😈 Истории из жизни вредоносов: инъекция кода в Windows

Технологии внедрения своего кода в чужие процессы уже много лет используются различными вредоносными приложениями. В Windows это стало довольно распространенным явлением.

Вредонос инжектирует фрагменты своего собственного кода в другой запущенный процесс, чтобы затем его выполнить.

💉Итак, инъекции кода получили широкую популярность, причем не только у разработчиков вредоносного кода, но и у создателей различных “таблеток” для пиратского софта. Также можно вспомнить разнообразные “читы” для прохождения игр.

— Но мы в рамках данных статей будем инжектировать процесс удаленного доступа к машине жертвы, для того, чтобы продемонстрировать всю опасность данного вида атак.

🗣 Ссылка на чтиво

‼️ Если вам понравилась тема поста, дай фидбека — а мы выпустим пост про инъекции DLL и отраженные инъекции DLL.

#Windows #Injection #ReverseEngineering | 🧑‍💻 Этичный хакер

😈 Призрак Internet Explorer атакует Windows 11

Уязвимость CVE-2024-38112, присутствовала как в Windows 10, так и в Windows 11, и вынуждала устройства жертв открывать устаревший браузер Internet Explorer, выведенный из эксплуатации в 2022 году.

В свою очередь, Microsoft исправила её только в минувший вторник в рамках ежемесячного выпуска обновлений Patch Tuesday. Уязвимость была оценена по степени опасности на 7.0 из 10 и находилась в движке MSHTML Windows.

— Атака использовала ранее неизвестные методы, чтобы обманом заставить пользователей Windows выполнять на своих устройствах вредоносный код. Один из обнаруженных примеров включал файл с именем «Books_A0UJKO.pdf.url», который выглядел как PDF, но на самом деле был ссылкой, открывающей указанное приложение.

#News #Windows #CVE | 🧑‍💻 Этичный хакер

😈 Заражение по фэншую или разбор атаки через уязвимости Windows

В этом посте мы разберем одну из интересных APT-атак на пользователей, в которой используется не стандартный способ доставки, маскировки, а также заражения системы с обходом EPP и EDR!

— Данный материал будет полезен сотрудникам SOC, TI-экспертам, Pentest и Threat Hunting — специалистам.

🗣 Ссылка на чтиво

#Windows #APT #Phishing #TI | 🧑‍💻 Этичный хакер

😈 Как синий экран смерти остановил работу аэропортов и предприятий

19 июля произошёл глобальный сбой в работе ПК и серверов на Windows по всему миру. Ряд устройств выдавал синий экран смерти (BSOD) и уходил в бесконечную перезагрузку. Неполадки затронули IT-инфраструктуру многих компаний, банков и аэропортов по всему миру.

— Под катом подробно расскажем, в чём всё таки была проблема и к каким последствиям привела.

🗣 Ссылка на чтиво

#Windows #BSOD #CrowdStrike #Microsoft | 🧑‍💻 Этичный хакер

😈 Погружаемся в PEB. Подмена аргументов командной строки

Про спуфинг аргументов в PEB было рассказано многое, но, если честно, нам ни разу не попадались материалы про изменения аргументов прямо в рантайме.

— Под катом разобрались, как добраться до PEB руками в IDA Pro и написали простейшее приложение для манипуляции аргументами в PEB.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 Погружаемся в PEB. DLL Spoofing

В предыдущей статье мы в первом приближении рассмотрели PEB и разобрались, как подменить аргументы командной строки.

— Под катом продолжая разбираться с PEB, рассмотрим еще один способ повлиять на исполнение программы, и попробуем подменить вызываемую из DLL функцию.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 В Совете Федерации заговорили о едином центре по кибербезопасности

С территории Украины против Российской Федерации воюет целая армия киберпреступников. Об этом во время посещения центра киберзащиты Сбера сенаторами Совфеда заявил вице-президент по кибербезопасности Сбера Сергей Лебедь.

«Сбер эффективно обеспечивает кибербезопасность клиентов и собственной инфраструктуры. Однако угроза выходит далеко за рамки работы Сбербанка – это вопрос общенациональной безопасности. Поэтому только наших усилий по определению не может быть достаточно для кардинального решения задачи по обеспечению безопасности жителей России», — добавил Лебедь.

По результатам встречи сенаторы заявили, что России нужен единый орган по обеспечению кибербезопасности, который будет координировать государственную политику в этой сфере.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 CrowdStrike раскрыла основную причину сбоев Windows по всему миру

Инцидент под названием «Channel File 291» был вызван проблемой проверки содержимого после введения нового типа шаблона для обнаружения новых техник атак, использующих именованные каналы и другие механизмы межпроцессного взаимодействия (IPC) Windows.

❗️ Новый тип шаблона привел к несоответствию параметров: 21 входной параметр, переданный в Content Validator, вместо ожидаемых 20, которые были предоставлены Content Interpreter.

- Другими словами, новая версия файла Channel File 291, выпущенная 19 июля, стала первым экземпляром шаблона IPC, использующим 21-й параметр. Отсутствие конкретного теста для критериев соответствия без подстановочных знаков в 21-м поле означало, что проблема не была выявлена до отправки быстрого обновления контента на датчики.

Ущерб был оценён в 5,4 миллиарда долларов прямой финансовый ущерб для американских компаний из списка Fortune 500 (за исключением Microsoft), пострадавших из-за сбоя CrowdStrike.

#News #CrowdStrike #Windows | 🧑‍💻 Этичный хакер

😈 Lazarus атакует: северокорейские хакеры использовали 0-day в Windows

Уязвимость CVE-2024-38193, исправленная ранее в этом месяце, связанная с повышением привилегий и драйвером вспомогательных функций для WinSock в Windows, использовалась для атак хакерами из группировки Lazarus в качестве уязвимости нулевого дня.

CVE-2024-38193 относится к уязвимостям типа BYOVD (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»), а Ancillary Function Driver for WinSock (AFD.sys) выступает в роли точки входа в ядро Windows для протокола Winsock.

— По словам исследователей, Lazarus использовала уязвимость AFD.sys в качестве 0-day для установки руткита FUDModule, который используется для уклонения от обнаружения путем отключения функций мониторинга Windows.

#News #CVE #Lazarus #0day #Windows | 🧑‍💻 Этичный хакер

😈 BlackLotus UEFI bootkit: часть 1

— В данной статье автор поделится своим опытом изучения буткита BlackLotus UEFI

Буткит BlackLotus – это вредоносное ПО, которое способно заражать UEFI-прошивку и обходить механизм безопасной загрузки Secure Boot. Другими словами, буткит может запускаться до запуска операционной системы и скрываться от антивирусных программ

UEFI (Unified Extensible Firmware Interface) – это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования компьютера

В данном исследовании автор рассматривает следующие темы:
1. Подготовка тестового стенда.
2. Запуск CVE-2022–21 894 (baton drop).
3. Компиляция payload и компонентов для его выполнения.
4. Добавление сертификата в базу данных MOK.
5. Чтение и запись файлов в операционной системе Windows 10 из файловой системы NTFS через grub.elf.

🗣 Ссылка на чтиво

#Bootkit #CVE #UEFI #Windows #BlackLotus | 🧑‍💻 Этичный хакер

😈 ZIP-матрешка: новый способ взлома Windows

— Киберпреступники продолжают искать новые способы обхода защиты, и один из новых приёмов объединение ZIP-архивов

❗️ Такой метод позволяет скрывать вредоносные файлы от антивирусов и вводить в заблуждение исследователей, которые используют инструменты для анализа

Суть атаки в том, что злоумышленники создают два или больше отдельных ZIP-архива: в один из них помещают вредоносное ПО, а остальные оставляют пустыми или с безопасными файлами

Затем файлы объединяют в один архив, просто дописывая бинарные данные одного файла к другому

В итоге получается файл, который выглядит как обычный ZIP, но на самом деле содержит несколько вредоносных архивов внутри

🗣 Ссылка на чтиво

#News #Windows #ZIP | 🧑‍💻 Этичный хакер