Новый выпуск Breaking Malware на SecLab с Алексеем Вишняковым.
00:00 Приветствие
0:27 Передача выполнения кода в файловых ассоциациях с применением уязвимости нулевого дня CVE-2023-38831 в архиваторе WinRAR. Когда жертва открывает вредоносный ZIP архив, она видит в нём файл и одноимённый каталог. Сам документ – безобиден. А вот в упомянутом каталоге как раз и содержится вредоносное содержимое, развивающее атаку. Наша песочница PT Sandbox (https://clck.ru/33gG9K) умеет справляться с техникой DLL SideLoading, используемой в такой атаке.
3:00 Атака APT-группировки ToddyCat на телеком-индустрию с использованием пассивных бэкдоров под ОС Windows. Бэкдор ждёт коммуникации по заданному открытому порту и принесёт команду к действию. Специалисты нашли версии бэкдоров для двух сетевых протоколов транспортного уровня: TCP и UDP. Детктировать подобное ВПО может анализато сетевого тарфика PT NAD (https://clck.ru/32LMcG)
4:00 Android малварь SpyNote, удалить которую можно только сбросом телефона к заводским настройкам
7:49 StripedFly использовали эксплойт EternalBlue для распространения своего майнера.
9:50 Яблоки червивыми не бывают
10:54 Апэтэ на конэ
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
