2SDnjcoK9BL
Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).
Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection.
В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.
Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.
«Атака, связанная с внедрением в процессы создания приложений Windows на ранней стадии, делает её особенно "скрытной", так как она не требует модификации системных прав доступа и исключает подозрительные взаимодействия между процессами. Данная уязвимость может быть использована для обхода стандартных систем обнаружения угроз в целях загрузки вредоносного кода. С наблюдением за "активностью" процессов на устройстве поможет справиться платформа расширенной аналитики Ankey ASAP, позволяющая детектировать аномалии в поведении пользователей и сущностей. Для пресечения использования подобного рода уязвимостей следует обновлять системные компоненты, включая критически важные библиотеки, а также мониторить изменения в поведении инициированных процессов», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».
В рамках SOC Forum 2025 портал Cyber Media взял интервью у Андрея Жданухина, руководителя группы аналитики L1 GSOC компании «Газинформсервис» — как будет развиваться SOC в ближайшие годы на фоне бума технологий ИИ?
ASUS сообщила о киберинциденте, который затронул одного из её внешних поставщиков.
Депутаты приняли поправки, обязывающие операторов платёжной инфраструктуры передавать Росфинмониторингу данные обо всех переводах, проходящих через Систему быстрых платежей и НСПК.
Железнодорожные компании в Великобритании временно приостановили движение поездов после того, как в сети появилось изображение якобы обрушенного моста.
Журналист Simon Fondrie-Teitler разобрался в том, как работает Dekota - новый гаджет от Kohler за 600 долларов плюс подписка.
Исследователи Trend Micro обнаружили GhostPenguin - редкий многопоточный бекдор под Linux, который долгое время проходил мимо любых средств детектирования.
Еврокомиссия вынесла первое в истории решение по DSA и назначила X* штраф в размере 120 миллионов евро.
В Российском университете дружбы народов им.
Компания «ИнфоТеКС» объявляет о получении сертификата ФСБ России на программный комплекс ViPNet Client 5 for Linux.
Компания «Увеон – облачные технологии» объявляет о выходе Termidesk Connect 1.
