Галопом по Европам: Легитимные процессы Windows на пальцах
В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации. Читать далее...
HTB Manager. Проводим атаку на центр сертификатов в Active Directory
Привествую вас, дорогие читатели, на связи компания AP Security. Сегодня мы с вами пройдем Windows-машину Manager на HackTheBox. Читать далее...
[Перевод] PassTheCert. Обходим отсутствие механизма PKINIT в Active Directory
Исследование SpecterOps "Certified Pre-Owned", посвященное злоупотреблению службами сертификатов Active Directory (AD CS), еще больше облегчило белым хакерам получение привилегий администратора домена во время проведения внутренних пентестов. Читать далее...
Windows CE всё: поддержка прекращена Microsoft. Как всё начиналось и как закончилось
В октябре 2023 года корпорация Microsoft прекратила поддержку операционной системы Windows CE. Начавшись как вспомогательный проект, ОС затем стала полностью самостоятельной, с собственном ядром вместо Windows NT. Много лет эта операционная система устанавливалась на карманные и ультрапортативные...
Стилер из торрентов: как скачивание пиратской программы привело к заражению сотен тысяч пользователей
В конце лета 2023 года наш SOC с помощью системы мониторинга событий ИБ MaxPatrol SIEM зафиксировал аномальную сетевую активность. После этого привлекли нас, команду по расследованию инцидентов (PT CSIRT). Как выяснилось, пользователь одной из российских компаний был скомпрометирован достаточно...
Минипк за 1.000 рублей — на что способны дешевые неттопы из прошлого десятилетия?
Мне всегда очень нравились компактные полноценные компьютеры, которые можно куда-нибудь применить и они не будут потреблять слишком много энергии. Время от времени я мониторю различные онлайн-барахолки на предмет интересных предложений — с годами рыночная цена на различные «офисные» девайсы только...
Тайная жизнь COM: анализ событий и стратегии детектирования
Привет, Хабр! Сегодня я продолжу рассказывать про Component Object Model (COM) и атаку COM Hijacking. В предыдущей части "Тайная жизнь COM: погружение в методы hijacking" я разобрала способы hijacking, а из первой статьи мы также узнали, что вызов этой полезной нагрузки может происходить по...
AMSI bypass — От истоков к Windows 11
В одной из наших предыдущих статей (советую ознакомиться) мы рассматривали типовые механизмов защиты для операционных систем семейства Windows. В главе AMSI Bypass кратко рассмотрели принцип работы библиотеки и почему обход amsi.dll является одним из самых популярных среди злоумышленников. Сегодня...
Разбираем уязвимость в службе очереди сообщений Windows
В конце апреля 2023 был опубликован PoC для уязвимости CVE-2023-21769 в сервисе очереди сообщений MSMQ. Это одна из трёх уязвимостей, обнаруженных в MSMQ и запатченных в апрельском обновлении ОС Windows (1, 2, 3). Опубликованный PoC реализует уязвимость отказа в обслуживании сервиса MSMQ. Две...
Hello, it's me, Zerologon: разоблачение секрета аутентификации
Привет! Меня зовут Лера, я младший аналитик-исследователь киберугроз в компании R-Vision. В этой серии статей я хочу поделиться исследованием уже не новой , но согласно статистике все еще применяемой в атаках критической уязвимости CVE-2020-1472 или Zerologon, которая позволяет атакующему изменить...
Полнодисковое шифрование: что это такое, кому это нужно, как выбрать
Привет, Хабр! Меня зовут Игорь, я эксперт исследовательской лаборатории компании «ИнфоТеКС», в которой мы проводим сертификацию криптографии в различных продуктах. Сегодня поговорим о защите личных данных и о полнодисковом шифровании как о методе защиты информации. Full Disk Encryption (FDE) — это...
Тайная жизнь COM: погружение в методы Hijacking
Привет, хабр! Мы продолжаем серию статей посвященных COM. В прошлой статье мы обсудили различные аспекты хранения COM-объектов в реестре, а также рассмотрели первый этап атаки COM Hijacking. COM Hijacking - это атака, позволяющая атакующему перехватить выполнение легитимного COM-объекта и заменить...
[recovery mode] Аудит событий безопасности ОС Windows. Часть 1. Настройки аудита
Журналирование событий информационной безопасности является важным элементом системы защиты информации. Нам необходимо знать какое событие когда произошло, когда какой пользователь пытался зайти в систему, с какого узла, удачно или нет, и так далее. Конечно, некоторые события ИБ сохраняются в...
NUC для бедных — какой x86 неттоп я купил за 500 рублей?
В современном мире технологии производства чипов продвинулись настолько, что уже сейчас есть возможность уместить полноценный компьютер в один-два чипа. Ещё 20 лет назад сложно было представить миниатюрный компьютер размером с роутер, но в наше время можно купить такой гаджет за весьма скромные...
Коллекционный ноутбук Ferrari… за 600 рублей. Что за ноутбук я купил по цене обеда в столовой?
В нулевых, ноутбуки обычно были слабыми рабочими машинками. Большинство лэптопов были предназначены для работы в офисе, серфинга в интернете, мультимедийных возможностей, однако ни о каких играх или тяжелой работе обычно речь и не шла. Типичный ноутбук тех лет работал на базе слабеньких процессоров...
Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
Анализируя отчеты по разбору вредоносного ПО приходишь к выводу, что одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015). Примером такого вредоносного ПО является Fancy Bear или Jumplump. Таким образом, становится очень важно команде Blue Team уметь...
x86 нетбук от Nokia премиум-класса. Сможет ли он оказаться полезным на Linux в 2023?
Многие из нас знают компанию Nokia в первую очередь как производителя мобильных телефонов и смартфонов. Однако добившись всемирного признания на мобильном рынке, компания не остановилась и решила попытаться войти на рынок портативных ПК, выпустив экспериментальный нетбук Booklet 3G, который...
Я купил смартфон с камерой 41мп за 600 рублей и оживил его. Сможет ли он стать повседневным фотоаппаратом?
Камера уже давно стала неотъемлемой частью современного смартфона. Ещё со времен ранних Sony Ericsson, производители пытались делать «камерафоны» и постепенно доводили качество фото до уровня дорогих «цифровиков». В 2023 году, развитие дошло до пика — например, Xiaomi ставит линзы Leica, а Huawei...