Плагины для системы анализа DRAKVUF. Как с помощью exploitmon выявить попытки эксплуатации ядра ОС

Все блоги / Про интернет 8 июля 2021 196

Продолжаем цикл материалов о вредоносных техниках, применяемых злоумышленниками. Встречайте еще одну полезную статью от экспертного центра безопасности Positive Technologies. В прошлый раз мы говорили о том, как киберпреступники повышают привилегии, чтобы получить полный контроль над системой, и как их работу можно обнаружить.

Сегодня рассмотрим тактики, которые используют хакеры для злонамеренных действий с ядром ОС. Расскажем о новом плагине exploitmon, разработанном PT Expert Security Center для системы динамического анализа вредоносных файлов DRAKVUF, и разберем, как в PT Sandbox с его помощью обнаруживать попытки эксплуатации уязвимостей в ядре Windows.

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Как не дать злоумышленникам повысить привилегии в системе после успешного заражения

Всем привет! Этой статьей мы открываем цикл материалов от экспертного центра безопасности Positive Technologies (PT Expert Security Center). Мы расскажем о том, какие техники применяют злоумышленники при разработке инструментов для целевых и массовых атак и какие технологии есть «под капотом» нашей

подробнее »

18 июня 2021

Cuckoo 2.0. Cобираем лучшую опенсорсную платформу динамического анализа вредоносных файлов

Приветствую Хабр! 4 года назад я публиковал инструкцию по сборке платформы динамического анализа вредоносных файлов Cuckoo Sandbox 1.2. За это время проект успел обрасти внушительным функционалом и огромным комьюнити, недавно обновившись до версии 2.0, которая больше полутора лет висела в стадии

подробнее »

4 марта 2018

[Из песочницы] Бунт против виртуальной машины

Предлагаю вашему вниманию перевод статьи Rage Against the Virtual Machine. Антивирусные компании, магазины мобильных приложений и исследователи безопасности используют техники, основанные на динамическом анализе кода, для обнаружения и анализа мобильных вредоносных приложений. В этот статье,

подробнее »

2 ноября 2015

[Перевод] Приключения неуловимой малвари, часть 1

Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения

подробнее »

17 июня 2019

Новогодние поздравления и COVID-19: как хакеры используют новости

Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой

подробнее »

22 апреля 2020

Операция Calypso: новая APT-группировка атакует госучреждения в разных странах мира

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calipso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран. Команды,

подробнее »

31 октября 2019