-
Обратная связь
(info@ru-sfera.pw)
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Исследование защиты
Малварь как искусство Фреймворк для тестирования антивирусов
Всем привет!
Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.
Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)
Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.
Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.
Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.
Итак что мы можем сделать в своём зверьке ?
1)Скрытие от статического анализа:
Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...
На заметку Денис Легезо — Злые фреймворки и генерируемый ими позиционно-независимый код
Не совсем обычные темы на конференции C++ Russia.)
2022 год:
На заметку - Денис Легезо — Взгляд с обратной стороны: как смотрит на код реверсер
Хе этот год для меня выдался очень интересный, в прочем как и прошлый, но не суть... Вообще не разу не приходилось участвовать на каких-то конференциях, но в этом году поприсутствовал на конференции cppRussia, было интересно... Из интересных вещей, это доклад Денис Легезо из ЛК, как реверсят...
2023 год:
Информация Архитектура Microsoft Defender Antivirus
Перевод:
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
На заметку Дурачимся, делаем бомбу для винды
Всем привет, нахрен никому это скорей-всего не нужно.
Но надо-было заполнить всё простраснство на диске в винде, для линукса это делается очень просто:
Можно создать файлик с рандомным содержимым и с нужным размером, например при помощи команды dd в консоле:
Код:
dd if=/dev/urandom of=random_file.bin bs=1M count=1024000Указанная команда создаст файл 1ТБ со случайным значением.
Но в винде незнал как сделать, поэтому написал консольную тулзу, вернее написал ИИ, я как настоящий современный кодер и кодить-то не умею, вот-что получилось...
C++:
#include <iostream>
#include <fstream>
#include <cstdlib>
#include <ctime>
#include <vector>
const size_t ONE_MB = 1024 * 1024;
const size_t FILE_SIZE = 1024 * 1024 * 1024 * 1024ULL; // 1 TB
int main() {
std::ofstream file("random_file.bin", std::ios::binary);
if (!file) {
std::cerr << "Unable to open file for writing." << std::endl...На заметку Реверсивный инжиниринг приложений под Windows
Реверсивный инжиниринг считается одним из наиболее сложных направлений в информационной безопасности (ИБ). В книге автор предлагает приоткрыть завесу тайны над этой темой и с помощью практических примеров рассмотреть, как работают приложения под ОС Windows, а также разобраться в том, как эксплуатировать уязвимости переполнения буфера, размещать свой код в выполнимых файлах, находить полезную информацию в дампах памяти и многое другое.
Книга предназначена как для начинающих специалистов, желающих разобраться в реверс-инжиниринге, так и для опытных специалистов по ИБ, интересующихся данной темой.
Книга 2024 года
Оглавление:
0x0cf11 Вступление ..................................................................................... 8
О пользе реверсинга ..............................................................................................8
Зачем нужен реверсинг...
Информация О том, что можно сделать со взломанной камерой
Всем привет!
У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!
Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?
В этой приватно статье с Хакера, можно почитать:
Я сделаю перепост, надеюсь автор не будет против.)
Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.
С точки зрения пентеста куда интереснее...
У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!
Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?
В этой приватно статье с Хакера, можно почитать:
Я сделаю перепост, надеюсь автор не будет против.)
Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.
С точки зрения пентеста куда интереснее...
Информация Особенности малвари в Андроид 13-14
Вообще я тут создал тему:На заметку - «Настройки с ограниченным доступом» в Android 13 и 14
Но решил раскрыть тему настроек, вообще сама по себе система Андроид хорошо защищена, но важно соблюдать так-сказать "Гигиену" и не давать приложением критичные права, а также не включать лишнее, например отладку по USB, рутовать и т.д.
Думаю это понятно, но давайте разбираться на примерах.
Вообще какие угрозы с вашим мобильником могут быть:
1)Мобилу украли, или потеряли, что тут может-быть - Это конечно утечка данных, особенно если используете банковские приложения, это может-быть очень критично.
Что делать ?
Скажу что современные ОС Андроид 13-14 имеют шифрование всего накопителя, именно поэтому если поставить хороший пароль, кроме биометрии, хотя-бы 12 значный, его уже тяжеловато...
На заметку «Настройки с ограниченным доступом» в Android 13 и 14
В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).
Что такое «Настройки с ограниченным доступом»
Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.Однако в...
ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!
IPCAM BRUTER v3.4.2.1697 FULL VERSION !
--------------------------------------------------------------------
Привет всем! Друзья, представляю вашему вниманию обновление обещанной сборки "IPCamBruter v3.4.2.1697 full" из серии бесплатных!
Что нового в этой сборке? В данную сборку внесены следующие улучщения:
1) Устранена проблема с долгой загрузкой IP-адресов после сканирования, теперь адреса грузятся мгновенно, без задержки!
2) Добавлена возможность сканировать любые порты в (Dahua Terminal) точно так же как и в (Hikvision Terminal).
3) Добавлена возможность использовать почти все...
Безопасность WiFi в 2024 году
Перевод:
Вообще я-бы настоятельно рекомендовал прочитать этот цикл статей на хабре:
Введение
Лучше начать с очевидного: WiFi сети не безопасны. В моем опыте я никогда не сталкивался с сетью, которая не была бы уязвима хотя бы к одной из общедоступных эксплойтов.В этой статье мы сосредоточимся на выявлении большинства уязвимостей протокола 802.11, которые затрагивают как 2.4GHz, так и 5GHz WiFi сети.
Инструменты, которые мы будем использовать (Необходим также Линукс):
- -...
Информация Чит/трейнер своими руками. Хакер. Часть 3
Долгожданная третья часть автора приватных статей с Хакера:
Информация - Чит/трейнер своими руками. Хакер. Часть 1
Приватная статья, часть первая:Чит своими руками. Вскрываем компьютерную игру и пишем трейнер на C++ Играть в игры любят все, но это гораздо интереснее, когда у тебя имеется нескончаемый запас патронов и здоровья. Чтобы обзавестись и тем и другим, можно погуглить читы и трейнеры для твоей...
Информация - Чит/трейнер своими руками. Хакер. Часть 2
Продолжение крутой статьи:Информация - Чит/трейнер своими руками. Хакер. Часть 1 Автор реально постарался всё расписать, респект:Чит своими руками. Смотрим сквозь стены и делаем автоприцеливание для 3D-шутера Сегодня мы с тобой напишем чит для сетевого шутера. Мы реализуем хаки типа...
В этой статье я попробую показать, как создать собственный чит, который будет противостоять используемым в играх античит‑системам. Для этого нам понадобится поупражняться в реверсе и познакомиться с устройством игр, написанных на Unity.
АНТИЧИТ
Итак, античит — это некая программа, которая мешает игрокам в онлайновые игры получать нечестное преимущество за счет использования стороннего ПО. Не буду пытаться объяснить это на абстрактном примере, лучше давай сразу перейдем к практике. По дороге все поймешь...Малварь как искусство Повышение привилегий через StorSvc (CVE-2024-26238)
Одна из последний критичных уязвимостей винды:
Предлагаю рассмотреть как можно проэксплуатировать.)
StorSvc — это служба, которая работает от имени NT AUTHORITY\SYSTEM и пытается загрузить отсутствующую библиотеку SprintCSP.dll при вызове локального метода SvcRebootToFlashingMode через RPC.
Описание RPC-метод StorSvc.dll!SvcRebootToFlashingMode вызывает StorSvc.dll!InitResetPhone, который также вызывает StorSvc.dll!ResetPhoneWorkerCallback, пытающийся загрузить SprintCSP.dll, как показано на изображении ниже:
Поскольку эта DLL отсутствует, она загружается в соответствии с порядком поиска DLL, и мы можем воспользоваться этим поведением, поместив вредоносную DLL в папку, доступную для записи, которая...
Предлагаю рассмотреть как можно проэксплуатировать.)
StorSvc — это служба, которая работает от имени NT AUTHORITY\SYSTEM и пытается загрузить отсутствующую библиотеку SprintCSP.dll при вызове локального метода SvcRebootToFlashingMode через RPC.
Описание RPC-метод StorSvc.dll!SvcRebootToFlashingMode вызывает StorSvc.dll!InitResetPhone, который также вызывает StorSvc.dll!ResetPhoneWorkerCallback, пытающийся загрузить SprintCSP.dll, как показано на изображении ниже:
Поскольку эта DLL отсутствует, она загружается в соответствии с порядком поиска DLL, и мы можем воспользоваться этим поведением, поместив вредоносную DLL в папку, доступную для записи, которая...
Малварь как искусство MutationGate - Новый подход работы с сисколами
Перевод:
Мотивация
Учитывая, что встроенные хуки являются основным методом обнаружения, используемым продуктами EDR, обход их является для меня интересной темой.Что касается обхода встроенных хуков, установленных EDR, уже существует довольно много доступных подходов. Хотя некоторые из ранних подходов очень легко обнаруживаются, существуют и несколько зрелых подходов.
Тем не менее, я считаю, что было бы очень интересно найти новый подход к обходу хуков, надеюсь, это принесет некоторые улучшения или преимущества.
Встроенный хук
Продукты EDR (Endpoint Detection and Response) часто размещают встроенные хуки на NTAPI, которые обычно используются в вредоносном ПО, таких как NtAllocateVirtualMemory, NtUnmapViewOfSection, NtWriteVirtualMemory и других. Это связано с тем, что NTAPI является мостом...Информация Бабушкин-2024
Ничего не меняется в нашем мире...
Можно долго наблюдать за огнём, водой и тем как "разрабатывают" отечественные антивирусы.
СМИ: разработчики из ПГУ создали антивирус, который использует ИИ и не требует обновлений
Разработчики из Пензенского государственного университета разработали первый российский антивирус, который основан на машинном обучении и не требует обновлений, сообщили «Известиям» представители вуза.
«В настоящий момент у нас готова версия программы для Windows. Она способна определять такой вредоносный софт, как троянские вирусы (которые проникают в ПК под видом легитимного ПО), руткиты (софт, собирающий персональные данные) и ПО, незаконно использующее ресурсы компьютера», — сообщил лидер проекта Даниил Мишин.
Главное отличие разработки от существующих продуктов в том, что антивирус устанавливается на компьютер и не требует наличия постоянного подключения к...
Малварь как искусство Атаки с использованием планировщика заданий в среде Windows
Перевод:
Планировщик задач является одной из самых популярных техник атак, используемых злоумышленниками для установления постоянного присутствия на компьютере жертвы. Исследовательская команда Qualys изучила различные способы, которые могут использоваться злоумышленниками для сокрытия запланированных задач.
В этой статье мы описываем три новых метода скрытия и удаления запланированных задач в среде Microsoft Windows.
Злоумышленники часто используют функциональность планировщика задач в среде Microsoft Windows, чтобы облегчить начальное или регулярное выполнение вредоносного кода при запуске системы или по расписанию для сохранения присутствия.
Недавно исследователи безопасности Microsoft...
Малварь как искусство MemoryModule - Загрузка DLL из ОЗУ
Всем привет!
Когда-то давно писал свой загрузчик DLL, но сейчас на гитхабе наткнулся на более взрослый загрузчик:
Для чего это может-быть нужно:
Стандартные функции Windows API для загрузки внешних библиотек в программу (LoadLibrary, LoadLibraryEx) работают только с файлами на файловой системе. Поэтому невозможно загрузить DLL прямо из памяти.
Но иногда нужно загрузить dll из памяти, вот зачем:
1. Например есть у вас какая-то модульная архитектура, к примеру какой-то ботнет с различным функционалом, вот поставляться-же сам ботнет может просто загрузчиком, а в зависимости от задания на управляющим сервере, качать нужную зашифрованную DLL и запускать её в памяти.
2. Таким образом можно делать криптования длл.
Вот как пользоваться кодом выше, вот...
На заметку Детали реализации CFG в Windows 11
Перевод:
CFG в контексте Windows означает Control Flow Guard. Это функция безопасности, предназначенная для предотвращения атак, основанных на нарушении управления потоком выполнения программы.
Как работает Control Flow Guard:
- Регистрация допустимых точек вызова: При компиляции программы компилятор анализирует код и создает список всех допустимых точек вызова функций (адресов, по которым допустимо передавать управление). Этот список включается в исполняемые файлы и загружаемые модули.
- Проверка во время выполнения: Когда программа выполняется, операционная система использует этот список для проверки корректности адресов передачи управления перед их выполнением. Если программа пытается выполнить переход на адрес, который не находится в списке разрешенных точек вызова, CFG блокирует такой вызов и предотвращает возможное выполнение вредоносного...
На заметку BlackhatRussia.com [На сайте закладки, осторожно]
Всем привет!
Наткнулся на сайт (Осторожно, там закладки):
Код:
https://blackhatrussia.com/Там типо можно скачать всякие ратники, крипторы и прочие хакерские утилиты.
Предлагает скачать самораспоковывающийся архив, а при распаковки запускакется exe файл, так-что осторожно.)
Программа ОБНОВЛЕНИЕ БРУТФОРСЕРА IPCAMBRUTER v3.4.2
ОБНОВЛЕНИЕ IPCAMBRUTER V3.4.2 2024!
В ДАННУЮ СБОРКУ ВКЛЮЧЕНЫ СЛЕДУЮЩИЕ ИЗМЕНЕНИЯ:
1 ). Снято ограничение на использование мин-кол ip-адресов, в предыдущей сборке, нельзя было использовать минимальное количество IP, ниже чем 60- IP !
2 ). Максимально снижена нагрузка на процессор, так же снижено потребление памяти.
3 ). В предыдущей версии, при работе с терминалом, был баг, результаты грузились сразу в оба брутфорсера, ошибка исправлена!
4 ). Улучшена работа с терминалом, налажен генератор рандомных IP диапазонов, теперь генерирует более актуальные IP
5 ). Также улучшено сканирование портов в сканере « Masscan GUI » теперь сканер работает более шустро!
6 ). Для брута (IP камер Hikvision) добавлен новый, дополнительный порт "8200" !
7 ). Для бруфорсера (IP камер Hikvision) в терминал добавлена возможность исользовать параметры в командах,
8 ). На панель (терминала Hikvision)...
Новость Бэкдор в OpenSource для доступа к SSH
Уязвимость в xz Utils была построена по схеме supply chain attack, атака на цепочку поставок. Для её реализации злоумышленнику (или их группе) пришлось два года втираться в доверие к сообществу открытого программного обеспечения, чтобы получить права мейнтейнера и внедрить нужный код. Бэкдор обнаружила не лаборатория безопасности в результате тщательного анализа, а разработчик, который замедление работы компьютера.
Пакет — набор утилит для сжатия данных для Unix-подобных операционных систем и, начиная с пятой ветки, Microsoft Windows. Разработку ведёт коллектив Tukaani Project.
Утилита известна. Одни из наиболее популярных дистрибутивов Linux — Debian и Ubuntu, Fedora, Slackware, Arch Linux — использовали или до сих пор включают в себя xz Utils.
Однако это не значит, что разработка xz Utils...
