Тайная жизнь COM: анализ событий и стратегии детектирования
Привет, Хабр! Сегодня я продолжу рассказывать про Component Object Model (COM) и атаку COM Hijacking. В предыдущей части "Тайная жизнь COM: погружение в методы hijacking" я разобрала способы hijacking, а из первой статьи мы также узнали, что вызов этой полезной нагрузки может происходить по...
AMSI bypass — От истоков к Windows 11
В одной из наших предыдущих статей (советую ознакомиться) мы рассматривали типовые механизмов защиты для операционных систем семейства Windows. В главе AMSI Bypass кратко рассмотрели принцип работы библиотеки и почему обход amsi.dll является одним из самых популярных среди злоумышленников. Сегодня...
Разбираем уязвимость в службе очереди сообщений Windows
В конце апреля 2023 был опубликован PoC для уязвимости CVE-2023-21769 в сервисе очереди сообщений MSMQ. Это одна из трёх уязвимостей, обнаруженных в MSMQ и запатченных в апрельском обновлении ОС Windows (1, 2, 3). Опубликованный PoC реализует уязвимость отказа в обслуживании сервиса MSMQ. Две...
Hello, it's me, Zerologon: разоблачение секрета аутентификации
Привет! Меня зовут Лера, я младший аналитик-исследователь киберугроз в компании R-Vision. В этой серии статей я хочу поделиться исследованием уже не новой , но согласно статистике все еще применяемой в атаках критической уязвимости CVE-2020-1472 или Zerologon, которая позволяет атакующему изменить...
Полнодисковое шифрование: что это такое, кому это нужно, как выбрать
Привет, Хабр! Меня зовут Игорь, я эксперт исследовательской лаборатории компании «ИнфоТеКС», в которой мы проводим сертификацию криптографии в различных продуктах. Сегодня поговорим о защите личных данных и о полнодисковом шифровании как о методе защиты информации. Full Disk Encryption (FDE) — это...
Тайная жизнь COM: погружение в методы Hijacking
Привет, хабр! Мы продолжаем серию статей посвященных COM. В прошлой статье мы обсудили различные аспекты хранения COM-объектов в реестре, а также рассмотрели первый этап атаки COM Hijacking. COM Hijacking - это атака, позволяющая атакующему перехватить выполнение легитимного COM-объекта и заменить...
[recovery mode] Аудит событий безопасности ОС Windows. Часть 1. Настройки аудита
Журналирование событий информационной безопасности является важным элементом системы защиты информации. Нам необходимо знать какое событие когда произошло, когда какой пользователь пытался зайти в систему, с какого узла, удачно или нет, и так далее. Конечно, некоторые события ИБ сохраняются в...
NUC для бедных — какой x86 неттоп я купил за 500 рублей?
В современном мире технологии производства чипов продвинулись настолько, что уже сейчас есть возможность уместить полноценный компьютер в один-два чипа. Ещё 20 лет назад сложно было представить миниатюрный компьютер размером с роутер, но в наше время можно купить такой гаджет за весьма скромные...
Коллекционный ноутбук Ferrari… за 600 рублей. Что за ноутбук я купил по цене обеда в столовой?
В нулевых, ноутбуки обычно были слабыми рабочими машинками. Большинство лэптопов были предназначены для работы в офисе, серфинга в интернете, мультимедийных возможностей, однако ни о каких играх или тяжелой работе обычно речь и не шла. Типичный ноутбук тех лет работал на базе слабеньких процессоров...
Тайная жизнь COM: как устроен Component Object Model в Windows и стратегии выбора объекта для атаки
Анализируя отчеты по разбору вредоносного ПО приходишь к выводу, что одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015). Примером такого вредоносного ПО является Fancy Bear или Jumplump. Таким образом, становится очень важно команде Blue Team уметь...
x86 нетбук от Nokia премиум-класса. Сможет ли он оказаться полезным на Linux в 2023?
Многие из нас знают компанию Nokia в первую очередь как производителя мобильных телефонов и смартфонов. Однако добившись всемирного признания на мобильном рынке, компания не остановилась и решила попытаться войти на рынок портативных ПК, выпустив экспериментальный нетбук Booklet 3G, который...
Я купил смартфон с камерой 41мп за 600 рублей и оживил его. Сможет ли он стать повседневным фотоаппаратом?
Камера уже давно стала неотъемлемой частью современного смартфона. Ещё со времен ранних Sony Ericsson, производители пытались делать «камерафоны» и постепенно доводили качество фото до уровня дорогих «цифровиков». В 2023 году, развитие дошло до пика — например, Xiaomi ставит линзы Leica, а Huawei...
Фильтрация событий Windows встроенными утилитами
При реагировании на инциденты бывает необходимо посмотреть логи Windows машины, и многие таскают с собой утилиты для более удобной фильтрации событий в журналах evtx. Это связано в с тем, что способы фильтрации, предложенные Microsoft, выглядят крайне не удобно. Live response — это область, которая...
Изменить порт по умолчанию или настроить файрвол правильно?
Любой сервер, подключенный напрямую к сети интернет, должен быть надёжно защищён. Будем разбираться, как этого достичь и что можно использовать. Читать дальше →...
Принт-сервер из хлама
В этой статье я расскажу, как создать принт-сервер из старого неттопа. Зачем нужен принт-сервер? Предположим, у вас есть принтер, который находится в кабинете или квартире, и вам необходимо обеспечить доступ к нему всем пользователям в этом помещении (офисе, квартире). Если принтер имеет Ethernet...
Поиск аномалий при запусках процессов Windows с помощью рекомендательных систем
В SIEM-системах есть множество написанных экспертами правил, которые помогут отследить подозрительное поведение. Однако существует много сценариев атак, которые нельзя описать строгими правилами, а значит, эффективно отслеживать. Учитывая объем данных, обрабатываемый SIEM-системой ежедневно, а...
Этот «iPhone» работает на Windows — что может китайский айфон на винде в 2023?
А вы помните, каким предметом статуса был первый iPhone в своё время? Люди брали ради него кредиты, покупали «серые» аппараты без гарантии, просили друзей купить им яблочный смартфон из США. Конечно, далеко не каждый мог себе позволить оригинальный iPhone в то время, поэтому предприимчивые китайцы...
Дешёвые ARM смартбуки в 2023 — есть ли перспективы? Ремонтируем и находим им применение в наши дни
Практически каждое поколение портативных устройств производители чипов на архитектуре ARM пытаются втиснуться в рынок полноценных десктопных компьютеров и получить себе место под солнцем в качестве рабочих станций, серверов, а то и простых мультимедийных ПК. Последний десяток лет им это удаётся...
Назад