АНБ ведет слежку за иностранцами за пределами США

АНБ ведет слежку за иностранцами за пределами США

АНБ ведет слежку за иностранцами за пределами США

Американское Агентство национальной безопасности (АНБ) в соответствии со статьей 702 федерального закона Foreign Intelligence Surveillance Act (FISA) ведет слежку за 100 тысячами иностранцев за пределами США, сообщает телеканал CNN со ссылкой на американских высокопоставленных чиновников.

Статья 702 федерального закона США Foreign Intelligence Surveillance Act (FISA) позволяет вести наблюдение за отдельно взятыми зарубежными лицами за пределами территории США для получения разведданных, в том числе используемых для борьбы с международным терроризмом и противостояния киберугрозам.

По словам высокопоставленных представителей разведки и правоохранительных органов, статья 702 федерального закона о слежке защищает США от терроризма, распространения оружия и иностранного шпионажа, пишет ria.ru.

Неназванный высокопоставленный чиновник, уполномоченный делать заявления от лица АНБ, в беседе с телеканалом назвал статью "единственным самым важным действующим законодательным актом, которым располагает АНБ".

Ранее министр юстиции, генеральный прокурор США Джефф Сешнс и директор национальной разведки Дэниел Коутс написали письмо в конгресс с предложением сделать бессрочным закон, позволяющий вести электронную слежку за гражданами. В своем обращении Сешнс и Коутс напоминают, что соответствующие поправки к закону "О негласном наблюдении в целях внешней разведки" заканчивают свое действие в конце этого года. Речь идет о так называемом разделе 702 поправок от 2008 года, которым и регулируется электронная слежка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru