Плоская сеть — это не просто архитектурная ошибка, это открытое приглашение на чаепитие к вашему контроллеру домена. Для любого, кто хоть раз держал в руках BloodHound, отсутствие сегментации превращает захват организации в легкую прогулку. Пока админы спорят о сложности паролей, мы смотрим на топологию. Если я упал на хост в VLAN 10 и вижу по SMB весь серверный сегмент — игра окончена.
В 2025 году скорость решает всё. Тот же LockBit шифрует инфраструктуру быстрее, чем вы успеете налить кофе. У Red Team есть в среднем 48 минут на латеральное движение, но в плоской сети этот тайминг сокращается до клика мышкой. Если между бухгалтером и базой данных нет жесткого ACL, блокирующего 445-й порт и WinRM, то никакая EDR-система вас не спасет — вы просто будете наблюдать за своей гибелью в прямом эфире.
В новом материале разобрал техническую сторону вопроса: от конфигурации тегированных VLAN на Cisco до создания «непробиваемых» политик на FortiGate. Никакой воды, только хардкор: какие порты резать в первую очередь, как изолировать гостевой Wi-Fi и почему принцип Default Deny — это единственное, что заставит атакующего потеть и ошибаться.
Если ваша сеть до сих пор напоминает проходной двор без дверей — этот гайд для вас. Читайте, внедряйте и не давайте нам шансов на легкий Domain Admin.
https://redsec.by/article/segmentaciya-seti-kotoraya-realno-rabotaet-kak-ostanovit-lateralnoe-dvizhenie-red-team-i-spasti-biznes/
В 2025 году скорость решает всё. Тот же LockBit шифрует инфраструктуру быстрее, чем вы успеете налить кофе. У Red Team есть в среднем 48 минут на латеральное движение, но в плоской сети этот тайминг сокращается до клика мышкой. Если между бухгалтером и базой данных нет жесткого ACL, блокирующего 445-й порт и WinRM, то никакая EDR-система вас не спасет — вы просто будете наблюдать за своей гибелью в прямом эфире.
В новом материале разобрал техническую сторону вопроса: от конфигурации тегированных VLAN на Cisco до создания «непробиваемых» политик на FortiGate. Никакой воды, только хардкор: какие порты резать в первую очередь, как изолировать гостевой Wi-Fi и почему принцип Default Deny — это единственное, что заставит атакующего потеть и ошибаться.
Если ваша сеть до сих пор напоминает проходной двор без дверей — этот гайд для вас. Читайте, внедряйте и не давайте нам шансов на легкий Domain Admin.
https://redsec.by/article/segmentaciya-seti-kotoraya-realno-rabotaet-kak-ostanovit-lateralnoe-dvizhenie-red-team-i-spasti-biznes/
RedSec Daily
Сегментация сети, которая реально работает: как остановить латеральное движение Red Team и спасти бизнес
Профессиональное руководство по сегментации сети: VLAN, ACL и настройки FortiGate для остановки латерального движения хакеров. Защитите бизнес от шифровальщиков.
«User12345» — это не пароль, это бэкдор, который вы сами открыли для Red Team. Пока вы верите в магию 8-символьных комбинаций и смену пароля раз в квартал, мы заходим в вашу сеть через парадную дверь.
Механика каскадной компрометации проста и гениальна: одна утечка с забытого маркетингового форума, и через 10 минут скрипт credential stuffing проверяет эту пару на вашем Exchange, VPN и портале самообслуживания. В 2025 году переиспользование пароля — это добровольная передача ключей от сейфа первому встречному.
В новой статье разбираем «театр безопасности», который так любят в госучреждениях и финтехе. Рассказал, почему принудительная смена паролей делает сеть только слабее и как RTX 4090 щелкает ваши «сложные» 8-символьные наборы как семечки.
Специально для тех, кто работает в РБ: разобрал Приказ ОАЦ №259, который вступает в силу с 1 марта. Там всё серьезно — от обязательного 2FA до внедрения EDR. Внутри статьи найдете готовую матрицу контролей для прохождения аттестации и мой личный алгоритм создания 16-символьных парольных фраз, которые невозможно взломать брутфорсом, но очень легко запомнить без всяких стикеров на мониторе.
Если ваша безопасность держится на «честном слове» сотрудников — пора закручивать гайки по-настоящему.
https://redsec.by/article/kaskadnaya-komprometaciya-cherez-paroli-pochemu-attestaciya-po-oac-ne-spasaet-ot-12345/
Механика каскадной компрометации проста и гениальна: одна утечка с забытого маркетингового форума, и через 10 минут скрипт credential stuffing проверяет эту пару на вашем Exchange, VPN и портале самообслуживания. В 2025 году переиспользование пароля — это добровольная передача ключей от сейфа первому встречному.
В новой статье разбираем «театр безопасности», который так любят в госучреждениях и финтехе. Рассказал, почему принудительная смена паролей делает сеть только слабее и как RTX 4090 щелкает ваши «сложные» 8-символьные наборы как семечки.
Специально для тех, кто работает в РБ: разобрал Приказ ОАЦ №259, который вступает в силу с 1 марта. Там всё серьезно — от обязательного 2FA до внедрения EDR. Внутри статьи найдете готовую матрицу контролей для прохождения аттестации и мой личный алгоритм создания 16-символьных парольных фраз, которые невозможно взломать брутфорсом, но очень легко запомнить без всяких стикеров на мониторе.
Если ваша безопасность держится на «честном слове» сотрудников — пора закручивать гайки по-настоящему.
https://redsec.by/article/kaskadnaya-komprometaciya-cherez-paroli-pochemu-attestaciya-po-oac-ne-spasaet-ot-12345/
RedSec Daily
Каскадная компрометация через пароли: почему аттестация по ОАЦ не спасает от «12345»
Как защититься от каскадной компрометации паролей и выполнить требования ОАЦ РБ (Приказ №259). Экспертный алгоритм создания запоминающихся паролей
Хватит кормить вендоров и надеяться на «чудо-коробки», которые якобы спасут вас от APT. Пока вы ждете первого удара, чтобы начать реагировать, мы уже внутри.
Единственное, что реально ломает нам игру — это когда защита знает наши ходы наперед.
Threat Intelligence — это не дорогая игрушка для корпораций, а способ заставить врага работать вхолостую. Зачем платить миллионы за аутсорс-SOC, если можно своими руками развернуть MISP, подключить правильные фиды и блокировать наши C2-серверы еще на этапе их регистрации?
В новой статье разобрал, как выстроить свою TI-программу без раздувания бюджета. Рассказываю на пальцах: как превратить «мусорные» списки IP в боевые правила для файрволов, зачем мониторить ошибки в коде вредоносов и почему один вовремя заблокированный хеш экономит вашей компании десятки тысяч долларов за один вечер.
Если хотите перестать тушить пожары и начать их предотвращать — этот мануал для вас. Меньше реактивности, больше интеллекта.
https://redsec.by/article/umnaya-zashita-vmesto-dorogih-korobok-kak-postroit-threat-intelligence-i-ekonomit-milliony/
Единственное, что реально ломает нам игру — это когда защита знает наши ходы наперед.
Threat Intelligence — это не дорогая игрушка для корпораций, а способ заставить врага работать вхолостую. Зачем платить миллионы за аутсорс-SOC, если можно своими руками развернуть MISP, подключить правильные фиды и блокировать наши C2-серверы еще на этапе их регистрации?
В новой статье разобрал, как выстроить свою TI-программу без раздувания бюджета. Рассказываю на пальцах: как превратить «мусорные» списки IP в боевые правила для файрволов, зачем мониторить ошибки в коде вредоносов и почему один вовремя заблокированный хеш экономит вашей компании десятки тысяч долларов за один вечер.
Если хотите перестать тушить пожары и начать их предотвращать — этот мануал для вас. Меньше реактивности, больше интеллекта.
https://redsec.by/article/umnaya-zashita-vmesto-dorogih-korobok-kak-postroit-threat-intelligence-i-ekonomit-milliony/
RedSec Daily
Умная защита вместо дорогих «коробок»: Как построить Threat Intelligence и экономить миллионы
Как построить эффективную программу Threat Intelligence с минимальным бюджетом. Практический гайд по MISP, OSINT и автоматизации ИБ для CISO
🤔1
Защита за полмиллиона долларов против одного вовремя отправленного письма. Как думаете, кто победит?
Пока Blue Team строит стены из NGFW и обкладывается SIEM-системами, мы ищем путь в обход — через человеческую психику. Red Team не всегда умнее технически, но мы всегда гибче. Мы эксплуатируем то, что не патчится обновлениями: когнитивные искажения.
Авторитет. Срочность. Предвзятость. Эти три рычага отключают критическое мышление даже у опытных ИТ-лидеров. Статистика неумолима: 64% руководителей кликают по фишингу, потому что письмо «от CEO» в пятницу вечером превращает аналитика в исполнительного робота. Мы атакуем не компьютеры, мы атакуем нейронные связи.
В новом материале разложил по полочкам механику психологического взлома. Почему SOC-аналитики становятся «слепыми» после 12 часов смены, как deepfake-голоса обходят многоступенчатые проверки и почему ваш дорогой Firewall — это просто красивая гирлянда, если ваша команда верит в его непогрешимость.
Разбираем мышление атакующего и учимся видеть инфраструктуру глазами тех, кто ищет не уязвимость в коде, а слабость в человеке.
https://redsec.by/article/myshlenie-atakuyushego-kak-red-team-ispolzuet-psihologiyu-i-nahodit-put-vnutr/
Пока Blue Team строит стены из NGFW и обкладывается SIEM-системами, мы ищем путь в обход — через человеческую психику. Red Team не всегда умнее технически, но мы всегда гибче. Мы эксплуатируем то, что не патчится обновлениями: когнитивные искажения.
Авторитет. Срочность. Предвзятость. Эти три рычага отключают критическое мышление даже у опытных ИТ-лидеров. Статистика неумолима: 64% руководителей кликают по фишингу, потому что письмо «от CEO» в пятницу вечером превращает аналитика в исполнительного робота. Мы атакуем не компьютеры, мы атакуем нейронные связи.
В новом материале разложил по полочкам механику психологического взлома. Почему SOC-аналитики становятся «слепыми» после 12 часов смены, как deepfake-голоса обходят многоступенчатые проверки и почему ваш дорогой Firewall — это просто красивая гирлянда, если ваша команда верит в его непогрешимость.
Разбираем мышление атакующего и учимся видеть инфраструктуру глазами тех, кто ищет не уязвимость в коде, а слабость в человеке.
https://redsec.by/article/myshlenie-atakuyushego-kak-red-team-ispolzuet-psihologiyu-i-nahodit-put-vnutr/
RedSec Daily
Мышление атакующего: Как Red Team использует психологию и находит путь внутрь
Разбор психологии атак Red Team: как когнитивные искажения (авторитет, срочность, предвзятость) позволяют взламывать компании, несмотря на дорогие Firewall и SOC
Знаешь, какой самый простой вектор атаки на твою инфраструктуру? Нет, это не 0-day в фаерволе и не фишинг на бухгалтера. Это твой аналитик SOC в 3 часа ночи.
Человек, который смотрит в монитор двенадцатый час подряд, у которого дергается глаз от бесконечного потока «фолс-позитивов», и который уже написал заявление об уходе в черновиках.
Я часто вижу это на пентестах. Мы проходим периметр не потому, что защита слабая, а потому что защитник просто «кончился». Статистика убийственная: 84% специалистов по ИБ выгорели в ноль. В среднем SOC прилетает 1000 алертов в сутки, а качественно разобрать люди могут от силы десяток. Остальное — в /dev/null или «skip».
Это не проблема кадров. Это системный баг индустрии, который мы привыкли игнорировать.
В новой статье разобрали анатомию этого кризиса без HR-воды.
Только хардкор:
— Почему SIEM превратился в генератор шума и как это убивает бдительность.
— Как ночные смены ломают циркадные ритмы (и почему аналитик ночью тупеет на 20%).
— SOAR: как отдать рутину скриптам и оставить людям охоту за угрозами.
— Конкретные метрики и графики, чтобы твои лучшие спецы не ушли к конкурентам (или не начали работать против тебя).
Читать обязательно, если не хочешь остаться с пустым SOC-ом и открытым периметром.
https://redsec.by/article/professionalnoe-vygoranie-v-kiberbezopasnosti-pochemu-vash-luchshij-analitik-mozhet-uvolitsya-zavtra/
Человек, который смотрит в монитор двенадцатый час подряд, у которого дергается глаз от бесконечного потока «фолс-позитивов», и который уже написал заявление об уходе в черновиках.
Я часто вижу это на пентестах. Мы проходим периметр не потому, что защита слабая, а потому что защитник просто «кончился». Статистика убийственная: 84% специалистов по ИБ выгорели в ноль. В среднем SOC прилетает 1000 алертов в сутки, а качественно разобрать люди могут от силы десяток. Остальное — в /dev/null или «skip».
Это не проблема кадров. Это системный баг индустрии, который мы привыкли игнорировать.
В новой статье разобрали анатомию этого кризиса без HR-воды.
Только хардкор:
— Почему SIEM превратился в генератор шума и как это убивает бдительность.
— Как ночные смены ломают циркадные ритмы (и почему аналитик ночью тупеет на 20%).
— SOAR: как отдать рутину скриптам и оставить людям охоту за угрозами.
— Конкретные метрики и графики, чтобы твои лучшие спецы не ушли к конкурентам (или не начали работать против тебя).
Читать обязательно, если не хочешь остаться с пустым SOC-ом и открытым периметром.
https://redsec.by/article/professionalnoe-vygoranie-v-kiberbezopasnosti-pochemu-vash-luchshij-analitik-mozhet-uvolitsya-zavtra/
RedSec Daily
Профессиональное выгорание в кибербезопасности: почему ваш лучший аналитик может уволиться завтра
Профессиональное выгорание в SOC: почему уходят лучшие аналитики и как это остановить. 4 причины кризиса кадров в ИБ и стратегия из 4 шагов для спасения команды
👍1
Пока вы генерируете картинки в Midjourney, мы генерируем эксплойты.
Давайте честно: порог входа в Red Teaming упал ниже плинтуса. Если раньше для качественного фишинга мне нужно было сутками изучать жертву, парсить ее соцсети и подстраиваться под стиль общения, то сегодня WormGPT делает это за 5 минут. И да, вы не отличите этот текст от письма вашего гендира.
В новой статье разобрал, как нейросети окончательно убили классическую безопасность.
Сигнатурный анализ мертв. Совсем. Полиморфный код, который переписывает сам себя через LLM при каждом запуске (привет, BlackMamba), проходит сквозь ваши антивирусы как нож сквозь масло. 100% Evasion Rate — это не маркетинговая цифра, это сухие факты тестов.
Google Big Sleep уже находит 0-day уязвимости в коде без участия человека. Мы получили инструмент, который масштабирует атаки в тысячи раз.
Что делать "синим"? Если у вас в SOC сидят люди и глазами смотрят алерты — вы уже проиграли. Скорость реакции человека — это бутылочное горлышко. Единственный шанс выжить для белорусского энтерпрайза (особенно под ОАЦ) — выставить алгоритм против алгоритма. Поведенческий анализ и автономные системы, которые рубят соединения до того, как шифровальщик начнет работу.
В материале подробно расписал механику AI-атак и то, чем реально можно прикрыться в 2026 году. Читайте, пока ваши логи не утекли в даркнет.
https://redsec.by/article/bitva-algoritmov-ii-na-sluzhbe-red-team-i-blue-team-kak-nejroseti-menyayut-landshaft-kiberbezopasnosti-belarusi/
Давайте честно: порог входа в Red Teaming упал ниже плинтуса. Если раньше для качественного фишинга мне нужно было сутками изучать жертву, парсить ее соцсети и подстраиваться под стиль общения, то сегодня WormGPT делает это за 5 минут. И да, вы не отличите этот текст от письма вашего гендира.
В новой статье разобрал, как нейросети окончательно убили классическую безопасность.
Сигнатурный анализ мертв. Совсем. Полиморфный код, который переписывает сам себя через LLM при каждом запуске (привет, BlackMamba), проходит сквозь ваши антивирусы как нож сквозь масло. 100% Evasion Rate — это не маркетинговая цифра, это сухие факты тестов.
Google Big Sleep уже находит 0-day уязвимости в коде без участия человека. Мы получили инструмент, который масштабирует атаки в тысячи раз.
Что делать "синим"? Если у вас в SOC сидят люди и глазами смотрят алерты — вы уже проиграли. Скорость реакции человека — это бутылочное горлышко. Единственный шанс выжить для белорусского энтерпрайза (особенно под ОАЦ) — выставить алгоритм против алгоритма. Поведенческий анализ и автономные системы, которые рубят соединения до того, как шифровальщик начнет работу.
В материале подробно расписал механику AI-атак и то, чем реально можно прикрыться в 2026 году. Читайте, пока ваши логи не утекли в даркнет.
https://redsec.by/article/bitva-algoritmov-ii-na-sluzhbe-red-team-i-blue-team-kak-nejroseti-menyayut-landshaft-kiberbezopasnosti-belarusi/
RedSec Daily
Битва алгоритмов: ИИ на службе Red Team и Blue Team. Как нейросети меняют ландшафт кибербезопасности Беларуси
ИИ в кибербезопасности 2026: как Red Team использует нейросети для фишинга и взлома, и как Blue Team отвечает автономной защитой. Гайд для бизнеса Беларуси.
Правила мертвы. Да здравствует поведение.
Давайте честно: ваши корреляционные правила в SIEM — это решето. Как Red Teamer, я могу обойти 90% ваших «алертов» просто используя легитимные инструменты администрирования (LOLBins). Я зайду под валидной учеткой, буду использовать PowerShell и net.exe, и ваш SIEM даже не пикнет, потому что для него это «нормальный системный процесс».
Пока ваши аналитики тонут в тысячах ложных срабатываний и проверяют, почему у бухгалтера отвалился VPN, я уже закрепляюсь в сети и сливаю базу клиентов.
Но правила игры меняются. И, к сожалению для нас (и к счастью для бизнеса), Blue Team наконец-то начала использовать мозги, а не только регулярные выражения.
Речь про AI и поведенческий анализ (UEBA).
Это та самая штука, которую невозможно обмануть сменой хэша или обфускацией кода.
Нейросети плевать на сигнатуры. Ей плевать, какой у меня IP. Она смотрит на профиль.
— «Почему этот админ, который 5 лет работал только днём, вдруг зашел в 3 ночи?»
— «Почему с этого хоста пошел трафик на внешний ресурс, хотя раньше он общался только с контроллером домена?»
— «Зачем explorer.exe породил процесс cmd.exe?»
Поведение подделать сложнее всего. В новой статье разобрали, как именно работает AI на стороне защиты.
Внутри:
💀 Почему традиционный SIEM — это путь к выгоранию SOC.
🤖 Как отличить легитимного админа от хакера с его кредами.
🧠 Три уровня детекции: от процессов до бокового перемещения.
📉 Цифры: как снизить False Positives с 90% до 3%.
Если вы защищаете инфраструктуру — это ваш мануал по выживанию. Если атакуете — изучайте, на чём вы скоро начнете палиться.
https://redsec.by/article/blue-team-ai-kak-nejroseti-vyyavlyayut-anomalii-nevidimye-dlya-tradicionnyh-pravil/
Давайте честно: ваши корреляционные правила в SIEM — это решето. Как Red Teamer, я могу обойти 90% ваших «алертов» просто используя легитимные инструменты администрирования (LOLBins). Я зайду под валидной учеткой, буду использовать PowerShell и net.exe, и ваш SIEM даже не пикнет, потому что для него это «нормальный системный процесс».
Пока ваши аналитики тонут в тысячах ложных срабатываний и проверяют, почему у бухгалтера отвалился VPN, я уже закрепляюсь в сети и сливаю базу клиентов.
Но правила игры меняются. И, к сожалению для нас (и к счастью для бизнеса), Blue Team наконец-то начала использовать мозги, а не только регулярные выражения.
Речь про AI и поведенческий анализ (UEBA).
Это та самая штука, которую невозможно обмануть сменой хэша или обфускацией кода.
Нейросети плевать на сигнатуры. Ей плевать, какой у меня IP. Она смотрит на профиль.
— «Почему этот админ, который 5 лет работал только днём, вдруг зашел в 3 ночи?»
— «Почему с этого хоста пошел трафик на внешний ресурс, хотя раньше он общался только с контроллером домена?»
— «Зачем explorer.exe породил процесс cmd.exe?»
Поведение подделать сложнее всего. В новой статье разобрали, как именно работает AI на стороне защиты.
Внутри:
💀 Почему традиционный SIEM — это путь к выгоранию SOC.
🤖 Как отличить легитимного админа от хакера с его кредами.
🧠 Три уровня детекции: от процессов до бокового перемещения.
📉 Цифры: как снизить False Positives с 90% до 3%.
Если вы защищаете инфраструктуру — это ваш мануал по выживанию. Если атакуете — изучайте, на чём вы скоро начнете палиться.
https://redsec.by/article/blue-team-ai-kak-nejroseti-vyyavlyayut-anomalii-nevidimye-dlya-tradicionnyh-pravil/
RedSec Daily
Blue Team AI: Как нейросети выявляют аномалии, невидимые для традиционных правил
AI в кибербезопасности: как UEBA и AI-SIEM выявляют скрытые угрозы, снижают False Positives и помогают SOC выполнить требования ОАЦ. Полный разбор технологий
Думаете, шифровальщик — это когда бухгалтер случайно открыла «Счет.docx.exe» и экран погас?
Смешно.
Это сказки для отчетов руководству.
В реальности, когда вы видите записку с требованием выкупа, война уже проиграна. Мы сидим в вашей инфраструктуре уже недели две. Мы читаем почту вашего CEO, мы знаем структуру вашей AD лучше, чем ваши админы, и мы уже слили сотни гигабайт ваших данных на свои сервера.
Шифрование — это не атака. Это просто громкий хлопок дверью на прощание, чтобы вы наконец обратили на нас внимание.
На сайте выкатил лонгрид с разбором анатомии современной Human-Operated атаки. Без воды и маркетинговой чуши, чисто технический фарш по матрице MITRE ATT&CK.
Разбираем по косточкам:
💀 Initial Access: Почему RDP и непропатченный VPN — это открытая дверь, в которую даже стучать не надо.
💀 Persistence & PrivEsc: Как мы закрепляемся так, что перезагрузка серверов вам не поможет, и как за пару часов поднимаем права до Domain Admin.
💀 Discovery: Зачем мы используем BloodHound (да, тот же софт, что и ваши пентестеры) и как строим маршрут к вашим бэкапам.
💀 Double Extortion: Почему наличие резервных копий больше не спасает от потери денег. Сначала — эксфильтрация, потом — криптолокер.
Если вы Blue Team — читайте, чтобы знать, где искать следы, пока не стало поздно. Если вы CISO — киньте ссылку своему бизнесу, чтобы они поняли: мы не хакаем компьютеры, мы хакаем процессы.
Материал жесткий, с опорой на кейсы 2024–2025 годов и требования регулятора.
Читать полную версию:
https://redsec.by/article/anatomiya-ataki-shifrovalshika-ot-fishinga-do-zapiski-s-vykupom-glubokij-razbor-po-matrice-mitre-attck/
Смешно.
Это сказки для отчетов руководству.
В реальности, когда вы видите записку с требованием выкупа, война уже проиграна. Мы сидим в вашей инфраструктуре уже недели две. Мы читаем почту вашего CEO, мы знаем структуру вашей AD лучше, чем ваши админы, и мы уже слили сотни гигабайт ваших данных на свои сервера.
Шифрование — это не атака. Это просто громкий хлопок дверью на прощание, чтобы вы наконец обратили на нас внимание.
На сайте выкатил лонгрид с разбором анатомии современной Human-Operated атаки. Без воды и маркетинговой чуши, чисто технический фарш по матрице MITRE ATT&CK.
Разбираем по косточкам:
💀 Initial Access: Почему RDP и непропатченный VPN — это открытая дверь, в которую даже стучать не надо.
💀 Persistence & PrivEsc: Как мы закрепляемся так, что перезагрузка серверов вам не поможет, и как за пару часов поднимаем права до Domain Admin.
💀 Discovery: Зачем мы используем BloodHound (да, тот же софт, что и ваши пентестеры) и как строим маршрут к вашим бэкапам.
💀 Double Extortion: Почему наличие резервных копий больше не спасает от потери денег. Сначала — эксфильтрация, потом — криптолокер.
Если вы Blue Team — читайте, чтобы знать, где искать следы, пока не стало поздно. Если вы CISO — киньте ссылку своему бизнесу, чтобы они поняли: мы не хакаем компьютеры, мы хакаем процессы.
Материал жесткий, с опорой на кейсы 2024–2025 годов и требования регулятора.
Читать полную версию:
https://redsec.by/article/anatomiya-ataki-shifrovalshika-ot-fishinga-do-zapiski-s-vykupom-glubokij-razbor-po-matrice-mitre-attck/
RedSec Daily
Анатомия атаки шифровальщика: От фишинга до записки с выкупом. Глубокий разбор по матрице MITRE ATT&CK
Анатомия атаки современного шифровальщика: разбор по матрице MITRE ATT&CK. От фишинга и RDP до эксфильтрации данных и двойного вымогательства. Реальные кейсы 2020-2025
Шифровальщик не стучится — он выбивает дверь с ноги.
Давайте честно. Когда я провожу пентест и захожу в вашу сеть, мне плевать на ваш дорогой фаервол на периметре. Если внутри у вас «плоская» сеть, админские учётки без MFA и бэкапы, лежащие на соседней с контроллером домена шаре — считайте, что ваша инфраструктура уже принадлежит мне. Или оператору BlackByte.
Большинство админов до сих пор живут в 2010 году, защищая периметр и забывая про нутро. Но реальность такова: периметр будет пробит. Вопрос лишь в том, как быстро злоумышленник заберет всё остальное.
Я подготовил жесткий разбор архитектуры защиты, которая реально работает против современных группировок вымогателей. Никакой воды, только хардкорные методики, которые спасают бизнес, когда всё летит в тартарары.
Внутри статьи:
💀 Почему правило бэкапов 3-2-1 сдохло и что такое 3-2-1-1-0 (спойлер: если я могу стереть ваши бэкапы, у вас нет бэкапов).
💀 Воздушный зазор и Immutable-хранилища: как сделать так, чтобы даже с root-правами я не смог вайпнуть ваши данные.
💀 RDP и VPN: закрываем дыры, через которые залетает 90% пейлоадов.
💀 Оборона внутри: почему LAPS и сегментация — это ваша единственная надежда остановить латеральное движение.
💀 EDR и ловушки: как палить хакеров на "канарейках", пока они не запустили шифрование.
Мы также прошлись по требованиям ОАЦ. Ирония в том, что если строить защиту по уму, вы автоматически закрываете регуляторку. Но если делать для галочки — вас положат.
Не будьте «легкой мишенью». Читайте, внедряйте, выживайте.
🔗 Читать полный гайд: https://redsec.by/article/ne-dat-shansa-vymogatelyu-stroim-eshelonirovannuyu-zashitu-ot-shifrovalshikov-po-metodikam-oac-i-mirovym-praktikam/
Давайте честно. Когда я провожу пентест и захожу в вашу сеть, мне плевать на ваш дорогой фаервол на периметре. Если внутри у вас «плоская» сеть, админские учётки без MFA и бэкапы, лежащие на соседней с контроллером домена шаре — считайте, что ваша инфраструктура уже принадлежит мне. Или оператору BlackByte.
Большинство админов до сих пор живут в 2010 году, защищая периметр и забывая про нутро. Но реальность такова: периметр будет пробит. Вопрос лишь в том, как быстро злоумышленник заберет всё остальное.
Я подготовил жесткий разбор архитектуры защиты, которая реально работает против современных группировок вымогателей. Никакой воды, только хардкорные методики, которые спасают бизнес, когда всё летит в тартарары.
Внутри статьи:
💀 Почему правило бэкапов 3-2-1 сдохло и что такое 3-2-1-1-0 (спойлер: если я могу стереть ваши бэкапы, у вас нет бэкапов).
💀 Воздушный зазор и Immutable-хранилища: как сделать так, чтобы даже с root-правами я не смог вайпнуть ваши данные.
💀 RDP и VPN: закрываем дыры, через которые залетает 90% пейлоадов.
💀 Оборона внутри: почему LAPS и сегментация — это ваша единственная надежда остановить латеральное движение.
💀 EDR и ловушки: как палить хакеров на "канарейках", пока они не запустили шифрование.
Мы также прошлись по требованиям ОАЦ. Ирония в том, что если строить защиту по уму, вы автоматически закрываете регуляторку. Но если делать для галочки — вас положат.
Не будьте «легкой мишенью». Читайте, внедряйте, выживайте.
🔗 Читать полный гайд: https://redsec.by/article/ne-dat-shansa-vymogatelyu-stroim-eshelonirovannuyu-zashitu-ot-shifrovalshikov-po-metodikam-oac-i-mirovym-praktikam/
RedSec Daily
Не дать шанса вымогателю: строим эшелонированную защиту от шифровальщиков по методикам ОАЦ и мировым практикам
Эшелонированная защита от вирусов-шифровальщиков: методика 3-2-1-1-0, настройки RDP/VPN, сегментация сети и требования ОАЦ. Руководство по кибербезопасности
Первая реакция на шифровальщика — паника.
Вторая — глупость.
Третья — потеря бизнеса.
Когда на мониторах загорается красный баннер с требованием выкупа, у вас есть ровно 60 минут. Это «Золотой час». Если вы потратите его на истерику в чатах или попытки перезагрузить сервер — вы труп.
Я видел десятки инцидентов. Админы совершают одни и те же фатальные ошибки: они дергают питание (убивая ключи расшифровки в RAM), они пытаются лечить файлы антивирусом (уничтожая улики) или, что еще хуже, платят выкуп, даже не проверив бэкапы.
В новой статье я даю жесткий алгоритм действий по минутам. Никакой теории, только боевой устав реагирования на инцидент.
Разбираем по костям:
🔴 Почему выдернуть патч-корд можно, а шнур питания — нельзя (спойлер: форензика).
🔴 Правило 1-10-60: тайминг, который отделяет профессионала от любителя.
🔴 Дамп оперативной памяти: зачем он нужен и почему без него страховая пошлет вас лесом.
🔴 Юридический трек: кому звонить, чтобы не сесть за финансирование терроризма при выплате выкупа.
Распечатайте этот чек-лист и повесьте в серверной. Потому что когда начнется пожар, гуглить «что делать» будет поздно.
Читать инструкцию по выживанию: https://redsec.by/article/pozhar-v-seti-poshagovaya-instrukciya-po-reagirovaniyu-na-ataku-shifrovalshika-chto-delat-v-pervye-60-minut/
Вторая — глупость.
Третья — потеря бизнеса.
Когда на мониторах загорается красный баннер с требованием выкупа, у вас есть ровно 60 минут. Это «Золотой час». Если вы потратите его на истерику в чатах или попытки перезагрузить сервер — вы труп.
Я видел десятки инцидентов. Админы совершают одни и те же фатальные ошибки: они дергают питание (убивая ключи расшифровки в RAM), они пытаются лечить файлы антивирусом (уничтожая улики) или, что еще хуже, платят выкуп, даже не проверив бэкапы.
В новой статье я даю жесткий алгоритм действий по минутам. Никакой теории, только боевой устав реагирования на инцидент.
Разбираем по костям:
🔴 Почему выдернуть патч-корд можно, а шнур питания — нельзя (спойлер: форензика).
🔴 Правило 1-10-60: тайминг, который отделяет профессионала от любителя.
🔴 Дамп оперативной памяти: зачем он нужен и почему без него страховая пошлет вас лесом.
🔴 Юридический трек: кому звонить, чтобы не сесть за финансирование терроризма при выплате выкупа.
Распечатайте этот чек-лист и повесьте в серверной. Потому что когда начнется пожар, гуглить «что делать» будет поздно.
Читать инструкцию по выживанию: https://redsec.by/article/pozhar-v-seti-poshagovaya-instrukciya-po-reagirovaniyu-na-ataku-shifrovalshika-chto-delat-v-pervye-60-minut/
RedSec Daily
Пожар в сети: пошаговая инструкция по реагированию на атаку шифровальщика. Что делать в первые 60 минут
Пошаговое руководство по реагированию на атаку шифровальщика (Ransomware) в первые 60 минут. Инструкция: изоляция, форензика, RAM дамп и восстановление.
2025 год показал, что старые плейбуки защиты можно смело отправлять в /dev/null. Если вы думаете, что ваш SOC справляется, посмотрите на цифры: 11 000 атак в сутки — это новая норма, а глобальный ущерб летит к отметке в $10,5 трлн.
Главная проблема сейчас не в количестве, а в качестве. Порог входа в киберкрайм упал до нуля. Скрипт-кидди теперь вооружены генеративным ИИ, который пишет 89% всего фишинга. Это больше не кривые письма с просьбой «срочно оплатить счет», это идеально сгенерированные диалоги, имитирующие стиль вашего CEO, с учетом контекста переписки, спарсенной из открытых источников.
Мы разобрали текущий ландшафт угроз и заглянули в 2026. Спойлер: будет больно.
Что в отчете:
🔴 RaaS (Ransomware-as-a-Service) работает четче, чем доставка пиццы. LockBit вернулся с версией 5.0, и теперь стандартом стала «тройная экстрекция»: шифрование + слив данных + DDoS, чтобы положить бизнес окончательно.
🔴 Supply Chain Attacks — это 92% успеха. Зачем ломиться в закрытую дверь, если можно «отравить» обновление легитимного софта, которое админы сами раскатают по всей сети?
🔴 Специфика СНГ: 72% атак в регионе целенаправленно бьют по РФ. Мобильные банкеры типа Mamont мутируют быстрее, чем антивирусные сигнатуры.
🔴 Квантовая угроза и Agentic AI. Мы уже фиксируем атаки «Harvest now, decrypt later». Ваш шифрованный трафик собирают сегодня, чтобы вскрыть его квантовыми мощностями через пару лет.
Zero Trust и PQC (постквантовая криптография) перестали быть маркетинговым булшитом — теперь это единственный способ выживания.
Полный технический разбор, метрики и прогнозы на 2026 год читайте в статье:
https://redsec.by/article/kiberugrozy-2025-goda-detalnyj-analiz-landshafta-atak-i-strategicheskij-prognoz-na-2026/
Главная проблема сейчас не в количестве, а в качестве. Порог входа в киберкрайм упал до нуля. Скрипт-кидди теперь вооружены генеративным ИИ, который пишет 89% всего фишинга. Это больше не кривые письма с просьбой «срочно оплатить счет», это идеально сгенерированные диалоги, имитирующие стиль вашего CEO, с учетом контекста переписки, спарсенной из открытых источников.
Мы разобрали текущий ландшафт угроз и заглянули в 2026. Спойлер: будет больно.
Что в отчете:
🔴 RaaS (Ransomware-as-a-Service) работает четче, чем доставка пиццы. LockBit вернулся с версией 5.0, и теперь стандартом стала «тройная экстрекция»: шифрование + слив данных + DDoS, чтобы положить бизнес окончательно.
🔴 Supply Chain Attacks — это 92% успеха. Зачем ломиться в закрытую дверь, если можно «отравить» обновление легитимного софта, которое админы сами раскатают по всей сети?
🔴 Специфика СНГ: 72% атак в регионе целенаправленно бьют по РФ. Мобильные банкеры типа Mamont мутируют быстрее, чем антивирусные сигнатуры.
🔴 Квантовая угроза и Agentic AI. Мы уже фиксируем атаки «Harvest now, decrypt later». Ваш шифрованный трафик собирают сегодня, чтобы вскрыть его квантовыми мощностями через пару лет.
Zero Trust и PQC (постквантовая криптография) перестали быть маркетинговым булшитом — теперь это единственный способ выживания.
Полный технический разбор, метрики и прогнозы на 2026 год читайте в статье:
https://redsec.by/article/kiberugrozy-2025-goda-detalnyj-analiz-landshafta-atak-i-strategicheskij-prognoz-na-2026/
RedSec Daily
Киберугрозы 2025 года: Детальный анализ ландшафта атак и стратегический прогноз на 2026
Подробный анализ киберугроз 2025-2026: рост AI-фишинга, RaaS, атаки на цепочки поставок и квантовые риски. Статистика, кейсы и прогнозы для ИБ.
Пока корпорации сливают бюджеты на очередные «серебряные пули» и красивые дашборды в SOC, реальность остается неизменной: грамотно написанный Python-скрипт на 100 строк способен положить инфраструктуру быстрее, чем админ успеет допить кофе.
Разобрал на атомы анатомию современного шифровальщика. Без воды, абстрактных слайдов и маркетинговой чуши. Только хардкорная логика, архитектура и код.
В новом материале препарируем зловреда изнутри:
▪️ Target Acquisition: Как на самом деле работает рекурсивный поиск жертв (и почему os.walk — это не всегда лучшее решение).
▪️ Crypto Implementation: Почему Fernet для скрипт-кидди, а в реальности нужен чистый AES-256 в режиме CBC. Разбираем генерацию ключей, padding и работу с векторами инициализации (IV).
▪️ Kill Chain: От фильтрации системных директорий (чтобы не убить ОС раньше времени) до визуального воздействия на пользователя.
Это база, на которой строятся LockBit, Conti и прочие топы даркнета. Понимание этой механики — единственный способ настроить EDR так, чтобы он не проспал атаку, и понять, что искать при Incident Response.
Внимание: материал строго для research и defensive целей. Незнание закона не освобождает от ответственности, а знание архитектуры malware — освобождает от головной боли при защите периметра.
🔗 Читать разбор:
https://redsec.by/article/anatomiya-cifrovogo-vymogatelstva-razbor-arhitektury-ransomware-na-yazyke-python/
Разобрал на атомы анатомию современного шифровальщика. Без воды, абстрактных слайдов и маркетинговой чуши. Только хардкорная логика, архитектура и код.
В новом материале препарируем зловреда изнутри:
▪️ Target Acquisition: Как на самом деле работает рекурсивный поиск жертв (и почему os.walk — это не всегда лучшее решение).
▪️ Crypto Implementation: Почему Fernet для скрипт-кидди, а в реальности нужен чистый AES-256 в режиме CBC. Разбираем генерацию ключей, padding и работу с векторами инициализации (IV).
▪️ Kill Chain: От фильтрации системных директорий (чтобы не убить ОС раньше времени) до визуального воздействия на пользователя.
Это база, на которой строятся LockBit, Conti и прочие топы даркнета. Понимание этой механики — единственный способ настроить EDR так, чтобы он не проспал атаку, и понять, что искать при Incident Response.
Внимание: материал строго для research и defensive целей. Незнание закона не освобождает от ответственности, а знание архитектуры malware — освобождает от головной боли при защите периметра.
🔗 Читать разбор:
https://redsec.by/article/anatomiya-cifrovogo-vymogatelstva-razbor-arhitektury-ransomware-na-yazyke-python/
RedSec Daily
Анатомия цифрового вымогательства: Разбор архитектуры Ransomware на языке Python
Детальный технический разбор логики работы программ-вымогателей (Ransomware) на Python: от поиска файлов и генерации ключей до шифрования AES-256
Написанный код шифровальщика из первой части — это просто «мертвый» файл на локальном диске. Чтобы он превратился в инцидент с семью нулями ущерба, его нужно доставить, запустить и скрыть от EDR.
Вышла вторая часть разбора архитектуры Ransomware. Переходим от теории криптографии к практике Intrusion & Execution.
В реальности периметр пробивают не сложными 0-day эксплойтами, а через открытые двери, которые админы забыли запереть. Пока вы настраиваете Firewall, Initial Access Brokers уже торгуют вашими RDP-кредами в даркнете.
В новом материале детально разбираем механику доставки и закрепления:
▪️ Initial Access: Почему фишинг мутировал в HTML Smuggling и OneNote-контейнеры, и как RDP остается главным вектором входа для группировок уровня Akira.
▪️ Defense Evasion: Забудьте про статические сигнатуры — они мертвы. Разбираем работу пакеров (Themida, VMProtect), технику Living Off the Land (LOLBins) и почему PowerShell — это лучший друг Red Team для запуска бесфайловых (Fileless) нагрузок прямо в памяти.
▪️ Impairing Defenses: Первая команда, которую выполняет любой серьезный зловред — это не шифрование, а vssadmin delete shadows. Показываю, как именно атакующие «ослепляют» сенсоры защиты и зачищают пути к отступлению.
Если вы Blue Team — этот материал объяснит, почему антивирус молчал, пока шифровалась инфраструктура. Если Red Team — освежите базу по актуальным TTPs 2025-2026 года.
Изучайте векторы атаки, чтобы не стать статистикой в следующем отчете ENISA.
🔗 Читать разбор: https://redsec.by/article/vektory-vtorzheniya-i-tehniki-ukloneniya-kak-ransomware-dostavlyaet-poleznuyu-nagruzku-chast-2/
Вышла вторая часть разбора архитектуры Ransomware. Переходим от теории криптографии к практике Intrusion & Execution.
В реальности периметр пробивают не сложными 0-day эксплойтами, а через открытые двери, которые админы забыли запереть. Пока вы настраиваете Firewall, Initial Access Brokers уже торгуют вашими RDP-кредами в даркнете.
В новом материале детально разбираем механику доставки и закрепления:
▪️ Initial Access: Почему фишинг мутировал в HTML Smuggling и OneNote-контейнеры, и как RDP остается главным вектором входа для группировок уровня Akira.
▪️ Defense Evasion: Забудьте про статические сигнатуры — они мертвы. Разбираем работу пакеров (Themida, VMProtect), технику Living Off the Land (LOLBins) и почему PowerShell — это лучший друг Red Team для запуска бесфайловых (Fileless) нагрузок прямо в памяти.
▪️ Impairing Defenses: Первая команда, которую выполняет любой серьезный зловред — это не шифрование, а vssadmin delete shadows. Показываю, как именно атакующие «ослепляют» сенсоры защиты и зачищают пути к отступлению.
Если вы Blue Team — этот материал объяснит, почему антивирус молчал, пока шифровалась инфраструктура. Если Red Team — освежите базу по актуальным TTPs 2025-2026 года.
Изучайте векторы атаки, чтобы не стать статистикой в следующем отчете ENISA.
🔗 Читать разбор: https://redsec.by/article/vektory-vtorzheniya-i-tehniki-ukloneniya-kak-ransomware-dostavlyaet-poleznuyu-nagruzku-chast-2/
RedSec Daily
Векторы вторжения и техники уклонения: Как Ransomware доставляет полезную нагрузку (Часть 2)
Анализ методов доставки и запуска Ransomware: фишинг, RDP-атаки, evasion-техники (обход AV/EDR), PowerShell-скрипты и отключение теневых копий. Руководство для Blue Team
Рука тянется выдернуть шнур питания при виде красного баннера с требованием выкупа? Стоять. 🛑
Ты только что чуть не уничтожил единственный шанс расшифровать данные бесплатно.
Вышла финальная часть цикла по анатомии Ransomware. Сегодня говорим про Digital Forensics и почему оперативная память — это главное место преступления.
Многие админы живут в иллюзии: «Выключу сервер, вирус остановится». Реальность жестче: выключил сервер — убил ключи шифрования. Пока подается питание, AES-ключи лежат в ОЗУ в открытом виде (или их следы в Key Schedule). Обедсточил — конденсаторы разрядились, энтропия превратила ключи в белый шум. Game Over. 💀
В статье разобрал хардкорные сценарии:
⚡️ Почему Live Memory Dump — это первое действие после изоляции сети.
🛠 Инструментарий: Belkasoft, FTK Imager, WinPmem — чем снимать слепок, чтобы не затереть улики.
🧠 Advanced-глава: Что делать, если малварь писали гении? Разбираем, как компиляторы "оптимизируют" функции очистки памяти (Dead Store Elimination) и почему файл подкачки (pagefile.sys) становится кладбищем секретов даже для самого умного вируса.
Это не теория, это боевой мануал. Ошибка в 30 секунд стоит миллионы. Читай, сохраняй и подготовь "тревожную флешку" заранее.
🔗 Читать полный гайд:
https://redsec.by/article/ne-dyshat-pochemu-operativnaya-pamyat-glavnoe-mesto-prestupleniya-pri-atake-ransomware/
Ты только что чуть не уничтожил единственный шанс расшифровать данные бесплатно.
Вышла финальная часть цикла по анатомии Ransomware. Сегодня говорим про Digital Forensics и почему оперативная память — это главное место преступления.
Многие админы живут в иллюзии: «Выключу сервер, вирус остановится». Реальность жестче: выключил сервер — убил ключи шифрования. Пока подается питание, AES-ключи лежат в ОЗУ в открытом виде (или их следы в Key Schedule). Обедсточил — конденсаторы разрядились, энтропия превратила ключи в белый шум. Game Over. 💀
В статье разобрал хардкорные сценарии:
⚡️ Почему Live Memory Dump — это первое действие после изоляции сети.
🛠 Инструментарий: Belkasoft, FTK Imager, WinPmem — чем снимать слепок, чтобы не затереть улики.
🧠 Advanced-глава: Что делать, если малварь писали гении? Разбираем, как компиляторы "оптимизируют" функции очистки памяти (Dead Store Elimination) и почему файл подкачки (pagefile.sys) становится кладбищем секретов даже для самого умного вируса.
Это не теория, это боевой мануал. Ошибка в 30 секунд стоит миллионы. Читай, сохраняй и подготовь "тревожную флешку" заранее.
🔗 Читать полный гайд:
https://redsec.by/article/ne-dyshat-pochemu-operativnaya-pamyat-glavnoe-mesto-prestupleniya-pri-atake-ransomware/
RedSec Daily
«НЕ ДЫШАТЬ!»: Почему оперативная память — главное место преступления при атаке Ransomware
Руководство по реагированию на Ransomware: почему нельзя выключать ПК при атаке. Инструкция по снятию дампа оперативной памяти (RAM) для поиска ключей шифрования
🔑 SSH: Твой главный актив или моя точка входа?
Пока "синие" (Blue Team) строят сложные SIEM-системы и настраивают фаерволы, я просто ищу забытый id_rsa в домашней папке разработчика. И поверьте, я его нахожу.
SSH — это стандарт де-факто для управления инфраструктурой, но 9 из 10 админов настраивают его по принципу «работает и ладно». Для Red Teamer'а это подарок. Скомпрометированный ключ — это не просто доступ к серверу, это прямой туннель к правам root и горизонтальное перемещение по всей сети без шума и пыли.
Выкатил подробный мануал по хардэнингу SSH. Без воды, только мясо и требования по стандартам (включая OAC/ТЗИ).
💀 Что внутри разбора:
🔻 RSA 2048 мёртв. Почему мы переходим на Ed25519 и как это спасает от side-channel атак.
🔻 Анатомия атаки. Как работает MITM, почему TOFU (Trust On First Use) — это дыра, и как нас чуть не похоронил бэкдор в XZ Utils.
🔻 File Permissions. Почему права 600 на ключах — это не рекомендация, а вопрос выживания. И да, поговорим про защиту конфигов WireGuard.
🔻 Физическая безопасность. LUKS + Passphrase. Если твой ноутбук украли, а диск не зашифрован — считай, что ты сам отдал ключи от ЦОДа.
🔻 Enterprise-уровень. Почему статические ключи — это зло, и как внедрить SSH Certificates, чтобы забыть про чистку authorized_keys при увольнении сотрудников.
Если вы готовитесь к аттестации или просто не хотите проснуться с зашифрованной инфраструктурой — читать обязательно.
Забирайте статью, внедряйте, и не оставляйте мне шансов.
👇 Читать полный гайд
https://redsec.by/article/ssh-klyuchi-polnyj-spravochnik-dlya-specialista-po-informacionnoj-bezopasnosti/
Пока "синие" (Blue Team) строят сложные SIEM-системы и настраивают фаерволы, я просто ищу забытый id_rsa в домашней папке разработчика. И поверьте, я его нахожу.
SSH — это стандарт де-факто для управления инфраструктурой, но 9 из 10 админов настраивают его по принципу «работает и ладно». Для Red Teamer'а это подарок. Скомпрометированный ключ — это не просто доступ к серверу, это прямой туннель к правам root и горизонтальное перемещение по всей сети без шума и пыли.
Выкатил подробный мануал по хардэнингу SSH. Без воды, только мясо и требования по стандартам (включая OAC/ТЗИ).
💀 Что внутри разбора:
🔻 RSA 2048 мёртв. Почему мы переходим на Ed25519 и как это спасает от side-channel атак.
🔻 Анатомия атаки. Как работает MITM, почему TOFU (Trust On First Use) — это дыра, и как нас чуть не похоронил бэкдор в XZ Utils.
🔻 File Permissions. Почему права 600 на ключах — это не рекомендация, а вопрос выживания. И да, поговорим про защиту конфигов WireGuard.
🔻 Физическая безопасность. LUKS + Passphrase. Если твой ноутбук украли, а диск не зашифрован — считай, что ты сам отдал ключи от ЦОДа.
🔻 Enterprise-уровень. Почему статические ключи — это зло, и как внедрить SSH Certificates, чтобы забыть про чистку authorized_keys при увольнении сотрудников.
Если вы готовитесь к аттестации или просто не хотите проснуться с зашифрованной инфраструктурой — читать обязательно.
Забирайте статью, внедряйте, и не оставляйте мне шансов.
👇 Читать полный гайд
https://redsec.by/article/ssh-klyuchi-polnyj-spravochnik-dlya-specialista-po-informacionnoj-bezopasnosti/
RedSec Daily
SSH ключи: Полный справочник для специалиста по информационной безопасности
Полный гайд по безопасности SSH ключей: от алгоритмов Ed25519 и защиты от MITM до настройки sshd по стандартам OAC. Разбор CVE-2025-26465 и лучших практик
Переходим от теории к цифровой хирургии с помощью Volatility Framework.
Снять дамп — это только полдела. Теперь нужно найти иголку в стоге сена размером в миллиарды байт. Внутри этого хаоса прячется процесс шифровальщика и тот самый AES-ключ, который сэкономит компании миллионы.
В разборе:
🐧 Clean Room: Почему анализировать дамп на Windows — фатальная ошибка. Разворачиваем лабораторию на Linux/Kali для безопасного вскрытия.
🔎 Process Hunting: Как среди сотен легитимных svchost.exe найти паразита. Используем pslist и pstree для выявления аномалий в родительских процессах.
🗝 Extraction: Вырезаем память процесса и натравливаем на нее aeskeyfind и YARA-правила. Ищем следы Key Schedule в байтовом шуме.
Это высший пилотаж Incident Response. Но в конце статьи я снимаю розовые очки: форензика — это план «C», когда план «A» провалился. Если у вас нет Immutable Backups (3-2-1-1-0), вы играете в русскую рулетку, где патрон — это RtlSecureZeroMemory.
Изучай, как вытащить ключи, но строй защиту так, чтобы тебе никогда не пришлось этого делать.
🔗 Читать финал трилогии:
https://redsec.by/article/analiz-incidenta-ishem-igolku-v-stoge-sena-s-pomoshyu-volatility-chast-3/
Снять дамп — это только полдела. Теперь нужно найти иголку в стоге сена размером в миллиарды байт. Внутри этого хаоса прячется процесс шифровальщика и тот самый AES-ключ, который сэкономит компании миллионы.
В разборе:
🐧 Clean Room: Почему анализировать дамп на Windows — фатальная ошибка. Разворачиваем лабораторию на Linux/Kali для безопасного вскрытия.
🔎 Process Hunting: Как среди сотен легитимных svchost.exe найти паразита. Используем pslist и pstree для выявления аномалий в родительских процессах.
🗝 Extraction: Вырезаем память процесса и натравливаем на нее aeskeyfind и YARA-правила. Ищем следы Key Schedule в байтовом шуме.
Это высший пилотаж Incident Response. Но в конце статьи я снимаю розовые очки: форензика — это план «C», когда план «A» провалился. Если у вас нет Immutable Backups (3-2-1-1-0), вы играете в русскую рулетку, где патрон — это RtlSecureZeroMemory.
Изучай, как вытащить ключи, но строй защиту так, чтобы тебе никогда не пришлось этого делать.
🔗 Читать финал трилогии:
https://redsec.by/article/analiz-incidenta-ishem-igolku-v-stoge-sena-s-pomoshyu-volatility-chast-3/
RedSec Daily
Анализ инцидента: Ищем иголку в стоге сена с помощью Volatility (Часть 3)
Практическое руководство по анализу памяти (Memory Forensics) с использованием Volatility Framework для восстановления данных после атаки Ransomware
Твой сервер зашифрован. Бэкапы удалены. Админы паникуют. Но у тебя есть дамп памяти, который мы научились снимать в прошлых постах.
В новом материале переходим к высшей математике — криптоанализу и охоте за «Золотым ключом».
Многие думают, что если шифровальщик использует RSA-2048, то без приватного ключа хакера ловить нечего. Это ошибка новичка. Чтобы зашифровать 10 ТБ данных быстро, малварь обязана использовать симметричный AES. И этот ключ рождается, живет и умирает в оперативной памяти твоей машины.
Разбираем архитектуру современной криптографии зловредов:
🗝 Гибридная схема: Почему LockBit и Conti комбинируют AES и RSA, и где здесь уязвимость.
🧠 Memory Hunting: Как найти 32 байта AES-ключа среди 16 ГБ мусора, используя энтропийный анализ и aeskeyfind.
⏳ Тайминг решает всё: Почему через 5 минут после атаки шанс успеха 95%, а через час — почти ноль.
🐍 Python-скриптинг: Пишем свой декриптор, который вытаскивает ключи и расшифровывает файлы без перевода биткоинов.
Это самый сложный, но и самый элегантный способ спасения. Форензика граничит с магией, когда ты восстанавливаешь инфраструктуру, используя ошибки в коде самих хакеров (как было с NotPetya).
Но помни: это План С. Если нет Immutable Backups — ты ходишь по тонкому льду.
Читать исследование:
https://redsec.by/article/ohota-za-zolotym-klyuchom-kriptografiya-shifrovalshikov-i-izvlechenie-klyuchej-deshifrovki-iz-operativnoj-pamyati/
В новом материале переходим к высшей математике — криптоанализу и охоте за «Золотым ключом».
Многие думают, что если шифровальщик использует RSA-2048, то без приватного ключа хакера ловить нечего. Это ошибка новичка. Чтобы зашифровать 10 ТБ данных быстро, малварь обязана использовать симметричный AES. И этот ключ рождается, живет и умирает в оперативной памяти твоей машины.
Разбираем архитектуру современной криптографии зловредов:
🗝 Гибридная схема: Почему LockBit и Conti комбинируют AES и RSA, и где здесь уязвимость.
🧠 Memory Hunting: Как найти 32 байта AES-ключа среди 16 ГБ мусора, используя энтропийный анализ и aeskeyfind.
⏳ Тайминг решает всё: Почему через 5 минут после атаки шанс успеха 95%, а через час — почти ноль.
🐍 Python-скриптинг: Пишем свой декриптор, который вытаскивает ключи и расшифровывает файлы без перевода биткоинов.
Это самый сложный, но и самый элегантный способ спасения. Форензика граничит с магией, когда ты восстанавливаешь инфраструктуру, используя ошибки в коде самих хакеров (как было с NotPetya).
Но помни: это План С. Если нет Immutable Backups — ты ходишь по тонкому льду.
Читать исследование:
https://redsec.by/article/ohota-za-zolotym-klyuchom-kriptografiya-shifrovalshikov-i-izvlechenie-klyuchej-deshifrovki-iz-operativnoj-pamyati/
RedSec Daily
Охота за «Золотым ключом»: Криптография шифровальщиков и извлечение ключей дешифровки из оперативной памяти
Техническое руководство по извлечению AES-ключей ransomware из оперативной памяти. Анализ архитектуры гибридного шифрования, использование aeskeyfind и Volatility
🇧🇾 Аудит ОАЦ: Инсайды с темной стороны или как выжить на допросе
Коллеги, давайте начистоту. "Бумажная безопасность" мертва. Если вы думаете, что аттестация системы — это просто показать аудитору красивую папку с приказами и политиками, скачанными из интернета, у меня для вас плохие новости. 💀
Аудиторы ОАЦ — это не инспекторы ЖЭСа. Это технари с менталитетом хакера. Они приходят не читать ваши бумажки, а искать разрыв между тем, что написано, и тем, что реально крутится в running-config на ваших цисках.
Я собрал весь свой опыт (и боль клиентов) в один мощный гайд. Никакой воды, только хардкор и реальные сценарии.
Разбираем по косточкам:
🔻 Театр проверки: Как на самом деле проходит аудит по Указу №196, а не как написано в учебнике.
🔻 Фатальные ошибки: Почему фраза "У нас не было инцидентов" — это выстрел себе в ногу.
🔻 Допрос с пристрастием: Готовые скрипты ответов на вопросы про логи (Wazuh/ELK), "мертвые души" в Active Directory и шифрование.
🔻 Психология: Как вести себя, чтобы аудитор не начал копать до ядра земли.
Если у вас в политике написано "Сегментация сети", а по факту плоский VLAN, где бухгалтерия сидит вместе с гостевым Wi-Fi — этот материал спасет вам жизнь. Или хотя бы карьеру.
Хватит играть в Compliance. Стройте реальную защиту.
Читать обязательно всем, от эникея до CISO. 👇
https://redsec.by/article/audit-oac-insajdy-ot-pentestera-kak-otvechat-na-kaverznye-voprosy-auditora-i-ne-zavalit-attestaciyu/
Коллеги, давайте начистоту. "Бумажная безопасность" мертва. Если вы думаете, что аттестация системы — это просто показать аудитору красивую папку с приказами и политиками, скачанными из интернета, у меня для вас плохие новости. 💀
Аудиторы ОАЦ — это не инспекторы ЖЭСа. Это технари с менталитетом хакера. Они приходят не читать ваши бумажки, а искать разрыв между тем, что написано, и тем, что реально крутится в running-config на ваших цисках.
Я собрал весь свой опыт (и боль клиентов) в один мощный гайд. Никакой воды, только хардкор и реальные сценарии.
Разбираем по косточкам:
🔻 Театр проверки: Как на самом деле проходит аудит по Указу №196, а не как написано в учебнике.
🔻 Фатальные ошибки: Почему фраза "У нас не было инцидентов" — это выстрел себе в ногу.
🔻 Допрос с пристрастием: Готовые скрипты ответов на вопросы про логи (Wazuh/ELK), "мертвые души" в Active Directory и шифрование.
🔻 Психология: Как вести себя, чтобы аудитор не начал копать до ядра земли.
Если у вас в политике написано "Сегментация сети", а по факту плоский VLAN, где бухгалтерия сидит вместе с гостевым Wi-Fi — этот материал спасет вам жизнь. Или хотя бы карьеру.
Хватит играть в Compliance. Стройте реальную защиту.
Читать обязательно всем, от эникея до CISO. 👇
https://redsec.by/article/audit-oac-insajdy-ot-pentestera-kak-otvechat-na-kaverznye-voprosy-auditora-i-ne-zavalit-attestaciyu/
RedSec Daily
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Гайд по прохождению аудита ОАЦ: разбор этапов проверки по Указу №196, скрипты ответов на технические вопросы, ошибки в документации и настройке SIEM/AD
ОСИНТ — это не просто «погуглить». Хватит называть бессистемный серфинг разведкой 🕵️♂️
Большинство считает, что Recon — это запустить пару скриптов, чекнуть Shodan и найти слитые пароли. Это уровень скрипт-кидди. В реальных Red Team операциях разведка — это управляемый процесс, фундамент Kill Chain. Если ты пропустил актив на этапе сбора, ты потерял точку входа (Initial Access).
Разведданные должны быть топливом для атаки, а не мусором.
Написал фундаментальный гайд о том, как превратить хаос открытых данных в профессиональный Intelligence Cycle. Тот самый подход, который используют спецслужбы, адаптированный под наши задачи — от пентеста до аудита.
В статье разбираем по косточкам:
💀 Red Team vs Blue Team: как меняются цели сбора.
🎯 PIRs (Priority Intelligence Requirements): учимся задавать правильные вопросы, а не искать «всё подряд».
📊 Матрица CMF: строим жесткую структуру «Вопрос → Источник → Метод». Никакой магии, только инженерный подход.
🛑 Stop Criteria: когда остановиться, чтобы не утонуть в дата-озерах.
📉 Defensible Results: как оформить отчет так, чтобы ни у аудитора, ни у заказчика не осталось вопросов.
Если хочешь, чтобы твоя разведка приводила к RCE, а не к головной боли — материал обязателен к изучению.
Превращай данные в оружие. Читаем полную версию 👇
https://redsec.by/article/osint-kak-process-intellektualnyj-cikl-dlya-pentesta-i-audita/
Большинство считает, что Recon — это запустить пару скриптов, чекнуть Shodan и найти слитые пароли. Это уровень скрипт-кидди. В реальных Red Team операциях разведка — это управляемый процесс, фундамент Kill Chain. Если ты пропустил актив на этапе сбора, ты потерял точку входа (Initial Access).
Разведданные должны быть топливом для атаки, а не мусором.
Написал фундаментальный гайд о том, как превратить хаос открытых данных в профессиональный Intelligence Cycle. Тот самый подход, который используют спецслужбы, адаптированный под наши задачи — от пентеста до аудита.
В статье разбираем по косточкам:
💀 Red Team vs Blue Team: как меняются цели сбора.
🎯 PIRs (Priority Intelligence Requirements): учимся задавать правильные вопросы, а не искать «всё подряд».
📊 Матрица CMF: строим жесткую структуру «Вопрос → Источник → Метод». Никакой магии, только инженерный подход.
🛑 Stop Criteria: когда остановиться, чтобы не утонуть в дата-озерах.
📉 Defensible Results: как оформить отчет так, чтобы ни у аудитора, ни у заказчика не осталось вопросов.
Если хочешь, чтобы твоя разведка приводила к RCE, а не к головной боли — материал обязателен к изучению.
Превращай данные в оружие. Читаем полную версию 👇
https://redsec.by/article/osint-kak-process-intellektualnyj-cikl-dlya-pentesta-i-audita/
RedSec Daily
ОСИНТ как процесс: Интеллектуальный цикл для пентеста и аудита
Подробное руководство по превращению хаотичного OSINT в профессиональный процесс. Разбираем Intelligence Cycle, матрицы сбора (CMF), критерии качества данных
Google Hacking: Когда поисковая строка мощнее сканера уязвимостей 🕵️♂️💻
Зачем расчехлять тяжелый софт и жечь бюджеты на 0-day, если системные администраторы сами выкладывают ключи от королевства в индекс? Google Dorks — это не просто поисковые операторы, это база OSINT и первый шаг в любом грамотном Red Teaming сценарии.
Краулерам плевать на гриф "Секретно". Они индексируют всё, до чего дотянутся: забытые .env файлы, бэкапы баз данных .sql, открытые веб-камеры и логины в Pastebin.
Я подготовил подробный мануал, где разобрал более 30 боевых дорк-запросов. Не банальщину, а конкретные векторы под поиск критических данных.
Что внутри материала:
🔓 Учетные данные и доступы: Как искать забытые файлы passwords.txt и сливы credentials на текстовых хостингах.
🛠 Конфигурации и БД: Вытаскиваем wp-config.php, настройки роутеров и дампы SQL прямо из выдачи.
📹 IoT и наблюдение: Находим админки камер и промышленных контроллеров без авторизации.
☁️ Облака и ключи: Поиск приватных SSH ключей и открытых S3 бакетов.
Один правильный запрос может сэкономить часы разведки. Или показать, где ваша инфраструктура течет, пока это не нашли другие.
В статье разобрал не только "как ломать", но и анатомию запросов — чтобы вы понимали логику поиска, а не просто копипастили. Плюс секция для Blue Team: как проверить себя и исчезнуть с радаров.
Изучаем, тестируем на своих периметрах и закрываем дыры.
👉 Читать полный гайд:
https://redsec.by/article/google-dorking-polnoe-rukovodstvo-po-osint-i-poisku-uyazvimostej-cherez-rasshirennye-operatory/
Зачем расчехлять тяжелый софт и жечь бюджеты на 0-day, если системные администраторы сами выкладывают ключи от королевства в индекс? Google Dorks — это не просто поисковые операторы, это база OSINT и первый шаг в любом грамотном Red Teaming сценарии.
Краулерам плевать на гриф "Секретно". Они индексируют всё, до чего дотянутся: забытые .env файлы, бэкапы баз данных .sql, открытые веб-камеры и логины в Pastebin.
Я подготовил подробный мануал, где разобрал более 30 боевых дорк-запросов. Не банальщину, а конкретные векторы под поиск критических данных.
Что внутри материала:
🔓 Учетные данные и доступы: Как искать забытые файлы passwords.txt и сливы credentials на текстовых хостингах.
🛠 Конфигурации и БД: Вытаскиваем wp-config.php, настройки роутеров и дампы SQL прямо из выдачи.
📹 IoT и наблюдение: Находим админки камер и промышленных контроллеров без авторизации.
☁️ Облака и ключи: Поиск приватных SSH ключей и открытых S3 бакетов.
Один правильный запрос может сэкономить часы разведки. Или показать, где ваша инфраструктура течет, пока это не нашли другие.
В статье разобрал не только "как ломать", но и анатомию запросов — чтобы вы понимали логику поиска, а не просто копипастили. Плюс секция для Blue Team: как проверить себя и исчезнуть с радаров.
Изучаем, тестируем на своих периметрах и закрываем дыры.
👉 Читать полный гайд:
https://redsec.by/article/google-dorking-polnoe-rukovodstvo-po-osint-i-poisku-uyazvimostej-cherez-rasshirennye-operatory/
RedSec Daily
Google Dorking: Полное руководство по OSINT и поиску уязвимостей через расширенные операторы
Руководство по Google Dorking: 30+ dork-запросов для OSINT, поиска утечек паролей, конфигов и уязвимостей. Техники разведки и методы защиты от Google Hacking
💀 Периметр — это иллюзия. Пока «синие» полируют правила на WAF, враг уже пьет кофе на офисной кухне.
Инсайдерская угроза — это не страшилка от вендоров, а суровая реальность 2024–2025. Статистика безжалостна: 76% компаний фиксируют рост внутренних атак, а среднее время обнаружения злоумышленника внутри сети — 81 день. Вдумайтесь: почти три месяца кто-то может дампить ваши базы, пока SOC смотрит на внешние сканеры портов.
Выкатил большой материал о том, как Red Team моделирует атаку Internal Threat. Никакой воды, только хардкор, техники MITRE и реальные векторы.
Разбираем три классических сценария атаки «изнутри»:
1️⃣ Обиженный админ (Malicious Insider). Самый опасный зверь. Знает, где лежат бэкапы, как обойти EDR и оставить «закладку» в GPO перед увольнением.
2️⃣ Любопытный бухгалтер (Negligent Insider). Не хочет зла, но лезет в открытые сетевые шары и находит там файл passwords.xlsx.
3️⃣ Скомпрометированный сотрудник (Compromised Insider). Обычный юзер, поймавший фишинг. Теперь его руками работает внешний хакер.
В статье — чистое «мясо»:
🔻 Живые примеры кода на PowerShell для создания скрытых юзеров и персистентности.
🔻 Техники заметания следов (привет, wevtutil) и обхода мониторинга.
🔻 Разбор, почему сигнатурные антивирусы тут бесполезны и как настраивать UEBA, чтобы ловить аномалии поведения, а не файлы.
Мастхэв для тех, кто хочет понять механику взлома из доверенной зоны, и для тех, кому предстоит это защищать.
🔗 Читать полный разбор
https://redsec.by/article/insajderskaya-ugroza-modeliruem-ataku-iznutri-kak-red-team-imitiruet-zlonamerennogo-sotrudnika/
Инсайдерская угроза — это не страшилка от вендоров, а суровая реальность 2024–2025. Статистика безжалостна: 76% компаний фиксируют рост внутренних атак, а среднее время обнаружения злоумышленника внутри сети — 81 день. Вдумайтесь: почти три месяца кто-то может дампить ваши базы, пока SOC смотрит на внешние сканеры портов.
Выкатил большой материал о том, как Red Team моделирует атаку Internal Threat. Никакой воды, только хардкор, техники MITRE и реальные векторы.
Разбираем три классических сценария атаки «изнутри»:
1️⃣ Обиженный админ (Malicious Insider). Самый опасный зверь. Знает, где лежат бэкапы, как обойти EDR и оставить «закладку» в GPO перед увольнением.
2️⃣ Любопытный бухгалтер (Negligent Insider). Не хочет зла, но лезет в открытые сетевые шары и находит там файл passwords.xlsx.
3️⃣ Скомпрометированный сотрудник (Compromised Insider). Обычный юзер, поймавший фишинг. Теперь его руками работает внешний хакер.
В статье — чистое «мясо»:
🔻 Живые примеры кода на PowerShell для создания скрытых юзеров и персистентности.
🔻 Техники заметания следов (привет, wevtutil) и обхода мониторинга.
🔻 Разбор, почему сигнатурные антивирусы тут бесполезны и как настраивать UEBA, чтобы ловить аномалии поведения, а не файлы.
Мастхэв для тех, кто хочет понять механику взлома из доверенной зоны, и для тех, кому предстоит это защищать.
🔗 Читать полный разбор
https://redsec.by/article/insajderskaya-ugroza-modeliruem-ataku-iznutri-kak-red-team-imitiruet-zlonamerennogo-sotrudnika/
RedSec Daily
Инсайдерская угроза: Моделируем атаку «изнутри». Как Red Team имитирует злонамеренного сотрудника
Инсайдерские угрозы: как Red Team моделирует атаки изнутри. Разбор сценариев (админ, бухгалтер, взлом), техники MITRE, скрипты PowerShell и методы защиты UEBA/EDR