home.social
Sign in Create account

#sysmon — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #sysmon, aggregated by home.social.

  1. Habr @[email protected] ·

    CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки

    Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.

    habr.com/ru/companies/rvision/

    #изолированные_сети #уязвимости #trueconf #supply_chain_attack #soc #threat_hunting #sysmon #исследование_угроз #CVE20263502 #tampering

    #tampering #cve20263502 #исследование_угроз #sysmon #threat_hunting #soc
  2. Habr @[email protected] ·

    BYOVD-атаки на ядро Windows через драйверы: разбираю механику, воспроизвожу, строю защиту

    Вы настроили Sysmon, у вас работает EDR, события летят в SIEM. Создаётся процесс, вы видите Event ID 1. Загружается DLL, Event ID 7. Всё под контролем. А теперь кто-то загружает в систему один .sys-файл. Обычный, подписанный, из прошлого века. И события пропадают. Не потому что Sysmon упал или EDR отключили. Они работают. Просто ядро Windows больше не считает нужным им что-то рассказывать. Я залез внутрь, чтобы понять, как это устроено. Поднял WinDbg, подключился к ядру, нашёл структуры, где хранятся callback'и мониторинга. Обнулил их, повторив технику руткита Lazarus. Sysmon на месте, PID живой, но лог пустой. Меня зовут Роман Мгоев, я специалист по анализу киберугроз в Альфа-Банке, в статье пройду этот путь целиком: начиная с архитектуры колец защиты Windows, byte-патчей в памяти ядра и разбора FudModule от Lazarus обеих версий, до свежих техник zerosalarium и разбора публичных тулкитов, а в конце поделюсь семью направлениями детектирования с готовыми правилами для SIEM. Отдельный блок — про аудит драйверов, которых ещё нет ни в одной базе.

    habr.com/ru/companies/alfa/art

    #BYOVD #EDR #Windows_kernel #Sysmon #SIEM #Lazarus #ransomware #reverse_engineering #SOC #detection_engineering

    #detection_engineering #soc #reverse_engineering #ransomware #lazarus #siem
  3. Ichinin :verified: :verified_paw: ✅🎯🙄 @[email protected] ·

    Oh holy hell. This just shows that Microsoft need to clean up its act and get rid of such functionality to FIRMLY stand on the side of defenders. What the fuck were they thinking when they added support for custom registry hives? #registry #evasion #sysmon #edr
    deceptiq.com/blog/ntuser-man-r

    #registry #evasion #sysmon #edr