Анализ виртуальной машины на примере VMProtect. Часть 1

В этой статье мы рассмотрим, как может выглядеть работа виртуальной машины VMProtect, а также посмотрим, что можно сделать для понимания защищенного функционала (в зависимости от того, как далеко вы готовы зайти в этом не всегда благодарном деле). Ожидается, что данный материал поможет тем, кто в...

Все блоги / Про интернет

Protestware: найти и обезвредить

Protestware: найти и обезвредить Привет, Хабр! Меня зовут Владимир Исабеков, я работаю в Swordfish Security, где занимаюсь динамическим анализом приложений. Сегодня мы поговорим о таком явлении, как Protestware, когда вредоносный код встраивается в открытые программные компоненты. В статье разберем...

Все блоги / Про интернет

[Перевод] Как зловредные приложения могут скрывать работу с буфером обмена в Android 14

Вы когда-нибудь копировали в буфер обмена уязвимую информацию, например, пароли, номера кредитных карт, сообщения или личные данные? Если да, эти данные могут оставаться в буфере устройства достаточно длительное время. Доверяете ли вы буферу обмена и приложениям, получающим доступ к этим данным? В...

Все блоги / Про интернет

AMSI bypass — От истоков к Windows 11

В одной из наших предыдущих статей (советую ознакомиться) мы рассматривали типовые механизмов защиты для операционных систем семейства Windows. В главе AMSI Bypass кратко рассмотрели принцип работы библиотеки и почему обход amsi.dll является одним из самых популярных среди злоумышленников. Сегодня...

Все блоги / Про интернет

DGA-вредонос, лазейки в Kerberos и SMB-команды, о которых вы не слышали. Рассказ о том, как мы конкурс IDS Bypass решали

Дано: 6 уязвимых хостов Telegram-бот для доступа к заданиям OpenVPN для доступа к игровой сети IPS-система, которая всем мешает играть Решение: Обойти сигнатуры IPS …...

Все блоги / Про интернет

Akira промахнулся

В продолжение статьи Avast размышления по поводу расшифровки файлов, зашифрованных программой-вымогателем Akira Ransomware. Пишем сами декриптор Читать далее...

Все блоги / Про интернет

Файлы полиглоты или как картинка с котиком станет угрозой для безопасности вашей информации

Конечно, угроза безопасности звучит очень пафосно, тем более для милого котика, смотрящего на вас с JPEG изображения, но среди его байт легко мог затеряться вредоносный скрипт. Давайте разберёмся, что к чему. Читать далее...

Все блоги / Про интернет

eBPF в руках атакующего: обнаружение вредоносных модулей

Привет, Хабр! Технология eBPF становится все более популярной и используются во многих приложениях для Linux. В нашей статье Анализ и обнаружение Dirty Pipe мы коснулись темы eBPF и как он может помочь при обнаружении эксплуатации уязвимостей ядра. Но инструмент с такими возможностями непременно...

Все блоги / Про интернет

А у вас в окнах дырки! Пентесты Windows-приложений: кейсы, инструменты и рекомендации

Привет, Хабр! Меня зовут Василий Буров, я — Senior Testing Engineer в департаменте Security Services «Лаборатории Касперского» и в общей сложности более 20 лет тестирую программное обеспечение. В том числе занимаюсь анализом защищенности информационных систем, то есть тестированием на...

Все блоги / Про интернет

Yet Another RAT: особенности новой версии известного ВПО

Во время очередного расследования наша команда Solar JSOC CERT наткнулась на неизвестный RAT. Но после проведения глубокого анализа стало понятно, что перед нами новая версия уже известного RAT (3.3a), который использует группировка APT31. Его первую версию эксперты по кибербезопасности описывали...

Все блоги / Про интернет

А вы давно заглядывали внутрь ваших зависимостей?

Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности? Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих...

Все блоги / Про интернет

Зловред PlugX: как мы встретили старого знакомого в новом обличии

Бэкдор PlugX многим хорошо известен. Зловред нацелен на хищение самого дорогого – конфиденциальной информации. В 2022 году в рамках одного из расследований наша команда Solar JSOC CERT наткнулась на очередной сэмпл этого вредоноса. Главной его особенностью было то, что он использовался для...

Все блоги / Про интернет

(Не)безопасная разработка: как выявить вредоносный Python-пакет в открытом ПО

Открытое ПО сегодня привлекает повышенное внимание с разных сторон — разработки, бизнеса, технологий. Естественно, и его безопасность стоит отдельным вопросом, ведь злоумышленники также активно интересуются open source и создают угрозы для безопасной разработки. Доставка вредоносного кода через...

Все блоги / Про интернет

APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний

С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли,...

Все блоги / Про интернет

UAC Bypass и вариации на тему детектирования. Часть 1

Привет, Хабр! Сегодня мы хотим рассказать о возможных вариантах обхода контроля учётных записей пользователей (UAC) и способах их детектирования. Если коротко, UAC (User Account Control) – механизм, поддерживаемый всеми последними версиями Windows, который призван предотвратить...

Все блоги / Про интернет

Новый вирус Erbium, который крадет деньги с вашей банковской карты и криптовалюту, быстро распространяется по интернету

В интернете появилось опасное вредоносное ПО под названием Erbium. Это инструмент для кражи личных данных, который нацелен на ваши пароли, данные банковских карт, куки, криптовалютные кошельки и, возможно, многое другое. Из-за быстрого распространения и широкой доступности в будущем он может быть...

Все блоги / Про интернет

Рубим под корень: расследование атаки на хост с закреплением и запуском rootkit

Привет, Хабр! В предыдущей статье мы разобрали пример фишинга с использованием зловредного PDF вложения на примере задания GetPDF от CyberDefenders. Сегодня мы поговорим о руткитах (от англ. root – корневой, kit –набор, в данном контексте означает получение неограниченного доступа) – типе...

Все блоги / Про интернет

Ресерч свежего Excel документа с Loki malware внутри

Вечер добрый, Хабр! Решил немного изучить свежий сэмпл малваря LokiBot (31.08), который содержится в Excel документе и используется для фишинговой рассылки. В этой небольшой статье основное внимание уделено практической части поиска, извлечения и небольшого разбора поведения вредоноса. Надеюсь, что...

Все блоги / Про интернет

Назад