|
rss_habr
APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компанийСреда, 28 Декабря 2022 г. 10:00 (ссылка)
С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе. Но обо все по порядку. Читать далееhttps://habr.com/ru/post/707910/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707910
rss_habr
UAC Bypass и вариации на тему детектирования. Часть 1Среда, 26 Октября 2022 г. 11:27 (ссылка)
Привет, Хабр! Сегодня мы хотим рассказать о возможных вариантах обхода контроля учётных записей пользователей (UAC) и способах их детектирования. Если коротко, UAC (User Account Control) – механизм, поддерживаемый всеми последними версиями Windows, который призван предотвратить несанкционированныадминистративные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. Из последних ярких примеров – червь Raspberry Robin, который использует утилиту fodhelp.exe. Малварь, обнаруженный Microsoft в сетях сотен организаций, способен обходить User Account Control (UAC) в зараженных системах с помощью легитимных инструментов Windows. Поэтому мы решили не проходить UAC Bypass стороной, а подробно его изучить. В данной статье мы проведем подробный разбор большого числа рабочих способов по обходу UAC и классифицируем их в категории, которые наиболее точно отражают возможный вариант выполнения атаки. После чего рассмотрим потенциальные способы детекта UAC Bypass. Но для начала предлагаем ознакомиться с самим механизмом работы UAC немного глубже. Если для вас UAC не нуждается в представлении, то можете сразу переходить к разделу Способы обхода UAC. Читать далееhttps://habr.com/ru/post/694570/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694570
rss_habr
Новый вирус Erbium, который крадет деньги с вашей банковской карты и криптовалюту, быстро распространяется по интернетуПятница, 30 Сентября 2022 г. 09:27 (ссылка)
В интернете появилось опасное вредоносное ПО под названием Erbium. Это инструмент для кражи личных данных, который нацелен на ваши пароли, данные банковских карт, куки, криптовалютные кошельки и, возможно, многое другое. Из-за быстрого распространения и широкой доступности в будущем он может быть адаптирован для заражения компьютеров новыми способами и похищения других данных. Читать далееhttps://habr.com/ru/post/690888/?utm_source=habrahabr&utm_medium=rss&utm_campaign=690888
rss_habr
Рубим под корень: расследование атаки на хост с закреплением и запуском rootkitВторник, 27 Сентября 2022 г. 12:31 (ссылка)
Привет, Хабр! В предыдущей статье мы разобрали пример фишинга с использованием зловредного PDF вложения на примере задания GetPDF от CyberDefenders. Сегодня мы поговорим о руткитах (от англ. root – корневой, kit –набор, в данном контексте означает получение неограниченного доступа) – типе вредоносного ПО, предназначенного для предоставления злоумышленнику прав суперпользователя на устройстве жертвы без ее ведома. А также потренируемся в расследовании инцидента, связанного с атакой и заражением этим зловредом. Читать далееhttps://habr.com/ru/post/686724/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686724
rss_habr
Ресерч свежего Excel документа с Loki malware внутриВторник, 06 Сентября 2022 г. 19:25 (ссылка)
Вечер добрый, Хабр! Решил немного изучить свежий сэмпл малваря LokiBot (31.08), который содержится в Excel документе и используется для фишинговой рассылки. В этой небольшой статье основное внимание уделено практической части поиска, извлечения и небольшого разбора поведения вредоноса. Надеюсь, что данная статья будет полезной с теоретической и практической точек зрения. Читать далееhttps://habr.com/ru/post/686774/?utm_source=habrahabr&utm_medium=rss&utm_campaign=686774
rss_habr
«Не только реверс, но и воплощение знаний в коде, инструментах и плагинах»: как работается вирусным аналитиком в PT ESCВторник, 02 Августа 2022 г. 11:01 (ссылка)
rss_habr
[recovery mode] Поиск вредоносного кода «голыми руками»Суббота, 16 Апреля 2022 г. 16:02 (ссылка)
Последнее время появилась острая необходимость проверять, что прилетело с очередными обновлениями кода в папку /vendor /venv или любую другую, где лежат исходники внешних зависимостей проекта. (poetry, composer, go install и тд., кто на чем пишет). Сканеры безопасности решают данный класс задач, но их может не оказаться под рукой или тяжелое решение не подходит. Гугл не дал быстрого готового решения, когда под рукой только консоль. Часть задач сводится к тому, чтобы найти определенный текст, ключевые слова, хардкод (например ip адрес) или опасный системный вызов. В голову сразу приходит grep. Но мы же хотим не только искать по одному слову и только в одном или группе файлов. Мы хотим проверить весь код по всем возможным словарям, которые определим сами. Читать далееhttps://habr.com/ru/post/661317/?utm_source=habrahabr&utm_medium=rss&utm_campaign=661317
|
LiveInternet.Ru |
Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат О проекте: помощь|контакты|разместить рекламу|версия для pda |