-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Исследование защиты
Малварь как искусство Архитектура антивирусов и EDR - систем
Перевод статьи:
Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал (dummy EDR) и расскажу об этом здесь.
EDR (Endpoint Detection and Response) - это вид продукта безопасности, который направлен на обнаружение аномальной активности на компьютере или сервере.
Ища ресурсы по работе EDR, я понял, что даже если существует много литературы о EDR, нет многих статей, объясняющих архитектуру EDR и как оркестрируются различные компоненты EDR. Эта статья призвана развенчать мифы о том, как работают EDR, создавая настраиваемый вариант, внедряющий несколько техник, используемых в реальных EDR.
Глава 1. История вирусов
Сначала мы рассмотрим историю...
Малварь как искусство Различные фреймворки для обхода EDR систем
Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.
Вот что получилось найти на гитхабе (Более-менее новые).
1)TerraLdr:
Details:
- no crt functions imported
- syscall unhooking using
- api hashing using Rotr32 hashing algo
- payload encryption using rc4 - payload is saved in .rsrc
- process injection - targetting 'SettingSyncHost.exe'
- ppid spoofing & blockdlls policy using NtCreateUserProcess
- stealthy remote process injection - chunking
- using debugging & NtQueueApcThread for payload execution
Малварь как искусство Скрываем нагрузку в скриптах
Всем привет!
Вот в этой теме был задан вопрос, как склеить зверька с какой-то полезной программой.
Самое просто это использовать самораспаковывающийся архив, например так:ВАЖНО - Делаем крутой крипто-джойнер и обходим детект VT
Но в этой теме давайте рассмотрим как запаковать пейлоад в скрипт на bat или на sh для линукса.
Это может часто быть полезно и для легальных программ, в случае линукса, так можно сделать свой инсталятор.)
Предлагаю вначале рассмотреть линукс:
Чтобы упаковать бинарный файл (бинарник) в .sh скрипт на Linux, вы можете использовать следующий подход. Этот метод основан на использовании скрипта shell, который включает в себя сам бинарный файл, закодированный в формате base64. Вот подробный пример...
Малварь как искусство Набор методов по обходу AMSI
Этот репозиторий содержит некоторые методы обхода AMSI, которые были найдены в различных блогах.
Большинство скриптов обнаруживаются самим AMSI. Поэтому вам нужно найти триггер и изменить сигнатуру в этом месте путем переименования переменных/функций, замены строк или кодирования и декодирования во время выполнения.
Как альтернативу, вы можете обфусцировать их с помощью ISESteroids или Invoke-Obfuscation, чтобы заставить их работать.
В архиве примеры реализации методов обхода (Там текстовый файл README.md, безобидный, но его могут детектить АВ):
0. [Using Hardware Breakpoints](#Using-Hardware-Breakpoints "Goto Using-Hardware-Breakpoints")
1. [Using CLR hooking](#Using-CLR-hooking "Goto Using-CLR-hooking")
2. [Patch the provider’s DLL of Microsoft MpOav.dll](#Patch-the-providers-DLL-of-Microsoft-MpOav.dll "Goto Patch-the-providers-DLL-of-Microsoft-MpOav.dll")
3. [Scanning Interception and Provider function...
Малварь как искусство ToxicEye или как шпионить через Telegram бота
Всем доброго времени суток! Эта статья является мини-обзором по опенсорсному RAT на базе телеграмм бота. Статья не является каким-либо руководством к чему-либо противозаконному, разбор ниже приводится исключительно в ознакомительных целях. Ни автор софта, ни автор статьи не несет ответственности за возможный причиненный ущерб любого рода.
Github →
Использование телеграмм в качестве C&C не является чем-то новым, скорее всего просто удобным. Ничего делать особо не нужно, достаточно через батю ботов (BotFather) создать нового бота, взять его токен и вшить в зверька, как и приводится в оригинальном описании.
Ратник имеет достаточно большой функционал, где есть возможность подключаться к микрофону, к камере, также имеем функционал стиллера для сбора сохраненных паролей...
Github →
Использование телеграмм в качестве C&C не является чем-то новым, скорее всего просто удобным. Ничего делать особо не нужно, достаточно через батю ботов (BotFather) создать нового бота, взять его токен и вшить в зверька, как и приводится в оригинальном описании.
Ратник имеет достаточно большой функционал, где есть возможность подключаться к микрофону, к камере, также имеем функционал стиллера для сбора сохраненных паролей...
Малварь как искусство Криптор исходного кода при помощи ChatGPT
Всем привет!
ИИ классное изобретение, оно несомненно станет частью нашей жизни.
Но к сожалению всё в нашей жизни двоично, вот приведу пример что можно сделать в темных делах, это просто игрушка, но игрушка с хорошем намеком.
Особенно если появятся аналоги ChatGPT заточенные на создание вредоносного софта, а ждать думаю этого момента осталось не долго.
Как известно защитные средства заточены на сигнатурный анализ, не важно детект это по поведению, детект по сигнатурам, детект в облаке.
Всё это так или иначе правила...)
До сех-пор вирусописатели делали скрытие кода, не меняя исходники программы, ну например шифрование кода, запуски в памяти и т.д.
Такие вирусы стали детектиться очень быстро, поэтому собственно и эпидемий нет...)
А теперь представим, что появится вирус, который действительно будет мутировать, программа будет усложняться в каждой эволюции, задетектить это существующими правилами...
Информация Фантастические руткиты: И где их найти (часть 1)
Введение
В этой серии блогов мы рассмотрим тему руткитов - как они создаются, а также основы анализа драйверов ядра - в частности, на платформе Windows.
В этой первой части мы рассмотрим примеры реализации базовой функциональности руткитов, основы разработки драйверов ядра, а также основы Windows Internals, необходимые для понимания внутренней работы руткитов.
В следующей части мы остановимся на некоторых "наглядных" примерах руткитов и их анализе, на том, каково их назначение и как работает их функциональность.
Что такое руткит? Руткит - это тип вредоносного ПО, которое ускользает от обнаружения путем вмешательства в работу ОС и прячется глубоко внутри нее, как правило, в пространстве ядра. Термин "rootkit" заимствован из терминологии Unix, где "root" - это самый привилегированный пользователь в системе.
Такие примеры, как...
Информация [PDF] Азиатские АРТ-группировки. Тактики, техники и процедуры
5 историй, которые легли в основу 370 страниц отчета. Материал можно рассматривать как библиотеку знаний об основных подходах, используемых азиатскими APT-группировками при взломе какой-либо инфраструктуры. Отчет также содержит подробную информацию о тактиках, техниках и процедурах (TTPs) злоумышленника, основанную на методологии MITRE ATT&CK.
Источник: "Лаборатория Касперского"
Ссылка на чтиво:
Уроки Обход AMSI при помощи хардварных точек останова
AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.
Обход AMSI с использованием хардверных брейкпоинтов:
Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.
В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...
Inception #7
Скачать можно тут:
ВАЖНО Огромная база исходников современных вирусов для разных платформ
Весь исходный код, который упакован, может быть или не быть установлен с паролем 'infected' (без кавычек). Отдельные файлы, вероятно, не упакованы.
Структура каталогов:
- Android
- Generic Android OS malware, some leaks and proof-of-concepts
- Engines
- BAT
- Linux
- VBS
- Win32
- Java
- Some java infectors, proof-of-concept ransomware
- Javascript
- In-browser malware
- Legacy Windows
- Win2k
- Win32
- Win95
- Win98
- Win9x
- WinCE
- Libs (libraries)
- Bootkits
- DDoS proof-of-concepts
- Win32 libraries (disassemblers, etc).
- Linux
- Backdoors
- Botnets
- Infectors
- Mirai-Family (related and/or spin-offs)
- Rootkits
- Tools
- Trojans
- MSDOS
- MSIL
- MacOS
- Other
- Acad malware
- FreeBSD malware
- SunOS malware
- Symbian OS malware
- Discord-specific malware
- PHP
- ...
Проверка возможностей ChatGPT
Привет мир! Я тут недавно вернулся из очень длительного отпуска, дабы снова сделать что-нибудь интересное или весёлое.
Собственно, начнём как всегда.
Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!!
Недавно мне стало скучно, а потому я закупил за 600 рубликов подписку на ChatGPT, только есть одна проблема.
Chat GPT не особо любит Русские IP-шники, а VPN использовать с риском потерять подписку - не очень хочу.
Конкретно по данной причине, я купил не ChatGPT, а ChadGPT.
Ооо этот ChatGPT, в последнее время у всех на слуху, умеет всё, не умеет ничего, посылает всех к херам, пытается захватить контроль над ядерным оружием США и прочие весёлые штуки.
"Мы подключаемся к приоритетной платной версии Chat GPT от OpenAI, дорабатываем ее для России и делаем открытой."
Какие вводные, сразу на главной странице у нас есть такие тексты:
"Доступ к...
Собственно, начнём как всегда.
Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!!
Недавно мне стало скучно, а потому я закупил за 600 рубликов подписку на ChatGPT, только есть одна проблема.
Chat GPT не особо любит Русские IP-шники, а VPN использовать с риском потерять подписку - не очень хочу.
Конкретно по данной причине, я купил не ChatGPT, а ChadGPT.
Ооо этот ChatGPT, в последнее время у всех на слуху, умеет всё, не умеет ничего, посылает всех к херам, пытается захватить контроль над ядерным оружием США и прочие весёлые штуки.
"Мы подключаемся к приоритетной платной версии Chat GPT от OpenAI, дорабатываем ее для России и делаем открытой."
Какие вводные, сразу на главной странице у нас есть такие тексты:
"Доступ к...
Обзор на протектор ASM-GUARD
Всем привет! Сегодня я бы хотел сделать обзор на программу ASM-GUARD
Ссылка на гитхаб
ASM-GUARD - это программа предназначена для обеспечения защиты программ, написанных на языке ассемблера (ASM). Она предлагает несколько функций и особенностей, которые помогают усилить безопасность и предотвратить возможные атаки на ASM-код.
Ниже представлен обзор функций и особенностей ASM-GUARD:
1) Сжатие инструкций (Instruction compression):
ASM-GUARD использует сжатие инструкций, что может помочь усложнить анализ и изменение программы на уровне ASM.
2) Фейковый...
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF]
Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.)
Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная.
Вот я и решил позаимствовать от туда темы, где-то сделать перевод, но в целом решил создать раздел Введение в разработку вредоносных программ где будет размещаться обновленная информация по теме разработки малвари, темы возьму прям из модулей.)
И вероятно затрону и другие системы, кроме винды, это не будут просто переводы, а темы от меня...
Раздел будет предназначен как для новичков, так и для тех-кто хочет что-то вспомнить, как минимум будет легче искать и бесплатно.)
Также можно завести раздел в гите под такие...
На заметку Белый феникс - Восстановление файлов, которые зашифрованы вымогателями
ИБ-эксперты создали , новый инструмент для дешифровки файлов, пострадавших в результате атак программ-вымогателей. «Белый Феникс» позволит жертвам частично восстановить файлы, зашифрованные малварью, которая использует прерывистое шифрование. Инструмент уже доступен для бесплатной загрузки .
Прерывистое шифрование представляет собой метод, используемый некоторыми вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.
Осенью 2022 года специалисты...
Малварь как искусство Атака при помощи дрона
Оригинал:
Ты сидишь за клавиатурой на одном из верхних этажей охраняемого здания, расположенного посреди закрытой территории в окружении забора с колючей проволокой под напряжением. Ты чувствуешь себя в полной безопасности — за ней следят не только камеры, но и бдительная охрана. За окном раздается подозрительное жужжание, ты отвлекаешься на непонятный источник звука, и этих нескольких секунд достаточно, чтобы на твой компьютер установился бэкдор, а хакер, расположенный в 20 км от тебя, проник в корпоративную сеть. Фантастика? Ничего подобного!
Дрон — отличный инструмент для злоумышленника, поскольку такой аппарат может нести на себе до трети собственного веса в виде полезной нагрузки. Но атаковать удаленный объект «по воздуху» не так‑то просто: «хакерский дрон» должен обладать высокой автономностью, управляться...
Поиск по форуму
Последние сообщения
-
-
-
ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров- Последнее: Spectrum735
-
-
-
