирусом (уничтожая улики) или, что еще хуже, платят выкуп, даже не проверив бэкапы.

В новой статье я даю жесткий алгоритм действий по минутам. Никакой теории, только боевой устав реагирования на инцидент.

Разбираем по костям:
🔴 Почему выдернуть патч-корд можно, а шнур питания — нельзя (спойлер: форензика).

🔴 Правило 1-10-60: тайминг, который отделяет профессионала от любителя.

🔴 Дамп оперативной памяти: зачем он нужен и почему без него страховая пошлет вас лесом.

🔴 Юридический трек: кому звонить, чтобы не сесть за финансирование терроризма при выплате выкупа.
Распечатайте этот чек-лист и повесьте в серверной. Потому что когда начнется пожар, гуглить «что делать» будет поздно.

Читать инструкцию по выживанию: https://redsec.by/article/pozhar-v-seti-poshagovaya-instrukciya-po-reagirovaniyu-na-ataku-shifrovalshika-chto-delat-v-pervye-60-minut/

2025 год показал, что старые плейбуки защиты можно смело отправлять в /dev/null. Если вы думаете, что ваш SOC справляется, посмотрите на цифры: 11 000 атак в сутки — это новая норма, а глобальный ущерб летит к отметке в $10,5 трлн.

Главная проблема сейчас не в количестве, а в качестве. Порог входа в киберкрайм упал до нуля. Скрипт-кидди теперь вооружены генеративным ИИ, который пишет 89% всего фишинга. Это больше не кривые письма с просьбой «срочно оплатить счет», это идеально сгенерированные диалоги, имитирующие стиль вашего CEO, с учетом контекста переписки, спарсенной из открытых источников.
Мы разобрали текущий ландшафт угроз и заглянули в 2026. Спойлер: будет больно.

Что в отчете:

🔴 RaaS (Ransomware-as-a-Service) работает четче, чем доставка пиццы. LockBit вернулся с версией 5.0, и теперь стандартом стала «тройная экстрекция»: шифрование + слив данных + DDoS, чтобы положить бизнес окончательно.

🔴 Supply Chain Attacks — это 92% успеха. Зачем ломиться в закрытую дверь, если можно «отравить» обновление легитимного софта, которое админы сами раскатают по всей сети?

🔴 Специфика СНГ: 72% атак в регионе целенаправленно бьют по РФ. Мобильные банкеры типа Mamont мутируют быстрее, чем антивирусные сигнатуры.

🔴 Квантовая угроза и Agentic AI. Мы уже фиксируем атаки «Harvest now, decrypt later». Ваш шифрованный трафик собирают сегодня, чтобы вскрыть его квантовыми мощностями через пару лет.
Zero Trust и PQC (постквантовая криптография) перестали быть маркетинговым булшитом — теперь это единственный способ выживания.

Полный технический разбор, метрики и прогнозы на 2026 год читайте в статье:
https://redsec.by/article/kiberugrozy-2025-goda-detalnyj-analiz-landshafta-atak-i-strategicheskij-prognoz-na-2026/

Пока корпорации сливают бюджеты на очередные «серебряные пули» и красивые дашборды в SOC, реальность остается неизменной: грамотно написанный Python-скрипт на 100 строк способен положить инфраструктуру быстрее, чем админ успеет допить кофе.

Разобрал на атомы анатомию современного шифровальщика. Без воды, абстрактных слайдов и маркетинговой чуши. Только хардкорная логика, архитектура и код.

В новом материале препарируем зловреда изнутри:

▪️ Target Acquisition: Как на самом деле работает рекурсивный поиск жертв (и почему os.walk — это не всегда лучшее решение).

▪️ Crypto Implementation: Почему Fernet для скрипт-кидди, а в реальности нужен чистый AES-256 в режиме CBC. Разбираем генерацию ключей, padding и работу с векторами инициализации (IV).

▪️ Kill Chain: От фильтрации системных директорий (чтобы не убить ОС раньше времени) до визуального воздействия на пользователя.

Это база, на которой строятся LockBit, Conti и прочие топы даркнета. Понимание этой механики — единственный способ настроить EDR так, чтобы он не проспал атаку, и понять, что искать при Incident Response.

Внимание: материал строго для research и defensive целей. Незнание закона не освобождает от ответственности, а знание архитектуры malware — освобождает от головной боли при защите периметра.

🔗 Читать разбор:
https://redsec.by/article/anatomiya-cifrovogo-vymogatelstva-razbor-arhitektury-ransomware-na-yazyke-python/

Написанный код шифровальщика из первой части — это просто «мертвый» файл на локальном диске. Чтобы он превратился в инцидент с семью нулями ущерба, его нужно доставить, запустить и скрыть от EDR.

Вышла вторая часть разбора архитектуры Ransomware. Переходим от теории криптографии к практике Intrusion & Execution.

В реальности периметр пробивают не сложными 0-day эксплойтами, а через открытые двери, которые админы забыли запереть. Пока вы настраиваете Firewall, Initial Access Brokers уже торгуют вашими RDP-кредами в даркнете.

В новом материале детально разбираем механику доставки и закрепления:

▪️ Initial Access: Почему фишинг мутировал в HTML Smuggling и OneNote-контейнеры, и как RDP остается главным вектором входа для группировок уровня Akira.

▪️ Defense Evasion: Забудьте про статические сигнатуры — они мертвы. Разбираем работу пакеров (Themida, VMProtect), технику Living Off the Land (LOLBins) и почему PowerShell — это лучший друг Red Team для запуска бесфайловых (Fileless) нагрузок прямо в памяти.

▪️ Impairing Defenses: Первая команда, которую выполняет любой серьезный зловред — это не шифрование, а vssadmin delete shadows. Показываю, как именно атакующие «ослепляют» сенсоры защиты и зачищают пути к отступлению.

Если вы Blue Team — этот материал объяснит, почему антивирус молчал, пока шифровалась инфраструктура. Если Red Team — освежите базу по актуальным TTPs 2025-2026 года.

Изучайте векторы атаки, чтобы не стать статистикой в следующем отчете ENISA.

🔗 Читать разбор: https://redsec.by/article/vektory-vtorzheniya-i-tehniki-ukloneniya-kak-ransomware-dostavlyaet-poleznuyu-nagruzku-chast-2/

Рука тянется выдернуть шнур питания при виде красного баннера с требованием выкупа? Стоять. 🛑

Ты только что чуть не уничтожил единственный шанс расшифровать данные бесплатно.

Вышла финальная часть цикла по анатомии Ransomware. Сегодня говорим про Digital Forensics и почему оперативная память — это главное место преступления.

Многие админы живут в иллюзии: «Выключу сервер, вирус остановится». Реальность жестче: выключил сервер — убил ключи шифрования. Пока подается питание, AES-ключи лежат в ОЗУ в открытом виде (или их следы в Key Schedule). Обедсточил — конденсаторы разрядились, энтропия превратила ключи в белый шум. Game Over. 💀

В статье разобрал хардкорные сценарии:

⚡️ Почему Live Memory Dump — это первое действие после изоляции сети.

🛠 Инструментарий: Belkasoft, FTK Imager, WinPmem — чем снимать слепок, чтобы не затереть улики.

🧠 Advanced-глава: Что делать, если малварь писали гении? Разбираем, как компиляторы "оптимизируют" функции очистки памяти (Dead Store Elimination) и почему файл подкачки (pagefile.sys) становится кладбищем секретов даже для самого умного вируса.
Это не теория, это боевой мануал. Ошибка в 30 секунд стоит миллионы. Читай, сохраняй и подготовь "тревожную флешку" заранее.

🔗 Читать полный гайд:
https://redsec.by/article/ne-dyshat-pochemu-operativnaya-pamyat-glavnoe-mesto-prestupleniya-pri-atake-ransomware/

🔑 SSH: Твой главный актив или моя точка входа?
Пока "синие" (Blue Team) строят сложные SIEM-системы и настраивают фаерволы, я просто ищу забытый id_rsa в домашней папке разработчика. И поверьте, я его нахожу.

SSH — это стандарт де-факто для управления инфраструктурой, но 9 из 10 админов настраивают его по принципу «работает и ладно». Для Red Teamer'а это подарок. Скомпрометированный ключ — это не просто доступ к серверу, это прямой туннель к правам root и горизонтальное перемещение по всей сети без шума и пыли.

Выкатил подробный мануал по хардэнингу SSH. Без воды, только мясо и требования по стандартам (включая OAC/ТЗИ).

💀 Что внутри разбора:

🔻 RSA 2048 мёртв. Почему мы переходим на Ed25519 и как это спасает от side-channel атак.

🔻 Анатомия атаки. Как работает MITM, почему TOFU (Trust On First Use) — это дыра, и как нас чуть не похоронил бэкдор в XZ Utils.

🔻 File Permissions. Почему права 600 на ключах — это не рекомендация, а вопрос выживания. И да, поговорим про защиту конфигов WireGuard.

🔻 Физическая безопасность. LUKS + Passphrase. Если твой ноутбук украли, а диск не зашифрован — считай, что ты сам отдал ключи от ЦОДа.

🔻 Enterprise-уровень. Почему статические ключи — это зло, и как внедрить SSH Certificates, чтобы забыть про чистку authorized_keys при увольнении сотрудников.

Если вы готовитесь к аттестации или просто не хотите проснуться с зашифрованной инфраструктурой — читать обязательно.

Забирайте статью, внедряйте, и не оставляйте мне шансов.

👇 Читать полный гайд
https://redsec.by/article/ssh-klyuchi-polnyj-spravochnik-dlya-specialista-po-informacionnoj-bezopasnosti/

Переходим от теории к цифровой хирургии с помощью Volatility Framework.

Снять дамп — это только полдела. Теперь нужно найти иголку в стоге сена размером в миллиарды байт. Внутри этого хаоса прячется процесс шифровальщика и тот самый AES-ключ, который сэкономит компании миллионы.

В разборе:

🐧 Clean Room: Почему анализировать дамп на Windows — фатальная ошибка. Разворачиваем лабораторию на Linux/Kali для безопасного вскрытия.

🔎 Process Hunting: Как среди сотен легитимных svchost.exe найти паразита. Используем pslist и pstree для выявления аномалий в родительских процессах.

🗝 Extraction: Вырезаем память процесса и натравливаем на нее aeskeyfind и YARA-правила. Ищем следы Key Schedule в байтовом шуме.

Это высший пилотаж Incident Response. Но в конце статьи я снимаю розовые очки: форензика — это план «C», когда план «A» провалился. Если у вас нет Immutable Backups (3-2-1-1-0), вы играете в русскую рулетку, где патрон — это RtlSecureZeroMemory.
Изучай, как вытащить ключи, но строй защиту так, чтобы тебе никогда не пришлось этого делать.

🔗 Читать финал трилогии:
https://redsec.by/article/analiz-incidenta-ishem-igolku-v-stoge-sena-s-pomoshyu-volatility-chast-3/