• Обратная связь:[email protected]

    Наш канал в telegram:https://t.me/ru_sfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Исследование защиты

Программа ИБ Интеллектуальный скрипт для защиты от ддос на L7

  • 119
  • 4
1736961407332.png


Всем привет!

Для начала краткая теория-шпаргалка:

Какие бывают DDoS атаки?

По типу объекта, который выводится из строя можно выделить четыре основных класса атак, осуществляемых на разных уровнях согласно модели OSI:

Первый класс (L2) — «забивание» канала. Эти атаки направлены на лишение доступа сервера к внешней сети вследствие исчерпания ширины его канала. Чаще всего в таких случаях используются массированные, с точки зрения количества трафика, атаки типа Amplification (NTP-, DNS-, RIP-… Amplification может быть любой). Основная задача состоит в том, чтобы канал шириной, например, 1 гигабит/с залить хотя бы 1,1 гигабит/с. Этого будет достаточно для прекращения доступа к серверу.

К данному классу атак также относятся различные flood’ы:
  • SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый...

Малварь как искусство Фреймворк для тестирования антивирусов

  • 5 780
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

Информация Cбой в работе Рунета, что произошло

  • 47
  • 0
14 января 2025 года сбой в работе Рунета. Роскомназдор кратковременное нарушение связности сети и сообщил, что её работа оперативно восстановлена. О причинах сбоя РКН ничего не сообщил. Профильные эксперты в этом инциденте разобраться.

Что произошло?
  1. Если в работе одного сервиса происходит технический сбой, то этот сервис становится недоступен во всех странах мира. В данном случае аналогичных сбоев в других странах не зафиксировано.
  2. Если проблема на стороне интернет-провайдера, то в таком случае интернет или часть сервисов не работает только в сети именно этого провайдера.
1736952909243.png


В случае, когда во всей стране у разных провайдеров происходит одна и та же проблема - это признак работы ТСПУ (технических средств противодействия угрозам...

На заметку Хакерский журнал Inception все версии

  • 224
  • 4
page_00-jpg.9435


Версия 8, 2025 год:

Пароль:xss.is

Версия 7, 2024 год:

Версия 1-6 (2013-2022 годы):

Пароль:111

На заметку Атака сервера запросами при помощи Apache JMeter

  • 220
  • 2
1735990788729.png


Всем привет!

Есть такая интересная тулза для нагрузочного тестирования, которая кстати не хило так может нагрузить проц. сервера (Смотри скрин выше, запуск http-флуд запросами, всего 5 потоков).)

Apache JMeter:
  • Описание: Один из самых популярных инструментов для нагрузочного тестирования. Подходит для тестирования веб-приложений, API, баз данных и других систем.
  • Функции:
    • Тестирование HTTP, HTTPS, SOAP, REST, FTP и других протоколов.
    • Гибкость и возможность настройки сложных сценариев.
    • Отчеты в виде графиков и статистики.
  • Платформа: Java, работает на Windows.
  • Сайт:
Использование Apache JMeter на Windows включает несколько шагов от установки до запуска тестов. Вот подробное руководство:


1. Установить Apache JMeter

  1. Скачать...

Stealer Python - c отправкой данных на ( вебхук ) Discord.

  • 616
  • 2
STELEAR PYTHON

Обновлённый скрипт 'Stealer' теперь адаптирован для работы с вебхуком Discord, что позволяет загружать архивы напрямую на указанный канал.
В отличие от предыдущей версии, которая отправляла архивы на yandex-WebDAW, новая версия использует вебхук Discord, что значительно ускоряет процесс отправки архивов.

Кроме того, скрипт генерирует уникальное имя архива, на основе MAC адреса компьютера..
Это означает, что для каждой учётной записи создается свой архив, и если на сервере уже существует файл с таким именем, он будет перезаписан.
Это позволяет избежать дублирования архивов и поддерживает более организованное хранение данных.

Скрипт выполняет следующие шаги:

1. Собирает данные с компьютера:
- Все текстовые файлы (`.txt`) с рабочего стола.
- Снимок с веб-камеры (если доступно).
- Скриншот рабочего стола.

2. Извлекает учетные данные из веб-браузеров (Chrome, Edge, Brave).
3. Определяет местоположение пользователя.
4. Получает MAC...

На заметку Настройка CloudFlare - 2024

  • 436
  • 0
1731932031950.png

Всем привет!

Незнаю может нужно кому, для интереса решил настроить прокси, вот-что получилось.

Вообще даже бесплатный аккаунт даёт достаточно мощный функционал для отражения атак, которые могут не давать даже платники.

Просто акцентирую внимание на что можно обратить внимание при настройке:

1)Режим "Я под атакой", рекомендую сделать не для всех стран, а для некоторых.
Например можно не проверять какие-то конкретные страны европы, США, СНГ.
В зависимости от того для кого ваши сайты.

В Security->Settings:

1731932447397.png

Ставим "I'm Under Attack!"

Далее заходим в Create a Configuration Rule

И там вбиваем нужное правило.

Например:

1731932571748.png


Далее можно поменять уровень фильтрации для этих стран:

1731932613928.png

Ну там много чего можно сделать.

Вот текстовое правило (Страны СНГ...

ВАЖНО **Роскомнадзор блокирует сайты через Cloudflare с TLS 1.3 и ECH**

  • 670
  • 3
Многие российские пользователи обнаружили проблемы с доступом к сайтам, проксируемым через Cloudflare с включённым TLS 1.3 и Encrypted Client Hello (ECH). Предполагается, что блокировки связаны с тем, что с ECH доменные имена становятся невидимы для Роскомнадзора и других промежуточных узлов.

Что происходит:

- Сайты с TLS 1.3 от Cloudflare блокируются и отваливаются по таймауту.
- Сайты с TLS 1.2 и ниже продолжают работать нормально.
- Доступ через VPN остаётся стабильным.

Инструкция: как отключить **TLS 1.3** на стороне Cloudflare

Чтобы обеспечить доступ к сайту для российских пользователей, можно временно отключить TLS 1.3.

1. Войдите в аккаунт Cloudflare.
2. Перейдите в Dashboard и выберите сайт, где требуется изменить настройки.
3. Перейдите в раздел SSL/TLS.
4. Найдите вкладку Edge Certificates.
5. Прокрутите вниз до настроек TLS 1.3 и выключите переключатель.

После внесения изменений доступ к сайту через TLS 1.2 должен восстановиться в течение нескольких...

ВАЖНО Изменение в работе форума

  • 853
  • 2
1731861757530.png


Всем привет!

Т.к. всякие "Школьники ддосеры", а может и не школьники, стали ддосить форум, пришлось скрыть реальный айпи сервера за сервисом CloudFlare.

- Это прокси сервис, который может скрывать IP-адрес сервера, защищать от ддос и т.д.

К сожалению текущий хостер перестал защищать от ддос и в случае атак, стал блокировать IP адрес сервера.
А что-то платное не хочу покупать.

Если кому интересно в ddos-guard защита стоит от 7К. рублей проксирование, или от 10000 рублей за VPS в месяц, для этого форума думаю это как-то жирно очень.)

Вот, но к сожалению эффективное использование CloudFlare или похожих сервисов накладывает ряд ограничений, а именно:

1)Возможно кто-то будет видеть страничку "Проверка браузера", например кто заходит с ТОР, но там она будет секуды 2-3 отображаться и делать ничего не надо.
2)Возможно Роскомнадзор заблокирует форум...

ПЕНТЕСТИНГ Snoop - инструмент разведки на основе открытых данных (OSINT world)

  • 915
  • 1
Snoop — это исследовательская работа в области поиска и обработки публичных данных в сети интернет (собственная база данных, алгоритмы, закрытые багбаунти). По части специализированного поиска Snoop способен конкурировать с традиционными поисковыми системами.

Хе случайно узнал про этот инструмент, они в базу форум добавили.)


Там не хилая такая база форумов, можно по никнейму искать посты и т.д., вообще по описанию инструмент достаточно функциональный.

1731227521067.png


Ссылка на программу:

Скачать саму программу для нужной ОС можно здесь:

Вопрос Скрипт вирусы, почему не актуально ?

  • 1 217
  • 3
1730802338578.png


Всем привет, тут вчера на форуме была создана а потом удалена тема, с причиной "Неактуально!"

В этой теме был выложен скрипт на питон, он-же во вложении.
Пароль:111

Вкратце скрипт делает следующее:

Данный скрипт собирает информацию с компьютера на котором был запущен скрипт и загружает её на веб сервер WebDAV.
При запуске скрипт работает в фоновом режиме и добавляется в автозагрузку Windows для автоматического запуска при каждом входе в систему.
Что делает скрипт:
Автозагрузка :
Скрипт добавляется в реестр Windows (`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`) с указанием пути текущего исполняемого файла.
После первого запуска скрипт будет запускаться автоматически при каждом входе в систему.
Сбор информации :
IP-адрес: Получает информацию об IP через API ipinfo.io.
Пароли браузеров: Извлекает и расшифровывает пароли из Google Chrome, Edge и Brave.
Файлы с рабочего стола: Собирает...

Инструкция Запуск анонимного мессенджера HLM в сети «Hidden Lake»

  • 1 040
  • 0

Анонимная сеть Hidden Lake

hl_logo.png

Анонимная сеть Hidden Lake (HL) - это децентрализованная F2F (friend-to-friend) анонимная сеть с теоретической доказуемостью на базе очередей (QB-задача). В отличие от известных анонимных сетей, подобия Tor, I2P, Mixminion, Crowds и т.п., сеть HL способна противостоять атакам глобального наблюдателя. Сети Hidden Lake для анонимизации своего трафика не важны такие критерии как: 1) уровень сетевой централизации, 2) количество узлов, 3) расположение узлов и 4) связь между узлами в сети, что делает её уникальной.
Исходный код анонимной сети Hidden Lake находится в открытом доступе на странице репозитория GitHub:
[COLOR=rgb(239, 239...

Информация Эпидемия майнеров в РФ, что и как

  • 1 186
  • 0
1729076040444.png


В дополнении этой темы:ВАЖНО - (Не)торрент: новый майнер с валидной подписью

Анализ Лаборатории Касперского:

На прошлой неделе эксперты «Лаборатории Касперского» подробный разбор вредоносной кампании, направленной в основном на русскоязычных пользователей.

Ссылки на вредоносные программы продвигаются в результатах поиска, результатом установки такого ПО является полный перехват контроля над системой злоумышленниками. Хотя подобные атаки никак нельзя назвать новыми, данная кампания представляет интерес как локализацией (большинство потенциальных жертв находятся в России), так и нестандартными методиками закрепления в системе.

1729075626050.png


Атака начинается с клика по ссылке в результатах поиска. Как видно на примере...

Информация Супер-майнер, многолетнее вживление

  • 968
  • 4
1728111626596.png


Вредоносное ПО под названием "perfctl" на протяжении как минимум трёх лет нацелено на серверы и рабочие станции Linux, оставаясь в основном незамеченным благодаря высоким уровням скрытности и использованию руткитов.

Согласно исследователям Aqua Nautilus, которые обнаружили perfctl, это вредоносное ПО, вероятно, нацелилось на миллионы серверов Linux за последние годы и, возможно, заразило несколько тысяч из них.

Эти выводы основаны на многочисленных сообщениях жертв вредоносного ПО, опубликованных на онлайн-форумах, все из которых содержат индикаторы компрометации, связанные исключительно с активностью perfctl.

Вектор атаки — неверно настроенные сервера и утёкшие данные доступа. Руткиты для скрытности, сокет Unix для внутренней коммуникации и TOR для стука вовне.

Малварь также резко обрубает активность, если юзер заходит на сервер. Так, у одного юзера ЦП шкалил под 100%, но вредонос сразу отключался при логине через SSH...

Информация Хукаем ReadProcessMemory и запрещаем x64dbg читать память нашего приложения.

  • 1 008
  • 1
Всем привет!
Пришло в голову попробовать хукнуть ReadProcessMemory функцию внутри x64dbg и посмотреть на результат.
Как по мне, получилось неплохо, в этой статье я коротко расскажу как я это реализовал.

Для хука я использовал библиотеку Detours, так-же можно использовать MinHook.
Для начала создадим нужную функцию, которой мы заменим оригинальный ReadProcessMemory.
C++:
typedef BOOL(WINAPI* READPROCESSMEMORY)(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
    ); READPROCESSMEMORY original_ReadProcessMemory;

BOOL hook_ReadProcessMemory(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
)
{
    if (lpBuffer != NULL) {
        memset(lpBuffer, 0x90, nSize);
    }
    if (lpNumberOfBytesRead) {
        *lpNumberOfBytesRead = nSize;
    }
    return TRUE;
}

В данном хуке, мы получаем размер буфера и заменяем все значения в нем...

ПЕНТЕСТИНГ Что такое DDoS Amplification и с чем его едят?

  • 1 062
  • 5
Всем привет!

Написание этой статьи я начал несколько месяцев назад, а потом забил на это.
Но сейчас я нашей наброски и решил все написать с нуля.

В этой статье я хочу более подробно углубиться в DDoS.
В первой части этой статьи, мы разберем:
Что такое DDoS Amplification?
Если говорить простыми словами, в интернете есть разные сервера
Эти сервера иногда используют уязвимые сервисы, которые помогают усилить нашу атаку.

Требования для исполнения атаки?
Для начала вам понадобится VPS/VDS, с IPHM Enabled (IP HEADER MODIFICATION Enabled).
ВНИМАНИЕ!!!! НЕ СТОИТ ИСКАТЬ ТАКИЕ ХОСТИНГИ ПО ЗАПРОСУ В ГУГЛ/ЯНДЕКС.
95% "ХОСТИНГОВ" КОТОРЫЕ ЕСТЬ В ГУГЛЕ ПО ЗАПРОСУ IPHM VPS - СКАМ!!!!
100% скам который я проверил на себе (строго избегать этих хостингов):

Как проверить возможность спуфинга на...

Новость Атака на Яндекс-Браузер

  • 1 036
  • 1
Изучая неудавшуюся целевую атаку на неназванного российского оператора грузовых железнодорожных перевозок, исследователи «Доктор Веб» малварь, которая пыталась использовать уязвимость в «Яндекс Браузере» для закрепления в скомпрометированной системе.

В марте 2024 года к специалистам обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. Ознакомившись с полученным запросом, аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Злоумышленники хотели собрать информацию о системе и развернуть модульную малварь на взломанной машине.

1725616653320.png


Атака началась с фишингового письма, замаскированного под резюме соискателя. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Однако...

На заметку Разработка настоящего вируса в 2024 году

  • 1 761
  • 2
1724234494893.png


Перевод:

--[ Содержание
  1. Введение
  2. Планирование вируса
  3. Проектирование вируса
  4. Создание вируса
  5. Решение проблем при разработке 5.1. Исходный дизайн неудачен 5.2. Антивирус ловит вирус
  6. Заключение
  7. Приветствия
  8. Ссылки
  9. Артефакты
--[ 1. Введение

Нет ничего более захватывающего, чем успешная полезная нагрузка.

Легко забыть, занимаясь нашими тёмными искусствами — от написания вирусов до эксплуатации — что во всём, что мы делаем, мы создаём программное обеспечение.
И оно становится сложным. Конечно, для shell-кода это всего лишь однострочная команда с NASM для создания бинарного блоба.
Это совсем несложно. Но ведь shell-код куда-то встраивается, верно? Язык Cи не позволит вам просто объединить бинарные блобы в ваш код. (По крайней мере, до выхода стандарта C23.)

И не всегда так просто, как кажется, просто...

Программа Брутфорсер: IPCamBruter v3.4.2.1782 Full

  • 16 383
  • 96
/
617 копия.png


ОБНОВЛЕНИЕ V3.4.2.1782-FULL !
IPCamBruter аписан исключительно для образовательных целей, для аудита и тестирования IP камер на надёжность логинов и паролей!
Программа работает с IP камерами Hikvision и Dahua используя следующие порты:
HIKVISION: 554, 8000, 8001, 8181, 8200 порты.
DAHUA: 37777 порт.

СОДЕРЖИТ В СЕБЕ:

-Встроенный сканер портов, со встроенными диапазонами городов и стран мира!
-Редактор, логинов и паролей, (с возможностью сохранения и создания списков)!
-Терминал для ввода специальных команд для более тонкой настройки сканирования.
-Генератор случайных IP диапазонов, а так же целый ряд функций:

1. Drag and Drop (добавление списков методом перетаскивания).
2. Определение местоположений IP камер.
3. Авто управление потоками, при наименьшем ip.
3. Управление потоками.и приоритетами потоков.
5. Возможность сканировать...

ВАЖНО (Не)торрент: новый майнер с валидной подписью

  • 1 697
  • 7
Давненько небыло статей про майнеры и вот пишу о том, как удалось обнаружить майнер с валидной цифровой подписью.
Может возникнуть резонный вопрос: причём тут торрент-неторрент? Всё дело в том, что майнер как раз таки и был скачан непойми откуда, через неофициальный торрент клиент в msi пакете. Кому интересно, вот ссыль - . Запускать строго на виртуалке. А мы идём дальше.

1723543392428.png


Как тогда его удалось обнаружить?
Помог его обнаружить MinerSearch - эта та утилитка из другой статьи. Человек, который ко мне обратился, говорит мол вредоноса видит, но не удаляет совсем. Оказалось клон проводника грузит 30% процессора. Полез разбираться.

Что в майнере интересного? Да всё. Начиная с того, как он умудрился закрепиться в системе -...

Найти пользователя

Поиск по форуму

Последние сообщения

Верх Низ