Ни на один стикер не влезут пароли от десятка root-учеток в разных сервисах, JWT-токены, API-ключи и другие секреты, с которыми работает IT-команда. С задачей куда лучше справится корпоративное хранилище паролей.

Нужно ли его резервировать, как правильно защищать, где и какие секреты хранить — в экспертном разборе практических кейсов.

Наши расследования показывают: в большинстве компаний злоумышленники эксплуатируют один и тот же набор уязвимостей. Эти системные пробелы в безопасности открывают прямой путь для разрушительных атак. Подробно разобрали ошибки защиты и дали рекомендации, как их устранить.

Веб-сервер — одна из наиболее критических точек в инфраструктуре любой организации. Именно он отвечает за прием и обработку HTTP-запросов, взаимодействие с приложениями и передачу данных пользователям. Любая ошибка в его конфигурации может привести к компрометации системы, утечке информации или отказу в обслуживании. Снизить риски поможет харденинг веб-сервера — настройка конфигурации таким образом, чтобы минимизировать поверхность атаки и исключить наиболее распространенные векторы атак.

В этой статье мы перечислили основные механизмы защиты двух наиболее широко используемых в Linux-средах веб-серверов — Nginx и Apache HTTP Server. Рассмотрели риски, связанные с использованием этих веб-серверов, и описали практики их харденинга — от минимизации поверхности атаки и настройки TLS до организации журналирования и интеграции с системами безопасности. 

Неверные настройки не всегда выглядят как критические уязвимости, но именно они часто становятся причиной сбоев и потери данных, а также точкой входа для злоумышленников. ФСТЭК России в рекомендациях по безопасной настройке Linux подчеркивает важность исправления мисконфигураций, однако наш анализ показал: около 90% компаний нарушают хотя бы одно требование из методики, а почти половина — четыре и больше. В этой статье разберем процесс исправления мисконфигов в разрезе требований ФСТЭК и покажем, как это реализовать на практике.

Мисконфиги в Samba — классика, из-за которой общий доступ к файлам и даже контроллер домена Active Directory становятся легкой добычей. В статье разберем, как безопасно настроить Samba в роли файлового сервера и контроллера домена, чтобы защититься от атак.

В апреле 2025 года Microsoft исправила 121 уязвимость в своих продуктах. Среди них была CVE-2025-29824 — единственная из исправленных уязвимостей, которая, по данным компании, на тот момент уже активно использовалась злоумышленниками в реальных атаках. Эксплоит к этой уязвимости был внедрен вредоносным ПО PipeMagic. Она позволяла повышать привилегии в ОС Windows из-за ошибки в драйвере логирования clfs.sys. Аналитики Microsoft Threat Intelligence обнаружили эту уязвимость в ходе атак группировки Storm-2460 на компании, находящиеся в Саудовской Аравии, Испании, Венесуэле и США. С помощью CVE-2025-29824 атакующие повышали привилегии до NT AUTHORITY\SYSTEM для последующего бокового перемещения и шифрования файлов жертвы.

Эта статья — результат совместного исследования «Лаборатории Касперского» и BI.ZONE, в рамках которого специалисты «Лаборатории Касперского» проследили развитие PipeMagic — от первого обнаружения в 2022 году до новых инцидентов в 2025 году — и выявили ключевые изменения в тактиках операторов этого ПО. Эксперты BI.ZONE, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.

Всем привет! Меня зовут Алексей Романов, я руководитель направления развития облачных решений в компании BI.ZONE. В этой статье я хочу рассказать об интересном кейсе использования DNS-туннелей в современной реальности. Я, как и многие другие специалисты, считал, что DNS-туннели попросту неактуальны на текущий момент, так как данный транспорт требует много времени на передачу данных, а современные классы решений типа DNS filter, IDPS и NTA покрывают подобную технику. Однако не так давно вышел очень интересный ресерч о том, как malware-семплы могут дропаться через TXT-запись, об этом подробно говорилось в данной статье.

Поэтому я решил подсветить еще один интересный кейс использования DNS-туннелей злоумышленниками. 

Привет! Меня зовут Павел Козяев, я ведущий специалист по анализу киберугроз в BI.ZONE. Эта статья посвящена компрометации домена на FreeIPA. Разберемся с событиями FreeIPA, которые полезны для мониторинга, и векторами компрометации домена, когда злоумышленник получает доступ к ключевым компонентам. Расскажу про привилегии, которые есть у группы admins и учетной записи admin, про уязвимость CVE-2024-3183 (FreeIPA Roasting), про возможности злоупотребления HBAC- и Sudo-правилами, а также риски, связанные с учетной записью Directory Manager. А еще увидим, как включение одного параметра при создании разрешения может открыть доступ ко всем пользовательским паролям. Бонус в конце статьи — набор правил детектирования для SOC.

Kubernetes по умолчанию содержит настройки, не соответствующие современным стандартам безопасности. По данным BI.ZONE EDR, в использующих Kubernetes компаниях подавляющее большинство кластеров содержат критические мисконфигурации — от открытого API-сервера до незашифрованных данных в etcd и уязвимых настроек kubelet. Именно на эти слабые места нацелены атаки, например с применением вредоноса Kinsing: он использует уязвимые поды как ресурсы для майнинга или как точки распространения внутри системы. 

В этой статье — гид по харденингу Kubernetes, основанный на рекомендациях CIS и реальном опыте реагирования на инциденты. 

При расследовании инцидентов критически важно быстро собрать и проанализировать артефакты, но без предустановленных средств мониторинга это превращается в трудоемкую задачу. В частности, это относится и к расследованиям на macOS — встроенные механизмы защиты вроде XProtect не всегда спасают от целевых атак, а стандартные инструменты часто не помогают собрать и обработать нужные данные.

В статье рассказываем, как с этой задачей справляется наш бесплатный инструмент BI.ZONE Triage, у которого появилась версия для macOS. Показываем на примере, как с его помощью находить следы атак, даже если злоумышленники старались их скрыть.

Иметь «плоскую» сеть сегодня считается моветоном, почти в каждой инфраструктуре есть как минимум файрвол. Чтобы добраться до важных сегментов, злоумышленники прибегают к пивотингу — технике, позволяющей атакующему использовать скомпрометированное устройство в качестве опорной точки для проникновения в другие части сети. Опорная машина в таком случае выступает в роли шлюза. Такие шлюзы могут объединяться в цепочки, что позволяет злоумышленнику прокладывать маршрут до самых труднодоступных участков инфраструктуры. Основная цель этого этапа — обойти все помехи, которые препятствуют обмену данными между атакующим и целевым устройством.

По данным BI.ZONE TDR, в 2025 году Vaultwarden использует каждая десятая российская компания.

Как и любое хранилище секретов, Vaultwarden — критически важный сервис, требующий повышенного внимания безопасников. Его компрометация влечет множество рисков. Поскольку секреты от других внутренних сервисов хранятся в Vaultwarden, при его взломе атакующий узнает и их. А если продукт автоматически получает секреты с помощью API, злоумышленник попадет на хост с обширной сетевой связностью.

Поэтому наша группа исследования уязвимостей проанализировала Vaultwarden. В результате мы обнаружили две уязвимости высокого уровня опасности: CVE-2025-24364 и CVE-2025-24365.

В статье разберем, какой импакт атакующие могут получить, используя SSTI (server-side template injection) в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Отметим, что это не новый ресерч с rocket-science-векторами, а анализ работы уже известных PoC и разбор улучшений части из них, которая может быть полезна при тестировании. Приятного прочтения!

Попасть на OFFZONE с докладом не самая простая задача. Каждый год мы получаем вопросы: как работает CFP? какие темы лучше выбирать? как правильно подать заявку? что получат спикеры?

Мы поговорили с оунерами тематических зон и участниками CFP-комитета, собрали их ответы в статью. Если хотите выступить на конференции, советуем почитать.

В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут закрыть уязвимость. 

Спойлер: Microsoft считает угрозу низкорисковой, но эта уязвимость может стать крайне популярной в фишинговых кампаниях.

Приятного чтения!

Привет! Меня зовут Павел Козяев, я ведущий специалист группы исследования киберугроз компании BI.ZONE. В этой статье поговорим о легитимном инструменте от Microsoft, который злоумышленники используют в своих фишинговых кампаниях для создания туннелей, закрепления и исполнения команд на хосте жертвы в обход средств антивирусной защиты. Покажу примеры команд, а также расскажу, как обнаружить такую активность и вовремя принять меры.

Привет, Хабр! Сегодня я расскажу, как безопасность мобильных приложений видит атакующий. Мне кажется, у многих в комьюнити сложилось мнение о мобильной безопасности как о чем-то сложном и неважном для бизнеса. Я разберу несколько реальных кейсов, когда баги в мобильных приложениях вели к серьезным проблемам, и попробую доказать, что уязвимости могут быть нетривиальны и интересны людям, занимающимся безопасностью.

10 сентября компания Microsoft выпустила очередную подборку обновлений, устранив 79 уязвимостей в различных продуктах. Наше внимание привлекли патчи для Microsoft SharePoint — обширной системы с функциями управления сайтами (content management system, CMS). Из пяти уязвимостей, вошедших в сентябрьский выпуск, четыре позволяли исполнять сторонний код (remote code execution, RCE), одна — создавала угрозу DoS. Мы выбрали для анализа CVE-2024-38227 — RCE-уязвимость привилегированного пользователя. Для нас такое исследование — это возможность изучить сам Microsoft SharePoint и понять текущую теорию его эксплуатации (state-of-the-art).

Отдел аналитики и исследования киберугроз BI.ZONE WAF изучил статистику атак на веб‑приложения под защитой BI.ZONE WAF. Эту информацию мы сравнили с результатами анализа теневых ресурсов, за которыми наши специалисты следят с 2011 года. В этой статье расскажем, как развивались методы злоумышленников.

21 августа браузер Chrome получил обновление, которое исправило 37 ошибок, связанных с безопасностью. Внимание исследователей по всему миру привлекла уязвимость CVE-2024-7965, описанная как некорректная имплементация в V8. На практике это означает возможность RCE (remote code execution) в рендерере браузера, что открывает простор для последующей эксплуатации. Заинтересованность исследователей повысилась еще сильнее, когда 26 августа Google сообщила об использовании CVE-2024-7965 «в дикой природе».

Мы проанализировали эту уязвимость, чтобы вам не пришлось.