Shade BIOS: полная маскировка вредоносного ПО UEFI
На конференции Black Hat USA 2025 исследователь Shota Matsuo представил доклад о новом классе угроз под названием Shade — платформе для загрузки зловредного ПО из UEFI, способной обходить почти все современные средства защиты. Я постарался сделать краткий обзор Shade. Читать далее...
RID Hijacking
Всем привет! Сегодня мы рассмотрим один из способов пост-эксплуатации Rid hijacking и посмотрим его артефакты. Читать далее...
[Перевод] Анализ активности пользователей Windows
Настоящая публикация - перевод " Baris Dincer / Cyber Threat Intelligence Investigator & CIO / Lex Program - Windows User Activity Analysis". ВВЕДЕНИЕ Анализ активности пользователей Windows является краеугольным камнем расследований в области цифровой криминалистики и реагирования на инциденты...
Нейросети как консультант: как я нашел и заказал ПК без подсветки для локальной работы с ИИ
Внимание, знатоки! Если вы профессионально разбираетесь в компьютерном железе, тонкостях сборки или уже давно и активно используете локальные LLM (Large Language Models) эта статья может показаться вам слишком базовой. Мой путь - это взгляд обычного пользователя, который с помощью нейросетей решил...
Июньский «В тренде VM»: уязвимости в Windows, Apache HTTP Server, веб-интерфейсах MDaemon и Zimbra, архиваторе 7-Zip
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Майский «В тренде VM»: уязвимости в Microsoft Windows и фреймворке Erlang/OTP
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Выясняем, кто поселился в вашей сети
Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что...
Им не место на помойке: как и зачем я даю новую жизнь кнопочным смартфонам на Windows Mobile
Подписчики часто дарят мне интересные гаджеты, чтобы я написал о них интересную статью и снял ролик. У большинства подаренных устройств есть определённые нюансы, и зачастую они требуют ремонта или хотя бы базового обслуживания. Недавно подписчица с «Пикабу», Кристина, подарила мне коробку с...
Апрельский «В тренде VM»: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat
Хабр, привет! На связи Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей,...
Что будет если отключить обновления на критически важных устройствах?
В небольшой компании «СмартРитейл», занимавшейся онлайн‑продажей электроники, всё шло своим чередом: заказы тикали, склад отгружал коробки, а директор грезил о «цифровой революции». ИТ‑инфраструктура была простая: два сервера на Windows Server 2012, пара виртуальных машин и Google Drive для базы...
Разбор CVE-2025-24071
В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут...
В Windows обнаружили 8-летнюю дыру в безопасности, которую Microsoft не хочет исправлять
Игнорирование уязвимостей в операционных системах или других программных продуктах – ситуация в принципе невообразимая. Напротив, разработчики всегда стремятся найти источник бреши и как можно скорее его устранить, даже если речь идет о какой-то незначительной утилите. Ведь именно от этого зависит,...
Диспетчер паролей: как выбрать лучший
Несмотря на то, что использование паролей не является надежным методом аутентификации, они широко распространены при работе с различными сервисами и программами. Сегодня все больше пользователей сталкивается с необходимостью управлять десятками, а порой и сотнями паролей от различных сервисов....
Мартовский «В тренде VM»: уязвимости Microsoft, Palo Alto, CommuniGate и кто должен патчить хосты с прикладом
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center, и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Cobalt Strike: Гайд по использованию
В данной статье представлен краткий гайд по установке и настройке Cobalt Strike на KaliLinux, а также рассмотрен пример атаки на ПК под управлением OS Windows 10. Читать далее...
Повышаем привилегии в Windows через CVE-2024-30085
CVE-2024-30085 — это уязвимость в подсистеме Windows Cloud Files Mini Filter. Код подсистемы располагается в cldflt.sys — это драйвер минифильтра, и он относится к предустановленному клиенту облачного сервиса Microsoft OneDrive. Уязвимость фигурировала на прошедшем в Ванкувере Pwn2Own 2024, где...
[Перевод] Обходим BitLocker и вытягиваем из памяти ключи в Windows 11
Введение В этой статье я покажу, как можно обойти шифрование BitLocker в Windows 11 (версия 24H2) и извлечь из памяти ключи шифрования тома (full volume encryption key, FVEK) при помощи моего инструмента Memory-Dump-UEFI. Краткая справка Если у нападающего есть физический доступ к устройству, то он...
Форензика Windows
При расследовании инцидентов одним из важнейших действий является грамотный сбор доказательств, ведь иначе мы рискуем упустить из виду что‑то важное, что впоследствии поможет нам разобраться в произошедшем. Не секрет, что компрометация большинства корпоративных сетей начинается с атак на...
Назад