Security Week 18: непреднамеренный кибершпионаж
В конце апреля в блоге компании ERNW появилась интересная заметка о подозрительной активности на корпоративных лаптопах. Рабочий ноутбук передали специалистам компании с подозрением на что-то, очень напоминающее кибершпионаж. Предварительный анализ содержимого жесткого диска ничего интересного не выявил, следов вредоносной активности не обнаружили. А вот после запуска системы в логах нашлось нечто странное:
На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).
Читать дальше →
На скриншоте происходит следующее: аудиодрайвер смотрит, есть ли запись в реестре Windows, не находит ее и пишет на жесткий диск аудиофайл. Расследование обнаружило ошибку в драйвере для аудиочипа Realtek: он проверял наличие флага, включающего режим отладки (DebugFunction=1), но неверно отрабатывал ситуацию, когда запись в реестре отсутствовала, и начинал без ведома пользователя записывать звук с микрофона при любом обращении к себе (например, когда исследователь открывал настройки звука).
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как повысить производительность и улучшить отношения с коллегами и начальством за счёт EQ
- Сказ о том, как пентестеры трафик скрывают
- Построение полносвязной сети с применением ГОСТового шифрования. Или как скрестить Cisco и Континент
- About People: 4 ошибки в HR-менеджменте, из-за которых компания теряет более 265.000₽: инсайды кадрового агентства
- История 16-летнего подростка взломавшего ЦРУ
- Тесты «Тринити»: совместимость со средствами доверенной загрузки
- Коляс Иванов: Ваш логотип в тренде или устарел? 7 шагов для быстрой проверки
- Прогноз результатов продвижения сайта для зарубежного рынка при помощи инструмента Ahrefs
- Минус 26 млн рублей: как изменится доход блогеров-иноагентов
- Избирательный стилер: SapphireStealer маскировался под листовку ЦИК о выборах президента