Специалисты аналитического центра УЦСБ заняли четыре призовых места на третьей ежегодной премии для этичных хакеров — Awillix Pentest Award. Всего на премию было подано 140 заявок. Шесть экспертов УЦСБ попали в шорт-лист из 66 финалистов и были представлены в шести номинациях:
- «Ловись рыбка» — самый оригинальный фишинг;
- «Раз bypass, два bypass» — самый «красивый» обход средств защиты информации;
- «Пробив WEB» — мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений;
- «Пробив инфраструктуры» — выдающиеся достижения в пентестах и эксплуатации уязвимостей сетевой инфраструктуры;
- Out of scope — за нестандартные открытия в области наступательной кибербезопасности;
- **ck the logic — обнаружение самых топовых логических багов.
Номинация Out of scope: Андрей Жуков, Кирилл Кравченя и Анастасия Прядко
В этой номинации представители УЦСБ заняли два призовых места. Награду за второе место получил ведущий специалист по анализу защищенности Андрей Жуков с разработкой «Google за 200 строк кода на bash».
Он создал простую и эффективную систему, построенную на Linux-конвейерах и базе данных opensearch (elasticsearch). Она способна распарсить и «переварить» колоссальное количество документов — от обычных офисных до сложных вложенных типов файлов, что позволяет обнаружить чувствительную информацию на общедоступных ресурсах.
«Я реализовал эту идею еще 9 лет назад, но не теряющая актуальности проблема поиска чувствительных данных принесла мне победу в 2025 году. Система не раз выручала меня на сложных проектах по анализу защищенности и была развернута в корпоративной сети УЦСБ, где успешно проанализировала 1 млн документов».
Третье место в этой же номинации заняли специалисты по анализу защищенности УЦСБ Анастасия Прядко и Кирилл Кравченя совместно c Владиславом Дриевым, специалистом PT Expert Security Center (PT ESC), Positive Technologies.
Кирилл Кравченя:
«Мы очень рады, что наша работа — адаптация BloodHound для FreeIPA — получила признание. Ранее BloodHound использовался для анализа Active Directory, позволяя выявлять скрытые и непредсказуемые связи с помощью теории графов. Однако для FreeIPA подобного инструмента не существовало, и мы восполнили этот пробел».
«Мы расширили функциональность BloodHound, проверенного инструмента для анализа AD, добавив поддержку FreeIPA. Теперь оба типа доменов можно анализировать в рамках одного решения», — сказала Анастасия Прядко.
Здесь второе место занял специалист по анализу защищенности УЦСБ Олег Лабынцев, который в рамках Bug bounty нашел уязвимость в платежной логике организации. Он продемонстрировал возможность реального списания денежных средств по несуществующим данным и массовой генерации чеков об оплате, которая могла бы привести к заполнению файлового хранилища.
Олег Лабынцев:
«Для обнаружения этой уязвимости было достаточно браузера и встроенных в него инструментов разработчика. Это подтверждает, что такие серьезные уязвимости могут находиться на поверхности даже в 2025 году».
Номинация «Ловись рыбка»: Алексей Висторобский
В номинации «Ловись рыбка» второе место занял специалист по анализу защищенности УЦСБ Алексей Висторобский, который провел незаметную и эффективную фишинговую атаку. В рамках одной из программ Bug Bounty он получил доступ в CRM компании, где обнаружил новость о Telegram-боте поддержки, опубликованную год назад.
«В CRM была разработана фейковая страница с анонсом “нового бота поддержки 2.0” с искусственным интеллектом. В него была встроена функция авторизации через доменные учетные записи, благодаря которой получилось собрать данные реальных пользователей, а ИИ поддерживал иллюзию легитимности, общаясь с пользователями», — рассказал Алексей.Номинация «Пробив WEB»: Александр Федосеев
В число финалистов этой номинации попал младший специалист по анализу защищенности УЦСБ Александр Федосеев. Во время одного из пентестов внешней ИТ-инфраструктуры он реализовал удаленное выполнение кода (RCE), используя цепочку уязвимостей веб-приложения и службы FTP.
«Для меня это первый опыт участия в подобной премии и я рад, что вошел в список финалистов. Было интересно послушать и обсудить опыт других участников. В следующем году планирую снова принять участие с другими кейсами», — делится планами Александр.
