Исследование защиты

Малварь как искусство Фреймворк для тестирования антивирусов

  • 4 690
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

Информация Супер-майнер, многолетнее вживление

  • 275
  • 4
1728111626596.png


Вредоносное ПО под названием "perfctl" на протяжении как минимум трёх лет нацелено на серверы и рабочие станции Linux, оставаясь в основном незамеченным благодаря высоким уровням скрытности и использованию руткитов.

Согласно исследователям Aqua Nautilus, которые обнаружили perfctl, это вредоносное ПО, вероятно, нацелилось на миллионы серверов Linux за последние годы и, возможно, заразило несколько тысяч из них.

Эти выводы основаны на многочисленных сообщениях жертв вредоносного ПО, опубликованных на онлайн-форумах, все из которых содержат индикаторы компрометации, связанные исключительно с активностью perfctl.

Вектор атаки — неверно настроенные сервера и утёкшие данные доступа. Руткиты для скрытности, сокет Unix для внутренней коммуникации и TOR для стука вовне.

Малварь также резко обрубает активность, если юзер заходит на сервер. Так, у одного юзера ЦП шкалил под 100%, но вредонос сразу отключался при логине через SSH...

Информация Хукаем ReadProcessMemory и запрещаем x64dbg читать память нашего приложения.

  • 395
  • 1
Всем привет!
Пришло в голову попробовать хукнуть ReadProcessMemory функцию внутри x64dbg и посмотреть на результат.
Как по мне, получилось неплохо, в этой статье я коротко расскажу как я это реализовал.

Для хука я использовал библиотеку Detours, так-же можно использовать MinHook.
Для начала создадим нужную функцию, которой мы заменим оригинальный ReadProcessMemory.
C++:
typedef BOOL(WINAPI* READPROCESSMEMORY)(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
    ); READPROCESSMEMORY original_ReadProcessMemory;

BOOL hook_ReadProcessMemory(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
)
{
    if (lpBuffer != NULL) {
        memset(lpBuffer, 0x90, nSize);
    }
    if (lpNumberOfBytesRead) {
        *lpNumberOfBytesRead = nSize;
    }
    return TRUE;
}

В данном хуке, мы получаем размер буфера и заменяем все значения в нем...

ПЕНТЕСТИНГ Что такое DDoS Amplification и с чем его едят?

  • 462
  • 4
Всем привет!

Написание этой статьи я начал несколько месяцев назад, а потом забил на это.
Но сейчас я нашей наброски и решил все написать с нуля.

В этой статье я хочу более подробно углубиться в DDoS.
В первой части этой статьи, мы разберем:
Что такое DDoS Amplification?
Если говорить простыми словами, в интернете есть разные сервера
Эти сервера иногда используют уязвимые сервисы, которые помогают усилить нашу атаку.

Требования для исполнения атаки?
Для начала вам понадобится VPS/VDS, с IPHM Enabled (IP HEADER MODIFICATION Enabled).
ВНИМАНИЕ!!!! НЕ СТОИТ ИСКАТЬ ТАКИЕ ХОСТИНГИ ПО ЗАПРОСУ В ГУГЛ/ЯНДЕКС.
95% "ХОСТИНГОВ" КОТОРЫЕ ЕСТЬ В ГУГЛЕ ПО ЗАПРОСУ IPHM VPS - СКАМ!!!!
100% скам который я проверил на себе (строго избегать этих хостингов):

Как проверить возможность спуфинга на...

Новость Атака на Яндекс-Браузер

  • 632
  • 1
Изучая неудавшуюся целевую атаку на неназванного российского оператора грузовых железнодорожных перевозок, исследователи «Доктор Веб» малварь, которая пыталась использовать уязвимость в «Яндекс Браузере» для закрепления в скомпрометированной системе.

В марте 2024 года к специалистам обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. Ознакомившись с полученным запросом, аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Злоумышленники хотели собрать информацию о системе и развернуть модульную малварь на взломанной машине.

1725616653320.png


Атака началась с фишингового письма, замаскированного под резюме соискателя. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Однако...

На заметку Разработка настоящего вируса в 2024 году

  • 987
  • 2
1724234494893.png


Перевод:

--[ Содержание
  1. Введение
  2. Планирование вируса
  3. Проектирование вируса
  4. Создание вируса
  5. Решение проблем при разработке 5.1. Исходный дизайн неудачен 5.2. Антивирус ловит вирус
  6. Заключение
  7. Приветствия
  8. Ссылки
  9. Артефакты
--[ 1. Введение

Нет ничего более захватывающего, чем успешная полезная нагрузка.

Легко забыть, занимаясь нашими тёмными искусствами — от написания вирусов до эксплуатации — что во всём, что мы делаем, мы создаём программное обеспечение.
И оно становится сложным. Конечно, для shell-кода это всего лишь однострочная команда с NASM для создания бинарного блоба.
Это совсем несложно. Но ведь shell-код куда-то встраивается, верно? Язык Cи не позволит вам просто объединить бинарные блобы в ваш код. (По крайней мере, до выхода стандарта C23.)

И не всегда так просто, как кажется, просто...

Программа Атаки методом перебора на IP-камеры!

  • 5 744
  • 63
617 копия.png


2024-08-31_095028.png


IPCAM BRUTER V3.4.2.1781 FULL
Программа работает с IP камерами HIKVISION и DAHUA.
HIKVISION :554, 8000, 8001, 8181, 8200 порты. DAHUA :37777 порт.

Содержит в себе:
-Встроенный сканер портов, со встроенными диапазонами стран мира!
-Встроенные диапазоны всех городов и областей России.
-Редактор, логинов и паролей, (с возможностью сохранения и создания списков)!
-Терминал для ввода специальных команд для более тонкой настройки сканирования.
-Генератор случайных IP диапазонов, и целый ряд функций:

1. Drag and Drop (добавление списков методом перетаскивания).
2. Определение местоположений IP камер.
3. Авто управление потоками, при наименьшем ip.
3. Управление потоками.и приоритетами потоков.
5. Возможность сканировать множестао портов.
6. Функция паузы вовремя сканировании...

ВАЖНО (Не)торрент: новый майнер с валидной подписью

  • 881
  • 7
Давненько небыло статей про майнеры и вот пишу о том, как удалось обнаружить майнер с валидной цифровой подписью.
Может возникнуть резонный вопрос: причём тут торрент-неторрент? Всё дело в том, что майнер как раз таки и был скачан непойми откуда, через неофициальный торрент клиент в msi пакете. Кому интересно, вот ссыль - . Запускать строго на виртуалке. А мы идём дальше.

1723543392428.png


Как тогда его удалось обнаружить?
Помог его обнаружить MinerSearch - эта та утилитка из другой статьи. Человек, который ко мне обратился, говорит мол вредоноса видит, но не удаляет совсем. Оказалось клон проводника грузит 30% процессора. Полез разбираться.

Что в майнере интересного? Да всё. Начиная с того, как он умудрился закрепиться в системе -...

Малварь как искусство LayeredSyscall - Обход EDR при помощи аппаратных точек останова

  • 903
  • 0
Это исследование и инструмент предназначены для того, чтобы по-новому взглянуть на использование косвенных системных вызовов или других методов, таких как обфускация, которые требуют легитимного стека для работы без обнаружения.

Конструирование стека в программе может быть сложным и привести к повреждению, если не делать это осторожно. Этот инструмент позволяет операционной системе генерировать необходимый стек вызовов без особых проблем, при этом потенциально можно использовать любой API Windows. Однако это не означает, что метод обхода будет работать для каждого EDR, так как требуется более тщательное тестирование с различными EDR и методами обнаружения.

Ссылка на инструмент



Далее описание самого исследования.

Если спросить любого исследователя в области наступательной безопасности, как можно обойти системы обнаружения и реагирования на инциденты (EDR), можно получить...

На заметку Денис Легезо — Злые фреймворки и генерируемый ими позиционно-независимый код

  • 496
  • 0
1720856653252.png


Не совсем обычные темы на конференции C++ Russia.)

2022 год:


2023 год:

Информация Архитектура Microsoft Defender Antivirus

  • 909
  • 1
Перевод:

Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.

В этом контексте Microsoft предлагает два различных продукта:

Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.

1720524644016.png

Рисунок 1.

Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...

На заметку Дурачимся, делаем бомбу для винды

  • 844
  • 2
1719685411082.png


Всем привет, нахрен никому это скорей-всего не нужно.

Но надо-было заполнить всё простраснство на диске в винде, для линукса это делается очень просто:

Можно создать файлик с рандомным содержимым и с нужным размером, например при помощи команды dd в консоле:

Код:
dd if=/dev/urandom of=random_file.bin bs=1M count=1024000

Указанная команда создаст файл 1ТБ со случайным значением.

Но в винде незнал как сделать, поэтому написал консольную тулзу, вернее написал ИИ, я как настоящий современный кодер и кодить-то не умею, вот-что получилось... Dmeh-Smeh-Smeh!!! :Mem1:

C++:
#include <iostream>
#include <fstream>
#include <cstdlib>
#include <ctime>
#include <vector>

const size_t ONE_MB = 1024 * 1024;
const size_t FILE_SIZE = 1024 * 1024 * 1024 * 1024ULL; // 1 TB

int main() {
    std::ofstream file("random_file.bin", std::ios::binary);
    if (!file) {
        std::cerr << "Unable to open file for writing." << std::endl...

На заметку Реверсивный инжиниринг приложений под Windows

  • 1 730
  • 6
1719479966628.png


Реверсивный инжиниринг считается одним из наиболее сложных направлений в информационной безопасности (ИБ). В книге автор предлагает приоткрыть завесу тайны над этой темой и с помощью практических примеров рассмотреть, как работают приложения под ОС Windows, а также разобраться в том, как эксплуатировать уязвимости переполнения буфера, размещать свой код в выполнимых файлах, находить полезную информацию в дампах памяти и многое другое.

Книга предназначена как для начинающих специалистов, желающих разобраться в реверс-инжиниринге, так и для опытных специалистов по ИБ, интересующихся данной темой.

Книга 2024 года

Оглавление:


0x0cf11 Вступление ..................................................................................... 8
О пользе реверсинга ..............................................................................................8
Зачем нужен реверсинг...

Информация О том, что можно сделать со взломанной камерой

  • 1 303
  • 2
Всем привет!

У нас тут на форуме есть популярная тема:ОБНОВЛЕНИЕ БРУТФОРСЕРА "IPCAMBRUTER v3.4.2.1697" FULL VERSION!

Но было интересно, что в итоге можно сделать с камерой, зачем брутфорсить ?

В этой приватно статье с Хакера, можно почитать:

Я сделаю перепост, надеюсь автор не будет против.)

1719129807086.png


Картинка с камеры, безусловно, смотрится круто, но какой от этого импакт? Жизнь — это вам не игра Watchdogs 2, где взламывать устройства можно по картинке с камеры. Злоумышленник, наверное, может выследить что‑то важное, наблюдая, как сотрудники ходят по коридорам туда‑сюда, а потом использовать это для социальной инженерии, но все подобные сценарии похожи скорее на буйный полет фантазии.

С точки зрения пентеста куда интереснее...

Информация Особенности малвари в Андроид 13-14

  • 643
  • 0
1718476037727.png


Вообще я тут создал тему:На заметку - «Настройки с ограниченным доступом» в Android 13 и 14

Но решил раскрыть тему настроек, вообще сама по себе система Андроид хорошо защищена, но важно соблюдать так-сказать "Гигиену" и не давать приложением критичные права, а также не включать лишнее, например отладку по USB, рутовать и т.д.

Думаю это понятно, но давайте разбираться на примерах.

Вообще какие угрозы с вашим мобильником могут быть:

1)Мобилу украли, или потеряли, что тут может-быть - Это конечно утечка данных, особенно если используете банковские приложения, это может-быть очень критично.

Что делать ?

Скажу что современные ОС Андроид 13-14 имеют шифрование всего накопителя, именно поэтому если поставить хороший пароль, кроме биометрии, хотя-бы 12 значный, его уже тяжеловато...

На заметку «Настройки с ограниченным доступом» в Android 13 и 14

  • 1 478
  • 2
1718455789522.png


В операционной системе Android с каждой новой версией появляются дополнительные механизмы для защиты пользователей от вредоносного программного обеспечения. Например, в Android 13 такой новинкой стали «Настройки с ограниченным доступом». В этом посте мы поговорим о том, что представляет собой данный механизм, от чего он призван защищать и насколько успешно справляется с этой защитой (спойлер: не очень).

Что такое «Настройки с ограниченным доступом»​

Как работают «Настройки с ограниченным доступом»? Допустим, вы устанавливаете приложение из стороннего источника — то есть загружаете откуда-то APK-файл и запускаете его установку. Предположим, что этому приложению для работы требуется доступ к определенным функциям, которые Google считает особенно опасными (и не зря, но об этом позже). В этом случае приложение попросит вас включить для него нужные функции в настройках операционной системы.

Однако в...

Безопасность WiFi в 2024 году

  • 1 831
  • 0
1717763491884.png


Перевод:

Вообще я-бы настоятельно рекомендовал прочитать этот цикл статей на хабре:




Введение​

Лучше начать с очевидного: WiFi сети не безопасны. В моем опыте я никогда не сталкивался с сетью, которая не была бы уязвима хотя бы к одной из общедоступных эксплойтов.
В этой статье мы сосредоточимся на выявлении большинства уязвимостей протокола 802.11, которые затрагивают как 2.4GHz, так и 5GHz WiFi сети.

Инструменты, которые мы будем использовать (Необходим также Линукс):​

  • -...

Информация Чит/трейнер своими руками. Хакер. Часть 3

  • 1 236
  • 1
1716902997380.png


Долгожданная третья часть автора приватных статей с Хакера:



В этой статье я попробую показать, как создать собственный чит, который будет противостоять используемым в играх античит‑системам. Для этого нам понадобится поупражняться в реверсе и познакомиться с устройством игр, написанных на Unity.

АНТИЧИТ​

Итак, античит — это некая программа, которая мешает игрокам в онлайновые игры получать нечестное преимущество за счет использования стороннего ПО. Не буду пытаться объяснить это на абстрактном примере, лучше давай сразу перейдем к практике. По дороге все поймешь...

Малварь как искусство Повышение привилегий через StorSvc (CVE-2024-26238)

  • 1 175
  • 4
Одна из последний критичных уязвимостей винды:

Предлагаю рассмотреть как можно проэксплуатировать.)

StorSvc — это служба, которая работает от имени NT AUTHORITY\SYSTEM и пытается загрузить отсутствующую библиотеку SprintCSP.dll при вызове локального метода SvcRebootToFlashingMode через RPC.

Описание RPC-метод StorSvc.dll!SvcRebootToFlashingMode вызывает StorSvc.dll!InitResetPhone, который также вызывает StorSvc.dll!ResetPhoneWorkerCallback, пытающийся загрузить SprintCSP.dll, как показано на изображении ниже:

1716734936416.png

Поскольку эта DLL отсутствует, она загружается в соответствии с порядком поиска DLL, и мы можем воспользоваться этим поведением, поместив вредоносную DLL в папку, доступную для записи, которая...

Малварь как искусство MutationGate - Новый подход работы с сисколами

  • 1 075
  • 0
1716538434687.png


Перевод:

Мотивация​

Учитывая, что встроенные хуки являются основным методом обнаружения, используемым продуктами EDR, обход их является для меня интересной темой.

Что касается обхода встроенных хуков, установленных EDR, уже существует довольно много доступных подходов. Хотя некоторые из ранних подходов очень легко обнаруживаются, существуют и несколько зрелых подходов.
Тем не менее, я считаю, что было бы очень интересно найти новый подход к обходу хуков, надеюсь, это принесет некоторые улучшения или преимущества.

Встроенный хук​

Продукты EDR (Endpoint Detection and Response) часто размещают встроенные хуки на NTAPI, которые обычно используются в вредоносном ПО, таких как NtAllocateVirtualMemory, NtUnmapViewOfSection, NtWriteVirtualMemory и других. Это связано с тем, что NTAPI является мостом...

Найти пользователя

Поиск по форуму

Последние сообщения

Верх Низ