Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

ВАЖНО !Архив форума!

  • 752
  • 7
1712657508284.png


Всем привет!

В связи с тем-что, что форум мало кому интересен как площадка для общения, также с тем-что со своей стороны я опубликовал в целом всё-что знал о тематики малвари.

К счастью, прогресс как в сфере защиты, так и в сфере создания вредоносного ПО не стоит на месте, но к сожалению тот материал, который сейчас выложен на форуме и подходы сильно устарели уже, как в сфере защиты, так и в сфере нападения.

А новые методики обсуждать конкретно здесь на форуме мало интересно, т.к. нужна комьюнити, а привлекать комьюнити у меня нет не времени, да и желания.
Короче это всё по большому счету интересно, кто работает в области, пока-что так, да и площадку надо менять.)

А обсуждать антивирусы, как в плане защиты, так и в плане атак, уже надоело, да и сами эти подходы уходят в прошлое, особенно если говорить о создании зверьков именно как искусство, а не для коммерции...)

Поэтому решил...

Малварь как искусство Фреймворк для тестирования антивирусов

  • 2 211
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

ВАЖНО [КНИГА] Разработка драйверов для Windows

  • 1 828
  • 1
1697104372490.png


Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:
  • Драйверы физических устройств.
  • Сетевые драйверы и фильтры.
  • WFP (Windows Filtering Platform).
  • Более подробная информация о мини-фильтрах файловой системы.
  • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
  • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
...

[Книга] Введение в разработку вредоносных программ

  • 1 796
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

  • 2 340
  • 2
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

Информация Бесплатный премиум чит на любую игру

  • 124
  • 0
1713693410757.png


Аналитики обнаружили нового вредоноса, связанного с инфостилером Redline, который маскируется под демо-версии читерского софта. Интересно, что авторы малвари предлагают пользователям полную бесплатную копию этого «читерского ПО», если те сумеют убедить своих друзей тоже установить его (на самом деле, распространяя малварь).

Исследователи рассказывают, что новый инфостилер использует байт-код Lua, чтобы избежать обнаружения, что позволяет ему внедряться в легитимные процессы, а также использовать преимущества JIT-компиляции.

Эксперты связывают этот стилер с Redline, поскольку он использует управляющий сервер, который ранее ассоциировали с этим вредоносом. Однако издание , отмечает...

Информация О том как можно угнать аккаунт в Telegram

  • 137
  • 0
1713691278532.png


Специалисты центра мониторинга внешних цифровых угроз Solar AURA из ГК «Солар» крупную сеть, состоящую более чем из 300 сайтов с изображениями и мемами, созданную для кражи аккаунтов в Telegram. На картинку с такого сайта можно было легко «наткнуться» в поисковой выдаче, а дальнейший переход по ней был чреват потерей аккаунта.

По данным исследователей, сеть появилась в декабре 2023 года и состоит из однотипных сайтов с сотнями тысяч изображений и описаний к ним. Изображения здесь объединены по тематикам. Так, удалось обнаружить сайты, посвященные аниме, фанфикам, мемам, корейским сериалам, порнографии и даже пицце.

1713691128498.png


Отмечается, что мошенники уделяют значительное внимание вопросам поисковой оптимизации. То есть вероятность наткнуться на один из таких вредоносных сайтов весьма высока, особенно, если...

На заметку BlackhatRussia.com [На сайте закладки, осторожно]

  • 339
  • 8
1713087307110.png


Всем привет!

Наткнулся на сайт (Осторожно, там закладки):
Код:
https://blackhatrussia.com/

Там типо можно скачать всякие ратники, крипторы и прочие хакерские утилиты.

Предлагает скачать самораспоковывающийся архив, а при распаковки запускакется exe файл, так-что осторожно.)

Программа ОБНОВЛЕНИЕ БРУТФОРСЕРА IPCAMBRUTER v3.4.2

  • 1 475
  • 27
44444.png


ОБНОВЛЕНИЕ IPCAMBRUTER V3.4.2 2024!

В ДАННУЮ СБОРКУ ВКЛЮЧЕНЫ СЛЕДУЮЩИЕ ИЗМЕНЕНИЯ:

1 ). Снято ограничение на использование мин-кол ip-адресов, в предыдущей сборке, нельзя было использовать минимальное количество IP, ниже чем 60- IP !
2 ). Максимально снижена нагрузка на процессор, так же снижено потребление памяти.
3 ). В предыдущей версии, при работе с терминалом, был баг, результаты грузились сразу в оба брутфорсера, ошибка исправлена!
4 ). Улучшена работа с терминалом, налажен генератор рандомных IP диапазонов, теперь генерирует более актуальные IP
5 ). Также улучшено сканирование портов в сканере « Masscan GUI » теперь сканер работает более шустро!
6 ). Для брута (IP камер Hikvision) добавлен новый, дополнительный порт "8200" !
7 ). Для бруфорсера (IP камер Hikvision) в терминал добавлена возможность исользовать параметры в командах,
8 ). На панель (терминала Hikvision)...

Новость Бэкдор в OpenSource для доступа к SSH

  • 469
  • 0
1711978886347.png


Уязвимость в xz Utils была построена по схеме supply chain attack, атака на цепочку поставок. Для её реализации злоумышленнику (или их группе) пришлось два года втираться в доверие к сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код. Бэкдор обнаружила не лаборатория безопасности в результате тщательного анализа, а разработчик, который замедление работы компьютера.

Пакет — набор утилит для сжатия данных для Unix-подобных операционных систем и, начиная с пятой ветки, Microsoft Windows. Разработку ведёт коллектив Tukaani Project.

Утилита известна. Одни из наиболее популярных дистрибутивов Linux — Debian и Ubuntu, Fedora, Slackware, Arch Linux — использовали или до сих пор включают в себя xz Utils.

Однако это не значит, что разработка xz Utils...

Уроки Создаем свой сайт/блог на github

  • 679
  • 3
1711957325117.png


Вообще мало кто знает, но на github можно создавать свои сайты, для этого выделен домен username.github.io.)

Чем это удобно:

1. Вам не нужно платить за сервера.
2. Выделяется достаточно не плохие мощности для сайта (Место и т.д.).
3. Ну и в целом для блогов очень удобно.

Из минусов, что сайты должны-быть статические и немножко нужно поизучать как это делать.

Вот небольшой мануальчик, как легко создать такой бложек, в Линукс и в винде, на выбор.)

Итак:

Создание своей странички (или сайта) на GitHub происходит через GitHub Pages, сервис, который позволяет размещать статические сайты прямо из вашего репозитория на GitHub. Вот простой способ, как это сделать:

1. Создайте новый репозиторий на GitHub​

  • Перейдите на главную страницу GitHub и войдите в свой аккаунт.
  • Нажмите на "+" в правом верхнем углу и выберите "New repository".
  • Дайте название вашему репозиторию. Если вы хотите создать...

Защищенные области памяти

  • 481
  • 0
1711616112437.png


Всем привет, в этой статье было такое упоминание, как "Защищенные указатели", или что-то таке...

Мне стало интересно почитать, что это такое.

Вот что раскопал:

Что такое защищенные регионы?


Защищенные регионы — это, по сути, указатели, которые указывают на адрес, который не действителен. Чаще всего адрес начинается с 0x800000 и т.д. Однако игра их считывает, и они получают действительные результаты. Как, вы можете спросить? Дело в том, что stub.dll регистрирует обработчик исключений, который перенаправляет охраняемый указатель на реальный указатель после успешного выполнения нескольких проверок. И чтобы выполнить все проверки, мы собираемся найти заглушку, которую мы собираемся использовать для чтения адреса, который мы хотим прочитать.

Какие указатели используют защищенные регионы в играх ? Вот некоторые из них...

На заметку Удаленное выполнение кода при помощи DMA

  • 422
  • 0
1711565107429.png


Перевод оригинала:

При использовании устройства DMA атакующий ограничен чтением и записью памяти, и в большинстве случаев этого достаточно. Однако существуют обстоятельства, когда чтение и запись памяти не позволяют достичь желаемого.

Например:

Если мы хотим отправить сетевое сообщение в играх, использующих защищенные указатели, например, в Valorant. ( ) В таких ситуациях карта DMA кажется почти бесполезной. Нам нужен способ выполнить код на машине жертвы и получить результат этого кода.

Для достижения этого я придумал решение, которое сочетает в себе использование неиспользуемых секций .text и .data вместе с простым хуком на функцию, вызываемую каждый кадр/тик.

Давайте рассмотрим требования моего взлома. Сначала...

На заметку О том как беспалевно спамить на форумах и блогах

  • 511
  • 1
1710693047815.png


Всем привет!

Обнаружил интересный метод спама:

Вот тут на форуме, как и на других форумах, например на васме, персонаж создавал отвелеченные темы, например "Подскажите фильмы 90" и т.д.

Всё это хорошо, но если форум позволяет редактировать темы, то тема через какое-то время превращается в "Бездепы казино".Dmeh-Smeh-Smeh!!!ohmy88

Вот как это происходит тут:Бездепы в казино

Или например та-же тема на васме:

Хе, круто придумано, так-то мало кто поймет что к чему.Dmeh-Smeh-Smeh!!!

На заметку О том почему Линус Торвальдс обосрал С++

  • 549
  • 2
Линус Торвальдс признается, что ненавидит C++, а программистов на этом языке он оскорбляет. Разбираемся, в чем заключается причина ненависти.

В 2007 году пользователь Дмитрий Какурин написал письмо Линусу Торвальдсу, в котором спросил программиста, почему тот использует чистый Си вместо того, чтобы написать все на C++. Само использование чистого Си Дмитрий Какурин назвал емким словом bullshit.

В ответ Линус Торвальдс поделился своим мнением: bullshit — это сам Какурин, C++ — это ужасный язык, на котором кодеры генерируют, мягко говоря, «нечистоты», а программистов C++ вовсе не стоит допускать до Linux.

1710259439078.png


После откровенных оскорблений Торвальдс перешел к аргументам.Dmeh-Smeh-Smeh!!!

Позиция Линуса Торвальдса относительно C++​

В первую очередь, Линус говорит, что использование C++ неизменно приводит программиста к плохим решениям вроде использования библиотек STL или Boost, которые считаются прекрасными.

Однако на деле, по...

Малварь как искусство О том как использовать украденные cookie

  • 763
  • 0
1709489385907.png


Всем привет!

Часто в стиллерах есть такой функционалл, как кража истории браузера и cookie.
Про это мало где написанно, но в ряде случаев если завладеть cookie, то можно входить на сайты жертвы, без использования паролей.
Это связанно с тем, что многие сайты для авторизации используют сессию, это некий случайный набор данных, который генерируется после корректной авториции и хранится как-раз в cookie.
Эту сессию как правило либо перегенерировают раз в месяц, либо вообще она используется постоянно.)

Ну тут зависит всё от сайта, например банковские системы дополнительно привязывают сессию к айпи-адресу пользователя и сама сессия валидна минут 10-15.
Но многие сайты не делают никаких проверок и как правило угон сессии = угону аккаунта.)

Интересно, на сколько сложно импортировать чужой cookie себе в браузер ?
А сделать это не сложно, вот...

Импорт cookie в браузер или в другое приложение для...

На заметку Mangle - Тулза для обхода антивирусов

  • 875
  • 0
1708702621492.png


Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.

Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.

Код:
./mangle -h

       _____                        .__
      /     \ _____    ____    ____ |  |   ____
     /  \ /  \\__  \  /    \  / ___\|  | _/ __ \
    /    Y    \/ __ \|   |  \/ /_/  >  |_\  ___/
    \____|__  (____  /___|  /\___  /|____/\___  >
        \/     \/     \//_____/         \/
                    (@Tyl0us)

Использование ./Mangle:
  -C string
        Путь к файлу, содержащему сертификат, который вы хотите клонировать
  -I string
        Путь к...

Информация d3ranged blog

  • 911
  • 2
1708325325006.png


Всем привет!

Раньше был блог vxlab, но потом автор удалил блог, я был немного расстроен, т.к. у автора было много статей интересных.

Но вчера обнаружил, что автор создал новый блог вот:

В частности поддерживает прикольную утилиту для чистки вирусов:

В общем кому интересно рекомендую.)))

Малварь как искусство Опять обходим антивирусы и EDR

  • 681
  • 0
1707738979550.png


В качестве продолжения этих статей:



Оригинал:

Для нашей ежегодной внутренней хакерской конференции, которую мы назвали SenseCon в 2023 году, я решил изучить взаимодействие между драйвером Windows и его процессом в пользовательском режиме.

Вот некоторые подробности об этом путешествии:

Атакующие могут использовать примитив эксплойта чтения/записи ядра Windows, чтобы избежать взаимодействия между EDR_Driver.sys и его EDR_process.exe. В результате некоторые механизмы обнаружения EDR будут отключены, что сделает его...

Малварь как искусство Уклоняемся от поведенческого детекта антивируса и EDR

  • 753
  • 0
1707574181719.png


Всем привет!

В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем
Рекомендую прочитать вначале статью выше.

В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве:

Вообще тут существуют два варианта обхода:

1)Использовать антихуки в своём приложении, этот метод относительно простой и описан уже здесь:Уроки - Разработка вирусов-32.Открываем врата ада
Или вот ещё проект:Малварь как искусство - Фреймворк для тестирования антивирусов

Но данный метод не позволяет 100% обойти защиту, т.к. многие AV используют коллбэки и...
Верх Низ