Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут
Представьте ситуацию: У вас пентест, у вас есть шеллкод, но Windows Defender блокирует любой подозрительный вызов. CreateRemoteThread - детектится. QueueUserAPC - детектится. NtCreateThreadEx - детектится. Что делать? Ответ: не создавать потоки самому, а попросить Windows сделать это за вас!....
[Перевод] EDRStartupHinder: Блокировщик EDR процессов
Сегодня мы продолжим исследование Bindlink API для вмешательства в работу антивирусных решений и EDR. На этот раз воспользуемся драйвером «bindflt.sys», чтобы предотвратить запуск службы антивируса/EDR при инициализации Windows. Читать далее...
[Перевод] Взлом защиты Windows Defender с помощью трюка с переадресацией папок
Злоумышленники часто сталкиваются с проблемой обхода антивирусных систем и Endpoint Detection and Response (EDR). Они вынуждены выбирать одну из двух тактик: обойти контроль этих систем или заставить их перестать нормально функционировать. Иногда атакующие используют уязвимые драйвера (BYOVD —...
Bad USB — сильнее чем кажется на первый взгляд
Сегодня разберемся с довольно старым но очень даже актуальным методом инфицирования системы, рассмотрим нестандартные приемы Bad USB о которых почему-то мало пишут но и тайной они не являются (такие как: ALT-коды, запуск от имени администратора, обход Windows Defender и зачистка следов). Читать...
Трендовые уязвимости апреля: до пяти лет скрытой эксплуатации
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц анализируем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных...
Топ-10 антивирусных программ – 2022
Рейтинг антивирусного ПО для Windows составлен на основе обзоров ведущих западных и отечественных журналов по кибербезопасности. Читать далее...