X-Shar
Уборщица перерубила рунет
Координационный центр доменов .ru и .рф сообщил о «технической проблеме», связанной с глобальной инфраструктурой DNSSEC.
«Возникла техническая проблема, затронувшая зону .ru, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра интернет и МСК-IX работают над ее устранением. В настоящее время для абонентов НСДИ проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации», — сказал РБК глава этого центра Андрей Воробьев.
В Минцифры также , что доступ к сайтам в зоне .ru будет восстановлен в ближайшее время.
Как ранее рассказали источники РБК в отрасли, в центральном регионе России наблюдаются сбои у ряда мобильных операторов и провайдеров: не открываются многие сайты и приложения в зоне .ru. Причина — в сбое с DNSSEC. В итоге, чтобы решить проблему, операторы начали отключать проверку DNSSEC, объяснили собеседники РБК.
DNSSEC — это набор...
Малварь как искусство Различные фреймворки для обхода EDR систем
Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.
Вот что получилось найти на гитхабе (Более-менее новые).
1)TerraLdr:
Details:
- no crt functions imported
- syscall unhooking using
- api hashing using Rotr32 hashing algo
- payload encryption using rc4 - payload is saved in .rsrc
- process injection - targetting 'SettingSyncHost.exe'
- ppid spoofing & blockdlls policy using NtCreateUserProcess
- stealthy remote process injection - chunking
- using debugging & NtQueueApcThread for payload execution
Малварь как искусство Скрываем нагрузку в скриптах
Всем привет!
Вот в этой теме был задан вопрос, как склеить зверька с какой-то полезной программой.
Самое просто это использовать самораспаковывающийся архив, например так:ВАЖНО - Делаем крутой крипто-джойнер и обходим детект VT
Но в этой теме давайте рассмотрим как запаковать пейлоад в скрипт на bat или на sh для линукса.
Это может часто быть полезно и для легальных программ, в случае линукса, так можно сделать свой инсталятор.)
Предлагаю вначале рассмотреть линукс:
Чтобы упаковать бинарный файл (бинарник) в .sh скрипт на Linux, вы можете использовать следующий подход. Этот метод основан на использовании скрипта shell, который включает в себя сам бинарный файл, закодированный в формате base64. Вот подробный пример...
Малварь как искусство Набор методов по обходу AMSI
Этот репозиторий содержит некоторые методы обхода AMSI, которые были найдены в различных блогах.
Большинство скриптов обнаруживаются самим AMSI. Поэтому вам нужно найти триггер и изменить сигнатуру в этом месте путем переименования переменных/функций, замены строк или кодирования и декодирования во время выполнения.
Как альтернативу, вы можете обфусцировать их с помощью ISESteroids или Invoke-Obfuscation, чтобы заставить их работать.
В архиве примеры реализации методов обхода (Там текстовый файл README.md, безобидный, но его могут детектить АВ):
0. [Using Hardware Breakpoints](#Using-Hardware-Breakpoints "Goto Using-Hardware-Breakpoints")
1. [Using CLR hooking](#Using-CLR-hooking "Goto Using-CLR-hooking")
2. [Patch the provider’s DLL of Microsoft MpOav.dll](#Patch-the-providers-DLL-of-Microsoft-MpOav.dll "Goto Patch-the-providers-DLL-of-Microsoft-MpOav.dll")
3. [Scanning Interception and Provider function...
На заметку Указатели в C/C++ разборка
В этой теме предлагаю обсудить, такую тему как указатели в C/C++, также теоретически разберём такую концепцию как "умные указатели".
Итак, что такое указатели ?
Указатель — это переменная, значение которой является адресом памяти.
Это может-быть просто какой-то адрес на выделенную память, например маллоком, это может-быть адрес массива, адрес какой-то переменной и т.д.
В C и C++ указатели используются для динамического управления памятью, обработки массивов, структур и других сложных данных.
Объявление и Инициализация Указателей
Чтобы объявить указатель, вы должны указать тип данных, на который он будет указывать, за которым следует символ звёздочки (*). Например:
C:
int *pointerToInt;
char *pointerToChar;Инициализация указателя происходит путём присвоения ему адреса переменной, используя оператор &:
C:
int var = 10;
int *pointerToInt = &var;Также можно...
Новость За слив геймплея GTA VI пожизненная госпитализация в псих. больнице
Британский суд приговорил 18-летнего хакера Ариона Куртаджа к госпитализации в психиатрической клинике на неопределённый срок за взлом Rockstar Games и слив геймплея GTA VI. Судья заявила, что Куртадж — ключевой член группировки Lapsus$, а его навыки и желание совершать преступления показывают, как он опасен для общества. Он останется в больнице на всю жизнь, если только врачи не сочтут, что он больше не представляет угрозы, BBC.
Напомним, что в сентябре 2022 года Куртадж, находясь в отеле Travelodge под охраной полиции, Rockstar Games, используя Amazon Firestick, клавиатуру, мышь, гостиничный телевизор и мобильный телефон. Куртадж украл 90 видеороликов геймплея и тысячи строк кода раннего билда GTA VI. Код и видео подросток выложил на форуме под ником TeaPotUberHacker. Он был арестован и содержался под стражей до суда...
Ёлочка
Всем привет!
Новогодние праздники....
Думаю не повредит тема с ёлочкой.
Скоро праздники и раслабон...
Надеюсь Новый Год будет лучше уходящего, как всегда по традиции "Это был тяжелый год..." !)
Новогодние праздники....
Думаю не повредит тема с ёлочкой.
Скоро праздники и раслабон...
Надеюсь Новый Год будет лучше уходящего, как всегда по традиции "Это был тяжелый год..." !)
Малварь как искусство Криптор исходного кода при помощи ChatGPT
Всем привет!
ИИ классное изобретение, оно несомненно станет частью нашей жизни.
Но к сожалению всё в нашей жизни двоично, вот приведу пример что можно сделать в темных делах, это просто игрушка, но игрушка с хорошем намеком.
Особенно если появятся аналоги ChatGPT заточенные на создание вредоносного софта, а ждать думаю этого момента осталось не долго.
Как известно защитные средства заточены на сигнатурный анализ, не важно детект это по поведению, детект по сигнатурам, детект в облаке.
Всё это так или иначе правила...)
До сех-пор вирусописатели делали скрытие кода, не меняя исходники программы, ну например шифрование кода, запуски в памяти и т.д.
Такие вирусы стали детектиться очень быстро, поэтому собственно и эпидемий нет...)
А теперь представим, что появится вирус, который действительно будет мутировать, программа будет усложняться в каждой эволюции, задетектить это существующими правилами...
На заметку Зачем нужен typeof в Си ?
Интересно было зачем нужен этот typeof, как-то не разу не использовал.)
Вот что ответил ИИ, рекомендую почитать, кто кодить в Си.
На самом деле не плохая штука.)
Ключевое слово typeof в языке программирования C используется для определения типа данных переменной или выражения. Оно особенно полезно в следующих случаях:
- Обобщенное программирование: Позволяет писать код, который может работать с различными типами данных, не зная их заранее. Это удобно, например, при написании макросов или функций, работающих с различными типами данных.
- Безопасность типов: Помогает обеспечить, что операции выполняются с переменными правильных типов, что предотвращает ошибки, связанные с неправильным использованием типов данных.
- Упрощение кода: Используя typeof, можно избегать повторения длинных или сложных имен типов, что делает код более читаемым и легким для поддержки.
- Адаптивность кода: При изменении типа...
Уроки Обход AMSI при помощи хардварных точек останова
AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.
Обход AMSI с использованием хардверных брейкпоинтов:
Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.
В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...
Новость Вредоносная реклама Notepad++ в Google
Специалисты
обнаружили в Google новую кампанию по распространению вредоносной рекламы. Кампания была нацелена на пользователей, желающих загрузить текстовый редактор Notepad++, и оставалась незамеченной несколько месяцев.
Исследователям не удалось получить итоговую полезную нагрузку, но в Malwarebytes считают, что это был Cobalt Strike, который предшествовал развертыванию вымогательского ПО.
В рекламе злоумышленники продвигали URL-адреса, которые явно не были связаны с Notepad++, но использовали вводящие в заблуждение заголовки в своих объявлениях. Так как заголовки намного крупнее и более заметны, чем URL-адреса, многие люди, скорее всего, не замечали подвоха.
Если жертва кликала по любому из объявлений мошенников, срабатывал редирект, который проверял...
Исследователям не удалось получить итоговую полезную нагрузку, но в Malwarebytes считают, что это был Cobalt Strike, который предшествовал развертыванию вымогательского ПО.
В рекламе злоумышленники продвигали URL-адреса, которые явно не были связаны с Notepad++, но использовали вводящие в заблуждение заголовки в своих объявлениях. Так как заголовки намного крупнее и более заметны, чем URL-адреса, многие люди, скорее всего, не замечали подвоха.
Если жертва кликала по любому из объявлений мошенников, срабатывал редирект, который проверял...
Эксклюзив Картинки от ChatGPT
Всем привет!
ИИ научился создавать и обрабатывать картинки, пока это в бета версии openAI, но прикольно...
ИИ научился создавать и обрабатывать картинки, пока это в бета версии openAI, но прикольно...
Inception #7
Скачать можно тут:
Уроки Разработка вирусов-35.Обход EDRs.Последняя тема цикла
Эта статья будет последняя в этом цикле.
Да ещё много чего не рассказано, но что-то со временем у меня беда, поэтому спешил по быстрее выложить статьи.
Далее ещё планирую оформить это в pdf книги.
Надеюсь эти статьи кому-то покажутся интересным и сразу извиняюсь за их качества, хотя вероятно направления какое-то они могут дать.
Введение
Endpoint Detection and Response (EDR) — это решение безопасности, которое обнаруживает и реагирует на угрозы вроде вымогательского ПО и вредоносного программного обеспечения. Его работа основана на постоянном мониторинге конечных точек в поисках подозрительной активности путем сбора данных о таких событиях, как системные журналы, сетевой трафик, межпроцессное взаимодействие (IPC), вызовы RPC, попытки аутентификации и активность пользователя.
Установив EDR на конечные точки, вы будете собирать данные, которые затем будут анализироваться и коррелироваться для...
Уроки Разработка вирусов-34.Обход Windows defender
Введение
До сих пор было продемонстрировано множество методов и техник создания и выполнения загрузчика payload, который может обходить различные программы защиты от вредоносного кода. Эта статья будет работать над созданием полнофункционального загрузчика payload с нуля, чтобы укрепить знания, полученные в предыдущих разделах.
Создайте пустой проект Visual Studio и следуйте за этим разделом.
Характеристики загрузчика payload
Реализованный загрузчик payload будет иметь следующие характеристики:
- Поддержка удаленного внедрения кода
- Инжекция с использованием прямых системных вызовов через Hell's Gate
- Хеширование API
- Функции против анализа
- Шифрование payload RC4
- Попытка взлома ключа шифрования (Брут ключа шифрования)
- Отсутствие импорта библиотек CRT
Настройка Hell's Gate
Этот загрузчик использует внедрение payload с использованием прямых системных вызовов, полученных с помощью Hell's...
Уроки Разработка вирусов-32.Открываем врата ада
В этих темах:
Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами
Что такое системные вызовы (Syscalls) Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти. Помните из вводных модулей, что...
Уроки - Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы
В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию. Давайте теперь переделаем техники: https://ru-sfera.pw/threads/razrabotka-virusov-17-izuchaem-texniku-thread-hijacking.4449/...
Мы обсуждали прямые системные вызовы для обхода хуков и детекта по поведению.
Мы там использовали вспомогательный инструмент Hell's Gate, предлагаю в этой статье модифицировать этот инструмент, что-бы избежать детект на сам инструмент.)
Обновления сделают реализацию более настраиваемой и, следовательно, более скрытной и уменьшат вероятность обнаружения на основе сигнатур. Кроме того, обновленный код изменит способ получения SSN системного вызова, используя
Если вам нужно восстановить информацию о первоначальной реализации Hell's Gate, посетите репозиторий...
Последние сообщения
-
На заметку BlackhatRussia.com [На сайте закладки, осторожно]- Последнее: Spectrum735
-
-
