Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Малварь как искусство Фреймворк для тестирования антивирусов

  • 3 402
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

ВАЖНО [КНИГА] Разработка драйверов для Windows

  • 2 420
  • 1
1697104372490.png


Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:
  • Драйверы физических устройств.
  • Сетевые драйверы и фильтры.
  • WFP (Windows Filtering Platform).
  • Более подробная информация о мини-фильтрах файловой системы.
  • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
  • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
...

[Книга] Введение в разработку вредоносных программ

  • 2 550
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

  • 3 872
  • 2
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

На заметку Денис Легезо — Злые фреймворки и генерируемый ими позиционно-независимый код

  • 21
  • 0
1720856653252.png


Не совсем обычные темы на конференции C++ Russia.)

2022 год:


2023 год:

Информация Архитектура Microsoft Defender Antivirus

  • 152
  • 1
Перевод:

Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.

В этом контексте Microsoft предлагает два различных продукта:

Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.

1720524644016.png

Рисунок 1.

Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...

Информация Windows Native API Programming

  • 197
  • 3
1720295894052.png


Интересная книжка, про нативное программирование под Windows API.

2024 год.

Низкоуровневое программирование в пользовательском режиме для Windows обычно включает работу с документированным API Windows, экспортируемым из DLL подсистем, таких как Kernel32.dll, user32.dll, advapi32.dll, kernelbase.dll и других. Под большинством этих API скрываются системные вызовы, которые выполняются для доступа к ядру. Всё, что имеет значение в Windows (или любой другой ОС, если уж на то пошло), должно взаимодействовать с ядром для выполнения задач на уровне системы, таких как выделение памяти, создание процессов и потоков, выполнение операций ввода-вывода и многое другое.

Для перехода к ядру используется нативный API, реализованный в нескольких DLL. Наиболее важная из них — NtDll.dll, системная библиотека в пользовательском режиме, которая выполняет эту критическую роль. Эта книга посвящена API этой DLL, касающемуся...

На заметку Алгоритмы, или а программист-ли я ?

  • 203
  • 5
1720268484998.png


Всем привет!

Тут наткнулся на одну статейку, но об этом позже...

Есть такое интересное явление, незнаю с чем это связанно, вот например у меня уже стаж работы разработчиком ну точно не менее 15 лет, это после окончания вуза.

Так-вот, вроде в процессе работы решались разные задачи, какой-то наверное и опыт есть...

Но-блин я так и не научился решать алгоритмические задачи, например сортировка пузырьком, сложные сортировки деревьев, или что-то ещё, что там по алгоритмам обычно спрашивают...)
Нет, конечно что-то простецкое решу, но не более того.

Было время я очень от этого комплексовал, особенно когда искал работу, это всё обычно спрашивается на собесах и к сожалению обычно это обнуляет весь опыт предыдущих работ...:(
Кстати я тогда пошел другим путем, одна известная компания, выложила челендж с задачей в интернете, решив которую, можно-было получить финальный собес, на котором правда всё-равно дрючили...:(...

ВАЖНО Жалобы от Роскомнадзора

  • 175
  • 1
1720251474191.png


Всем привет!

Начали поступать жалобы от регулятора, пока-что на темы связанные с VPN, в целом темы не критичные, решил договорится и удалить.

Но если будет много жалоб, то придется их игнорить, или выводить контент в какие-то скрытые разделы, т.к. жалобы рассылает бот.

В целом текущий хостинг вроде не против размещения такого материала, но большая вероятно блокировки форума на территории РФ, вот так.
Скажу что вероятность такая почти 100%, но посмотрим.

Видимо решили прессовать VPN-сервисы.

На заметку Дурачимся, делаем бомбу для винды

  • 259
  • 1
1719685411082.png


Всем привет, нахрен никому это скорей-всего не нужно.

Но надо-было заполнить всё простраснство на диске в винде, для линукса это делается очень просто:

Можно создать файлик с рандомным содержимым и с нужным размером, например при помощи команды dd в консоле:

Код:
dd if=/dev/urandom of=random_file.bin bs=1M count=1024000

Указанная команда создаст файл 1ТБ со случайным значением.

Но в винде незнал как сделать, поэтому написал консольную тулзу, вернее написал ИИ, я как настоящий современный кодер и кодить-то не умею, вот-что получилось... Dmeh-Smeh-Smeh!!! :Mem1:

C++:
#include <iostream>
#include <fstream>
#include <cstdlib>
#include <ctime>
#include <vector>

const size_t ONE_MB = 1024 * 1024;
const size_t FILE_SIZE = 1024 * 1024 * 1024 * 1024ULL; // 1 TB

int main() {
    std::ofstream file("random_file.bin", std::ios::binary);
    if (!file) {
        std::cerr << "Unable to open file for writing." << std::endl...

Новость LockBit и ФРС США

  • 344
  • 2
1719659113110.png


Недавно вымогательская группировка LockBit заявила о взломе Федеральной резервной системы (ФРС) США, выполняющей функции центрального банка страны. Однако теперь стало известно, что от атаки пострадал лишь отдельный банк из Арканзаса.

В своем заявлении об атаке на ФРС (federalreserve.gov), сделанном в прошлые выходные, представители LockBit писали, что похитили 33 ТБ конфиденциальной банковской информации американцев, и переговоры о выкупе еще продолжаются, так как им предложили всего 50 000 долларов за непубликацию данных.

«Вам лучше нанять другого переговорщика в течение 48 часов и уволить того клинического идиота, который оценил банковскую тайну американцев в 50 000 долларов», — писали хакеры.

Так как о выкупе договориться явно не удалось, группировка начала сливать якобы украденную ФРС информацию на своем сайте в даркнете.
И тут выяснилось, что объектом атаки была вовсе не ФРС, а небольшая финансовая...

На заметку Реверсивный инжиниринг приложений под Windows

  • 414
  • 4
1719479966628.png


Реверсивный инжиниринг считается одним из наиболее сложных направлений в информационной безопасности (ИБ). В книге автор предлагает приоткрыть завесу тайны над этой темой и с помощью практических примеров рассмотреть, как работают приложения под ОС Windows, а также разобраться в том, как эксплуатировать уязвимости переполнения буфера, размещать свой код в выполнимых файлах, находить полезную информацию в дампах памяти и многое другое.

Книга предназначена как для начинающих специалистов, желающих разобраться в реверс-инжиниринге, так и для опытных специалистов по ИБ, интересующихся данной темой.

Книга 2024 года

Оглавление:


0x0cf11 Вступление ..................................................................................... 8
О пользе реверсинга ..............................................................................................8
Зачем нужен реверсинг...

Информация О том, что можно сделать со взломанной камерой

  • 472
  • 2
Всем привет!

У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!

Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?

В этой приватно статье с Хакера, можно почитать:

Я сделаю перепост, надеюсь автор не будет против.)

1719129807086.png


Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.

С точки зрения пентеста куда интереснее...

Новость OpenAI

  • 244
  • 0
1719128335564.png


Технический директор OpenAI Мира Мурати , что ChatGPT следующего поколения с «интеллектом уровня доктора наук» выйдет в конце 2025 или начале 2026 года.

По её словам, следующее поколение ChatGPT будет решать конкретные задачи.

Мурати рассказала о быстром развитии возможностей искусственного интеллекта. «Если вы посмотрите на траекторию совершенствования, такие системы, как GPT-3, возможно, обладали интеллектом уровня малыша. И тогда такие системы, как GPT-4, больше похожи на старшеклассника. А затем, в ближайшие пару лет, мы рассматриваем интеллект уровня кандидата наук», — объяснила она.

Мурати считает, что ИИ «повлияет на всё» с точки зрения когнитивной работы и труда. Она допустила, что развитие ChatGPT приведёт к сокращению некоторых рабочих мест, особенно в...

Информация Арестован предполагаемый создатель криптора для Conti и LockBit

  • 451
  • 5
1718624454675.png


Криптор - Это программа для обхода детекта в антивирусных продуктах.

В Киеве арестован 28-летний мужчина, которого подозревают в сотрудничестве с группировками Conti и LockBit. Считается, что задержанный разработал криптор для этих шифровальщиков, помогая сделать их незаметными для антивирусов, а также лично совершил как минимум одну атаку.

Сообщается, что задержанный уроженец Харьковской области, чьи имя и фамилия не раскрываются, был арестован еще 18 апреля 2024 года, по запросу Нидерландов, в рамках масштабной операции правоохранительных органов под кодовым названием .

Напомним, что тогда было конфисковано более 100 серверов, которые использовались крупными загрузчиками малвари, включая IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC. Поскольку Conti использовала некоторые из этих решений для первоначального...

Информация Особенности малвари в Андроид 13-14

  • 383
  • 0
1718476037727.png


Вообще я тут создал тему:На заметку - «Настройки с ограниченным доступом» в Android 13 и 14

Но решил раскрыть тему настроек, вообще сама по себе система Андроид хорошо защищена, но важно соблюдать так-сказать "Гигиену" и не давать приложением критичные права, а также не включать лишнее, например отладку по USB, рутовать и т.д.

Думаю это понятно, но давайте разбираться на примерах.

Вообще какие угрозы с вашим мобильником могут быть:

1)Мобилу украли, или потеряли, что тут может-быть - Это конечно утечка данных, особенно если используете банковские приложения, это может-быть очень критично.

Что делать ?

Скажу что современные ОС Андроид 13-14 имеют шифрование всего накопителя, именно поэтому если поставить хороший пароль, кроме биометрии, хотя-бы 12 значный, его уже тяжеловато...

На заметку «Настройки с ограниченным доступом» в Android 13 и 14

  • 703
  • 2
1718455789522.png


В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).

Что такое «Настройки с ограниченным доступом»​

Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.

Однако в...

ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!

  • 1 960
  • 27


617 копия.png


IPCAM BRUTER v3.4.2.1697 FULL VERSION !
--------------------------------------------------------------------​
Привет всем! Друзья, представляю вашему вниманию обновление обещанной сборки "IPCamBruter v3.4.2.1697 full" из серии бесплатных!​
Что нового в этой сборке? В данную сборку внесены следующие улучщения:​
1) Устранена проблема с долгой загрузкой IP-адресов после сканирования, теперь адреса грузятся мгновенно, без задержки!​
2) Добавлена возможность сканировать любые порты в (Dahua Terminal) точно так же как и в (Hikvision Terminal).​
3) Добавлена возможность использовать почти все...​

Безопасность WiFi в 2024 году

  • 744
  • 0
1717763491884.png


Перевод:

Вообще я-бы настоятельно рекомендовал прочитать этот цикл статей на хабре:




Введение​

Лучше начать с очевидного: WiFi сети не безопасны. В моем опыте я никогда не сталкивался с сетью, которая не была бы уязвима хотя бы к одной из общедоступных эксплойтов.
В этой статье мы сосредоточимся на выявлении большинства уязвимостей протокола 802.11, которые затрагивают как 2.4GHz, так и 5GHz WiFi сети.

Инструменты, которые мы будем использовать (Необходим также Линукс):​

  • -...

Программа DMA Injector для игры Warface.

  • 592
  • 1
Инструкция:
Поместить файл который хотите внедрить в игру по пути: C:\1.dll
Зайди в игру -> pvp -> стандарт.
Запустить инжектор, после нажать создать комнату.
Если сработал Beep, то dll была загружена в процесс.
Если просто открылось меню создания комнаты, то есть 2 варианта.
1. Игра обновилась.
2. Вы не успели нажать на кнопку создать комнату, попробуйте ещё раз.

Возможны баны, не используйте на основе, метод который используется сейчас - ненадежный.

*Скорее всего будет undetect, но при условии, что сам чит который вы будете инжектить не детект.

Скачать:

Последние сообщения

Верх Низ