13 августа 2025

Специалисты аналитического центра УЦСБ заняли четыре призовых места на третьей ежегодной премии для этичных хакеров — Awillix Pentest Award. Всего на премию было подано 140 заявок. Шесть экспертов УЦСБ попали в шорт-лист из 66 финалистов и были представлены в шести номинациях:

«Ловись рыбка» — самый оригинальный фишинг;
«Раз bypass, два bypass» — самый «красивый» обход средств защиты информации;
«Пробив WEB» — мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений;
«Пробив инфраструктуры» — выдающиеся достижения в пентестах и эксплуатации уязвимостей сетевой инфраструктуры;
Out of scope — за нестандартные открытия в области наступательной кибербезопасности;
**ck the logic — обнаружение самых топовых логических багов.

Номинация Out of scope: Андрей Жуков, Кирилл Кравченя и Анастасия Прядко

В этой номинации представители УЦСБ заняли два призовых места. Награду за второе место получил ведущий специалист по анализу защищенности Андрей Жуков с разработкой «Google за 200 строк кода на bash».

Он создал простую и эффективную систему, построенную на Linux-конвейерах и базе данных opensearch (elasticsearch). Она способна распарсить и «переварить» колоссальное количество документов — от обычных офисных до сложных вложенных типов файлов, что позволяет обнаружить чувствительную информацию на общедоступных ресурсах.

“

«Я реализовал эту идею еще 9 лет назад, но не теряющая актуальности проблема поиска чувствительных данных принесла мне победу в 2025 году. Система не раз выручала меня на сложных проектах по анализу защищенности и была развернута в корпоративной сети УЦСБ, где успешно проанализировала 1 млн документов»

Анлрей Жуков, ведущий специалист по анализу защищенности УЦСБ

Третье место в этой же номинации заняли специалисты по анализу защищенности УЦСБ Анастасия Прядко и Кирилл Кравченя совместно c Владиславом Дриевым, специалистом PT Expert Security Center (PT ESC), Positive Technologies.

“

«Мы очень рады, что наша работа — адаптация BloodHound для FreeIPA — получила признание. Ранее BloodHound использовался для анализа Active Directory, позволяя выявлять скрытые и непредсказуемые связи с помощью теории графов. Однако для FreeIPA подобного инструмента не существовало, и мы восполнили этот пробел»

Кирилл Кравченя, специалист по анализу защищенности УЦСБ

“

«Мы расширили функциональность BloodHound, проверенного инструмента для анализа AD, добавив поддержку FreeIPA. Теперь оба типа доменов можно анализировать в рамках одного решения»

Анастасия Прядко, специалист по анализу защищенности УЦСБ

Номинация **ck the logic: Олег Лабынцев

Здесь второе место занял специалист по анализу защищенности УЦСБ Олег Лабынцев, который в рамках Bug bounty нашел уязвимость в платежной логике организации. Он продемонстрировал возможность реального списания денежных средств по несуществующим данным и массовой генерации чеков об оплате, которая могла бы привести к заполнению файлового хранилища.

“

«Для обнаружения этой уязвимости было достаточно браузера и встроенных в него инструментов разработчика. Это подтверждает, что такие серьезные уязвимости могут находиться на поверхности даже в 2025 году»

Олег Лабынцев, специалист по анализу защищенности УЦСБ

Номинация «Ловись рыбка»: Алексей Висторобский

В номинации «Ловись рыбка» второе место занял специалист по анализу защищенности УЦСБ Алексей Висторобский, который провел незаметную и эффективную фишинговую атаку. В рамках одной из программ Bug Bounty он получил доступ в CRM компании, где обнаружил новость о Telegram-боте поддержки, опубликованную год назад.

“

«В CRM была разработана фейковая страница с анонсом “нового бота поддержки 2.0” с искусственным интеллектом. В него была встроена функция авторизации через доменные учетные записи, благодаря которой получилось собрать данные реальных пользователей, а ИИ поддерживал иллюзию легитимности, общаясь с пользователями»

Алексей Висторобский, специалист по анализу защищенности УЦСБ

Номинация «Пробив WEB»: Александр Федосеев

В число финалистов этой номинации попал младший специалист по анализу защищенности УЦСБ Александр Федосеев. Во время одного из пентестов внешней ИТ-инфраструктуры он реализовал удаленное выполнение кода (RCE), используя цепочку уязвимостей веб-приложения и службы FTP.

“

«Для меня это первый опыт участия в подобной премии и я рад, что вошел в список финалистов. Было интересно послушать и обсудить опыт других участников. В следующем году планирую снова принять участие с другими кейсами»

Александр Федосеев, специалист по анализу защищенности УЦСБ

Подпишитесь на нашу рассылку

Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных