Тренды VM: топ трендовых уязвимостей, «метод Форда» и «атака на жалобщика»
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных...
Вести с полей киберинцидентов: команда расследователей делится итогами проектов 2023-2024
Привет! На связи команда по расследованию и реагированию на инциденты экспертного центра безопасности Positive Technologies. За год мы выполнили около ста проектов по расследованию инцидентов ИБ и ретроспективному анализу в организациях по всему миру. В этом исследовании мы с разных сторон изучили...
Как я учил войс чат дискорда работать через прокси с помощью перехвата системных вызовов и DLL Hijacking
Я, как и многие, пользуюсь дискордом и китайскими прокси клиентами, но, к сожалению, голосовой чат дискорда не поддерживает работу через прокси. Из-за этого постоянно приходится включать режим TUN/VPN, который заворачивает в туннель много лишнего. Можно ли с этим что-то сделать? Конечно! Добро...
Linux, LogSpace, ML: как SIEM обретал новую технологичность
Помните, когда-то мы раскрыли неочевидную связь между гастритом… и системой выявления инцидентов? За это время MaxPatrol SIEM обновился 17 раз (не считая хотфиксов), перешагнул отметку в 650 инсталляций, включая географически распределенные, и приобрел множество новых фич. Я, Иван Прохоров, отвечаю...
[Перевод] Крадем учетные данные Windows
В этой статье мы разберем различные сценарии получения паролей в системе Windows. Metasploit Metasploit поставляется со встроенным модулем, который помогает нам провести атаку на получение учетных данных пользователя в открытом виде. Поскольку это модуль после эксплуатации, его просто нужно связать...
Linux — лучшая ОС
Привет, Хабр! Здесь я хочу рассказать о том, почему GNU/Linux — это лучшая операционная система на данный момент и почему тебе срочно нужно пересесть с Windows на неё. Мы дадим определение операционной системе, пробежимся по основным семействам ОС и кратко затронем их историю, рассмотрим концепцию...
Самые опасные уязвимости сентября: под угрозой Microsoft, VMware, Veeam и другие
ТренХабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов,...
[Перевод] Поиск вредоносной активности в Windows с помощью логирования командной строки и дерева процессов
Данная публикация - перевод статьи - HUNTING FOR MALWARE WITH COMMAND LINE LOGGING AND PROCESS TREES от Vanja Svajcer. Статья о том, как использовать протоколирование командной строки и выполняемых процессов для обнаружения неизвестных вредоносных атак. Читать далее...
Топ опасных уязвимости августа: под угрозой Microsoft Windows и сайты на WordPress
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов и публичных...
Обзор криминалистических артефактов Windows
При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов...
Как раздать модифицированный трафик с компьютера на телевизор за роутером
Бывает, что YouTube без тормозов хочется посмотреть на телевизоре. И если это телевизор на Android (либо с Android-приставкой), то тут на помощь приходят ByeDPIAndroid или PowerTunnel. Но что делать, если в наличии какой-нибудь Smart TV не на Android (например, какой-нибудь LG или Samsung)?...
Анализ CVE-2024-38063: удаленная эксплуатация ядра Windows
Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки. Читать...
[Перевод] Интригующее расследование QUEENCREEK
На ваших машинах — будь то домашних ПК или корпоративных серверах — установлено много программного обеспечения, которое разработано с учётом автоматического запуска без участия пользователя. Вот хорошие примеры: Жизненно важные системные и пользовательские службы, такие как подключение к сети или...
Pupy Rat — возможности Open Source трояна
Привет, Хабр! Меня зовут Борис Нестеров, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я хочу рассказать о трояне Pupy Rat, и его модификациях Decoy Dog. Pupy Rat распространяется с помощью социальной инженерии или доставляется в инфраструктуру после компрометации...
Топ опасных уязвимостей июля. Под угрозой пользователи ОС Windows и Linux
Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных...
Ограниченное использование программ — или шифровальщик
Инфобезопасность, как известно, считается по самому слабому звену. И если вы вваливаете и вваливаете (лишние) деньги в ИБ (считая, что на безопасности нельзя экономить) - это совершенно не спасает вас от того самого слабого звена: возможность запустить любой(!) исполняемый файл в произвольном, не...
Разбор CrowdStrike Falcon: общая архитектура системы, взаимодействие сенсора с Windows и описание ошибки драйвера
Привет, Хабр! Меня зовут Анастасия Гаранжа, я аналитик SOC в МТС RED и разбираю много разных инцидентов ИБ. 19 июля 2024 года многие из нас проснулись и увидели новости, что Windows сломался, и все очень плохо. Новость тут же подхватили далекие от ИТ паблики. В образовавшемся шуме практически...
Как синий экран смерти остановил работу аэропортов и предприятий
19 июля произошёл глобальный сбой в работе ПК и серверов на Windows по всему миру. Ряд устройств выдавали синий экран смерти (BSOD) и уходили на бесконечную перезагрузку. Поводом для сбоя стало обновление системы защиты от кибератак Falcon Sensor от американской компании в сфере информационной...