Все крутые вредоносы стараются прятать использование вызовов WinAPI, ведь наличие подозрительных функций в коде может привести к блокировке исполнения нашей программы. Существует не так много документированных способов скрыть вызовы WinAPI, однако у меня есть пара любопытных разработок, и я готов ими поделиться. Мы попрактикуемся в сканировании памяти, исследовании компонентов Windows и даже немного затронем RPC.

Все чаще системы EDR стали прибегать к такой могучей технике, как трассировка стека вызовов, чтобы обнаруживать деятельность зловредных приложений и портить жизнь редтимерам. В этой статье я расскажу, как работает этот метод, а потом попробуем сыграть в прятки с EDR и вызвать NTAPI так, чтобы даже раскрутка стека не обнаружила подвоха.

Этот месяц принес нам критическую уязвимость Node.js, ставящую под удар множество программ на этом языке, а также большой урожай багов в продуктах Microsoft, получивших патчи во «вторник обновлений».

Сегодня на примере несложной лабораторной работы я продемонстрирую базовые техники работы с Active Directory при пентестах. Мы получим информацию через нулевую сессию SMB, проведем разведку и захватим аккаунт администратора через привилегию SeBackupPrivilege.

Думаю, ты уже много раз слышал, что поддержку NTLM Relay в Windows вот‑вот отключат. Я тоже слышал это не раз, но сейчас начало 2025 года, и почти на каждом проекте я до сих пор встречаю NTLM Relay. Сегодня я расскажу про актуальные техники Relay-атак, связанные с SCCM, а также методы защиты от них.

COM-объекты в Windows могут застревать в неожиданных местах — и это не баг, а фича, которой можно воспользоваться. Через интерфейс IDispatch и библиотеки типов можно не просто управлять удаленными объектами, а внедрять код в защищенные процессы (PPL), обходя механизмы безопасности Microsoft. Последнее исследование Project Zero рассказывает, как это сделать.

Сегодня на примере расследования инцидента я покажу, как иногда можно найти улики в кеше RDP. Изучив закешированные данные удаленного графического подключения, мы буквально увидим, что делал злоумышленник.

В Windows есть много средств межпроцессного взаимодействия. Одно из них — именованные каналы, в народе — пайпы. Давай попробуем направить всю мощь ввода‑вывода на благо пентеста и научимся злоупотреблять этим механизмом сообщений. Пусть никто не уйдет без эскалации привилегий!

Тебе, вероятно, уже надоело читать статьи о программах для Windows? Попробуем исправить эту несправедливость и вспомним про Apple Macintosh. Тот самый, винтажный, на процессоре PowerPC. Сегодня мы будем препарировать написанное под эту древнюю технику приложение, чтобы дать ему вторую жизнь.

В этой статье мы разберемся, по каким признакам можно узнать, что хакер уже вовсю орудует в твоем домене, автоматизируем процесс обнаружения этих атак и предусмотрим средства противодействия.

Альтернативная история — один из самых популярных литературных жанров. Многим интересно узнать, в какую сторону свернула бы цивилизация, если бы Колумб не открыл Америку или IBM приняла на вооружение вместо чипов Intel процессоры PowerPC… Впрочем, последнее — совсем не фантастика, а реальный исторический факт. Ведь для «IBM PowerPC» даже разрабатывалась специальная операционная система!

В этой статье я расскажу о тестировании сети одной государственной компании, в котором я участвовал. Организация несколько раз в год заказывала пентесты как внешней, так и внутренней инфраструктуры. Мы отрабатывали модель внутреннего нарушителя — злоумышленника, обладающего доступом к сети компании, но без привилегий в домене.

Мы проводили пентест одной большой компании с хорошим бюджетом на ИБ и обнаружили баг в коробочном решении WebTutor. Эта уязвимость позволила нам получить доступ во внутреннюю сеть, где мы столкнулись с EDR и антивирусом. Обойти их помогла возможность исполнять команды из запросов к БД.

В этой статье я покажу, как повысить привилегии в Windows при помощи техники LOLBins, на примере программы StandaloneRunner. Но прежде мы получим сессию через фишинг с нагрузкой XLL, а затем изменим контекст безопасности через подмену файла.

В этой статье подробно разберем скрытое применение утилиты NanoDump из памяти, когда моделируемый злоумышленник не обладает «маячком» C&C на атакуемом сетевом узле, и сравним такой способ использования NanoDump с применением SafetyKatz.

За последний год EDR и XDR значительно повысили уровень защиты от фишинга. Особые трудности доставляет эвристический анализ. Классическая рассылка документов теперь почти не работает. В качестве альтернативы я выбрал Rogue RDP как средство доставки и технику Living off the Land Binaries — для первичного доступа в сети заказчика.