Типичный Сисадмин
Обсуждаем бэкапы, которые никто не проверял, и пользователей, которые опять всё сломали. 🤝Реклама: @sysodmin 💚Предложка: @sysmeme_bot РКН: vk.cc/cJ0Tm9
Show more📈 Analytical overview of Telegram channel Типичный Сисадмин
Channel Типичный Сисадмин (@sysodmins) in the Russian language segment is an active participant. Currently, the community unites 37 270 subscribers, ranking 3 603 in the Technologies & Applications category and 17 173 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 37 270 subscribers.
According to the latest data from 07 July, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 340 over the last 30 days and by 24 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 26.27%. Within the first 24 hours after publication, content typically collects 18.13% reactions from the total number of subscribers.
- Post reach: On average, each post receives 9 789 views. Within the first day, a publication typically gains 6 756 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 152.
- Thematic interests: Content is focused on key topics such as microsoft, предложка, linux, архитектура, железо.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Обсуждаем бэкапы, которые никто не проверял, и пользователей, которые опять всё сломали.
🤝Реклама: @sysodmin
💚Предложка: @sysmeme_bot
РКН: vk.cc/cJ0Tm9”
Thanks to the high frequency of updates (latest data received on 08 July, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
127.0.0.1 или localhost. Вроде логично. т.к. злой скрипт с внешнего сайта не достучится. Но они забыли, что ИИ-агент использует встроенный фоновый браузер, который крутится на этой же машине. Для системы защиты этот браузер - легитимный локальный процесс. Периметр локалхоста пробит изнутри.
🟢 Факап второй. Разработчики прикрутили middleware для проверки токенов, но... почему-то добавили пути /api/mcp/* в исключения. Видимо, решили, что локалхоста достаточно.
🟢 Факап третий. Открытый и неавторизованный эндпоинт принимал параметр server_params, декодировал его из base64 и... напрямую, без всяких белых списков, отправлял в командную строку ОС.
Как выглядит атака в проде?
Вы (или злоумышленник) даете ИИ-агенту задачу: "Бот, вот тебе ссылка, сходи по ней и сделай краткую выжимку текста". Бот открывает страницу своим фоновым браузером. На странице зашит скрытый JavaScript. Этот скрипт стучится на локальный порт самого AutoGen (ведь они соседи по серверу), свободно проходит проверку источника, игнорирует авторизацию и скармливает в server_params зашифрованную команду (например, запуск шифровальщика или реверс-шелл) ⚰️
Бам! ИИ только что скомпрометировал машину с правами того пользователя, под которым был запущен.
Типичный 🥸 Сисадмин• как устроен Kaspersky NGFW и чем отличается от классических межсетевых экранов; • сценарии внедрения в корпоративном контуре; • что учесть при пилоте — от архитектуры до интеграции с SIEM.Будет полезно для CISO, ИТ-директоров, ИТ-архитекторов, инженеров по сетевой безопасности и просто любителей технологий. Бонус для тех, кто пройдет пилотное тестирование продукта NGFW — сертификат на OZON 😉 🖥 Регистрируйся на вебинар Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: 2W5zFHhWe8q
GameDriverX64.sys), FACEIT (nseckrnl.sys), систем мониторинга Safetica и даже модули от антивирусов Zemana и Kaspersky. Драйвер легален, система ему доверяет, загружает в ядро ОС, а дальше эксплойт через этот драйвер просто выгружает из памяти любые процессы защиты. База GentleKiller знает более 400 процессов от 48 производителей безопасности.
Чтобы обойти первичный анализ, бинарники автоматизированно маскируются под легальный софт ИБ-вендоров. Скрипты накидывают на вредонос скопированные цифровые подписи, подделывают манифесты файлов (версии, копирайты) и клеят иконки.
Для удобства неграмотных исполнителей ввели даже систему версионирования через суффиксы в именах файлов:
🟢 Файлы с цифрой 1 на конце (например, FaceIT1.exe) - упакованы коммерческим протектором Enigma.
🟢 С цифрой 2 - накрыты протектором Themida.
🟢 Суффикс Light - файл без упаковщика, но с фейковой цифровой подписью.
🟢 Суффикс Clear - голый бинарник для ручной работы.
Хацкеры массово тащат к себе чужие утилиты (вроде известных EDR-киллеров HexKiller и HavocKiller). Как только в сети появляется новый концепт уязвимости для очередного драйвера, разработчики Gentlemen в течение пары дней компилят новый модуль, накрывают его своей оберткой и продают клиентам за суммы 🤑
Защититься от этого классическими методами практически нереально, потому как это легальные, подписанные драйверы. Выход один - жестко резать загрузку через политики и пилить белые списки 😬
Типичный 🥸 Сисадмин
Available now! Telegram Research 2025 — the year's key insights 
