Георгий Кумуржи, специалист по анализу защищенности, преподаватель РТУ МИРЭА: «Злоумышленнику не всегда нужно искать классическую веб-уязвимость»

Георгий Кумуржи — специалист по анализу защищенности департамента киберзащиты одного из банков и преподаватель РТУ МИРЭА. Он стал победителем и призёром Pentest Award 2025 в номинациях «Ловись рыбка» и «Мобильный разлом» с докладом «Доступ к корпоративным веб-ресурсам организации из Интернета от лица произвольного работника с помощью эксплуатации уязвимого API корпоративного мобильного приложения».

В интервью для Cyber Media Георгий рассказывал о современных методах анализа защиты мобильных приложений, эволюции фишинговых атак, роли OSINT в пентесте и влиянии ИИ на информационную безопасность.

Cyber Media: Как вы пришли в сферу информационной безопасности и что вас привлекло в этичном хакинге?

Георгий Кумуржи: К концу школы я знал, что буду получать высшее образование в области ИБ. Мне очень повезло с выбором университета и кафедры: РТУ МИРЭА, кафедра КБ-4 «Интеллектуальные системы информационной безопасности».

Благодарю своих преподавателей: Шамиля Магомедова (бывш. зав. кафедрой), Станислава Смирнова, а также Ильдара Садыкова и Александра Кондратьева. Они способствовали тому, чтобы сформировать правильную атмосферу на кафедре, позволяющую студентам качественно прокачать свои hard-скиллы (технические навыки) по профильным предметам.

Полученный опыт, немного упорства и самообразования позволили многим студентам трудоустроиться на старших курсах сразу в престижные компании. Я стал специалистом по анализу защищенности веб-приложений в одном из крупнейших банков России.

Сейчас я параллельно преподаю в этом же вузе и стараюсь передавать ребятам актуальный опыт в наступательной кибербезопасности.

Мне нравится тратить время на генерацию идеи, а не кода

Cyber Media: Как происходит анализ безопасности мобильного приложения от начала до конца? Какие типичные ошибки допускают разработчики и с какими защитными механизмами сложнее всего бороться?

Георгий Кумуржи: Во-первых, сам файл мобильного приложения нужно еще получить — про один из «хакерских» способов я как раз таки рассказывал в своем кейсе, занявшем 3 место в номинации «Мобильной разлом». В крайнем случае всегда можно выгрузить apk-файл любого установленного на мобильном устройстве приложения через Android Debug Bridge (ADB).

Как только приложение попадает мне в руки, я сразу иду открывать его с помощью jadx (бесплатный декомпилятор с открытым исходным кодом для Android-приложений, который позволяет преобразовывать байт-код (DEX) из APK-файлов обратно в более читаемый исходный код Java), намного реже использую JEB (платный аналог jadx). По факту, основным рабочим инструментом является jadx, с которым я и учу своих студентов работать.

Сначала я изучаю содержимое файла AndroidManifest.xml, чтобы верхнеуровнево понять как устроено мобильное приложение (МП), из каких компонентов оно состоит, а затем перехожу к более детальному изучению их кода. На этом этапе я всегда отмечаю для себя используется ли обфускация в МП или нет. Если код не обфусцирован, то это становится для меня звоночком, что можно сделать упор больше на статический, нежели на динамический анализ, так как у меня по факту на руках оказывается код, близкий к исходному.

Jadx так же очень сильно выручает при решении более трудных задач, например, когда МП имеет в себе ряд защитных механизмов, затрудняющих проведение динамического анализа: МП становится неработоспособным при обнаружении факта запуска на root-ованном телефоне, попытки прослушивания HTTPS-трафика и т.д. — на основе анализа исходных кодов, я могу решить как мне будет эффективнее обойти данные ограничения: внести изменения в само приложение и пересобрать его (т. е. запатчить) или написать вспомогательный Frida-скрипт (скрипт на JavaScript, влияющий на логику работы МП во время его работы).

Если МП качественно обфусцировано и времени на полноценный реверс-инжиниринг не хватает, то сначала трачу все свои силы на то, чтобы начать успешно перехватывать сетевой трафик МП, не нарушая его нормальной работы, например, с помощью Burp Suite. OWASP Mobile Application Security Testing Guide (MASTG) использую как ориентир при поиске уязвимостей в МП, а когда анализирую бекенд МП, то применяю уже классические подходы по поиску уязвимостей в веб-приложениях.

Cyber Media: Как эволюционировали методы фишинга в последние годы? Что делает фишинговую атаку успешной и какую роль играют в этом мессенджеры?

Георгий Кумуржи: Мне нравится следить за тем, что делает mr.d0x, Константин Полишин со своей командой из Positive Technologies, и др., кто делится как своими уникальными фишинговыми техниками, так и просто аккумулирует информацию об их использовании атакующими и публикует ее в ежегодных отчетах и на различных конференциях.

На своем опыте приходится постоянно убеждаться, что как и везде в наступательной безопасности происходит гонка брони и снаряда. И когда, например, снаряд пробивает броню (в контексте почтового фишинга) пользователи оказываются в крайне уязвимом положении из-за недостаточной информированности: да, обычно работников организации учат обращать внимание на определенные простые триггеры — яркий баннер, оставленный СЗИ (средства защиты информации) на полученных от внешних отправителей письмах, сомнительный/незнакомый адрес отправителя, орфографические ошибки в письме и т.д. Однако на практике у атакующих почти всегда присутствует техническая возможность обхода выставления таких баннеров, подмены адреса отправителя и т.д.

В наступательной безопасности происходит гонка брони и снаряда

Каждый год появляются новые техники подмены адреса отправителя, советую ознакомиться с докладом «Вам письмо: старые новые атаки на почту», совершенным на PHDays 2024, чтобы хоть немного прочувствовать масштаб проблемы. Поэтому каждый работник должен быть готов к тому, что он может получить фишинговое письмо, которое будет выглядеть точно так же, как те, что он обычно получал от своего начальника, коллеги, службы общего информирования и др. (там буквально может быть тот же стиль написания и оформления письма, в поле отправителя будет указан действующий корп. адрес и т.д.). В идеале, работникам нужно обеспечить все условия для комфортного использования электронной подписи отсылаемых эл. писем, объяснить важность применения данного функционала. Это одно из самых действенных решений по аутентификации пользователя, отправившего письмо.

Также серьезным вызовом для защитников организации являются мессенджеры, которые обычно используются работниками на своих личных устройствах, никак не контролируемых компанией. Как, например, отследить кто из работников перешел по QR-коду, полученному из фишингового письма? Сколько работников умолчат о факте раскрытия какой-либо конфиденциальной информации третьим лицам в результате проведения таких фишинговых кампаний? Тема интересная, считаю, что увод в мессенджеры ближайшие год-два еще точно будет практиковаться атакующими. Потенциал использования Telegram при проведении современных фишинговых кампаний привел на Хакере в описании своего кейса, занявшего 1 место в номинации «Ловись, рыбка».

Cyber Media: Какие методы OSINT вы используете при подготовке к пентесту? Какие источники данных наиболее ценны и как организации могут минимизировать свой «цифровой след»?

Георгий Кумуржи: Не сказал бы, что OSINT является моим основным видом деятельности, однако из своей практики могу сказать, что фатальными для организации могут стать случаи переиспользования работниками своих доменных паролей в личных аккаунтах на сторонних площадках. Различные «сливы» (утечки/дампы) пылесосятся в первую очередь, а дальше, например, их пробуют использовать для подключения по VPN, и если там не используется второй фактор, то это становится одним из самых ходовых пробивов внешнего периметра организации. Также работникам организации стоит, безусловно, придерживаться требований компаний по запрету использования корпоративных почт в личных целях (на сторонних ресурсах в сети Интернет).

Cyber Media: С какими наиболее интересными или необычными уязвимостями вы сталкивались в своей практике? Как изменился ландшафт угроз за последние годы?

Георгий Кумуржи: Обычно каждый проект выходит интересным и уникальным, а так сходу могу выделить два забавных случая:

1. Тогда я посчитал, что попал в типичную «лабу» с Hack the box или Portswigger, этакий рай для начинающего пентестера: аутентификация на стороне клиента (локально в веб-браузере пользователя с помощью JavaScript, так как каждый клиент в фоне получал полный список логинов и паролей всех зарегистрированных пользователей системы...), викторины, отвечая на вопросы которых можно было выиграть ценные призы, с захардкоженными (оставленными) в исходном коде веб-страницы ответами и т.д. Это было настолько плохо, что даже хорошо :)
2. Это был мой первый опыт обнаружения и эксплуатации архитектурной ошибки: HTTP-заголовок, используемый для передачи определенной информации о пользователе на бекенд, задавался не на реверс-прокси после успешной аутентификации пользователя (как это должно было быть), а на самом клиенте, что позволяло беспрепятственно подменять информацию в этом заголовке и получать доступ к этой системе от лица произвольного пользователя.

На практике приходится сталкиваться как с базовым обнаружением различных классических уязвимостей (по частоте все +/- совпадает с топами от OWASP), сейчас больше всего удовольствия приносит обход различных средств защиты информации (СЗИ), например, WAF/NGFW и т.д., или просто «абуз» какого-то базового функционала анализируемых ресурсов для достижения целей RedTeam проектов. Злоумышленнику не всегда нужно пытаться обнаружить и проэксплуатировать какую-то «классическую» веб-уязвимость (SQLi, XSS, RCE), под которые уже многие ИБ-компании постарались написать правила обнаружения, чтобы добиться своих целей, зачастую можно воспользоваться просто базовым легитимным функционалом приложения или их неправильной конфигурацией.

Злоумышленнику не всегда нужно искать классическую веб-уязвимость

Cyber Media: Какие навыки, на ваш взгляд, наиболее важны для успешного пентестера сегодня? Как вы поддерживаете свои знания в актуальном состоянии?

Георгий Кумуржи: Чтобы преуспевать в своем направлении специалисту по анализу защищенности необходимо обладать прыткостью ума и любознательностью — если знать ровно столько, сколько знает среднестатистический разработчик или сетевой/ИБ-инженер, то особых успехов и не будет, к сожалению, поэтому нужно стремиться всегда знать чуть больше, углубляться чуть дальше остальных в тех темах, где вы являетесь/планируете быть специалистом. Однако стоит помнить, что сложные и долгие проекты зачастую реализуются командой специалистов (в т.ч. по разным направлениям), поэтому немаловажно обладать также общей дружелюбностью и коммуникативностью — это один из залогов успеха.

Лично я очень уважаю и люблю то, что делают Portswigger и Hack the box для отрасли ИБ, основной пласт знаний по обнаружению и эксплуатации «классических» веб-уязвимостей я беру оттуда, остальное это отечественные и зарубежные конференции (Phdays, Offzone, BlackHat), англоязычные YouTube-каналы (например, John Hammond), многочисленные профили в соц. сети X. Также интересно наблюдать за некоторыми отечественными ИБ-каналами в Telegram.

Cyber Media: Как вы оцениваете влияние ИИ и других новых технологий на будущее кибербезопасности? Какие области наиболее перспективны для исследований и карьерного роста?

Георгий Кумуржи: Я стараюсь активно изучать и использовать современные технологии, ИИ решения и подходы в своей работе. Мне нравится тратить время на генерацию идеи, а не кода. Теперь за 1 рабочий день мне удается выдвинуть и проверить большее количество гипотез, создать и опробовать множество PoC-ов (Proof of Concept).

Стоит отметить, что в некоторых темах ИИ агенты сильно теряются и тут приходится рассчитывать только на свои силы, например, при написании «фишлетов» для Evilginx2. Но в целом меня устраивает то, что ИИ и др. современные решения по типу n8n помогают избавиться от рутины и выстроить процессы некоторой автоматизации.

Всем специалистам, занимающимся анализом защищенности, безусловно необходимо быть любознательными и стараться не упускать из виду современные техники и инструменты, которые активно могут использоваться киберпреступниками. Это необходимо, чтобы заблаговременно продемонстрировать новые риски защитникам своей организации, а не ждать, пока этим воспользуется против нее киберкриминал.