Теперь VirusTotal располагает отчётами утилиты Microsoft Sysmon

Теперь VirusTotal располагает отчётами утилиты Microsoft Sysmon

Теперь VirusTotal располагает отчётами утилиты Microsoft Sysmon

В честь 25-летия с момента выпуска набора утилит Microsoft Sysinternals разработчики решили ещё плотнее интегрироваться с популярным сервисом мультиантивирусной проверки файлов — VirusTotal. В частности, пользователи теперь смогут получить отчёт Microsoft Sysmon об анализируемом исполняемом файле.

Системные администраторы и ИТ-специалисты часто прибегают к Microsoft Sysinternals, когда нужно проанализировать необычное или странное поведение операционной системы Windows. Этот набор утилит также хорошо подходит для выявления причины багов и их устранения.

Помимо этого, эксперты в области кибербезопасности могут использовать Microsoft Sysinternals для детектирования подозрительной или вредоносной активности: например, System Monitor позволяет получить детализированный отчёт о том, что творится в ОС.

Интеграция с VirusTotal позволит сервису проверки файлов задействовать логи Microsoft Sysmon для исполняемых файлов в Windows 10. К слову, ранее Microsoft 365 Defender начал использовать отчёты VirusTotal в качестве важных данных для киберразведки.

Что касается Microsoft Sysmon, ИБ-сообщество уже давно признало пользу от этой утилиты. В прошлом году Национальный центр кибербезопасности Великобритании (NCSC) опубликовал инструкцию, в которой Microsoft Sysmon упоминается в качестве отличного ИБ-инструмента.

В блоге VirusTotal можно найти подробную информацию об интеграции отчётов Microsoft Sysmon в VirusTotal. Как отметили представители сервиса, этот шаг поможет всему сообществу безопасников выявлять индикаторы компрометации (IoC). В качестве примера отчёта можно обратить внимание на этот образец.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в UEFI Shell позволяет обойти Secure Boot на 200 000 ноутов

При разборе шелл-кода UEFI, подписанного сертификатом Microsoft, исследователи из Eclypsium обнаружили уязвимость, которую, по их словам, можно описать лишь как встроенный бэкдор — притом с доверенной подписью.

Легитимные инструменты диагностики предоставляли возможность получения доступа к памяти на чтение/запись с помощью команды mm (memory modify).

Оказавшись в руках злоумышленника, подобный инструмент позволяет эффективно нейтрализовать защиту Secure Boot и загрузить в систему любой код, в том числе буткит или руткит.

В доказательство своих выводов эксперты продемонстрировали атаку на Security Architectural Protocol, отвечающий за соблюдение политик Secure Boot в процессе начальной загрузки:

 

Уязвимые командные оболочки были обнаружены в прошивках UEFI, распространяемых в качестве обновления для Linux-компьютеров Framework. Тестирование с помощью специально созданных скриптов показало, что это не единственный затронутый вендор.

Получив уведомление, в Framework Computer удостоверились в наличии проблемы, определили охват (несколько моделей ноутбуков и десктопов, суммарно около 200 тыс. устройств) и в срочном порядке стали исправлять ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru