Linux post-exploitation давно живёт не на "чудо-обходах", а на штатной механике системы. `bash`, `systemd`, `cron`, `ssh-agent`, `procfs`, память процесса, eBPF - всё это выглядит нормально для хоста, и именно поэтому вокруг этих зон у EDR начинаются самые неприятные провалы в наблюдаемости.
Мы рассказали, почему Living off the Land на Linux до сих пор работает, где защита теряет уверенность, как начинают расходиться...Пост-эксплуатация в Linux в 2026: где у EDR заканчивается видимость и почему LotL до сих пор работает
Источник: codeby.net