SSPI: легитимность с двойным дном
Security Support Provider Interface (SSPI) - программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности. В статье рассмотрим: 1. Как устроен SSPI и зачем нужны провайдеры 2. Разбор и создание кастомного SSP для перехвата учетных данных 3. Где искать следы в системе:...
Фильтрация событий Windows встроенными утилитами
При реагировании на инциденты бывает необходимо посмотреть логи Windows машины, и многие таскают с собой утилиты для более удобной фильтрации событий в журналах evtx. Это связано в с тем, что способы фильтрации, предложенные Microsoft, выглядят крайне не удобно. Live response — это область, которая...
eBPF в руках атакующего: обнаружение вредоносных модулей
Привет, Хабр! Технология eBPF становится все более популярной и используются во многих приложениях для Linux. В нашей статье Анализ и обнаружение Dirty Pipe мы коснулись темы eBPF и как он может помочь при обнаружении эксплуатации уязвимостей ядра. Но инструмент с такими возможностями непременно...
Анализ и обнаружение Dirty Pipe
Привет, Хабр! Я, Алексей, исследователь‑аналитик киберугроз в компании R‑Vision. Сегодня мы с вами поговорим об уязвимости DirtyPipe CVE-2022-0847 и рассмотрим возможные способы обнаружения эксплуатации данной уязвимости. Критичные уязвимости Linux ядра выходят не так часто, но при этом несут...
Детектирование дампа памяти процесса LSASS. SOC наносит ответный удар
Привет, я @Gamoverr, работаю аналитиком угроз в Angara Security. А теперь к делу! Angara SOC спешит дополнить статью наших коллег из RedTeam по разбору методик дампа памяти процесса LSASS. Мы рассмотрим эту тему со стороны защиты и методик детектирования данной активности. С помощью каких...