Подборка программных методов, при помощи которых вредоносное ПО обнаруживает работает ли оно в виртуальной среде или нет:

https://evasions.checkpoint.com/

Прикольная подборка шаблонов для выпечки Windows packer образов (vagrant box’ов):
https://github.com/jacqinthebox/packer-templates

Ультразвуковая волна против голосовых помощников

От SurfingAttack не спасают даже силиконовые чехлы, для атаки уязвимы устройства от - Apple, Google, Samsung, Huawei, Xiaomi...

Атака позволяет совершать звонки, читать SMS, взаимодействовать с голосовым помощником...

Атака происходит через колебания передаваемые через твердые поверхности (например стол).

Защита - более толстый чехол, уменьшение площади касания телефона с твердыми поверхностями, отключение голосового помощника

Детали:

https://surfingattack.github.io/

VSCode-python - inject_dll_x86.exe is detected like malware

Антивирусы ругаются на малварь в офф коде от MS VSCode - McAfee, Sophos, Cisco AMP for Endpoints

Народ жалуется:

- https://github.com/microsoft/vscode-python/issues/9474

Но вроде как все сходится к false positive, но тут что-то вспонилось - "суслика видишь? нет? а он есть!"

За ссылку спасибо @rustc

Как происходит установка Net Support Manager RAT (rat - remote access trojan)

- Word документ, замаскированный под защищенный документ NortonLifeLock
- Пользователь вводит пароль от документа (именно правильный пароль, который возможно указан в письме куда прикреплен word документ)
- После ввода пароля, запускается VBA скрипт, который запускает cmd в результате чего создается bat файл в temp каталоге пользователя
- Далее загружается msi файл, выполняется и снова в temp уже устанавливается powershell скрипт
- Далее происходит остановка антивирусного ПО (Avast, AVG)
- Готово, RAT отправляет данные на сервер управления (включая гео-локационные)

Собственно детали:

https://unit42.paloaltonetworks.com/cortex-xdr-detects-netsupport-manager-rat-campaign/

Фаззинг — техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая...

Гугл выложил в паблик инструмент FizzBanch:

https://github.com/google/fuzzbench

Анонс (пример генерируемого отчета там тоже имеется):

https://security.googleblog.com/2020/03/fuzzbench-fuzzer-benchmarking-as-service.html?m=1

Миллионы Андроид девайсов под угрозой. Какие устройства, какие чипы, как эксплуатировать руткит (о нем ниже):

https://www.xda-developers.com/mediatek-su-rootkit-exploit

Android Security бюллетень. Одна из уязвимостей, описанных в последнем бюллетене, это CVE-2020-0069, критический эксплойт безопасности (тот самый руткит):

https://source.android.com/security/bulletin

Letsencrypt будет отзывать ряд сертификатов (а именно
3,048,289) в виду найденой баги:

https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Есть сайт, где можно проверить свой серт на предмет САА:

https://checkhost.unboundtest.com

Как можно быстро проверить свой серт при помощи curl:

curl -XPOST -d 'fqdn=domain_name' https://unboundtest.com/caaproblem/checkhost

Результат:

The certificate currently available on domain_name is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.

Zero-day - латинские гомоглифы в доменных именах:

https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day

Опасный OneNote обходит любые файерволы. Фишинг с полезной нагрузкой :) Общий обзор:

https://cofense.com/threat-actor-uses-onenote-learn-credential-phishing-evade-microsoft-fireeye-detection/

Знаю многие используют Cisco Webex. Произвольное выполнение кода в Webex Player (hight):

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200304-webex-player

PowerShell 7, доступен для множества платформ, куча фиксов и плюшек. Детали в анонсе:

https://devblogs.microsoft.com/powershell/announcing-powershell-7-0/

Не фанат, но теперь в WhatsApp есть темная тема. Адепты, встречаем :)

MCSA, MCSD, MCSE с июля 2020 года (конец финансового года в Microsoft) вместе со всеми предыдущими экзаменами, кроме новых Role-based, прекращают своё существование

https://habr.com/ru/post/490598/

За ссылку спасибо Denis Konarev

Конфиденциально-дружественные альтернативы сервисам Google. Без трекинга:

https://nomoregoogle.com/

За ссылку спасибо @ldviolet

Intel. Обнаружена уязвимость (Positive Techlogies) в ПЗУ Converged Security and Management Engine (CSME). Уязвимость ставит под угрозу доверие к Intel в принципе так как Intel CSME отвечает за первоначальную аутентификацию Intel-based систем путем загрузки и проверки других прошивок устройств. Например, Intel CSME взаимодействует с микрокодом CPU для аутентификации UEFI BIOS с помощью BootGuard. Intel CSME также проверяет контроллер управления питанием, отвечающий за подачу питания на чипсет Intel… В общем весело.. инфа по сабжу от авторов:

http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html

SMB через QUIC

QUIC-это стандартизированный протокол, который заменяет TCP на веб-ориентированный механизм UDP, который теоретически улучшает производительность. В отличие от TCP, QUIC всегда зашифрован, работает используя TLS 1.3

Сотрудник из MS говорит, что это экономит кучу денег, что виндовый новый осел (edge) его уже может, выделяет два ключевых императива:

> Безопасность - защита от MiTM
> Простота - безшовность

https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/ITOpsTalkBlog/article-id/600

За ссылку спасибо @ldviolet

Собственно вводные обозревательные ролики (много всего) по анализу малвари и реверсу

Введение в гидру, анализ exe, работа с метасплоитом и построение своего собственного RAT, построение разного рода атак и много, много другого:

https://class.malware.re/

Один из моих любимых сервисов на сегодня - DuckDuckGo, рассказывает о трекерах и о том, как они борятся с этим выпиливая трекинг и различные механизмы слежения за пользователями

Зло которое несет трекинг в дополнение к истории покупок, они (трекеры) могут собирать историю местоположения, историю поиска, историю просмотра, сведения о возрасте и многое другое, даже сведения об этнической принадлежности, полу, интересам и привычкам. Различные компании собирают эти личные данные в детальный профиль, постоянно выставляя вас (нас) на аукцион по бросовым ценам...

Боритесь за свою конфиденциальность друзья 🤘

https://spreadprivacy.com/duckduckgo-tracker-radar/

Команда US-CERT предупредила о критической уязвимости в демоне протокола PPP, реализованном в большинстве операционных систем на базе Linux, а также в прошивках различных сетевых устройств:

https://www.securitylab.ru/news/505625.php

За ссылку спасибо @ldviolet

Power Toys for Windows Power Users:
https://github.com/microsoft/PowerToys/blob/master/README.md