-
Обратная связь
(info@ru-sfera.pw)
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
X-Shar
Малварь как искусство Фреймворк для тестирования антивирусов
Всем привет!
Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.
Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)
Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.
Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.
Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.
Итак что мы можем сделать в своём зверьке ?
1)Скрытие от статического анализа:
Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...
ВАЖНО [КНИГА] Разработка драйверов для Windows
Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming
Но есть профессиональный перевод, которым хочу поделиться.)
В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.
Некоторые из тем, которые в книге не рассматривались:
- Драйверы физических устройств.
- Сетевые драйверы и фильтры.
- WFP (Windows Filtering Platform).
- Более подробная информация о мини-фильтрах файловой системы.
- Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
- Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
[Книга] Введение в разработку вредоносных программ
Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.
Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.
Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.
Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.
Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]
Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)
Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.
И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.
В итоге появился раздел...
ВАЖНО Введение в разработку вредоносных программ (Оглавление)
В этой теме список статей по разработки малвари.
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
[URL...
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ВАЖНО - Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
Уроки - Разработка малвари - 2. Изучаем инструменты
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?
Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды
Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
Уроки - Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
[URL...
Информация В РКН сделали заявление
26 июля 2024 года в Роскомнадзоре СМИ, что ведомство оставляет за собой право на меры против YouTube в рамках использования специальных инструментов для «мотивации» как самой видеоплатформы, так и компании Google.
Google (головная компания видеохостинга YouTube) неоднократно нарушала законодательство России и блокировала аккаунты российских СМИ, артистов и блогеров, что является причиной принятия мер по отношению к сервису, сообщили СМИ в Роскомнадзоре.
«Многочисленные нарушения нашего законодательства, неуважение к нашей стране и гражданам являются основанием для принятия мер в отношении YouTube. И у нас достаточно инструментов для мотивации компании в такой ситуации, право их использования мы оставляем за собой», — говорится в заявлении ведомства. Вероятно, в качестве этих инструментов может использоваться...
Новость Продолжение приколов от CrowdStrike
Уже была тема:Вопрос - Что за антивирус CrowdStrike ?
Где рассказывалось про сбой множества парков компов на винде, также сообщалось что такие сбои для этой компании в порядке вещей.
Странная компания, которой пользуются многие.)
Идем дальше, компания решила извинится и...
Но, видимо, в компании сочли, что простых извинений недостаточно. Как сообщило вчера издание , в CrowdStrike решили поддержать всех тех, кто был вынужден работать сверхурочно из-за случившегося. Сразу несколько источников сообщили журналистам, что получили письмо от CrowdStrike, в котором им предложили подарочную карту доставки еды Uber Eats «за дополнительную работу, которую повлек за собой инцидент 19 июля».
«Мы выражаем вам искреннюю благодарность и...
Вопрос Что за антивирус CrowdStrike ?
По всему миру наблюдается сбой в работе устройств с системой Windows. Как Register, это связано с ошибкой в обновлении от поставщика решений информационной безопасности CrowdStrike. Пользователи жалуются на появление «синего экрана смерти» на устройствах с Windows 10.
«CrowdStrike осведомлен о сообщениях о сбоях на хостах Windows, связанных с программой Falcon. Симптомы включают в себя хосты, на которых возникает ошибка bugcheck\blue screen, связанная с датчиком Falcon», — цитирует издание сообщение компании.
Falcon Sensor — это система безопасности, которая, по утверждению CrowdStrike, блокирует кибератаки.
В сети мало информации про этот антивирус, но интересно почему такой вроде-бы не популярный антивирус стоит на куче компов, в разных отраслях ?
Вот что удалось найти об этом продукте:
CrowdStrike— это...
На заметку Денис Легезо — Злые фреймворки и генерируемый ими позиционно-независимый код
Не совсем обычные темы на конференции C++ Russia.)
2022 год:
На заметку - Денис Легезо — Взгляд с обратной стороны: как смотрит на код реверсер
Хе этот год для меня выдался очень интересный, в прочем как и прошлый, но не суть... Вообще не разу не приходилось участвовать на каких-то конференциях, но в этом году поприсутствовал на конференции cppRussia, было интересно... Из интересных вещей, это доклад Денис Легезо из ЛК, как реверсят...
2023 год:
Информация Архитектура Microsoft Defender Antivirus
Перевод:
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
Информация Windows Native API Programming
Интересная книжка, про нативное программирование под Windows API.
2024 год.
Низкоуровневое программирование в пользовательском режиме для Windows обычно включает работу с документированным API Windows, экспортируемым из DLL подсистем, таких как Kernel32.dll, user32.dll, advapi32.dll, kernelbase.dll и других. Под большинством этих API скрываются системные вызовы, которые выполняются для доступа к ядру. Всё, что имеет значение в Windows (или любой другой ОС, если уж на то пошло), должно взаимодействовать с ядром для выполнения задач на уровне системы, таких как выделение памяти, создание процессов и потоков, выполнение операций ввода-вывода и многое другое.
Для перехода к ядру используется нативный API, реализованный в нескольких DLL. Наиболее важная из них — NtDll.dll, системная библиотека в пользовательском режиме, которая выполняет эту критическую роль. Эта книга посвящена API этой DLL, касающемуся...
На заметку Алгоритмы, или а программист-ли я ?
Всем привет!
Тут наткнулся на одну статейку, но об этом позже...
Есть такое интересное явление, незнаю с чем это связанно, вот например у меня уже стаж работы разработчиком ну точно не менее 15 лет, это после окончания вуза.
Так-вот, вроде в процессе работы решались разные задачи, какой-то наверное и опыт есть...
Но-блин я так и не научился решать алгоритмические задачи, например сортировка пузырьком, сложные сортировки деревьев, или что-то ещё, что там по алгоритмам обычно спрашивают...)
Нет, конечно что-то простецкое решу, но не более того.
Было время я очень от этого комплексовал, особенно когда искал работу, это всё обычно спрашивается на собесах и к сожалению обычно это обнуляет весь опыт предыдущих работ...:(
Кстати я тогда пошел другим путем, одна известная компания, выложила челендж с задачей в интернете, решив которую, можно-было получить финальный собес, на котором правда всё-равно дрючили...:(...
ВАЖНО Жалобы от Роскомнадзора
Всем привет!
Начали поступать жалобы от регулятора, пока-что на темы связанные с VPN, в целом темы не критичные, решил договорится и удалить.
Но если будет много жалоб, то придется их игнорить, или выводить контент в какие-то скрытые разделы, т.к. жалобы рассылает бот.
В целом текущий хостинг вроде не против размещения такого материала, но большая вероятно блокировки форума на территории РФ, вот так.
Скажу что вероятность такая почти 100%, но посмотрим.
Видимо решили прессовать VPN-сервисы.
На заметку Дурачимся, делаем бомбу для винды
Всем привет, нахрен никому это скорей-всего не нужно.
Но надо-было заполнить всё простраснство на диске в винде, для линукса это делается очень просто:
Можно создать файлик с рандомным содержимым и с нужным размером, например при помощи команды dd в консоле:
Код:
dd if=/dev/urandom of=random_file.bin bs=1M count=1024000Указанная команда создаст файл 1ТБ со случайным значением.
Но в винде незнал как сделать, поэтому написал консольную тулзу, вернее написал ИИ, я как настоящий современный кодер и кодить-то не умею, вот-что получилось...
C++:
#include <iostream>
#include <fstream>
#include <cstdlib>
#include <ctime>
#include <vector>
const size_t ONE_MB = 1024 * 1024;
const size_t FILE_SIZE = 1024 * 1024 * 1024 * 1024ULL; // 1 TB
int main() {
std::ofstream file("random_file.bin", std::ios::binary);
if (!file) {
std::cerr << "Unable to open file for writing." << std::endl...Новость LockBit и ФРС США
Недавно вымогательская группировка LockBit заявила о взломе Федеральной резервной системы (ФРС) США, выполняющей функции центрального банка страны. Однако теперь стало известно, что от атаки пострадал лишь отдельный банк из Арканзаса.
В своем заявлении об атаке на ФРС (federalreserve.gov), сделанном в прошлые выходные, представители LockBit писали, что похитили 33 ТБ конфиденциальной банковской информации американцев, и переговоры о выкупе еще продолжаются, так как им предложили всего 50 000 долларов за непубликацию данных.
«Вам лучше нанять другого переговорщика в течение 48 часов и уволить того клинического идиота, который оценил банковскую тайну американцев в 50 000 долларов», — писали хакеры.
Так как о выкупе договориться явно не удалось, группировка начала сливать якобы украденную ФРС информацию на своем сайте в даркнете.
И тут выяснилось, что объектом атаки была вовсе не ФРС, а небольшая финансовая...
На заметку Реверсивный инжиниринг приложений под Windows
Реверсивный инжиниринг считается одним из наиболее сложных направлений в информационной безопасности (ИБ). В книге автор предлагает приоткрыть завесу тайны над этой темой и с помощью практических примеров рассмотреть, как работают приложения под ОС Windows, а также разобраться в том, как эксплуатировать уязвимости переполнения буфера, размещать свой код в выполнимых файлах, находить полезную информацию в дампах памяти и многое другое.
Книга предназначена как для начинающих специалистов, желающих разобраться в реверс-инжиниринге, так и для опытных специалистов по ИБ, интересующихся данной темой.
Книга 2024 года
Оглавление:
0x0cf11 Вступление ..................................................................................... 8
О пользе реверсинга ..............................................................................................8
Зачем нужен реверсинг...
Информация О том, что можно сделать со взломанной камерой
Всем привет!
У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!
Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?
В этой приватно статье с Хакера, можно почитать:
Я сделаю перепост, надеюсь автор не будет против.)
Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.
С точки зрения пентеста куда интереснее...
У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!
Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?
В этой приватно статье с Хакера, можно почитать:
Я сделаю перепост, надеюсь автор не будет против.)
Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.
С точки зрения пентеста куда интереснее...
Новость OpenAI
Технический директор OpenAI Мира Мурати , что ChatGPT следующего поколения с «интеллектом уровня доктора наук» выйдет в конце 2025 или начале 2026 года.
По её словам, следующее поколение ChatGPT будет решать конкретные задачи.
Мурати рассказала о быстром развитии возможностей искусственного интеллекта. «Если вы посмотрите на траекторию совершенствования, такие системы, как GPT-3, возможно, обладали интеллектом уровня малыша. И тогда такие системы, как GPT-4, больше похожи на старшеклассника. А затем, в ближайшие пару лет, мы рассматриваем интеллект уровня кандидата наук», — объяснила она.
Мурати считает, что ИИ «повлияет на всё» с точки зрения когнитивной работы и труда. Она допустила, что развитие ChatGPT приведёт к сокращению некоторых рабочих мест, особенно в...
Информация Арестован предполагаемый создатель криптора для Conti и LockBit
Криптор - Это программа для обхода детекта в антивирусных продуктах.
В Киеве арестован 28-летний мужчина, которого подозревают в сотрудничестве с группировками Conti и LockBit. Считается, что задержанный разработал криптор для этих шифровальщиков, помогая сделать их незаметными для антивирусов, а также лично совершил как минимум одну атаку.
Сообщается, что задержанный уроженец Харьковской области, чьи имя и фамилия не раскрываются, был арестован еще 18 апреля 2024 года, по запросу Нидерландов, в рамках масштабной операции правоохранительных органов под кодовым названием .
Напомним, что тогда было конфисковано более 100 серверов, которые использовались крупными загрузчиками малвари, включая IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC. Поскольку Conti использовала некоторые из этих решений для первоначального...
Информация Особенности малвари в Андроид 13-14
Вообще я тут создал тему:На заметку - «Настройки с ограниченным доступом» в Android 13 и 14
Но решил раскрыть тему настроек, вообще сама по себе система Андроид хорошо защищена, но важно соблюдать так-сказать "Гигиену" и не давать приложением критичные права, а также не включать лишнее, например отладку по USB, рутовать и т.д.
Думаю это понятно, но давайте разбираться на примерах.
Вообще какие угрозы с вашим мобильником могут быть:
1)Мобилу украли, или потеряли, что тут может-быть - Это конечно утечка данных, особенно если используете банковские приложения, это может-быть очень критично.
Что делать ?
Скажу что современные ОС Андроид 13-14 имеют шифрование всего накопителя, именно поэтому если поставить хороший пароль, кроме биометрии, хотя-бы 12 значный, его уже тяжеловато...
На заметку «Настройки с ограниченным доступом» в Android 13 и 14
В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).
Что такое «Настройки с ограниченным доступом»
Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.Однако в...
