Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили.…
Почему в каждой новой версии Windows все драйверы датированы одним и тем же днём 21.06.2006 г.? Microsoft вообще когда-нибудь обновляет драйверы или они там собралась просто группа бездельников? Компания наконец-то ответила на этот вопрос и опубликовала пояснение в официальном блоге The Old New…
Драйверы — неотъемлемая часть операционной системы, но связанные с ними уязвимости часто недооцениваются. Windows очень легко загружает на уровень ядра практически любые драйверы: подписанные/неподписанные, старые/новые. Если вредоносный код распространяется таким образом, то…
Итак, садитесь поудобнее, сейчас я вам поведаю эпичную и немного трагичную сагу про мой бизнес, который, как старый «Запорожец», вроде и ехал, но в итоге заглох на обочине. Слева – грустный я, строю маркетинговые гипотезы, справа – счастливый я, строю канализационный коллектор Читать далее