Мы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом мы получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями — то есть получили полный контроль над бортовым компьютером.

В этой статье я покажу вектор таргетированной атаки на трафик между EDR/XDR и сервером SOC. Через Bring Your Own Vulnerable Driver пропатчим Driver Signature Enforcement ядра Windows, после чего загрузим свой неподписанный драйвер Windows Filtering Platform, чистый по сигнатурам.

Серьезные организации используют продвинутые защитные решения. Относительно недавно вендоры систем кибербезопасности представили новый класс решений, с которыми значительно легче выявлять и расследовать инциденты, изучать картину происходящего и блокировать атаки. Эти решения назвали XDR — eXtended Detection and Response.