Как стать автором
Поиск
Написать публикацию
Обновить
149.68

Windows *

Разработка под операционные системы от Microsoft

Сначала показывать
Порог рейтинга
Уровень сложности

Защита от тёмных искусств: DLL-Hijacking

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров1.4K

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? 

Один из возможных вариантов — использование атакующими техники DLL-Hijacking (Mitre T1574.001). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). 

Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. 

Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. 

В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек.

Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. 

В этой статье мы: 

За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. 

Осветим примеры атак с подменой DLL согласно их классификации.

Расскажем о защитных мерах для предотвращения атак этого типа.

Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). 

Итак, добро пожаловать под кат!

Читать далее

Новости

Как получить бан в Call of Duty без читов. Расследование одного бага

Уровень сложностиСложный
Время на прочтение11 мин
Количество просмотров4.2K

Как получить бан в Call of Duty без читов. Расследование одного бага.
Установи Windows не на NTFS и получи подарок

Читать далее

Когда VPN душат, в бой идёт SOCKS5: что нового в ProxiFyre 2.0

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров75K

В последние месяцы я всё чаще сталкиваюсь с ситуациями, когда привычные VPN-соединения становятся всё менее надёжными или вовсе блокируются. Для тех, кто, как и я, продолжает получать доступ к домашней инфраструктуре из-за границы, особенно из стран с усиливающимся контролем за трафиком, это уже не просто неудобство, а реальный риск потери стабильной связи.

Моя собственная схема — домашний сервер за WireGuard-эндпоинтом — уже не раз демонстрировала странности: внезапные падения скорости, потеря UDP-пакетов (особенно в мобильных сетях). Всё вроде работает, но как-то не так: туннель подключается, но затем «виснет» или показывает подозрительно низкую пропускную способность. В таких случаях надёжным обходным путём становится туннелирование TCP-трафика через SOCKS5-прокси, например, поверх SSH.

Но и у SOCKS5 есть ограничение — сам по себе он ничего не даст, если не существует механизма для перенаправления трафика от нужных приложений. Многие программы не поддерживают прокси напрямую, а системный прокси на Windows — история сложная и не всегда результативная.

Читать далее

Июльский «В тренде VM»: уязвимости в Microsoft Windows и Roundcube

Время на прочтение4 мин
Количество просмотров790

Хабр, привет! На связи Александр Леонов из Экспертного центра безопасности Positive Technologies (PT Expert Security Center), дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 3 трендовые уязвимости.

Читать далее

ESCплуатация: новый вектор атаки на Active Directory Certificate Services

Время на прочтение8 мин
Количество просмотров1.4K

Привет, Хабр! По горячим следам нашей большой статьи про векторы атак ESC1-ESC15 мы — команда PT Cyber Analytics — решили подробно разобрать относительно новый вектор атаки ESC16. Возможность обнаружения и эксплуатации этого вектора была добавлена в майском обновлении ПО Certipy.

Читать далее

VPN-клиент для Windows своими руками: L2TP, PPTP, маршруты и Telegram-уведомления

Уровень сложностиСложный
Время на прочтение4 мин
Количество просмотров7.8K

Рабочая задача: развернуть VPN на MikroTik с поддержкой L2TP и PPTP, авторизация — через Radius.
В роли серверов — стандартные для нас RouterOS CCR1016-12G. Параллельно возникло требование: подобрать клиент под Windows, чтобы можно было просто передать пользователям исполняемый файл, и они могли подключиться — без инструкций, .bat-файлов и шаманства.

Читать далее

Анализ активности пользователей Windows

Время на прочтение23 мин
Количество просмотров2.9K

Настоящая публикация - перевод " Baris Dincer / Cyber Threat Intelligence Investigator & CIO / Lex Program - Windows User Activity Analysis".

ВВЕДЕНИЕ

Анализ активности пользователей Windows является краеугольным камнем расследований в области цифровой криминалистики и реагирования на инциденты (DFIR). Этот процесс включает в себя изучение артефактов, создаваемых в результате взаимодействия пользователя с операционной системой Windows, приложениями и сетевыми ресурсами. Эти артефакты, часто разбросанные по журналам событий, записям реестра, метаданным файловой системы и журналам, специфичным для приложений, предоставляют хронологическое повествование о действиях пользователя. Анализируя эти данные, следователи могут восстановить события, предшествующие и последующие инциденту безопасности, идентифицировать вовлечённых лиц и установить методы, использованные злоумышленниками.

Значение анализа активности пользователей Windows трудно переоценить в контексте современных вызовов кибербезопасности. Поскольку Windows является широко используемой операционной системой в корпоративной среде, она часто становится основной целью кибератак и внутренних угроз. Исследование активности пользователя на скомпрометированной системе позволяет организациям понять масштаб и последствия инцидента. Например, такой анализ может выявить несанкционированный доступ, попытки вывода данных или умышленное злоупотребление привилегиями. Кроме того, он играет важную роль в выявлении пробелов в средствах защиты и установлении шаблонов, указывающих на появляющиеся угрозы.

Читать далее

A practical guide to backing up Revit Server Models V2 или делаем по-человечески то, что делалось не для людей

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров376

A practical guide to backing up Revit Server Models V2

Практическое руководство и решение задачи бэкапа ревит-сервера на файловом уровне.

Читать далее

Анализ уязвимости CVE-2025-27736 в Power Dependency Coordinator

Уровень сложностиСредний
Время на прочтение14 мин
Количество просмотров1.2K

Данная статья посвящена багу в Power Dependency Coordinator (CVE-2025-27736), запатченному Microsoft в апреле этого года.

В описании CVE сказано, что баг связан с раскрытием информации (адресов ядра).

Exposure of sensitive information to an unauthorized actor in Windows Power Dependency Coordinator allows an authorized attacker to disclose information locally.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27736

Exploiting this vulnerability could allow the disclosure of certain memory address within kernel space. Knowing the exact location of kernel memory could be potentially leveraged by an attacker for other malicious activities.

В контексте изменений Windows 11 24H2 с ограничением NtQuerySystemInformation для определения адресов объектов, баги такого типа становятся еще более актуальны, поэтому мне стало интересно посмотреть пример такой уязвимости.

Из инструментов потребуются IDA Pro, BinDiff, WinDbg, для тестирования - Windows 11 или Windows 10 x64 с обновления до апреля 2025 (для тестирования работоспособности PoC) и актуальными обновлениями (для тестирования PoC после обновления).

Читать далее

Проект выходного дня: экранные линейки

Время на прочтение4 мин
Количество просмотров2.4K

.

Привет, Хабр! Хочу поделиться историей как я портировал свой (очень)старый пет-проект с Delphi 7 на Zig с помощью LLM. Утилиты rulers (экранные линейки, «как в фотошопе»). В 2007 году это был простой инструмент для замеров и выравнивания элементов интерфейса прямо на экране, написанный на Delphi.

Почти два десятилетия спустя я решил воскресить его, но с современным подходом: портировать на zig, да ещё и задействовав LLM для автоматизации. Почему? Потому что я реально фанатею от языка zig, и руки так и чешутся на нём что-то написать. Но переписывать не маленький кусок старого кода — занятие довольно унылое, и я всё откладывал его в «долгий ящик». С другой стороны, я, как реальный ИИ-скептик, с сомнением отношусь к новомодному вайб-кодингу и не доверяю таким инструментам. Но, всё же я решил рискнуть и попробовать, если не для написания нового кода, то хотя-бы для портирования уже написанного. Наверное, шанс на успех тут будет выше. Эта статья о том, что у меня получилось (и не получилось).

Читать далее

Еще раз об SVG-виджетах в tcl/tk

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров1.7K

После выхода первой статьи про svg-виджеты для tcl/tk прошло более года. За это время вышел не только tcl/tk версии 9.0, но и сам пэт-проект возмужал и продолжает взрослеть. Напомним, что проект svgwidgets, примеры и интерпретаторы tcl/tk с необходимыми пакетами для работы с svg-виджетами можно найти на github.
В проекте svgwidgets на github-е можно найти версию интерпретатора tclexecomp как для linux64 (папка tclexexcomp902), собранного из исходников tcl/tk-9.0.2, так и версию интерпретатора на базе tcl/tk-8.6 для платформ Linux64 и Win64 (папка tclexecomp200).
К ранее созданному на github-е подкаталогу examples/CryptoArmPKCS_Test, в котором выложен исходный код криптографической утилиты для работы с электронной подписью cryptoarmpkcs, который предназначен для запуска на платформе Linux64 в среде tcl/tk-9, добавлены аналогичные папки для запуска утилиты cryptoarmpkcs в среде tcl/tk-8.6 на платформах Linux64 (папка examples/CryptoArmPKCS_Test_Tk86) и Win64 (папка examples/CryptoArmPKCS_Test_Tk86_Win64). Для запуска этой утилиты ничего дополнительного устанавливать на свой компьютер не требуется. Достаточно выбрать соответствующий интерпретатор из папки tclexecomp200 или tclexexcomp902 и выполнить файл mainguipkcs_svg.tcl из соответствующей папки ~/examples/CryptoArmPKCS_Test, например:

C:>C:\Temp\tclexecomp64_v200_svg_Win64.exe c:\Temp\CryptoArmPKCS7_Test_Tk86_Win64\mainguipkcs_svg.tcl

Читать далее

Автоматизация мониторинга: как заставить скрипты работать вместо вас

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров7.6K

Привет, Хабр! Ручной мониторинг серверов и логов - это как разжигать костёр вместо использования микроволновки. Если вы вручную проверяете логи, доступность сервисов или реагируете на алерты посредством почты - попробуйте перейти на автоматизацию.

Почему скрипты?

Гибкость: кастомизация проверки под свои нужды
Простота: запуск в cron или systemd - и можно с чистой душой забыть о проблеме
Самовосстановление: скрипт может не только найти проблему, но и исправить её (рестарт службы, чистка ненужных файлов, логов)

Автоматизированный мониторинг - это не про сложные системы в стиле Zabbix или Prometheus (они очень хороши для масштабируемых решений, данного факта не отрицаю). Это простые скрипты, которые делают ровно то, что вам нужно. Нет лишних зависимостей, сложных конфигов или чего-то лишнего.

Читать далее

Три истории из жизни насекомых

Время на прочтение5 мин
Количество просмотров982

Привет, Хабр!

Сегодня поделимся не историями грандиозных IT-побед, а скромными буднями борьбы с коварными, но редкими багами. Нам "повезло" столкнуться сразу с тремя такими на одном проекте. Спойлер: виноваты были забытые обновления Windows, коварный апдейт Касперского и упрямый PCI-райзер. Читайте, как мы их ловили, и берите на заметку наши шишки!

⚠️ Дисклеймер: Подвигов не будет, только серая, но поучительная реальность. Хотим напомнить, что путь настоящего самурая иногда состоит из мелких неудач и разного масштаба трудностей. Но самурай идет вперед.

Читать далее

Ближайшие события

Твоя колонка шпионит за тобой? Или как перестать кормить корпорации личными данными

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2.8K

Сегодня голосовые ассистенты умеют включать музыку, подсказывать погоду и даже шутить. Большинство таких помощников – от Siri до Alexa – работают через облако: все ваши команды отправляются на серверы корпораций. Казалось бы, это удобно: тяжелые вычисления происходят дистанционно, а нам остается лишь слушать ответ. Однако за удобством скрывается ряд проблем, о которых часто не задумываются. Давайте разберемся, почему локальный голосовой ИИ-ассистент, работающий прямо на вашем устройстве, может быть лучше и безопаснее облачного собрата.

Читать далее

Автоматизация инвентаризации парка ПК: PowerShell-скрипт для сбора системной информации

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров5.3K

Привет, Хабр! Типичная ситуация: начальство требует полный отчёт по всему парку техники или только устроились в организацию с крупным парком машин, нужно сформировать понимание, с чем вы работаете. Вручную обходить 100+ рабочих мест - совсем не вариант.

В статье я поделюсь PowerShell-скриптом, который:

Сам обойдет все машины в сети
Соберёт подробную информацию о конфигурации
Сгенерирует удобные для восприятия HTML-отчёты
Складирует всё в вашу сетевую папку для удобства

Скрипт будет полезен системным администраторам, инженерам ТП, аудиторам и тем, кто устал вручную обходить все машины в организации.

Читать далее

После 13 лет разработки ReFS так и не готова заменить NTFS

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров11K

Со времени публикации комментария о «подводных камнях» файловой системы ReFS накопились наблюдения, заслуживающие отдельной статьи.

Читать далее

Установка Windows через CMD

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров18K

Приходилось ли вам устанавливать современные версии Windows? Если да, то вам точно знаком установщик, каждый этап которого прогружается несколько секунд, и который яростно навязывает вам использование аккаунта Microsoft, с каждым обновлением делая использование локального аккаунта всё труднее и труднее.

Но существует альтернативный способ установить Windows — более быстрый, не требующий подключения к интернету и не навязывающий никаких сервисов — ручная установка с использованием CMD.

Читать далее

AutoCraft Bot — Telegram-автоматизация Windows без монитора, глазами незрячего разработчика

Время на прочтение3 мин
Количество просмотров3.1K

Привет, Хабр!

Меня зовут Андрей. Я техник и системный админ. И хоть я незрячий, продолжаю разрабатывать инструменты для автоматизации, системного мониторинга и просто удобной жизни за компьютером. Этот пост — о моём первом публичном проекте, который я решил выложить на GitHub и рассказать о нём на Хабре.

Проект называется AutoCraft Bot. Это гибрид: Telegram-бот и десктопное приложение на Python. Он управляет компьютером, запускает плагины, делает скриншоты, работает с голосом, поддерживает REPL и Telegram API — и всё это в виде одного .exe

Читать далее

Уничтожение EXE: 640 Байт для программы на C

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров15K

В наше время разработчики уже не так беспокоятся о размере приложений. Некоторые простейшие приложения требуют под 200-300 МБ, а игра вообще может весить более 100 ГБ. Я уже не говорю про "Hello World", который иногда занимет под 180-260 КБ!

К счастью, есть возможность сократить размер приложения. О мусоре в exe'шнике и о способах его удаления написано в этой статье.

Читать далее

Chocolatey + PowerShell: как развернуть софт на 100 ПК за час

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров4.6K

Представьте: ваша организация закупила 100 новых компьютеров, на каждый из которых нужно установить десяток различных программ (текстовые редакторы, браузеры, средства коммуникации, разработки и тд.). Ручная установка займёт огромное количество времени, а ошибки и человеческий фактор удвоят затраченное время вдвое.

Но есть способ лучше - автоматизация через Chocolatey и PowerShell. В этой статье разберём:

1. Как развернуть ПО на всех машинах за кратчайший срок;
2. Как создать собственные пакеты и управлять ими;
3. Как внедрить данное решение в вашу организацию.

Если вы системный администратор, DevOps, ИТ-инженер или специалист ТП - постараюсь помочь сэкономить вам десятки часов рутинной работы.

Читать далее
1
23 ...

Вклад авторов