The Volatility Foundation som står bakom det IT-forensiska verktyget Volatility genomförde nyligen en tävling där den som tar fram det bästa pluginet till Volatility vinner 16000 SEK samt utbildning.
Vinnaren i tävlingen blev Monnappa K A som skapade hollowfind som underlättar detektion av process hollowing. En metod som avancerad skadlig kod såsom Stuxnet och Taidoor använt sig av. Metoden går ut på att byta ut en legitim process såsom lsass.exe mot den skadliga koden och på så sätt försvåra för antivirus samt IT-forensiska undersökningar.
Jag måste så klart testa detta nya plugin och se om det är möjligt att detektera Stuxnet, och som tur var så finns det färdiga minnesdumpar på infekterade datorer. Just denna minnesdump kommer från boken Malware Cookbook.
Först laddar vi hem minnesdumpen och packar upp den samt kontrollerar vilket OS som den skapats från:
$ for a in {a..d}; do wget https://github.com/ganboing/malwarecookbook/raw/master/stuxnet.vmem.zip.a$a; done
$ cat stuxnet.vmem.zip.a* > stuxnet.vmem.zip
$ unzip stuxnet.vmem.zip
$ volatility -f stuxnet.vmem imageinfo
$ export VOLATILITY_PROFILE=WinXPSP2x86
Vi ser då att två stycken lsass.exe flaggats som suspekta:
Type: Invalid EXE Memory Protection and Process Path Discrepancy
Volatility med HollowFind-plugin
Det var väl enkelt? Skulle vi analysera vidare så skulle vi även identifiera att lsass.exe lyssnar på port 500 samt 4500 vilket också är ett avvikande beteende. Även om man jämför antalet inladdade DLL:er:
Ett till plugin för att försöka identifiera skadlig kod följer med och heter malfind. Ett annat intressant bidrag i tävlingen och som kom på tredje plats är “The Advanced Malware Hunters Kit”.
Powershell är ett avancerat skript-språk till Windows som funnits i över 10 år där målet är att byta ut klassiska CMD.exe i framtiden (DOS-kommandotolk). Exempelvis så är standardskalet i Windows 10 just PowerShell. PowerShell är också populärt bland Windows-administratörer för dess förmåga att underlätta admin-arbete och har många olika funktioner vilket även gör det populärt för skadlig kod.
Enligt säkerhetsföretaget Symantec så är 95.4% av alla analyserade powershell-skript skadliga och många organisationer saknar förmåga att upptäcka skadliga powershell-skript uppger företaget. Detta för att loggningen är bristfällig i standardkonfigurationen. Att obfuskera och ändra i powershell-skript och således undgå enklare kontroller i form av strängmatchning och checksummor är också trivialt.
Den senaste alfa-versionen av PowerShell som heter version 6 har utökat stöd för loggning och flertalet olika säkerhetshöjande funktioner.
Följande PowerShell-versioner används som standard i Microsofts olika operativsystem:
Det finns PowerShell-skript för nästan allt, från att skapa ett nätverkssniffer eller för läsa ut lösenord. Vissa hot, t.ex. som Trojan.Kotver som försöker att ladda hem och installera PowerShells-ramverk om den inte är installerad på den infekterade datorn. Även så stödjer PowerShell att ladda hem och exekvera kod direkt i minnet vilket kan försvåra forensiska undersökningar.
Exempel på kod som laddar ner och exekverar kod från Pastebin:
Jag kanske skulle skriva en rubrik såsom ”Så lätt hackar du en Tesla” men detta hack verkar allt annat än lätt. Dock synnerligen intressant om det går att genomföra rent praktiskt då det kräver ett antal olika steg för att lyckas.
Det är Keen Security Lab vid företaget Tencent som identifierat en säkerhetsbrist i Teslabilens Gateway ECU (Model S).
Genom att utnyttja en sårbarhet i bilens webbläsare så kan en antagonist få tillgång till bilens CAN-buss fjärrmäsigt och styra bilen. Detta genom en sårbarhet i bilens hantering av firmware. CAN-bussen används som en datasluss internt inom bilen för att kommunicera med exempelvis bromssystem, farthållare, anti-krocksystem och växellåda.
Amerikanska Department of Homeland Security (DHS) har därför gått ut med en varning och meddelar att en mjukvaruuppdatering har genomförts och kommer att automatiskt uppgraderas i bilen. Dock så påpekar DHS följande:
Crafting a working exploit for this vulnerability would be difficult. A complex chain of exploits is required, including a web browser compromise, local privilege escalation, and custom-built firmware.
Sårbarheten har CVE-2016-9337 och Tesla släppte uppdateringen den 18:de September 2016. Och för några veckor sedan så visade ett norskt företag hur en Tesla-bil kan stjälas genom att angripa ägarens mobiltelefon.
Tyska IT-säkerhetsföretaget Cure53 har nu släppt en rapport gällande granskning av cURL. Granskningen sponsrades av Mozillas Secure Open Source och identifierade 23 säkerhetsrelaterade problem i källkoden.
Koden granskades av fem personer under 20 dagar samt så var fokus på cURL version 7.50.1. Av dessa 23 identifierade problem så var 9 st klassade som sårbarheter och 14 st som generella svagheter.
Fyra sårbarheter kan troligtvis leda till RCE (Remote Code Execution). Men du kan dock vara lugn för samtliga dessa rapporterade brister har åtgärdats den 2:a November och en uppgradering 7.71.0 löser problemen.
Eller loggen för åtgärder som finnes på Google Docs.
Samt så kan du ladda hem Cure53:s rapport som PDF i sin helhet här nedan. Som vanligt så är det alltid intressant att läsa andras granskningar och således själv lära och bli en bättre granskare.
Den amerikanska myndigheten NIST släppte nyligen uppdaterade rekommendationer gällande hantering av lösenord. Dessa uppdaterade rekommendationer kommer precis lagom till det att SVT Dold uppdagat att massor av läckta lösenord och användaruppgifter finns på nätet att tanka ner. Många av dessa läckta lösenord är så klart hashade eller krypterade som i fallet med Adobe (läs här hur du knäcker lösenord).
Dessa nya rekommendationer från NIST innehåller bl.a. att användare ska ges möjlighet att välja lösenord upp till 64 tecken. Även ska lösenord tillåtas att innehålla specialtecken såsom unicode, space och emojis.
En annan bra sak är att rekommendationerna från NIST anser att du bör kontrollera de lösenord som användaren anger mot listor med vanligt förekommande lösenord. Samt så bör du ta bort password hints och Knowledge-based authentication (KBA) såsom frågor ”din moders ogifta efternamn”, ”din förstfödde hunds bästa kompis”.
Minst 32 bitar slumpad salt ska användas samt en hashfunktion godkänd av NIST såsom PBKDF2 och med minst 10,000 iterationer.
Dokumentet innehåller även en hel del andra vettiga saker såsom att SMS för 2FA inte bör användas (troligtvis pga SS7 attacker och nummerportabilitet mellan operatörer).
Avsnitt 2 av SVT Dold kan du se här: www.svtplay.se/video/11171365/dold/dold-sasong-2-avsnitt-2
Uppdatering: SVT har av någon anledning tagit bort avsnittet.
Detta är en sammanfattning av ett antal föreläsningar under Blackhat Europe 2016 som gick av staplen i London. En sammanfattning från dag 1 kan du läsa här.
Identifiera nya sårbarheter i webbapplikationer med hjälp av backslash
Problemet med många av dagens automatiska sårbarhetsskanners är att de bara identifierar lågt hängande frukter. Att skicka många webbförfrågningar automatiskt för att täcka samtliga buggar är helt enkelt omöjligt. Därför har James valt att försöka bygga en ny extension till Burp där målet är att identifiera bugg-klasser istället för enskilda sårbarheter.
Detta gör han genom att skicka tester för buggklasser istället för enskilda sårbarheter. Exempelvis så testas escape-hanteringen av input-data och observerar output.
Som test så listade han samtliga Bug Bounty-program som tillåter automatiska skanningar. Även så skrev han ytterligare en extension till Burp Suite som begränsar antalet förfrågningar per domän till 3 st.
Så förhindrar du att Big Data används för att analysera ditt liv
Föreläsare: David Venable från Masergy Communications
David Venable har en bakgrund från att arbetat på amerikanska myndigheter såsom NSA. Han berättar att mer och mer metadata och data samlas in av myndigheter och företag. Föreläsaren är dock inte oroad för att myndigheter missbrukar data utan mer de företag som sparar på sig metadata och inte har samma rutiner för att förhindra missbruk.
Att dra slutsatser med algoritmer och felaktig data kan få ödesdigra konsekvenser. Exempelvis att du är uppkopplad mot samma mobilmast som en terrorist, dvs du råkar bara befinna dig på fel ställa vid fel tidpunkt.
Det kommer troligtvis mycket snart att finnas försäkringsbolag som börjar att använda GPS-data, inköposdata och annan data.
Även går han igenom alla olika metoder som kan användas för att spåra en person. Såsom vilken handstil du använder, skrivbeteende eller vilka tider du är aktiv.
Intressant också är att om du har för lite information på nätet så blir du automatiskt misstänkt. Exempelvis gör kinser och ryssar detta så fort det kommer en ny diplomat. Om det finns för lite information så klassas personen automatiskt som CIA undercover-agent.
Injektion av felaktigheter i säkra bootprocesser
Föreläsning av Niek Timmers & Albert Spruyt från Risecure
Genom att påverka strömstyrkan vid rätt tillfälle och inte för mycket och inte för lite så kan fel introduceras i hårdvara. Det är dock svårt att exakt påverka vad som kommer att hända när fel introduceras.
Forskarna som presenterar har tagit fram en ny metod vid namn instruction corruption. Denna metod kan användas för att angripa SecureBoot-processer. Desto tidigare in i uppstarts-processen desto högre behörigheter har koden som körs, men dock så är det mindre kod i början och mer i slutet av uppstartsprocessen. Dvs mindre attackyta i början av uppstartsprocessen.
För den som vill testa hemma så finns det en hårdvara vid namn ChipWhisperer Lite som underlättar fault-injection attacker.
Observera att du kan bricka enheten om du glitchar för hårt. Olika värden att kontrollera vid attacken:
Väntan innan injektion
Voltstyrka
Tiden för injektion
För att ta sig förbi SecureBoot så måste en if-funktion påverkas så att en RSA-verifiering lyckas istället för misslyckas. Och tittar man på assembler-koden så finns det minst fyra ställen som opkoden kan påverkas för att starta upp på en annan mjukvara.
Men hur förhindrar tillverkarna denna typ av attack? Jo det måste göras genom flertalet olika metoder. Bl.a. genom att införa multipla kontroller på olika ställen. Men även om tillverkaren lägger in exempelvis dubbla memcmp:s så optimerar kompilatorn bort den ena av denna.
Det forskarna har gjort nu som är nytt är dom bygger nya attacker genom att introducera logiska sårbarheter, exempelvis storleken vid en memcpy.
Vad händer med krypton efter kvantdatorernas intåg?
Föreläsning av Jennifer Fernick från University of Waterloo
Detta är den första kvinnliga föreläsaren som jag lyssnar på under konferensen, vore så klart trevligt med en ännu mer diversering av talare. Hur kommer ett kryptoarmageddon att se ut? Troligtvis kommer det inte att vara som när en ny iPhone-modell som står överallt i nyheterna.
Med tanke på problemen att gå från 3DES till AES så kommer post-quantum crypto att vara ett stort problem.
Quantum-safe security beror på: Kryptografisk forskning, standarder, system/integration och leverantörer/tillverkare (även open source).
Även om exempelvis TLS stödjer post-quantum algoritmer så dyker andra problem upp exempelvis att stödja längre nycklar.
Just nu finns följande post-quantum krypton ute i stora drag:
TLS med post-quantum algoritmer
Tor circuts med algoritmer
Hash-baserade signaturer
Off-the-Record Messaging (OTR) är ett område där föreläsaren har fokuserat på.
Signal-protokollet baseras på många delar av OTR. Diffie-Hellman är exempelvis inte säkert för beräkningar utförda av kvantdatorer. AES försvagas från 256-bitar till 128 bitar exempelvis.
Projektet Open Quantum Safe (OQS) har implementerat många av post-quantum algoritmer:
Denna vecka befinner jag mig i London på cybersäkerhetskonferensen Blackhat. Konferensen går i USA, Asien samt Europa årligen. Tidigare har konferensen varit i Amsterdam, Barcelona och denna gång var det Londons tur. Priset för konferensen ligger på runt 1000€ och den som vill kan även gå utbildning två dagar innan konferensen (briefings) börjar.
På konferensen finns det fyra olika spår med olika inriktning. Jag har blandat mellan dessa olika spår och skrivit sammanfattningar nedan från den första dagen. Presentationen som PDF finnes även efter varje sammanfattning.
Föreläsare: Elvis Hovor och Mohamed El-Sharkawi från Accenture
Förr eller senare blir alla organisationer drabbade av intrång, och det första vi gör är att använda våra verktyg och metoder för att undersöka intrånget. Även så kräver undersökningar efter ett intrång mycket resurser framförallt i form av tid.
Föredraget och forskningen bakom handlar om att förkorta tiden att från ett larm eller befarat intrång till att det går att bekräfta intrånget. Det kan röra sig om veckor eller månader i dagsläget. Frågor som incidentutredningen måste besvara är såsom vem låg bakom, vilken information har vi blivit av med, hur tog dom sig in, varför gjorde de intrånget.
Målet är att på ett formaliserat och återupprepat sätt fokusera på:
Snabbare utredningar
Enklare utredningar
Ta bort tråkiga och autonoma delar
En oerfaren forensiker kan göra avancerade utredningar
Minska risken inom organisationen genom att förkorta tiden
Hur kan vi analysera manuella moment och kompetenser hos en individ som genomför en forensisk utredning och automatisera detta och bygga ett verktyg för att göra detta.
Fyra huvudkategorier som forskningen fokuserar på:
Omfattande cyberontolog: Unified Cyber Ontology (UCO), ICAS och CMU Insider Threat Ontology
System som kan dela information och prata med varandra: STIX CybOX CVE
Maskininlärning och kognitivitet: DFAX, CRE
Globalt incidenthanteringskorpus
Kognitiva modeller som använder Binary Tree Traversal med en egenutvecklad poängtabell. Genom att analysera flertalet olika vägar i trädet som ger olika poäng så kan bästa metoden att genomföra en incidentutredning identifieras, “workflow paths”.
Efter ett tag kunde forskarna förbättra utredningarna och även förbättra den kognitiva modellen med en Markov-kedja. Bygga incidenthanteringsrobotar med hjälp av SPARQL.
Förläsare: Mateusz Jurczyk från Google Project Zero
Att fuzza handlar om kort och gott om att automatiskt generera mängder med indata till mjukvara och förstå hur mjukvaran hantera dessa olika inputs. Arbetet börjar med att identifiera olika typer av indata exempelvis i form av olika filformat. Dessa filformat kan sedan innehålla mycket komplexa strukturer. Att crawla internet efter exempelfiler är också en metod att hitta nya testfiler.
Genom att analysera mjukvaran som ska fuzzas och hur denna laddar in filer så är det även möjligt att se vilka filformat som supportas. Detta är viktigt för att försöka ladda in så många olika filtyper som möjligt och fuzza dessa. Det är även bra om så få ändringar som möjligt nå så många funktioner inom programmet som möjligt “byte to function ratio”.
Att se code coverage genom att räkna hur många basic blocks som träffas är en grov men ändå bra metod att se hur mycket av koden som träffas i fuzzningen. Dock kan vissa vägar inom samma block missas om det finns if-sats eller liknande. AFL av lcamtuf har tänkt på vissa av dessa problem i AFL technical whitepaper.
SanitizerCoverage är ett verktyg som lätt och enkelt kan mäta code-coveredge.
Nytt förslag från Mateusz är att generera trace-filer efter varje fuzzning som beskriver hur en viss input uppnår en viss sökväg inom programmet.
I Wireshark har han hittat 35 st olika sårbarheter som åtgärdats. Han kompilerade Wireshark med ASAN och AsanCoveredge, och Wireshark var ett bra mål för att majoriteten av alla dissectors är skrivna i programspråket C.
Det andra programmet han har lagt mycket tid på att fuzza är Adobe Flash, där identifierade han bl.a. två nya filformat som Adobe Flash accepterade som inte var dokumenterade. Han hittade 7 nya sårbarheter genom att fuzza dessa odokumenterade format.
Föredraget handlar om att cyberskurkar blir bättre på OPSEC och lämnar mindre och mindre spår efter sig. Han ska försöka sig på att spåra skurkarna även om de byter smeknamn på internetforum.
Rekommenderar boken Activity based intelligence. Recorded Future har sparat på sig data under 4 år och crawlar många forum och darkweb-sidor. Stödjer 7 olika språk. De har nu identifierat 1,4 miljoner olika smeknamn på forum där 96.6% enbart är använda en gång.
Bygga kluster av aktivitet över längre tid på profiler som återfinnes på forum. Detta blir sedan heatmaps/swimlanes som kan jämföras mellan forumprofiler.
Det är möjligt att identifiera när en person på ett forum byter smeknamn genom att analysera aktivitet. Även går detta att analysera på Tor HiddenServices-forum. Detta är bara indikationer på att det kan vara samma person som är bakom ett smeknamn och bör kompletteras med mer information.
TheRealDeal Market är en marknadsplats för diverse illegala prylar såsom 0-days, droger och RAT:s.
Att ta sig förbi webb-brandväggar med hjälp av maskininlärning
Föreläsare: George Argyros och Ioannis Stais
En webbapplikationsbrandvägg fungerar genom att normalisera indata för att sedan matcha detta mot ett regelverk i korta drag. Regelverket kan vara i form av signaturer eller regular expressions. Om någon matchar så migreras sedan attacken på olika sätt genom att exempelvis helt enkelt blockera http-förfrågan.
Sedan går föreläsarna igenom några vanliga problem med denna typ av webb-brandväggar. Dessa problem kan vara felaktig normalisering av indata eller stöd för vissa protokoll som angriparen använder sig av. Ett enkelt sätt att ta sig förbi en webb-brandvägg kan vara att enbart använda single vs dubbel-quotes.
Genom att använda Angluins algoritm så kan en aktiv inlärningsalgoritm utvecklas. Denna algoritm kan sedan lära sig om eventuella problem som uppstår i WAF:en (web application firewall).
Denna metod kan även användas för att göra fingerprinting och således lista ut vilken typ av waf som används.
Föreläsare: Tal Be’ery och Itai Grady från Microsoft Research
Detta var helt klart dagens mest intressanta föredrag. Främst eftersom det först fokuserade på hur Microsoft lär sig av angriparen och sedan kan använda denna information till att detektera attacker samt bygga in skydd i Windows mot dessa. Även ett aktuellt ämne.
Angripare och försvarare har mycket gemensamt. Försöka ta sig in och sedan eskalera sina behörigheter genom att söka igenom nätverk och klienter. Från exempelvis att gå på ett phishing-mail till Microsoft domän-admin och exfiltration av känslig information.
När ett konto har identifierats så används någon av följande kommandon för att köra kod fjärrmässigt:
PsExec
Remote PowerShell WinRM
WMIexec
Följande bild illustrerar attack kill chain:
Vi behöver lära oss TTPs om våra angripare
Tools
Techniques
Procedures
Antagonisten är intresserad av användare som är domän-administratörer. Detta kan kontrolleras med SAMR över nätverket mot en domänkontrollant (DC).
För automatisera detta kan PowerSploit användas som ett PowerShell-script. Även kan verktyget BloodHound hjälpa till med att leta upp administratörer på nätverket. Nåväl, Microsoft Research har nu själva utvecklat ett nytt verktyg vid namn GoFetch som bygger en attackplan samt har inbyggt stöd för mimikatz.
Eftersom detta är ett problem för Microsoft så har de nu implementerat begränsningar i Windows 10. RestrictRemoteSAM är en ny registernyckel som kan sättas. Windows Server 2016 har också denna registernyckel.
Shadow Brokers är en grupp som släpper filer relaterade till Equation Group vilket av många anser vara en hackergrupp inom den amerikanska underrättelsemyndigheten NSA.
Denna gång släpper Shadow Brokers en mängd med hostnamn och IP-adresser med tillhörande information. Det nya släppet innehåller cirka 300 kataloger och tillhörande filer i en struktur som ser ut att möjliggöra omstyrning av Internet-trafik (C&C). Troligtvis har dessa servrar och klienter hackats någon gång i tiden och sedan utnyttjats vidare för att utföra vidare angrepp.
Denna nya släppta information är dock troligtvis mycket gammal och härrör från 2000 till 2010, exakta tidsstämplar pekar på 22:a Augusti 2000 kl 13:50:45 till 18:de Augusti 2010 kl 11:43:46.
Gemensamt är att många av de många servrar som återfinnes använder sig av Sendmail. Troligtvis så har en säkerhetsbrist i Sendmail utnyttjats:
Även så förekommer även en hel del nya projektnamn såsom DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK och STOICSURGEON.
Och de länder som hackade servrar återfinnes i är topp 10 följande:
Även så återfinnes ett antal servrar på KTH:s datorförening Stacken. Dock verkar ingen av dessa servrar finnas kvar längre.
Katalogstrukturen ser ut enligt följande och majoriteten refererar till Sun Solaris som operativsystem:
Och filerna innehåller konfigurationsinställningar, exempelvis denna:
Under föregående vecka så genomförde TV4 Nyheterna en granskning på ett antal olika myndigheter samt sjukhus. Granskningen gick ut på att en reporter besökte dessa ställen med ett USB-minne och sedan frågade om de kunde skriva ut ett dokument som låg på minnet.
Attacken är allmänt känd sedan tidigare för oss som jobbar med cybersäkerhet och går ut på att antagonisten kombinerar två olika förfaranden, dels social engineering där en individ utnyttjas och luras att stoppa in minnet i en dator. Den delen av attacken använder USB-minnet som en bärare av skadlig kod eller emulerar ett tangentbord (rubber ducky attack).
Även om inslaget lyfter upp en viktig poäng så brister själva förfarandet från TV4. Det är också tråkigt att en av myndigheterna i en intervju påpekar att en individ som har gjort fel.
Om du använder Social Engineering som en attackvektor så kommer alltid en individ att göra fel förr eller senare, därför bör det förutom administrativa rutiner finnas övriga säkerhetshöjande åtgärder som försvårar social engineering-attacker.
Även att påstå som TV4 gör ”ett USB-minne med skadlig kod”, vad för typ av skadlig kod? Tänker de lura någon att klicka på skadlig Exe-program? Öppna ett Word-dokument med makron?
De myndigheter som stoppa in ett USB-minne i en dator är rödmarkerade här:
Men hur kan det bli så att myndigheter och sjukhus brister i sina rutiner, om de har några överhuvudtaget gällande USB-stickor.
Jag tror nämligen att dessa undersökta organisationer inte har genomfört följande:
Utbildat sina anställda och konsulter/leverantörer om säkerhetspolicys, om sådana överhuvudtaget finns. Vi ser exempelvis i TV4-inslaget att ett annat företag har hand om receptionen.
Övat och testat att rutiner fungerar. När testade Er organisation hur många som går på phishing-mail senast?
Införa tekniska metoder att försvåra Social Engineering och USB-attacker.
Viktigt också är att poängtera att bara för att någon pluggar in ett USB-minne i en dator så betyder det inte att systemet är sårbart. Det kan finnas ytterligare åtgärder såsom nedlåsningar, antivirus, vitlistning och fristående system som gör svårt att utnyttja USB-attacker.
Organisationer med höga assuranskrav bör givetvis använda ett ett fristående system för USB-överföringar som ökar säkerheten. Sådana system heter bla. Hunna och Impex från Sysctl AB.
En ny riktad cyberattack har upptäckts av Google Threat Analysis Group. Attacken använder sig av en sårbarhet i Adobe Flash Player och har fått CVE-2016-7855.
Operativsystem som är såbara för denna nya säkerhetsbrist är Flash Player under Windows, Linux, samt Mac OS X. Även den medföljande Flash-spelaren i Chrome OS samt Edge/Internet Explorer 11 är sårbar.
Detta är inte första gången detta år som zero-days har uppdagats i Flash, för Adobe släppte kritiska uppdateringar även i April, Maj och Juni. Denna uppdatering ligger således utanför Flash Players regelbundna uppdateringscykel. Denna säkerhetsbrist är en såkallad use-after-free sårbarhet.
Även CERT-SE vid Myndigheten för samhällsskydd och beredskap rekommenderar en skyndsam uppgradering.
Såbarheten är åtgärdad i version 23.0.0.205 samt 11.2.202.643 till Linux. För mer info se Adobes webbsida.
Det är i dagsläget oklart hur Google uppdagade denna sårbarhet men troligtvis så har Google system och metoder för att upptäcka zero-days mot riktas mot dem eller fastnar i dess sensor-nätverk. Google Mail (GMail) genomför exempelvis antivirus-skanning på samtliga bilagor.
The Volatility Foundation som står bakom det IT-forensiska verktyget Volatility genomförde nyligen en tävling där den som tar fram det bästa pluginet till Volatility vinner 16000 SEK samt utbildning.
Powershell är ett avancerat skript-språk till Windows som funnits i över 10 år där målet är att byta ut klassiska CMD.exe i framtiden (DOS-kommandotolk). Exempelvis så är standardskalet i Windows 10 just PowerShell. PowerShell är också populärt bland Windows-administratörer för dess förmåga att underlätta admin-arbete och har många olika funktioner vilket även gör det populärt för skadlig kod.
Tyska IT-säkerhetsföretaget Cure53 har nu släppt en rapport gällande granskning av cURL. Granskningen sponsrades av 
Föreläsning av Jennifer Fernick från University of Waterloo
