Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Основной чат
Помощь Пользователи
  • Никто не разговаривает в данный момент.
  • DHCoba @ DHCoba:
    Шяс напишу тебе в личку
  • MKII @ MKII:
    DHCoba сказал(а):
    Шяс напишу тебе в личку
    окей
  • X-Shar @ X-Shar:
    gesttototot сказал(а):
    Уже есть готовая идея?
    Идея есть, но готовая процентов на 70%, идея посвящена обходу АВ, но незнаю на сколько подойдет для конкурса, по следующим причинам:
    1. В сети в разных вариантах уже есть наработки, вот я хочу эти наработки объединить в один проект, в итоге будет около 80% стороннего кода и где-то 20% моего.
    2.Проект будет написан на Си, вот незнаю сколько людей на нём кодит сейчас в части комерса малвари.
    3.Нужно ещё статью подготовить, проект больше будет в исследовательских целях.
    Но всё-равно как сделаю попробую выложить, не понравится и ладно, в целом ничего не теряю.)Потом на гитхаб выложу.)))
  • G (Гость) guesttototot:
    X-Shar сказал(а):
    Идея есть, но готовая процентов на 70%, идея посвящена обходу АВ, но незнаю на сколько подойдет для конкурса, по следующим причинам: 1. В сети в разных вариантах уже есть наработки, вот я хочу эти наработки объединить в один проект, в итоге будет около 80% стороннего кода и где-то 20% моего. 2.Проект будет написан на Си, вот незнаю сколько людей на нём кодит сейчас в части комерса малвари. 3.Нужно ещё статью подготовить, проект больше будет в исследовательских целях. Но всё-равно как сделаю попробую выложить, не понравится и ладно, в целом ничего не теряю.)Потом на гитхаб выложу.)))

    1. На мой взгляд, 20% - тоже работа, все таки ты приложил руку, не знаю с чистого нуля ли там обязательно надо писать, но можно спросить у Тохи в ветке, ответит.
    2. Это абсолютно не важно, прицел больше на пользу
    3. Конкретно для того конкурса, достаточно развернутого ридми
    Ну а с такой темой, уже и на призовое можно рассчитывать)) мой голос будет за тебя))
  • MKII @ MKII:
    И мой голос будет за тебя, главное скажи где оставить :sueta:
  • D @ DXZALEET:
    Ну штож ребятки, решил я тут попробовать накатать что то напоминающее чит для Раста и использованием DMA и Python. Интересно есть ли тут единомышленники? Может кто то хочет попробовать себя в подобном? Знания питона есть, работал с небольшим количеством библиотек. Писал спамеры, парсеры для вк. 19 лет. Желательно что бы Вы уже имели опыт работы с DMA или хотя бы с Rust-ом. Буду рад любым предложениям в лс форума.
  • MKII @ MKII:
    Есть у кого идеи, что можно сделать если хостинг не принимает абузы? хостинг русский с лицензией, абуз писал на ботнет, просто игнор с их стороны
  • Б (Гость) бюджетный:
    Привет! Аккаунт в временном блоке из-за ошибок ввода пароля. Скоро начну писать статью i'm crazy
  • Бюджетный Бюджет @ Бюджетный Бюджет:
    И вот я тут
  • MKII @ MKII:
    Бюджетный Бюджет сказал(а):
    так ты мог мне или X-Shar’у написать на счет пароля
  • papaja @ papaja:
    Что изучить, чтобы курс по малвару более менее стал понятным? Есть какая никакая база в программировании, просто нравится программная разработка и работа с ОС. Просто процентов 70 из курса вообще не понимаю((
  • X-Shar @ X-Shar:
    @papaja, там нужнно си изучить. Возможно можно почитать статьи по устройству винды.
    Цитата Ссылка
  • X-Shar @ X-Shar:
    Вообще курс для новичков, но допускаю что я написал/перевел неронятно.
    Цитата Ссылка
  • X-Shar @ X-Shar:
    Темы базовые там, вроде должны понятны быть, если есть базовые навыки кодинга в си.
    Цитата Ссылка
  • O @ offsec:
    Парни, знает кто как можно маяк закриптовать чтобы ав не палили? Я на вм отрубаю антивир, через рдп подключение, а вот если не будет у меня возможности через рдп? Да и палевно это, в реальном пентесте сразу поотрубают всё. Хотя мне до реального пентеста...)
    Цитата Ссылка
  • X-Shar @ X-Shar:
    @offsec, кстати по рдп не все АВ можно отрубить, например KIS блокирует это, также есть защищенные паролем АВ.
    Цитата Ссылка
  • O @ offsec:
    Еще лучше)
    Цитата Ссылка
  • Spectrum735 @ Spectrum735:
    X-Shar сказал(а):
    @offsec, кстати по рдп не все АВ можно отрубить, например KIS блокирует это, также есть защищенные паролем АВ.
    Но позволяет aspia
    Цитата Ссылка
  • O @ offsec:
    Я вот щас экспериментирую, пытаюсь отказаться от Stage payload'ов, но не хочет оно работать) SMB - Не получилось, TCP - не получилось, что интересно HTTP Работает нормально. Ничего не понимаю - как это. Посмотрел - порт не занят. Антивирус я думаю понятно что отключен. Может сталкивался кто?
    Цитата Ссылка
  • X-Shar @ X-Shar:
    @offsec, а почему не получилось, коннекта нет, или какие-то ошибки ?
    Можно ваершарком глянуть, что происходит.
    Цитата Ссылка
  • O @ offsec:
    X-Shar сказал(а):
    @offsec, а почему не получилось, коннекта нет, или какие-то ошибки ? Можно ваершарком глянуть, что происходит.
    Цитата Ссылка
  • O @ offsec:
    Судя по тому как я понял: На начальных этапах(эксплуатации) мне нужно другой тулзой провести начальный доступ(с помощью metasploit), потом, если нужно, я провожу tcp бекон с выключенным stag'ингом. Т.е что все работало то ли надо передавать payload через метерпретер/etc.. то ли надо забить и просто с включенным staged пейлоадом(хотя здесь проблема: Из за этого оно садится АВ как не в себе). Прикол. Ну в принципе, Коба она же как пост-экслуатейшен тул)
    Цитата Ссылка
  • O @ offsec:
    Кароче на метасплоите сидеть буду, и в случае чего на кобальт передавать, хотя чувствую мне PowerShell empire'a хватит.
    Цитата Ссылка
  • O @ offsec:
    Мало слишком знаю, мне судя по всему надо вытаскивать файлы из cobalt-strike.jar, и с идой ассемблировать их) Дел в кобе реально много можно провернуть
    Цитата Ссылка
  • Q @ q8yas:
    hello every one here
    Цитата Ссылка

    Малварь как искусство Фреймворк для тестирования антивирусов

    • 145
    • 4
    1701614939222.png


    Всем привет!

    Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

    Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

    Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

    Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

    Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

    Итак что мы можем сделать в своём зверьке ?


    1)Скрытие от статического анализа:

    Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
    Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

    ВАЖНО [КНИГА] Разработка драйверов для Windows

    • 522
    • 0
    1697104372490.png


    Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

    Но есть профессиональный перевод, которым хочу поделиться.)

    В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

    Некоторые из тем, которые в книге не рассматривались:
    • Драйверы физических устройств.
    • Сетевые драйверы и фильтры.
    • WFP (Windows Filtering Platform).
    • Более подробная информация о мини-фильтрах файловой системы.
    • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
    • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
    ...

    [Книга] Введение в разработку вредоносных программ

    • 474
    • 4
    1697051652223.png


    Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

    Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

    Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

    Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

    Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

    Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

    Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

    И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

    В итоге появился раздел...

    ВАЖНО Введение в разработку вредоносных программ (Оглавление)

    • 505
    • 0
    В этой теме список статей по разработки малвари.

    Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








    [URL...

    Малварь как искусство Криптор исходного кода при помощи ChatGPT

    • 132
    • 5
    1701716731627.png


    Всем привет!

    ИИ классное изобретение, оно несомненно станет частью нашей жизни.

    Но к сожалению всё в нашей жизни двоично, вот приведу пример что можно сделать в темных делах, это просто игрушка, но игрушка с хорошем намеком.

    Особенно если появятся аналоги ChatGPT заточенные на создание вредоносного софта, а ждать думаю этого момента осталось не долго.

    Как известно защитные средства заточены на сигнатурный анализ, не важно детект это по поведению, детект по сигнатурам, детект в облаке.
    Всё это так или иначе правила...)

    До сех-пор вирусописатели делали скрытие кода, не меняя исходники программы, ну например шифрование кода, запуски в памяти и т.д.
    Такие вирусы стали детектиться очень быстро, поэтому собственно и эпидемий нет...)

    А теперь представим, что появится вирус, который действительно будет мутировать, программа будет усложняться в каждой эволюции, задетектить это существующими правилами...

    Информация Фантастические руткиты: И где их найти (часть 1)

    • 255
    • 9
    Dragon-hero-trb.jpg


    Введение

    В этой серии блогов мы рассмотрим тему руткитов - как они создаются, а также основы анализа драйверов ядра - в частности, на платформе Windows.

    В этой первой части мы рассмотрим примеры реализации базовой функциональности руткитов, основы разработки драйверов ядра, а также основы Windows Internals, необходимые для понимания внутренней работы руткитов.

    В следующей части мы остановимся на некоторых "наглядных" примерах руткитов и их анализе, на том, каково их назначение и как работает их функциональность.

    Что такое руткит? Руткит - это тип вредоносного ПО, которое ускользает от обнаружения путем вмешательства в работу ОС и прячется глубоко внутри нее, как правило, в пространстве ядра. Термин "rootkit" заимствован из терминологии Unix, где "root" - это самый привилегированный пользователь в системе.

    Такие примеры, как...

    Тыж программист)

    Новость Появилась Windows-версия вайпера BiBi, затирающая файлы в C:\Users

    • 214
    • 0
    На ландшафте киберугроз появилась Windows-версия печально известного вредоноса BiBi, который ранее использовался в атаках на Linux. Это классический пример вайпера — деструктивной программы, уничтожающей данные и систему жертвы.

    Специалисты BlackBerry назвали новую версию BiBi-Windows Wiper. По словам исследователей, его Linux-версия ранее использовалась в атаках на Израиль, за которыми якобы стоял ХАМАС.

    «Появление Windows-версии вайпера даёт нам понять, что автор продолжает развивать свою разработку. Судя по всему, его задача — расширить возможности для атак на разные платформы», — пишут эксперты .

    ESET называет стоящего за вайпером киберпреступника (или группу киберпреступников) BiBiGun и отмечает, что Windows-вариант — bibi.exe — рекурсивно перезаписывает мусором данные в директории C:\Users, добавляя расширение .BiBi к именам файлов.

    Попавший в руки...

    Информация Халява за помощь в раскрутке ресурса

    • 313
    • 1
    1699796872018.png


    Всем привет!

    На форуме маленькая активность, вероятно потому-что мало кто знает про форум.

    Для раскрутки предлагаю тем-кто ведёт какой-то блог по информационной безопасности, IT, или схожий форум разместить ссылку на форум.
    Также возможен вариант, если вы просто пользователь какого-то сайта, но есть возможность не прибегая к спаму разместить ссылку...)

    Разумеется не бесплатно, в общем за хорошие ссылки и если у вас есть возможно написать обзор про форум плачу 500 - 1000 рублей за ссылку.

    В зависимости от сайта.)

    Но сразу хочу сказать, что цель этого всего привлечения живых посетителей сюда, т.е. не интересны ссылки с сайтов, на которые никто не заходит, или в местах где они не видны вообще.

    Если вам интересно, пишите мне в личку, выкладывайте в личку сайты на которые можете разместить, если они подходят, я оплачиваю, вы размещаете...)

    Ещё-раз условия:

    1)Сайты/блоги/каналы и т.д. айти или схожей...

    На заметку Зачем нужен typeof в Си ?

    • 247
    • 3
    1699796126685.png


    Интересно было зачем нужен этот typeof, как-то не разу не использовал.)

    Вот что ответил ИИ, рекомендую почитать, кто кодить в Си.

    На самом деле не плохая штука.)

    Ключевое слово typeof в языке программирования C используется для определения типа данных переменной или выражения. Оно особенно полезно в следующих случаях:
    1. Обобщенное программирование: Позволяет писать код, который может работать с различными типами данных, не зная их заранее. Это удобно, например, при написании макросов или функций, работающих с различными типами данных.
    2. Безопасность типов: Помогает обеспечить, что операции выполняются с переменными правильных типов, что предотвращает ошибки, связанные с неправильным использованием типов данных.
    3. Упрощение кода: Используя typeof, можно избегать повторения длинных или сложных имен типов, что делает код более читаемым и легким для поддержки.
    4. Адаптивность кода: При изменении типа...

    Информация [PDF] Азиатские АРТ-группировки. Тактики, техники и процедуры

    • 205
    • 1
    1699643929514.png


    5 историй, которые легли в основу 370 страниц отчета. Материал можно рассматривать как библиотеку знаний об основных подходах, используемых азиатскими APT-группировками при взломе какой-либо инфраструктуры. Отчет также содержит подробную информацию о тактиках, техниках и процедурах (TTPs) злоумышленника, основанную на методологии MITRE ATT&CK.

    Источник: "Лаборатория Касперского"

    Ссылка на чтиво:

    Уроки Обход AMSI при помощи хардварных точек останова

    • 451
    • 0
    1698588606962.png


    AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.

    Обход AMSI с использованием хардверных брейкпоинтов:

    Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.

    В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...

    Новость Вредоносная реклама Notepad++ в Google

    • 269
    • 0
    Специалисты обнаружили в Google новую кампанию по распространению вредоносной рекламы. Кампания была нацелена на пользователей, желающих загрузить текстовый редактор Notepad++, и оставалась незамеченной несколько месяцев.

    Исследователям не удалось получить итоговую полезную нагрузку, но в Malwarebytes считают, что это был Cobalt Strike, который предшествовал развертыванию вымогательского ПО.

    1698155607286.png


    В рекламе злоумышленники продвигали URL-адреса, которые явно не были связаны с Notepad++, но использовали вводящие в заблуждение заголовки в своих объявлениях. Так как заголовки намного крупнее и более заметны, чем URL-адреса, многие люди, скорее всего, не замечали подвоха.

    1698155682610.png


    Если жертва кликала по любому из объявлений мошенников, срабатывал редирект, который проверял...

    Эксклюзив Картинки от ChatGPT

    • 571
    • 5
    Всем привет!

    ИИ научился создавать и обрабатывать картинки, пока это в бета версии openAI, но прикольно...

    1698130277951.png


    1698130307436.png


    1698130339732.png


    1698130371244.png


    1698130398197.png

    1698130435424.png


    1698130476267.png


    1698130570886.png


    1698130590766.png


    1698130659547.png


    1698130715412.png


    1698130736898.png


    1698130757748.png

    1698130779126.png

    Эксклюзив RUSFERA RUST DMA

    • 522
    • 9
    Всем привет!
    На повестке дня 2 хорошие новости.
    1: Наш форум занимает 4 и 3 места в гугл и яндекс по запросу DMA чит.
    2: В честь этого, я решил в тестовом режиме выпустить релиз своего чита, тк многие спрашивали меня про это.
    Цены в месяц на данный момент: 500р в месяц (цена намного ниже рынка, по той причине, что чит работает в тестовом режиме и иногда ведет себя нестабильно).
    По вопросам пишите в личные сообщения форума (отвечаю исключительно там).
    Покупателям будет выдана уникальная роль (пока я её не придумал, но она будет :Mem1: ).
    Половина средств от меня уйдет на развитие и поддержку форума.
    Информация о банах:
    На данный момент чит полностью Undetected, по скольку использует только external функции.

    DMA КАРТУ ВЫ ДОКУПАЕТЕ ОТДЕЛЬНО, Я ПРОДАЮ ТОЛЬКО СОФТ!!!!!
    Функционал:
    1697987064852.png

    Информация Что такое CR3 защита в играх?

    • 341
    • 0
    Защита CR3 в анти-чит системах

    1. Основы CR3


    CR3 — это регистр управления в x86 и x64 архитектурах процессоров, хранящий базовый адрес таблицы страниц (Page Directory Base Address). При переключении контекста между процессами, значение CR3 обновляется, соответственно, указывая на таблицу страниц активного процесса.

    2. Взаимосвязь с анти-чит системами

    CR3 может быть использован для отслеживания изменений в памяти игрового процесса. Читы, модифицирующие память, часто меняют значение CR3. Отслеживая такие изменения, анти-чит системы могут обнаруживать и блокировать несанкционированные действия.

    3. Скрытие базовых адресов модулей

    Для усложнения задачи читеров, анти-чит системы могут использовать CR3 для перенаправления запросов к базовым адресам модулей через специфический обработчик. Это не позволяет читам напрямую...

    Создание DMA чита для игры RUST. Часть 2.

    • 349
    • 0
    Гайд по геймхакингу: Добавление флагов в Culling ESP :Mem1:

    Приветствую, форумчане!

    В этой статье, мы рассмотрим, как добавить флаги в Culling ESP, чтобы убрать излишние элементы и оставить только игроков и ботов.

    Основные шаги:
    • Основные шаги:
      • Получить OcclusionCulling_Typeinfo
      • Получить staticfields
      • Получить OcclusionCulling instance
      • Получить DebugSettings
      • Включить Culling ESP
      • Прописать слои

    Код на C++:
    C++:
                if (globals::PlayerESP)
                {
                    uint64_t occlusionCulling = threads::read<uint64_t>(globals::game_assembly + 54013888);  //OcclusionCulling_Typeinfo  > scripts.json
                    uint64_t otherCulling = threads::read<uint64_t>(occlusionCulling + 0xb8);
                    uintptr_t singletonPointer =...

    ВАЖНО Ролики с автодоставкой

    • 323
    • 5
    Всем привет!

    Для скачивания с ютуба и не только пользуюсь программой Download Master. Знаю её уже много лет, вещь очень полезная и порой незаменимая. Разработка компании WestByte Software. Украинской компании, прошу заметить. Дальше поймёте, почему это важно.
    Программка по умолчанию сохраняет видео, музыку, архивы и так далее по папкам-категориям, расположенным в загрузках. То есть она не использует системную папку Видео, и до последнего времени я туда даже не заглядывал.

    Но сегодня совершенно случайно заглянул. Сказать, что я был удивлён содержимым — ничего не сказать.

    Там лежало три видеофайла абсолютно проукраинского толка. Если я каким-то боком захотел бы их скачать для ознакомления, они определённо лежали бы в загрузках, как обычно. Да и вряд ли эту хрень я вообще захотел бы скачать, и тем более, долго хранить – мог бы просто посмотреть, да благополучно закрыть вкладку. К тому же на память пока не жалуюсь – я точно знаю, что содержимое роликов увидел впервые...

    На заметку Про детект в памяти. Ничего не поделаешь и это неизбежно)

    • 280
    • 3
    Всем привет!

    Хотел ещё добавить:

    Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла

    Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада

    Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.

    Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.

    Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:

    На вход подаётся бинарный код, на выходе по...

    Inception #7

    • 924
    • 0
    1696788866574.png


    Скачать можно тут:

    Посетителей за сегодня

    Пользователи онлайн

    Сейчас на форуме нет ни одного пользователя.
    Верх Низ