😈 Погружаемся в PEB. DLL Spoofing

В предыдущей статье мы в первом приближении рассмотрели PEB и разобрались, как подменить аргументы командной строки.

— Под катом продолжая разбираться с PEB, рассмотрим еще один способ повлиять на исполнение программы, и попробуем подменить вызываемую из DLL функцию.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 В Совете Федерации заговорили о едином центре по кибербезопасности

С территории Украины против Российской Федерации воюет целая армия киберпреступников. Об этом во время посещения центра киберзащиты Сбера сенаторами Совфеда заявил вице-президент по кибербезопасности Сбера Сергей Лебедь.

«Сбер эффективно обеспечивает кибербезопасность клиентов и собственной инфраструктуры. Однако угроза выходит далеко за рамки работы Сбербанка – это вопрос общенациональной безопасности. Поэтому только наших усилий по определению не может быть достаточно для кардинального решения задачи по обеспечению безопасности жителей России», — добавил Лебедь.

По результатам встречи сенаторы заявили, что России нужен единый орган по обеспечению кибербезопасности, который будет координировать государственную политику в этой сфере.

🗣 Ссылка на чтиво

#PEB #Spoofing #Windows #Malware | 🧑‍💻 Этичный хакер

😈 CrowdStrike раскрыла основную причину сбоев Windows по всему миру

Инцидент под названием «Channel File 291» был вызван проблемой проверки содержимого после введения нового типа шаблона для обнаружения новых техник атак, использующих именованные каналы и другие механизмы межпроцессного взаимодействия (IPC) Windows.

❗️ Новый тип шаблона привел к несоответствию параметров: 21 входной параметр, переданный в Content Validator, вместо ожидаемых 20, которые были предоставлены Content Interpreter.

- Другими словами, новая версия файла Channel File 291, выпущенная 19 июля, стала первым экземпляром шаблона IPC, использующим 21-й параметр. Отсутствие конкретного теста для критериев соответствия без подстановочных знаков в 21-м поле означало, что проблема не была выявлена до отправки быстрого обновления контента на датчики.

Ущерб был оценён в 5,4 миллиарда долларов прямой финансовый ущерб для американских компаний из списка Fortune 500 (за исключением Microsoft), пострадавших из-за сбоя CrowdStrike.

#News #CrowdStrike #Windows | 🧑‍💻 Этичный хакер

😈 Lazarus атакует: северокорейские хакеры использовали 0-day в Windows

Уязвимость CVE-2024-38193, исправленная ранее в этом месяце, связанная с повышением привилегий и драйвером вспомогательных функций для WinSock в Windows, использовалась для атак хакерами из группировки Lazarus в качестве уязвимости нулевого дня.

CVE-2024-38193 относится к уязвимостям типа BYOVD (Bring Your Own Vulnerable Driver, «Принеси свой уязвимый драйвер»), а Ancillary Function Driver for WinSock (AFD.sys) выступает в роли точки входа в ядро Windows для протокола Winsock.

— По словам исследователей, Lazarus использовала уязвимость AFD.sys в качестве 0-day для установки руткита FUDModule, который используется для уклонения от обнаружения путем отключения функций мониторинга Windows.

#News #CVE #Lazarus #0day #Windows | 🧑‍💻 Этичный хакер

😈 BlackLotus UEFI bootkit: часть 1

— В данной статье автор поделится своим опытом изучения буткита BlackLotus UEFI

Буткит BlackLotus – это вредоносное ПО, которое способно заражать UEFI-прошивку и обходить механизм безопасной загрузки Secure Boot. Другими словами, буткит может запускаться до запуска операционной системы и скрываться от антивирусных программ

UEFI (Unified Extensible Firmware Interface) – это интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования компьютера

В данном исследовании автор рассматривает следующие темы:
1. Подготовка тестового стенда.
2. Запуск CVE-2022–21 894 (baton drop).
3. Компиляция payload и компонентов для его выполнения.
4. Добавление сертификата в базу данных MOK.
5. Чтение и запись файлов в операционной системе Windows 10 из файловой системы NTFS через grub.elf.

🗣 Ссылка на чтиво

#Bootkit #CVE #UEFI #Windows #BlackLotus | 🧑‍💻 Этичный хакер

😈 ZIP-матрешка: новый способ взлома Windows

— Киберпреступники продолжают искать новые способы обхода защиты, и один из новых приёмов объединение ZIP-архивов

❗️ Такой метод позволяет скрывать вредоносные файлы от антивирусов и вводить в заблуждение исследователей, которые используют инструменты для анализа

Суть атаки в том, что злоумышленники создают два или больше отдельных ZIP-архива: в один из них помещают вредоносное ПО, а остальные оставляют пустыми или с безопасными файлами

Затем файлы объединяют в один архив, просто дописывая бинарные данные одного файла к другому

В итоге получается файл, который выглядит как обычный ZIP, но на самом деле содержит несколько вредоносных архивов внутри

🗣 Ссылка на чтиво

#News #Windows #ZIP | 🧑‍💻 Этичный хакер