Исследование защиты

Основной чат
Помощь Пользователи
  • Никто не разговаривает в данный момент.
  • O @ offsec:
    Эта книжка кстати тоже довольно тяжёлая, ну ладно, ещё раз спасибо
  • X-Shar @ X-Shar:
    А Windows internals кстати понятно написано, но там много читать.
    Вообще проблема всех этих книг, что без практики всё забывается буквально через полгода.)
    +1
  • O @ offsec:
    Ну не знаю, у меня от "работа с ядром" голова закипела. Жалко нету что то с кодом чтобы сразу.
  • A @ alexandro1998:
    X-Shar сказал(а):
    А Windows internals кстати понятно написано, но там много читать. Вообще проблема всех этих книг, что без практики всё забывается буквально через полгода.)
    увы, без практики тупеешь, ядро винды тяжелее особенно после линуксов
  • O @ offsec:
    Да че то в принципе не особо сложно, спать просто надо мне побольше) Голова более менее почище стала и сразу все понимать начинаешь, а насчёт практики так это да
  • X-Shar @ X-Shar:
    alexandro1998 сказал(а):
    увы, без практики тупеешь, ядро винды тяжелее особенно после линуксов
    Винда архитектурно совсем другая система, даже ядро у винды больше гибрит, у линукс монолит.
    Поэтому-да, даже сравнивать смысла нет, совсем разные подходы к разработки.)
    +1
  • O @ offsec:
    Парни, а вот знает кто в чем отличие RT_RCDATA от RT_ICON? Изучаю исходник пейлоада(грузит пейлоад в .rsrc секцию PE), и задумался почему именно RT_RCDATA. Чатбот говорит что RCDATA устаревший, а RT_ICON также можно использовать для , другой говорит что RT_ICON это для использования в своем приложении, а RT_RCDATA - как раз таки для двоичных файлов. Верю больше второму, но все равно не понятно) Если что я подразумеваю что то такое: res = FindResource(NULL, MAKEINTRESOURCE(FAVICON_ICO), RT_RCDATA)
  • O @ offsec:
    Ну я объяснил тоже как чатбот конечно, надеюсь смысл понятен)
  • O @ offsec:
    Ладно, вроде как при RT_RCDATA мы просто забираем не обрабатывая данные, а RT_ICON оно как иконка обработается
  • O @ offsec:
    Парни объясните указатели) Я когда пишу код я думаю о них как о магической вещи, я понимаю что это указатель на адрес памяти, но вот use cases не понимаю.
  • X-Shar @ X-Shar:
    @offsec,
  • X-Shar @ X-Shar:
    Вот создал тему, незнаю на сколько понятно будет.)
  • O @ offsec:
    Годнота, пришла мысль теперь как это используется
  • X-Shar @ X-Shar:
    @offsec, в основном для работы с динамически выделенной памятью, также для передачи объектов в другие функции и т.д.
  • X-Shar @ X-Shar:
    Указатели самая сложная тема в Си.
  • O @ offsec:
    Может быть когда нибудь переведу вторую часть по руткитам. Щас пока Win Internals изучаю, раньше было тяжело читать(Которая от Руссиновича или как его) щас кажется будто там никогда ничего тяжёлого и не было)
  • IvanPetrov @ IvanPetrov:
    Я как-то в делфи прогу писал, много использовал указателей, мне показалось удобно для тех целей, что я преследовал, но всегда надо держать в голове, что данные нельзя Free где-нибудь, т.к. конструктором создавал и сразу в деструктор записывал их освобождение. В последнее время Python использовал, там какая-то другая философия ) можешь создать список, бросить его и забыть, Python сам все почиситит, как увидит, что на список нет больше активных ссылок
  • Бюджетный Бюджет @ Бюджетный Бюджет:
    Блин, хотел статью перевести а там картинки битые. А под новый год обязательно что-нить сделать то надо
  • G (Гость) guest ку:
    ку
  • L @ LiSiQing:
    Ку. Ку.
  • L @ LiSiQing:
    хм. уже было)
  • X-Shar @ X-Shar:
    Что-то спамеров много стало, никто ничего не пишет, кроме спама.
    И регистрируется много ботов.:(
    +1
  • yum @ yum:
    форум мало популярный. я в основном читаю статьи переведенные тобой или читаю в источнике. ну или просто спрашиваю на форуме
    +1
  • X-Shar @ X-Shar:
    Удалил штук 100 пользователей, которые зарегились за последние 2 недели.
    Связанно это с тем-что, к сожалению предыдущую капчу начал обходить хрумер и кто-то натравил эту спам-программу на форум.
    Капчу поменял, если я кого-то удалил случайно, просто зарегистрируйтесь ещё-раз, все удаленные посетители с 0 сообщением и определенными спам-признаками.)

    Малварь как искусство Фреймворк для тестирования антивирусов

    • 1 269
    • 12
    1701614939222.png


    Всем привет!

    Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

    Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

    Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

    Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

    Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

    Итак что мы можем сделать в своём зверьке ?


    1)Скрытие от статического анализа:

    Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
    Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

    На заметку Mangle - Тулза для обхода антивирусов

    • 8
    • 0
    1708702621492.png


    Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.

    Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.

    Код:
    ./mangle -h
    
           _____                        .__
          /     \ _____    ____    ____ |  |   ____
         /  \ /  \\__  \  /    \  / ___\|  | _/ __ \
        /    Y    \/ __ \|   |  \/ /_/  >  |_\  ___/
        \____|__  (____  /___|  /\___  /|____/\___  >
            \/     \/     \//_____/         \/
                        (@Tyl0us)
    
    Использование ./Mangle:
      -C string
            Путь к файлу, содержащему сертификат, который вы хотите клонировать
      -I string
            Путь к...

    Информация d3ranged blog

    • 112
    • 0
    1708325325006.png


    Всем привет!

    Раньше был блог vxlab, но потом автор удалил блог, я был немного расстроен, т.к. у автора было много статей интересных.

    Но вчера обнаружил, что автор создал новый блог вот:

    В частности поддерживает прикольную утилиту для чистки вирусов:

    В общем кому интересно рекомендую.)))

    Малварь как искусство Опять обходим антивирусы и EDR

    • 195
    • 0
    1707738979550.png


    В качестве продолжения этих статей:



    Оригинал:

    Для нашей ежегодной внутренней хакерской конференции, которую мы назвали SenseCon в 2023 году, я решил изучить взаимодействие между драйвером Windows и его процессом в пользовательском режиме.

    Вот некоторые подробности об этом путешествии:

    Атакующие могут использовать примитив эксплойта чтения/записи ядра Windows, чтобы избежать взаимодействия между EDR_Driver.sys и его EDR_process.exe. В результате некоторые механизмы обнаружения EDR будут отключены, что сделает его...

    Малварь как искусство Уклоняемся от поведенческого детекта антивируса и EDR

    • 397
    • 0
    1707574181719.png


    Всем привет!

    В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем
    Рекомендую прочитать вначале статью выше.

    В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве:

    Вообще тут существуют два варианта обхода:

    1)Использовать антихуки в своём приложении, этот метод относительно простой и описан уже здесь:Уроки - Разработка вирусов-32.Открываем врата ада
    Или вот ещё проект:Малварь как искусство - Фреймворк для тестирования антивирусов

    Но данный метод не позволяет 100% обойти защиту, т.к. многие AV используют коллбэки и...

    На заметку История одного стилера под Линукс

    • 229
    • 0
    1707386766834.png


    Источник:

    В ходе расследования одного инцидента был обнаружен целый кластер вредоносной активности, нацеленный на операционную систему Linux, который оставался незамеченным как минимум с 2020 года. Дальнейший анализ показал, что вредоносное программное обеспечение выдавало себя за очень популярный мультиплатформенный менеджер загрузок.

    Наше исследование началось с того, что мы получили образ диска и дамп памяти одного ноутбука на операционной системе Linux. Предполагалось, что этот ноутбук был скомпрометирован. Нашей задачей было опровергнуть это или, наоборот, доказать, поняв, что там вообще произошло.
    Чтобы начать работать, мы составили супертаймлайн, который содержал данные о файловой системе машины — когда и какие файлы создавались или модифицировались, какие использовались источники...

    Малварь как искусство Архитектура антивирусов и EDR - систем

    • 402
    • 6
    1706874098041.png


    Перевод статьи:

    Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал (dummy EDR) и расскажу об этом здесь.

    EDR (Endpoint Detection and Response)
    - это вид продукта безопасности, который направлен на обнаружение аномальной активности на компьютере или сервере.
    Ища ресурсы по работе EDR, я понял, что даже если существует много литературы о EDR, нет многих статей, объясняющих архитектуру EDR и как оркестрируются различные компоненты EDR. Эта статья призвана развенчать мифы о том, как работают EDR, создавая настраиваемый вариант, внедряющий несколько техник, используемых в реальных EDR.

    Глава 1. История вирусов


    Сначала мы рассмотрим историю...

    Малварь как искусство Различные фреймворки для обхода EDR систем

    • 434
    • 6
    vt_scan.png


    Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.

    Вот что получилось найти на гитхабе (Более-менее новые).

    1)TerraLdr:

    Details:​

    • no crt functions imported
    • syscall unhooking using
    • api hashing using Rotr32 hashing algo
    • payload encryption using rc4 - payload is saved in .rsrc
    • process injection - targetting 'SettingSyncHost.exe'
    • ppid spoofing & blockdlls policy using NtCreateUserProcess
    • stealthy remote process injection - chunking
    • using debugging & NtQueueApcThread for payload execution
    2)Alaris:

    Малварь как искусство Скрываем нагрузку в скриптах

    • 443
    • 1
    1704270127418.png


    Всем привет!

    Вот в этой теме был задан вопрос, как склеить зверька с какой-то полезной программой.
    Самое просто это использовать самораспаковывающийся архив, например так:ВАЖНО - Делаем крутой крипто-джойнер и обходим детект VT

    Но в этой теме давайте рассмотрим как запаковать пейлоад в скрипт на bat или на sh для линукса.

    Это может часто быть полезно и для легальных программ, в случае линукса, так можно сделать свой инсталятор.)

    Предлагаю вначале рассмотреть линукс:

    Чтобы упаковать бинарный файл (бинарник) в .sh скрипт на Linux, вы можете использовать следующий подход. Этот метод основан на использовании скрипта shell, который включает в себя сам бинарный файл, закодированный в формате base64. Вот подробный пример...

    Малварь как искусство Набор методов по обходу AMSI

    • 309
    • 2
    1703405780759.png


    Этот репозиторий содержит некоторые методы обхода AMSI, которые были найдены в различных блогах.

    Большинство скриптов обнаруживаются самим AMSI. Поэтому вам нужно найти триггер и изменить сигнатуру в этом месте путем переименования переменных/функций, замены строк или кодирования и декодирования во время выполнения.

    Как альтернативу, вы можете обфусцировать их с помощью ISESteroids или Invoke-Obfuscation, чтобы заставить их работать.

    В архиве примеры реализации методов обхода (Там текстовый файл README.md, безобидный, но его могут детектить АВ):

    0. [Using Hardware Breakpoints](#Using-Hardware-Breakpoints "Goto Using-Hardware-Breakpoints")
    1. [Using CLR hooking](#Using-CLR-hooking "Goto Using-CLR-hooking")
    2. [Patch the provider’s DLL of Microsoft MpOav.dll](#Patch-the-providers-DLL-of-Microsoft-MpOav.dll "Goto Patch-the-providers-DLL-of-Microsoft-MpOav.dll")
    3. [Scanning Interception and Provider function...

    Малварь как искусство ToxicEye или как шпионить через Telegram бота

    • 448
    • 8
    Всем доброго времени суток! Эта статья является мини-обзором по опенсорсному RAT на базе телеграмм бота. Статья не является каким-либо руководством к чему-либо противозаконному, разбор ниже приводится исключительно в ознакомительных целях. Ни автор софта, ни автор статьи не несет ответственности за возможный причиненный ущерб любого рода.

    Github →

    Использование телеграмм в качестве C&C не является чем-то новым, скорее всего просто удобным. Ничего делать особо не нужно, достаточно через батю ботов (BotFather) создать нового бота, взять его токен и вшить в зверька, как и приводится в оригинальном описании.

    1702750679280.png


    Ратник имеет достаточно большой функционал, где есть возможность подключаться к микрофону, к камере, также имеем функционал стиллера для сбора сохраненных паролей...

    Малварь как искусство Криптор исходного кода при помощи ChatGPT

    • 517
    • 7
    1701716731627.png


    Всем привет!

    ИИ классное изобретение, оно несомненно станет частью нашей жизни.

    Но к сожалению всё в нашей жизни двоично, вот приведу пример что можно сделать в темных делах, это просто игрушка, но игрушка с хорошем намеком.

    Особенно если появятся аналоги ChatGPT заточенные на создание вредоносного софта, а ждать думаю этого момента осталось не долго.

    Как известно защитные средства заточены на сигнатурный анализ, не важно детект это по поведению, детект по сигнатурам, детект в облаке.
    Всё это так или иначе правила...)

    До сех-пор вирусописатели делали скрытие кода, не меняя исходники программы, ну например шифрование кода, запуски в памяти и т.д.
    Такие вирусы стали детектиться очень быстро, поэтому собственно и эпидемий нет...)

    А теперь представим, что появится вирус, который действительно будет мутировать, программа будет усложняться в каждой эволюции, задетектить это существующими правилами...

    Информация Фантастические руткиты: И где их найти (часть 1)

    • 663
    • 9
    Dragon-hero-trb.jpg


    Введение

    В этой серии блогов мы рассмотрим тему руткитов - как они создаются, а также основы анализа драйверов ядра - в частности, на платформе Windows.

    В этой первой части мы рассмотрим примеры реализации базовой функциональности руткитов, основы разработки драйверов ядра, а также основы Windows Internals, необходимые для понимания внутренней работы руткитов.

    В следующей части мы остановимся на некоторых "наглядных" примерах руткитов и их анализе, на том, каково их назначение и как работает их функциональность.

    Что такое руткит? Руткит - это тип вредоносного ПО, которое ускользает от обнаружения путем вмешательства в работу ОС и прячется глубоко внутри нее, как правило, в пространстве ядра. Термин "rootkit" заимствован из терминологии Unix, где "root" - это самый привилегированный пользователь в системе.

    Такие примеры, как...

    Информация [PDF] Азиатские АРТ-группировки. Тактики, техники и процедуры

    • 363
    • 1
    1699643929514.png


    5 историй, которые легли в основу 370 страниц отчета. Материал можно рассматривать как библиотеку знаний об основных подходах, используемых азиатскими APT-группировками при взломе какой-либо инфраструктуры. Отчет также содержит подробную информацию о тактиках, техниках и процедурах (TTPs) злоумышленника, основанную на методологии MITRE ATT&CK.

    Источник: "Лаборатория Касперского"

    Ссылка на чтиво:

    Уроки Обход AMSI при помощи хардварных точек останова

    • 888
    • 0
    1698588606962.png


    AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.

    Обход AMSI с использованием хардверных брейкпоинтов:

    Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.

    В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...

    ВАЖНО Ролики с автодоставкой

    • 455
    • 5
    Всем привет!

    Для скачивания с ютуба и не только пользуюсь программой Download Master. Знаю её уже много лет, вещь очень полезная и порой незаменимая. Разработка компании WestByte Software. Украинской компании, прошу заметить. Дальше поймёте, почему это важно.
    Программка по умолчанию сохраняет видео, музыку, архивы и так далее по папкам-категориям, расположенным в загрузках. То есть она не использует системную папку Видео, и до последнего времени я туда даже не заглядывал.

    Но сегодня совершенно случайно заглянул. Сказать, что я был удивлён содержимым — ничего не сказать.

    Там лежало три видеофайла абсолютно проукраинского толка. Если я каким-то боком захотел бы их скачать для ознакомления, они определённо лежали бы в загрузках, как обычно. Да и вряд ли эту хрень я вообще захотел бы скачать, и тем более, долго хранить – мог бы просто посмотреть, да благополучно закрыть вкладку. К тому же на память пока не жалуюсь – я точно знаю, что содержимое роликов увидел впервые...

    Inception #7

    • 1 083
    • 0
    1696788866574.png


    Скачать можно тут:

    ВАЖНО Огромная база исходников современных вирусов для разных платформ

    • 934
    • 0
    1696061011808.png


    Весь исходный код, который упакован, может быть или не быть установлен с паролем 'infected' (без кавычек). Отдельные файлы, вероятно, не упакованы.

    Структура каталогов:

    • Android
      • Generic Android OS malware, some leaks and proof-of-concepts
    • Engines
      • BAT
      • Linux
      • VBS
      • Win32
    • Java
      • Some java infectors, proof-of-concept ransomware
    • Javascript
      • In-browser malware
    • Legacy Windows
      • Win2k
      • Win32
      • Win95
      • Win98
      • Win9x
      • WinCE
    • Libs (libraries)
      • Bootkits
      • DDoS proof-of-concepts
      • Win32 libraries (disassemblers, etc).
    • Linux
      • Backdoors
      • Botnets
      • Infectors
      • Mirai-Family (related and/or spin-offs)
      • Rootkits
      • Tools
      • Trojans
    • MSDOS
    • MSIL
    • MacOS
    • Other
      • Acad malware
      • FreeBSD malware
      • SunOS malware
      • Symbian OS malware
      • Discord-specific malware
    • PHP
      • ...

    Уроки Как я RootKit загружал или же как загрузить драйвер без подписи

    • 774
    • 4
    Для начала давайте разберемся что такое RootKit?
    RootKit - это тип вредоносного программного обеспечения, который предоставляет хакерам доступ к целевым компьютерам. RootKit может скрывать свое присутствие, но оставаться активным. Как только они получают несанкционированный доступ к компьютерам, RootKit позволяют киберпреступникам красть личные данные и финансовую информацию, устанавливать вредоносное программное обеспечение или использовать компьютеры как часть ботнета для распространения спама и участия в DDoS-атаках. Название “RootKit” происходит от операционных систем Unix и Linux, где наиболее привилегированный аккаунт администратора называется “root”. Приложения, которые позволяют несанкционированный доступ root или admin к устройству, известны как "kit".

    Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта:
    1. Заплатить от 150$ за подпись драйвера
    2. Использовать маппер который с помощью уязвимого драйвера (на...

    Проверка возможностей ChatGPT

    • 229
    • 1
    Привет мир! Я тут недавно вернулся из очень длительного отпуска, дабы снова сделать что-нибудь интересное или весёлое.
    Собственно, начнём как всегда. Отдыхай!!!
    1694519385159.png


    Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!!

    Недавно мне стало скучно, а потому я закупил за 600 рубликов подписку на ChatGPT, только есть одна проблема.
    Chat GPT не особо любит Русские IP-шники, а VPN использовать с риском потерять подписку - не очень хочу.
    Конкретно по данной причине, я купил не ChatGPT, а ChadGPT.

    Ооо этот ChatGPT, в последнее время у всех на слуху, умеет всё, не умеет ничего, посылает всех к херам, пытается захватить контроль над ядерным оружием США и прочие весёлые штуки.
    "Мы подключаемся к приоритетной платной версии Chat GPT от OpenAI, дорабатываем ее для России и делаем открытой."


    Какие вводные, сразу на главной странице у нас есть такие тексты:
    "Доступ к...

    Посетителей за сегодня

    Пользователи онлайн

    Сейчас на форуме нет ни одного пользователя.
    Верх Низ