Анализ дампов памяти Volatility 3: практический workflow обнаружения малвари и инъекций
#статья #dfir
За последний год через мою лабораторию прошло больше двадцати дампов с инцидентов, где вредоносная программа жила исключительно в оперативке - ни одного файла на диске. Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe - для классической дисковой форензики всё это невидимо. Единственный способ вытащить такие артефакты - анализ дампов памяти Volatility 3.
Русскоязычные руководства по memory forensics почти все построены вокруг Volatility 2 с обязательным --profile, CTF-задачек и перечисления команд без объяснения, что конкретно показывает каждый плагин и почему pslist и psscanдают разные результаты. Эта статья - не справочник по ключам. Это пошаговый workflow расследования инцидента: от снятия дампа через WinPmem до получения IoC, готовых для отчёта. Каждый шаг привязан к конкретной технике MITRE ATT&CK, и я объясню, какие аномалии искать в выводе плагина, а какие - спокойно отбросить как фолзы.
Ссылка на статью
LH | News | OSINT | AI
#статья #dfir
За последний год через мою лабораторию прошло больше двадцати дампов с инцидентов, где вредоносная программа жила исключительно в оперативке - ни одного файла на диске. Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe - для классической дисковой форензики всё это невидимо. Единственный способ вытащить такие артефакты - анализ дампов памяти Volatility 3.
Русскоязычные руководства по memory forensics почти все построены вокруг Volatility 2 с обязательным --profile, CTF-задачек и перечисления команд без объяснения, что конкретно показывает каждый плагин и почему pslist и psscanдают разные результаты. Эта статья - не справочник по ключам. Это пошаговый workflow расследования инцидента: от снятия дампа через WinPmem до получения IoC, готовых для отчёта. Каждый шаг привязан к конкретной технике MITRE ATT&CK, и я объясню, какие аномалии искать в выводе плагина, а какие - спокойно отбросить как фолзы.
Ссылка на статью
LH | News | OSINT | AI
🔥6❤3👍3
Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
#статья #pentest
На каждом втором внутреннем пентесте - одна и та же картина: LLMNR включён по умолчанию, LAPS либо не развёрнут, либо покрывает только рабочие станции, а расширенный аудит Kerberos не настроен. Три проблемы, которые дают атакующему перехватить хеши, вытянуть пароль локального администратора и двигаться по сети, не оставляя следов в логах. И всё это - в первые пару часов после попадания в периметр. Ниже каждая рекомендация привязана к конкретной атаке - вот что делает атакующий, вот как это выглядит в логах, вот как проверить и закрыть за минуты.
Ссылка на статью
LH | News | OSINT | AI
#статья #pentest
На каждом втором внутреннем пентесте - одна и та же картина: LLMNR включён по умолчанию, LAPS либо не развёрнут, либо покрывает только рабочие станции, а расширенный аудит Kerberos не настроен. Три проблемы, которые дают атакующему перехватить хеши, вытянуть пароль локального администратора и двигаться по сети, не оставляя следов в логах. И всё это - в первые пару часов после попадания в периметр. Ниже каждая рекомендация привязана к конкретной атаке - вот что делает атакующий, вот как это выглядит в логах, вот как проверить и закрыть за минуты.
Ссылка на статью
LH | News | OSINT | AI
👍5❤3🔥2
Пентест автомобильных ECU: от OBD-II порта до извлечения прошивок через UDS
#pentest #статья #re
Современный автомобиль - это от 70 до 150 электронных блоков управления (ECU), связанных шинами CAN, LIN, FlexRay и Automotive Ethernet. За каждой функцией - от впрыска топлива до адаптивного круиз-контроля - стоит отдельный контроллер с собственной прошивкой, диагностическим стеком и набором уязвимостей. Пентест автомобильных ECU - не абстрактный «взлом машины», а последовательная работа с конкретными интерфейсами, протоколами и бинарниками. Примерно как реверс обычной embedded-железки, только цена ошибки - не кирпичный роутер, а две тонны металла на скорости.
В русскоязычном пространстве тема покрыта крайне поверхностно: пересказы глав «Car Hacker's Handbook» да маркетинговые описания сервисов. Между тем англоязычные исследования - от академических работ на SECURWARE 2025 до firmware extraction techniques из Университета Бирмингема - содержат конкретные методологии, hex-уровневые примеры и стратегии детектирования. Здесь я собираю практический опыт аудита ECU, опираясь на реальные сценарии работы с UDS-протоколом, CAN-шиной и физическими debug-интерфейсами.
Ссылка на GitHub
LH | News | OSINT | AI
#pentest #статья #re
Современный автомобиль - это от 70 до 150 электронных блоков управления (ECU), связанных шинами CAN, LIN, FlexRay и Automotive Ethernet. За каждой функцией - от впрыска топлива до адаптивного круиз-контроля - стоит отдельный контроллер с собственной прошивкой, диагностическим стеком и набором уязвимостей. Пентест автомобильных ECU - не абстрактный «взлом машины», а последовательная работа с конкретными интерфейсами, протоколами и бинарниками. Примерно как реверс обычной embedded-железки, только цена ошибки - не кирпичный роутер, а две тонны металла на скорости.
В русскоязычном пространстве тема покрыта крайне поверхностно: пересказы глав «Car Hacker's Handbook» да маркетинговые описания сервисов. Между тем англоязычные исследования - от академических работ на SECURWARE 2025 до firmware extraction techniques из Университета Бирмингема - содержат конкретные методологии, hex-уровневые примеры и стратегии детектирования. Здесь я собираю практический опыт аудита ECU, опираясь на реальные сценарии работы с UDS-протоколом, CAN-шиной и физическими debug-интерфейсами.
Ссылка на GitHub
LH | News | OSINT | AI
🔥6👍5❤2
1. Предыдущий топ статей
2. Удобный сервис для быстрого тест-драйва Linux-дистрибутивов прямо в браузере
3.
4. Практический гайд по defense evasion для Red Team
5. Разведка на основе открытых источников (OSINT): инструменты и методы сбора информации на GitHub
6. Пентест контейнеров Docker и Kubernetes: от побега из контейнера до захвата кластера
7.
8. Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
#информационнаябезопасность #ИБ #хакинг #кибербезопасность #багбаунти #пентест #багхантинг
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥4👍3
OPSEC-провалы
#opsec #полезное #redteam
Подборка случаев, от неприятных ошибок до громких провалов, заканчивавшихся утечками данных, деанонимизацией и раскрытием целых групп. Внутри статьи, видео и материалы судов. Полезно для изучения, чтобы не наступить на те же грабли и понять, где искать зацепки в своих расследованиях.
Ссылка на GitHub
LH | News | OSINT | AI
#opsec #полезное #redteam
Подборка случаев, от неприятных ошибок до громких провалов, заканчивавшихся утечками данных, деанонимизацией и раскрытием целых групп. Внутри статьи, видео и материалы судов. Полезно для изучения, чтобы не наступить на те же грабли и понять, где искать зацепки в своих расследованиях.
Ссылка на GitHub
LH | News | OSINT | AI
👍5❤4🔥4
Разведка по открытым источникам (OSINT): инструменты и методы для расследований, связанных с транспортными средствами.
#OSINT #статья
От распознавания номерных знаков до отслеживания перемещений через базы данных, которые пополняются силами пользователей, — OSINT в области транспортных средств открывает новые горизонты для исследователей. В этой статье мы рассмотрим основные инструменты и методы поиска транспортных средств на основе публично доступных данных.
Ссылка на статью
LH | News | OSINT | AI
#OSINT #статья
От распознавания номерных знаков до отслеживания перемещений через базы данных, которые пополняются силами пользователей, — OSINT в области транспортных средств открывает новые горизонты для исследователей. В этой статье мы рассмотрим основные инструменты и методы поиска транспортных средств на основе публично доступных данных.
Ссылка на статью
LH | News | OSINT | AI
👍6🔥4❤3
Movies For Hackers
#полезное #развлечения
Список фильмов, которые должен смотреть каждый хакер и киберпанк.
Ссылка на сайт
Ссылка на GitHub
LH | News | OSINT | AI
#полезное #развлечения
Список фильмов, которые должен смотреть каждый хакер и киберпанк.
Ссылка на сайт
Ссылка на GitHub
LH | News | OSINT | AI
👍8🤣7❤5🔥5
Пентест веба на пальцах: для новичков и слегка отбитых
#статья #bugbounty #полезное #pentest
Ниже описан рабочий процесс пентеста веб-приложений по шагам, с инструментами и примерами команд для каждого этапа. Всё описанное применяется только на системах, где у тебя есть письменное разрешение на тестирование. Bug Bounty программы, лаборатории вроде HackTheBox и PortSwigger Web Security Academy, собственные стенды.
Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #полезное #pentest
Ниже описан рабочий процесс пентеста веб-приложений по шагам, с инструментами и примерами команд для каждого этапа. Всё описанное применяется только на системах, где у тебя есть письменное разрешение на тестирование. Bug Bounty программы, лаборатории вроде HackTheBox и PortSwigger Web Security Academy, собственные стенды.
Ссылка на статью
LH | News | OSINT | AI
❤10👍6🔥4
Kibana
#admin #полезное
Платформа визуализации данных, которая позволяет пользователям легко анализировать, визуализировать и управлять данными, собранными в Elasticsearch. Предоставляет мощные средства для создания интерактивных дашбордов, отображающих происшествия и тренды безопасности.
Ссылка на GitHub
LH | News | OSINT | AI
#admin #полезное
Платформа визуализации данных, которая позволяет пользователям легко анализировать, визуализировать и управлять данными, собранными в Elasticsearch. Предоставляет мощные средства для создания интерактивных дашбордов, отображающих происшествия и тренды безопасности.
Ссылка на GitHub
LH | News | OSINT | AI
👍4❤3🔥2
Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
#статья #pentest
На каждом втором внутреннем пентесте - одна и та же картина. EDR стоит на всех хостах, SIEM собирает логи, политики настроены. А я прохожу от рядовой рабочей станции до контроллера домена, не вызвав ни одного алерта. Причина банальна до скуки: валидные учётные данные и штатные протоколы Windows. Для СЗИ мои действия неотличимы от работы сисадмина, который в три ночи решил проверить бэкапы.
Дальше - конкретные техники lateral movement через доверенные учётные записи: от получения credentials до горизонтального перемещения. С разбором, какие артефакты каждая техника генерирует (и не генерирует) в логах, и почему большинство EDR/SIEM-стеков это пропускает.
Ссылка на статью
LH | News | OSINT | AI
#статья #pentest
На каждом втором внутреннем пентесте - одна и та же картина. EDR стоит на всех хостах, SIEM собирает логи, политики настроены. А я прохожу от рядовой рабочей станции до контроллера домена, не вызвав ни одного алерта. Причина банальна до скуки: валидные учётные данные и штатные протоколы Windows. Для СЗИ мои действия неотличимы от работы сисадмина, который в три ночи решил проверить бэкапы.
Дальше - конкретные техники lateral movement через доверенные учётные записи: от получения credentials до горизонтального перемещения. С разбором, какие артефакты каждая техника генерирует (и не генерирует) в логах, и почему большинство EDR/SIEM-стеков это пропускает.
Ссылка на статью
LH | News | OSINT | AI
👍4❤2🔥2
DefectDojo
#DevSecOps
Платформа управления уязвимостями и DevSecOps. Оъединяет сканеры, трекинг уязвимостей, автоматизацию, отчёты и аналитику на одной панели. Помогает DevSecOps, исследователям и инженерам безопасности управлять рисками, устранять дублирования и ускорять реагирование на угрозы.
Ссылка на GitHub
LH | News | OSINT | AI
#DevSecOps
Платформа управления уязвимостями и DevSecOps. Оъединяет сканеры, трекинг уязвимостей, автоматизацию, отчёты и аналитику на одной панели. Помогает DevSecOps, исследователям и инженерам безопасности управлять рисками, устранять дублирования и ускорять реагирование на угрозы.
Ссылка на GitHub
LH | News | OSINT | AI
👍5🔥3❤2😁1
Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
#c2 #статья #pentest #полезное
Коммерческий C2-фреймворк за $10 000 в год детектируется Elastic за 12 секунд после первого callback. Кастомный имплант, написанный за три недели, живёт в сети с зрелым SOC месяцами. Разница не в бюджете. Разница в том, понимаете ли вы, как устроен loader, почему EDR видит ваш beacon, и на каком уровне абстракции вы принимаете решения о стелсе. Это карта всей дисциплины разработки offensive-инструментов: от выбора C2 до написания шеллкода, от обхода AMSI до проектирования инфраструктуры, которая переживёт активный threat hunting.
Ссылка на статью
LH | News | OSINT | AI
#c2 #статья #pentest #полезное
Коммерческий C2-фреймворк за $10 000 в год детектируется Elastic за 12 секунд после первого callback. Кастомный имплант, написанный за три недели, живёт в сети с зрелым SOC месяцами. Разница не в бюджете. Разница в том, понимаете ли вы, как устроен loader, почему EDR видит ваш beacon, и на каком уровне абстракции вы принимаете решения о стелсе. Это карта всей дисциплины разработки offensive-инструментов: от выбора C2 до написания шеллкода, от обхода AMSI до проектирования инфраструктуры, которая переживёт активный threat hunting.
Ссылка на статью
LH | News | OSINT | AI
🔥6❤3👍3
AI инструменты для пентеста: какая LLM реально работает в offensive security
#AI #pentest #статья
За последние полтора года я прогнал через реальные задачи десятки AI инструментов для пентеста - от облачных frontier-моделей до self-hosted 7-миллиардников на Ollama. Маркетинг обещает «autonomous pentesting за минуты», а реальная картина интереснее и честнее. Одни модели стабильно крафтят SQLi-пейлоады с первой попытки, другие галлюцинируют несуществующие эндпоинты и роняют продуктив. Индустрия выкатывает security-ориентированные LLM, но вопрос для практика прежний: что конкретно экономит мне время, а что его крадёт.
Здесь - честное сравнение LLM для атак и защиты. Не пересказ README, а цифры из бенчмарков, реальная стоимость engagement и три шага для интеграции AI автоматизации пентеста в ежедневный workflow. Я работаю с Burp Suite, Metasploit, nuclei и sqlmap каждый день - и параллельно обкатываю LLM-пайплайны для ускорения рекона и генерации отчётов. Вот что выяснилось.
Ссылка на статью
LH | News | OSINT | AI
#AI #pentest #статья
За последние полтора года я прогнал через реальные задачи десятки AI инструментов для пентеста - от облачных frontier-моделей до self-hosted 7-миллиардников на Ollama. Маркетинг обещает «autonomous pentesting за минуты», а реальная картина интереснее и честнее. Одни модели стабильно крафтят SQLi-пейлоады с первой попытки, другие галлюцинируют несуществующие эндпоинты и роняют продуктив. Индустрия выкатывает security-ориентированные LLM, но вопрос для практика прежний: что конкретно экономит мне время, а что его крадёт.
Здесь - честное сравнение LLM для атак и защиты. Не пересказ README, а цифры из бенчмарков, реальная стоимость engagement и три шага для интеграции AI автоматизации пентеста в ежедневный workflow. Я работаю с Burp Suite, Metasploit, nuclei и sqlmap каждый день - и параллельно обкатываю LLM-пайплайны для ускорения рекона и генерации отчётов. Вот что выяснилось.
Ссылка на статью
LH | News | OSINT | AI
🔥5👍4❤3
Platypus
#pentest #полезное
Инструмент для управления reverse shell сессиями, написанный на Go. Поддерживает множество одновременных подключений и портов прослушивания, имеет полноценный интерактивный шелл с поддержкой vim, CTRL+C и CTRL+Z, встроенный RESTful API, загрузка/выгрузка файлов с прогресс-баром, проброс портов, Web UI, а также функцию Reverse Shell as a Service — генерацию нагрузок для множества языков без необходимости помнить их наизусть.
Ссылка на GitHub
LH | News | OSINT | AI
#pentest #полезное
Инструмент для управления reverse shell сессиями, написанный на Go. Поддерживает множество одновременных подключений и портов прослушивания, имеет полноценный интерактивный шелл с поддержкой vim, CTRL+C и CTRL+Z, встроенный RESTful API, загрузка/выгрузка файлов с прогресс-баром, проброс портов, Web UI, а также функцию Reverse Shell as a Service — генерацию нагрузок для множества языков без необходимости помнить их наизусть.
Ссылка на GitHub
LH | News | OSINT | AI
👍6❤3🔥3
AI фишинг атаки на малый бизнес: detection, аудит и защита в 2026
#статья #pentest #ai #phishing
За последний год мы разобрали в Microsoft Sentinel больше двадцати инцидентов, где AI-генерированные spear-phishing письма проходили через стандартный Secure Email Gateway без единого срабатывания. Ни одного алерта. Во всех случаях - малый бизнес с типовой почтовой инфраструктурой: Microsoft 365, базовый Exchange Online Protection, DMARC в режиме p=none. Атакующим хватало пятнадцати минут скрапинга LinkedIn и одного промпта в LLM, чтобы сгенерировать письмо, неотличимое от реальной деловой переписки. Бухгалтер открывала «акт сверки», потому что там были правильные реквизиты контрагента и номер реального договора.
Здесь не обзор трендов. Здесь - конкретные векторы AI фишинг атак на малый бизнес с привязкой к MITRE ATT&CK, воспроизводимые detection rules для SIEM, чеклист аудита почтовой инфраструктуры и бюджетный стек антифишинговой защиты для компании на 20–200 человек.
Ссылка на статью
LH | News | OSINT | AI
#статья #pentest #ai #phishing
За последний год мы разобрали в Microsoft Sentinel больше двадцати инцидентов, где AI-генерированные spear-phishing письма проходили через стандартный Secure Email Gateway без единого срабатывания. Ни одного алерта. Во всех случаях - малый бизнес с типовой почтовой инфраструктурой: Microsoft 365, базовый Exchange Online Protection, DMARC в режиме p=none. Атакующим хватало пятнадцати минут скрапинга LinkedIn и одного промпта в LLM, чтобы сгенерировать письмо, неотличимое от реальной деловой переписки. Бухгалтер открывала «акт сверки», потому что там были правильные реквизиты контрагента и номер реального договора.
Здесь не обзор трендов. Здесь - конкретные векторы AI фишинг атак на малый бизнес с привязкой к MITRE ATT&CK, воспроизводимые detection rules для SIEM, чеклист аудита почтовой инфраструктуры и бюджетный стек антифишинговой защиты для компании на 20–200 человек.
Ссылка на статью
LH | News | OSINT | AI
👍4🔥4🤝3
APTRS — Automated Penetration Testing Reporting System
#полезное #pentest
Платформа для автоматизации создания отчётов по результатам тестирования на проникновение. Позволяет формировать PDF- и Excel-отчёты в один клик, без необходимости в рутинном ручном оформлении. Предоставляет удобный механизм для ведения учёта уязвимостей и централизованного хранения результатов аудита.
Ссылка на GitHub
LH | News | OSINT | AI
#полезное #pentest
Платформа для автоматизации создания отчётов по результатам тестирования на проникновение. Позволяет формировать PDF- и Excel-отчёты в один клик, без необходимости в рутинном ручном оформлении. Предоставляет удобный механизм для ведения учёта уязвимостей и централизованного хранения результатов аудита.
Ссылка на GitHub
LH | News | OSINT | AI
👍5❤2🔥2
Аналитик SOC с чего начать: инструменты, навыки и план выживания в первые 90 дней
#soc #статья
Помню своё первое дежурство в SOC: 23:00, три монитора с дашбордами Splunk, в очереди 47 алертов, а тимлид ушёл на звонок и бросил «разберись пока с low и medium». Я не понимал, куда вообще смотреть. Через три месяца триажил 80 алертов за смену и писал корреляционные правила. Через год перешёл на L2 и начал расследовать инциденты, от которых раньше потели ладони.
Статья записана со слов моего коллеги. Повествование от первого лица.
Эта статья - то, что я хотел бы прочитать перед тем дежурством. Не абстрактный список навыков и сертификатов, а конкретный маршрут: какие инструменты открывать первыми, какие Event ID запоминать, как не утонуть в ложных срабатываниях и что делать, когда на экране P1-инцидент, а рядом никого.
Ссылка на статью
LH | News | OSINT | AI
#soc #статья
Помню своё первое дежурство в SOC: 23:00, три монитора с дашбордами Splunk, в очереди 47 алертов, а тимлид ушёл на звонок и бросил «разберись пока с low и medium». Я не понимал, куда вообще смотреть. Через три месяца триажил 80 алертов за смену и писал корреляционные правила. Через год перешёл на L2 и начал расследовать инциденты, от которых раньше потели ладони.
Статья записана со слов моего коллеги. Повествование от первого лица.
Эта статья - то, что я хотел бы прочитать перед тем дежурством. Не абстрактный список навыков и сертификатов, а конкретный маршрут: какие инструменты открывать первыми, какие Event ID запоминать, как не утонуть в ложных срабатываниях и что делать, когда на экране P1-инцидент, а рядом никого.
Ссылка на статью
LH | News | OSINT | AI
❤5👍3🔥3