Simone Margaritelli retweetledi
Simone Margaritelli
19.4K posts

Simone Margaritelli
@evilsocket
Music, cybersecurity, open source and AI • Author of bettercap, pwnagotchi, opensnitch, bleah, legba and a few other things. Chief Architect @ 🥷
Katılım Ocak 2009
1.9K Takip Edilen47.8K Takipçiler
Simone Margaritelli retweetledi

@rez0__ duuuuude did you see that? 1st round, SO TIGHT. Also what a f bummer
English
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi

This is a mother shielding her child with her own body during yesterday’s russian strike on Sumy.
This is why Ukrainians don’t owe anyone an explanation for refusing to shake hands with russians, for not wanting to see them at the Olympics, or welcomed back into the civilized world.
This is why.

English
Simone Margaritelli retweetledi

Microsoft自身がDefenderに同梱して署名したカーネルドライバーだけで、あらゆるEDRを外部持ち込みなしに強制終了できるPoCツール「DefenderKiller」の解析が公開されました。脆弱なドライバーを外から持ち込む従来のBYOVDと違い、標的環境に最初から存在するMicrosoft署名済みドライバー(KSLDriver[.]sys)を悪用するため、ドライバー署名強制もブロックリストも素通りし、公開時点でVirusTotalの検知は70製品中ゼロだったとのことです。
【手口の詳細】
・KSLDriver[.]sysはWindows-Defenderのカーネルサポート基盤の一部としてMicrosoftが正規に署名したドライバーで、Windows-7〜11の署名強制(2026年4月のドライバー信頼ポリシー有効時を含む)を通過。Microsoftの脆弱ドライバーブロックリスト(DriverSiPolicy[.]p7b)は設計上Microsoft自身の署名ドライバーを除外するため、無警告でのロード
・唯一のアクセス制御はレジストリ値AllowedProcessNameに登録されたプロセスのNTパスとの照合のみ。ドライバーのロードには元々管理者権限が必要なため、自分の実行ファイルのパスを事前に書き込めば署名も証明書も検証されず認証を通過
・最も巧妙な点は、プロセス終了がIOCTL送信時ではなくハンドルを閉じた瞬間(IRP_MJ_CLEANUP)に発火する設計。IOCTL(コード0x222044のサブコマンド8)は対象のPIDをEPROCESS参照として保存するだけで、CloseHandleでカーネルがZwTerminateProcessを呼び出して初めて対象が停止する仕組み
・カーネルモードのZwOpenProcess/ZwTerminateProcessはユーザーモードからのアクセスを拒むPPL(Protected-Process-Light)保護の制約を受けないため、通常は外部から終了できない保護されたEDRプロセスも強制終了が可能。実証ではCrowdStrike-Falconのサービスプロセスの停止に成功したとの報告
・限界はプロセス終了のみで任意メモリの読み書きはできない点、および一部EDRがwatchdogやセカンダリのカーネルコンポーネントでプロセスを再生成しうる点。ただし対象プロセス名を列挙してループで狙えば回避可能との報告
・関連する既報として、4月に別の研究者が別のMicrosoft署名済みドライバー(別IOCTL・別ツールPoisonKiller)で同種の強制終了を実証した事例も紹介済み。Microsoftの署名信頼の仕組みを署名済みドライバー自体で突く手口が複数の独立した研究から報告されている状況
Microsoftが自ら署名したプロセスキラーが10年以上Defenderに同梱されたまま、同社自身のあらゆる保護を回避できる状態で放置されてきたと指摘されています。
詳細は以下を参照:
@jehadbudagga/born-to-defend-weaponized-to-kill-af4b85c1a43c" target="_blank" rel="nofollow noopener">medium.com/@jehadbudagga/…
(※可能な範囲でファクトチェックは実施済なものの、元記事の精度依存や速報・要約の性質上漏れもありうるため、正確な情報は一次情報を直接参照のこと)

日本語

BLE testing is a scavenger hunt: hcitool, bettercap, gatttool, and a throwaway Bleak script every time.
Caeruleus replaces the whole pile with one Go binary. Scan, enumerate, fuzz, and run structured BLE security assessments. Free + open source. 🔵
Full Write Up: praetorian.com/blog/ble-testi…
Grab it on GitHub: github.com/praetorian-inc…
Need a connected device tested end to end? praetorian.com/contact-us/
#BLE #IoTSecurity #OffensiveSecurity #Praetorian #PraetorianGuard

English
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi

Every enemy fights differently.
Understanding unique attacks and movement patterns will help you survive and attack back!
Ready to put your skills to the test? Try the free Code RAPID demo on Steam! (Link in bio!)
#Mecha #indiegame #CodeRapid #Steam #Kickstarter
English
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi

@0xInuarashi it depends which side of the echo chamber you are at I guess! for some, it's realizing there's an entire planet of people who don't care about AI
English
Simone Margaritelli retweetledi
Simone Margaritelli retweetledi






















