Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Малварь как искусство Фреймворк для тестирования антивирусов

PIN
  • 4 733
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?

1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...
Продолжить...
Исследование защиты Разработка малвари. Уроки

ВАЖНО [КНИГА] Разработка драйверов для Windows

PIN
  • 2 915
  • 1
1697104372490.png


Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:
  • Драйверы физических устройств.
  • Сетевые драйверы и фильтры.
  • WFP (Windows Filtering Platform).
  • Более подробная информация о мини-фильтрах файловой системы.
  • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
  • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
...
Продолжить...
Разработка драйверов для Windows

[Книга] Введение в разработку вредоносных программ

PIN
  • 3 353
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...
Продолжить...
Разработка малвари. Уроки

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

PIN
  • 4 704
  • 2
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.

ru-sfera.pw

Зачем изучать разработку вредоносных программ ?

Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

ВАЖНО - Важная тема по созданию payload и shell code

В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка малвари - 2. Изучаем инструменты

В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?

Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды

Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка малвари - 5. Изучаем динамические библиотеки

В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка малвари-6. Процессы Windows

В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
ru-sfera.pw ru-sfera.pw

[URL...
Продолжить...
Разработка малвари. Уроки

Информация Атака на ДоХтор веб

Окт 15
  • 55
  • 2
1728992785523.png


Как
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
специалисты Data Leakage & Breach Intelligence (DLBI), хакерская группировка DumpForums заявила о компрометации инфраструктуры компании «Доктор Веб».

При этом через официальный Telegram-бот компании пользователям пришли сообщения о взломе, а хакеры уже опубликовали дампы нескольких БД внутренних ресурсов.

1728992827373.png


По информации DLBI, хакеры обнародовали дампы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и так далее. Исследователи пишут, что данные актуальны на 17 сентября 2024.

1728992853976.png


1728992873209.png

В своем Telegram-канале группировка заявляет, что похитила у компании более 10 ТБ данных и скрывалась в сети компании более месяца.

«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер...
Нажмите, чтобы раскрыть...
Продолжить...
Новости Общая информационная безопасность

Информация Супер-майнер, многолетнее вживление

Окт 05
  • 382
  • 4
1728111626596.png


Вредоносное ПО под названием "perfctl" на протяжении как минимум трёх лет нацелено на серверы и рабочие станции Linux, оставаясь в основном незамеченным благодаря высоким уровням скрытности и использованию руткитов.

Согласно исследователям Aqua Nautilus, которые обнаружили perfctl, это вредоносное ПО, вероятно, нацелилось на миллионы серверов Linux за последние годы и, возможно, заразило несколько тысяч из них.

Эти выводы основаны на многочисленных сообщениях жертв вредоносного ПО, опубликованных на онлайн-форумах, все из которых содержат индикаторы компрометации, связанные исключительно с активностью perfctl.

Вектор атаки — неверно настроенные сервера и утёкшие данные доступа. Руткиты для скрытности, сокет Unix для внутренней коммуникации и TOR для стука вовне.

Малварь также резко обрубает активность, если юзер заходит на сервер. Так, у одного юзера ЦП шкалил под 100%, но вредонос сразу отключался при логине через SSH...
Продолжить...
Исследование защиты Общая информационная безопасность Разработка малвари. Уроки

Информация Хукаем ReadProcessMemory и запрещаем x64dbg читать память нашего приложения.

Сен 23
  • 440
  • 1
Всем привет!
Пришло в голову попробовать хукнуть ReadProcessMemory функцию внутри x64dbg и посмотреть на результат.
Как по мне, получилось неплохо, в этой статье я коротко расскажу как я это реализовал.

Для хука я использовал библиотеку Detours, так-же можно использовать MinHook.
Для начала создадим нужную функцию, которой мы заменим оригинальный ReadProcessMemory.
C++: 
typedef BOOL(WINAPI* READPROCESSMEMORY)(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
    ); READPROCESSMEMORY original_ReadProcessMemory;

BOOL hook_ReadProcessMemory(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
)
{
    if (lpBuffer != NULL) {
        memset(lpBuffer, 0x90, nSize);
    }
    if (lpNumberOfBytesRead) {
        *lpNumberOfBytesRead = nSize;
    }
    return TRUE;
}

В данном хуке, мы получаем размер буфера и заменяем все значения в нем...
Продолжить...
Исследование защиты

ПЕНТЕСТИНГ Что такое DDoS Amplification и с чем его едят?

Сен 22
  • 517
  • 4
Всем привет!

Написание этой статьи я начал несколько месяцев назад, а потом забил на это.
Но сейчас я нашей наброски и решил все написать с нуля.

В этой статье я хочу более подробно углубиться в DDoS.
В первой части этой статьи, мы разберем:
Что такое DDoS Amplification?
Если говорить простыми словами, в интернете есть разные сервера
Эти сервера иногда используют уязвимые сервисы, которые помогают усилить нашу атаку.

Требования для исполнения атаки?
Для начала вам понадобится VPS/VDS, с IPHM Enabled (IP HEADER MODIFICATION Enabled).
ВНИМАНИЕ!!!! НЕ СТОИТ ИСКАТЬ ТАКИЕ ХОСТИНГИ ПО ЗАПРОСУ В ГУГЛ/ЯНДЕКС.
95% "ХОСТИНГОВ" КОТОРЫЕ ЕСТЬ В ГУГЛЕ ПО ЗАПРОСУ IPHM VPS - СКАМ!!!!
100% скам который я проверил на себе (строго избегать этих хостингов):
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Как проверить возможность спуфинга на...
Продолжить...
Исследование защиты

Новость Атака на Яндекс-Браузер

Сен 06
  • 669
  • 1
Изучая неудавшуюся целевую атаку на неназванного российского оператора грузовых железнодорожных перевозок, исследователи «Доктор Веб»
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
малварь, которая пыталась использовать уязвимость в «Яндекс Браузере» для закрепления в скомпрометированной системе.

В марте 2024 года к специалистам обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. Ознакомившись с полученным запросом, аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Злоумышленники хотели собрать информацию о системе и развернуть модульную малварь на взломанной машине.

1725616653320.png


Атака началась с фишингового письма, замаскированного под резюме соискателя. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Однако...
Продолжить...
Исследование защиты Новости Общая информационная безопасность

На заметку Функция Recall в Windows 11. Шпион

Сен 06
  • 447
  • 0
Напомним, что функцию Recall представили в мае 2024 года. Она призвана помочь «вспомнить» любую информацию, которую пользователь просматривал в прошлом, сделав ее доступной с помощью простого поиска.

Так, Recall, которую планировали включить по умолчанию на всех новых ПК Copilot+, делает снимок активного окна на экране каждые несколько секунд, записывая все, что происходит в Windows, будь то просмотр сайтов в браузере, общение в мессенджере или работа с другими приложениями.

Полученные снимки обрабатываются нейронным процессором (Neural Processing Unit, NPU) устройства и ИИ-моделью для извлечения данных со скриншотов. Затем информация сохраняется в SQLite, и пользователи Windows могут осуществлять поиск по истории с помощью запросов на родном языке.

В итоге Recall
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
как со стороны ИБ-экспертов, так и со стороны защитников конфиденциальности. Специалисты сравнивали функцию...
Продолжить...
Общая информационная безопасность

На заметку Грокаем алгоритмы искусственного интелекта

Сен 01
  • 628
  • 0
1725201237200.png


Всем привет !)

Может кому будет интересно почитать, наткнулся на две книги, последняя кстати совсем новая 2024 года, нашёл в сети второе издание "Грокаем алгоритмы".)

Грокаем алгоритмы искусственного интелекта:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Грокаем алгоритмы. 2-е издание:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Думаю интересно почитать, в книгах всё описано доступным языком, это вам не книги Кнута, но эти книги для новичков, или кому просто интересны алгоритмы и устройства ИИ.

Первую книгу также рекомендую студентам или кто готовится к собесам.)
Продолжить...
Всякое Курсы и уроки

Юмор Прикол с овечкой

Авг 24
  • 577
  • 2
1724488624039.png


Выдрал из этих тем:

ru-sfera.pw

На заметку - Разработка настоящего вируса в 2024 году

Перевод:.:: Phrack Magazine ::. --[ Содержание Введение Планирование вируса Проектирование вируса Создание вируса Решение проблем при разработке 5.1. Исходный дизайн неудачен 5.2. Антивирус ловит вирус Заключение Приветствия Ссылки Артефакты --[ 1. Введение Нет ничего более захватывающего...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Вирусняк, который не работает

Я тут создал тему:На заметку - Разработка настоящего вируса в 2024 году Где мне стало интересно собрать виря и глянуть как он работает. Если вкратце, он должен-был заражать исполняемые файлики и при запуске зараженных файлов, должна-была качаться программа, при запуске которой, отображается...
ru-sfera.pw ru-sfera.pw

В общем программа после запуска отображает бегающую овечку по экрану, можно над кем-нить подшутить.

Программа безвредная.

VT:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Пароль:111
Продолжить...
Всякое

Вирусняк, который не работает

Авг 23
  • 770
  • 1
1724422360121.png


Я тут создал тему:На заметку - Разработка настоящего вируса в 2024 году

Где мне стало интересно собрать виря и глянуть как он работает.

Если вкратце, он должен-был заражать исполняемые файлики и при запуске зараженных файлов, должна-была качаться программа, при запуске которой, отображается овечка...)

Вот сссылка (Это от куда должна-была качаться наша овечка):

Код: 
https://amethyst.systems/sheep.dat

Но вот незадача, вирус нихрена не работает, даже овечка не отображается... Dmeh-Smeh-Smeh!!!

UPD:
ЗАРАБОТАЛО...... Dmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!!

1724424725110.png


Просто заражает файлы в C:\Users\USER\AppData

КРУТЯК!!!!!

Сам зараженный файлик и реакция VT в посте 2 этой темы.)))...
Продолжить...
Разработка малвари. Уроки

Уроки Обход Windows Defender (10 способов)

Авг 21
  • 1 094
  • 1
1724256404260.png


Перевод:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Введение

В этой статье я объясню 10 способов/техник обхода полностью обновлённой системы Windows с Windows Defender.

Отметим, что я не буду углубляться в многие концепции и в основном буду предполагать базовые знания. Кроме того, я не выбирал чрезмерно сложные техники, например, прямые системные вызовы или аппаратные точки останова, так как это излишне для антивирусов, и их лучше объяснять в отдельной статье, ориентированной на EDR.

1)Патчинг AMSI/ETW в памяти

Первый метод, который я хочу объяснить, является также и тем, который я лично использую чаще всего, так как он очень удобен и быстр в исполнении.

AMSI, или AntiMalware Scan Interface, — это независимый от производителя механизм безопасности Windows, который сканирует PowerShell, wscript, cscript, макросы Office и отправляет информацию...
Продолжить...
Разработка малвари. Уроки

На заметку Разработка настоящего вируса в 2024 году

Авг 21
  • 1 022
  • 2
1724234494893.png


Перевод:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


--[ Содержание
  1. Введение
  2. Планирование вируса
  3. Проектирование вируса
  4. Создание вируса
  5. Решение проблем при разработке 5.1. Исходный дизайн неудачен 5.2. Антивирус ловит вирус
  6. Заключение
  7. Приветствия
  8. Ссылки
  9. Артефакты
--[ 1. Введение

Нет ничего более захватывающего, чем успешная полезная нагрузка.

Легко забыть, занимаясь нашими тёмными искусствами — от написания вирусов до эксплуатации — что во всём, что мы делаем, мы создаём программное обеспечение.
И оно становится сложным. Конечно, для shell-кода это всего лишь однострочная команда с NASM для создания бинарного блоба.
Это совсем несложно. Но ведь shell-код куда-то встраивается, верно? Язык Cи не позволит вам просто объединить бинарные блобы в ваш код. (По крайней мере, до выхода стандарта C23.)

И не всегда так просто, как кажется, просто...
Продолжить...
Исследование защиты Разработка малвари. Уроки

Программа Атаки методом перебора на IP-камеры!

Авг 20
  • 6 130
  • 63
617 копия.png


2024-08-31_095028.png


IPCAM BRUTER V3.4.2.1781 FULL
Программа написана исключительно для образовательных целей, для аудита и тестирования IP камер
на надёжность логинов и паролей! Работает с IP камерами HIKVISION и DAHUA.
HIKVISION :554, 8000, 8001, 8181, 8200 порты. DAHUA :37777 порт.

Содержит в себе:
-Встроенный сканер портов, со встроенными диапазонами стран мира!
-Встроенные диапазоны всех городов и областей России.
-Редактор, логинов и паролей, (с возможностью сохранения и создания списков)!
-Терминал для ввода специальных команд для более тонкой настройки сканирования.
-Генератор случайных IP диапазонов, и целый ряд функций:

1. Drag and Drop (добавление списков методом перетаскивания).
2. Определение местоположений IP камер.
3. Авто управление потоками, при наименьшем ip.
3. Управление...
Продолжить...
Исследование защиты

На заметку Банки и кредиты

Авг 15
  • 874
  • 0
1723747964532.png


Статья с Хакера:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Буквально месяц назад бывшие клиенты одного из крупных российских банков начали получать письма, из которых с удивлением узнавали о наличии кредита. Оказалось, что кредиты оформляли мошенники, массово скупавшие у мобильных операторов ранее использовавшиеся телефонные номера. При этом банк разводит руками: всё в рамках клиентского договора, пройдите в кассу, товарищ. Сегодня мы поговорим о том, как обезопасить себя, сберечь нервы и деньги и не оказаться в столь неприятной ситуации.

Описанный выше случай — далеко не единственный, пострадавших, судя по тематическим группам в «Телеграме», накопилось уже немало. Успех реализации этой нехитрой мошеннической схемы опирался на два обстоятельства: возможность выбрать на сайте сотового оператора любой телефонный номер из числа бывших в употреблении и на...
Продолжить...
Общая информационная безопасность

ВАЖНО (Не)торрент: новый майнер с валидной подписью

Авг 13
  • 905
  • 7
Давненько небыло статей про майнеры и вот пишу о том, как удалось обнаружить майнер с валидной цифровой подписью.
Может возникнуть резонный вопрос: причём тут торрент-неторрент? Всё дело в том, что майнер как раз таки и был скачан непойми откуда, через неофициальный торрент клиент в msi пакете. Кому интересно, вот ссыль -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Запускать строго на виртуалке. А мы идём дальше.

1723543392428.png


Как тогда его удалось обнаружить?
Помог его обнаружить MinerSearch - эта та утилитка из другой статьи. Человек, который ко мне обратился, говорит мол вредоноса видит, но не удаляет совсем. Оказалось клон проводника грузит 30% процессора. Полез разбираться.

Что в майнере интересного? Да всё. Начиная с того, как он умудрился закрепиться в системе -...
Продолжить...
Исследование защиты Общая информационная безопасность

Информация Амнезия или как ускорить youtube

Авг 04
  • 2 677
  • 2
1722772577712.png


В нынешнее время конечно опасно такое постить, но выложу, да наверное многие уже знают про такой проект.)

Идея создания AmneziaVPN родилась в 2020 году на первом хакатоне Demhack, и затем продолжила свое развитие с
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.

Мы хотели, чтобы пользователи с любым уровнем технической подготовки могли самостоятельно создавать свои VPN, как для простого обхода блокировок, так и для обеспечения приватности и защиты своих данных. Нам было важно создать бесплатное приложение с открытым исходным кодом, чтобы не собирать данные пользователей и не было даже гипотетической возможности утечки данных.

На всем пути развития проекта мы придерживаемся 5 принципов:

1. Максимальная открытость
Поэтому наше приложение и сайт имеют открытый исходный код, как клиентской части, так и серверной. Мы не собираем и не храним никакие данные, включая логи...
Нажмите, чтобы раскрыть...
Продолжить...
Всякое Общая информационная безопасность

Малварь как искусство LayeredSyscall - Обход EDR при помощи аппаратных точек останова

Авг 02
  • 929
  • 0
Это исследование и инструмент предназначены для того, чтобы по-новому взглянуть на использование косвенных системных вызовов или других методов, таких как обфускация, которые требуют легитимного стека для работы без обнаружения.

Конструирование стека в программе может быть сложным и привести к повреждению, если не делать это осторожно. Этот инструмент позволяет операционной системе генерировать необходимый стек вызовов без особых проблем, при этом потенциально можно использовать любой API Windows. Однако это не означает, что метод обхода будет работать для каждого EDR, так как требуется более тщательное тестирование с различными EDR и методами обнаружения.

Ссылка на инструмент

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Далее описание самого исследования.

Если спросить любого исследователя в области наступательной безопасности, как можно обойти системы обнаружения и реагирования на инциденты (EDR), можно получить...
Продолжить...
Исследование защиты Разработка малвари. Уроки

Найти пользователя

Поиск по форуму

Расширенный поиск...

Категории портала

Всякое
34

Исследование защиты
87

Как делают читы к играм
16

Курсы и уроки
9

Мероприятия
7

Новости
54

Общая информационная безопасность
60

Разработка драйверов для Windows
19

Разработка малвари. Уроки
55

Последние сообщения

Верх Низ