-
Обратная связь
(info@ru-sfera.pw)
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Разработка малвари. Уроки
Малварь как искусство Фреймворк для тестирования антивирусов
Всем привет!
Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.
Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)
Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.
Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.
Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.
Итак что мы можем сделать в своём зверьке ?
1)Скрытие от статического анализа:
Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...
[Книга] Введение в разработку вредоносных программ
Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.
Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.
Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.
Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.
Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]
Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)
Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.
И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.
В итоге появился раздел...
ВАЖНО Введение в разработку вредоносных программ (Оглавление)
В этой теме список статей по разработки малвари.
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
[URL...
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ВАЖНО - Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
Уроки - Разработка малвари - 2. Изучаем инструменты
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?
Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды
Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
Уроки - Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
[URL...
Информация Архитектура Microsoft Defender Antivirus
Перевод:
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.
В этом контексте Microsoft предлагает два различных продукта:
Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.
Рисунок 1.
Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...
Малварь как искусство MutationGate - Новый подход работы с сисколами
Перевод:
Мотивация
Учитывая, что встроенные хуки являются основным методом обнаружения, используемым продуктами EDR, обход их является для меня интересной темой.Что касается обхода встроенных хуков, установленных EDR, уже существует довольно много доступных подходов. Хотя некоторые из ранних подходов очень легко обнаруживаются, существуют и несколько зрелых подходов.
Тем не менее, я считаю, что было бы очень интересно найти новый подход к обходу хуков, надеюсь, это принесет некоторые улучшения или преимущества.
Встроенный хук
Продукты EDR (Endpoint Detection and Response) часто размещают встроенные хуки на NTAPI, которые обычно используются в вредоносном ПО, таких как NtAllocateVirtualMemory, NtUnmapViewOfSection, NtWriteVirtualMemory и других. Это связано с тем, что NTAPI является мостом...Малварь как искусство MemoryModule - Загрузка DLL из ОЗУ
Всем привет!
Когда-то давно писал свой загрузчик DLL, но сейчас на гитхабе наткнулся на более взрослый загрузчик:
Для чего это может-быть нужно:
Стандартные функции Windows API для загрузки внешних библиотек в программу (LoadLibrary, LoadLibraryEx) работают только с файлами на файловой системе. Поэтому невозможно загрузить DLL прямо из памяти.
Но иногда нужно загрузить dll из памяти, вот зачем:
1. Например есть у вас какая-то модульная архитектура, к примеру какой-то ботнет с различным функционалом, вот поставляться-же сам ботнет может просто загрузчиком, а в зависимости от задания на управляющим сервере, качать нужную зашифрованную DLL и запускать её в памяти.
2. Таким образом можно делать криптования длл.
Вот как пользоваться кодом выше, вот...
На заметку Mangle - Тулза для обхода антивирусов
Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.
Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.
Код:
./mangle -h
_____ .__
/ \ _____ ____ ____ | | ____
/ \ / \\__ \ / \ / ___\| | _/ __ \
/ Y \/ __ \| | \/ /_/ > |_\ ___/
\____|__ (____ /___| /\___ /|____/\___ >
\/ \/ \//_____/ \/
(@Tyl0us)
Использование ./Mangle:
-C string
Путь к файлу, содержащему сертификат, который вы хотите клонировать
-I string
Путь к...Малварь как искусство Опять обходим антивирусы и EDR
В качестве продолжения этих статей:
Малварь как искусство - Архитектура антивирусов и EDR - систем
Перевод статьи:SensePost | Sensecon 23: from windows drivers to an almost fully working edr Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал фиктивное EDR (dummy EDR) и расскажу об этом здесь. EDR (Endpoint Detection and Response) - это вид продукта...
Малварь как искусство - Уклоняемся от поведенческого детекта антивируса и EDR
Всем привет! В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем Рекомендую прочитать вначале статью выше. В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве...
Оригинал:
Для нашей ежегодной внутренней хакерской конференции, которую мы назвали SenseCon в 2023 году, я решил изучить взаимодействие между драйвером Windows и его процессом в пользовательском режиме.
Вот некоторые подробности об этом путешествии:
Атакующие могут использовать примитив эксплойта чтения/записи ядра Windows, чтобы избежать взаимодействия между EDR_Driver.sys и его EDR_process.exe. В результате некоторые механизмы обнаружения EDR будут отключены, что сделает его...
Малварь как искусство Уклоняемся от поведенческого детекта антивируса и EDR
Всем привет!
В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем
Рекомендую прочитать вначале статью выше.
В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве:
Вообще тут существуют два варианта обхода:
1)Использовать антихуки в своём приложении, этот метод относительно простой и описан уже здесь:Уроки - Разработка вирусов-32.Открываем врата ада
Или вот ещё проект:Малварь как искусство - Фреймворк для тестирования антивирусов
Но данный метод не позволяет 100% обойти защиту, т.к. многие AV используют коллбэки и...
Малварь как искусство Архитектура антивирусов и EDR - систем
Перевод статьи:
Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал (dummy EDR) и расскажу об этом здесь.
EDR (Endpoint Detection and Response) - это вид продукта безопасности, который направлен на обнаружение аномальной активности на компьютере или сервере.
Ища ресурсы по работе EDR, я понял, что даже если существует много литературы о EDR, нет многих статей, объясняющих архитектуру EDR и как оркестрируются различные компоненты EDR. Эта статья призвана развенчать мифы о том, как работают EDR, создавая настраиваемый вариант, внедряющий несколько техник, используемых в реальных EDR.
Глава 1. История вирусов
Сначала мы рассмотрим историю...
Уроки Обход AMSI при помощи хардварных точек останова
AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.
Обход AMSI с использованием хардверных брейкпоинтов:
Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.
В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...
Уроки Разработка вирусов-35.Обход EDRs.Последняя тема цикла
Эта статья будет последняя в этом цикле.
Да ещё много чего не рассказано, но что-то со временем у меня беда, поэтому спешил по быстрее выложить статьи.
Далее ещё планирую оформить это в pdf книги.
Надеюсь эти статьи кому-то покажутся интересным и сразу извиняюсь за их качества, хотя вероятно направления какое-то они могут дать.
Введение
Endpoint Detection and Response (EDR) — это решение безопасности, которое обнаруживает и реагирует на угрозы вроде вымогательского ПО и вредоносного программного обеспечения. Его работа основана на постоянном мониторинге конечных точек в поисках подозрительной активности путем сбора данных о таких событиях, как системные журналы, сетевой трафик, межпроцессное взаимодействие (IPC), вызовы RPC, попытки аутентификации и активность пользователя.
Установив EDR на конечные точки, вы будете собирать данные, которые затем будут анализироваться и коррелироваться для...
Уроки Разработка вирусов-34.Обход Windows defender
Введение
До сих пор было продемонстрировано множество методов и техник создания и выполнения загрузчика payload, который может обходить различные программы защиты от вредоносного кода. Эта статья будет работать над созданием полнофункционального загрузчика payload с нуля, чтобы укрепить знания, полученные в предыдущих разделах.
Создайте пустой проект Visual Studio и следуйте за этим разделом.
Характеристики загрузчика payload
Реализованный загрузчик payload будет иметь следующие характеристики:
- Поддержка удаленного внедрения кода
- Инжекция с использованием прямых системных вызовов через Hell's Gate
- Хеширование API
- Функции против анализа
- Шифрование payload RC4
- Попытка взлома ключа шифрования (Брут ключа шифрования)
- Отсутствие импорта библиотек CRT
Настройка Hell's Gate
Этот загрузчик использует внедрение payload с использованием прямых системных вызовов, полученных с помощью Hell's...
Уроки Разработка вирусов-32.Открываем врата ада
В этих темах:
Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами
Что такое системные вызовы (Syscalls) Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти. Помните из вводных модулей, что...
Уроки - Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы
В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию. Давайте теперь переделаем техники: https://ru-sfera.pw/threads/razrabotka-virusov-17-izuchaem-texniku-thread-hijacking.4449/...
Мы обсуждали прямые системные вызовы для обхода хуков и детекта по поведению.
Мы там использовали вспомогательный инструмент Hell's Gate, предлагаю в этой статье модифицировать этот инструмент, что-бы избежать детект на сам инструмент.)
Обновления сделают реализацию более настраиваемой и, следовательно, более скрытной и уменьшат вероятность обнаружения на основе сигнатур. Кроме того, обновленный код изменит способ получения SSN системного вызова, используя
Если вам нужно восстановить информацию о первоначальной реализации Hell's Gate, посетите репозиторий...
Уроки Разработка вирусов-31.Обход виртуальных машин
В этой статье давайте рассмотрим техники антивиртуализации, в случае если вирус пытаются запустить в виртуальной среде или песочнице.
Антивиртуализация через характеристики аппаратного обеспечения
В общем случае виртуализированные среды не имеют полного доступа к аппаратному обеспечению хост-машины. Отсутствие полного доступа к аппаратуре может быть использовано вредоносным программным обеспечением для определения, выполняется ли оно внутри виртуальной среды или песочницы. Учитывайте, что не существует гарантии полной точности, потому что машина может просто выполняться с низкими характеристиками аппаратного обеспечения. Проверяемые характеристики аппаратного обеспечения следующие:
- Центральный процессор (CPU) - проверка наличия менее чем 2 процессоров.
- Оперативная память (RAM) - проверка наличия менее чем 2 гигабайтов.
- Количество ранее подключенных устройств USB - проверка наличия менее чем 2...
Уроки Разработка вирусов-30.Черпаем силы в антиотладке
Техники антианализа - это методы, предотвращающие деятельность специалистов по безопасности (например, команды blue team) по расследованию вредоносного ПО и поиску статических или динамических сигнатур и IoC. Поскольку эта информация используется для обнаружения образца, когда он вновь обнаруживается в среде.
Организации с большим бюджетом на безопасность, как правило, имеют больше сотрудников, таких как аналитики вредоносных программ, чтобы собирать данные о подозрительных бинарных файлах, анализируя их. В целом, аналитики вредоносных программ всегда найдут способ декомпилировать вредоносное ПО, поэтому цель техник антианализа - усложнить процесс анализа.
С другой стороны, организации с меньшим бюджетом на безопасность будут больше полагаться на автоматизированные инструменты, и поэтому техники антианализа могут быть более эффективными в достижении своей цели.
Рассмотрим инструменты анализа вредоносных...
ВАЖНО Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д.
Все говорят про какую-то полезную нагрузку, вредоносный код и т.д.
Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её генерировать и т.д.
Давайте попробуем разобраться, вероятно с этого и надо-было начать цикл статей.
Итак:
Что такое сшелл-код?
Сшелл-код (Он-же Payload) – это набор инструкций машинного кода, который может быть выполнен при внедрении в другой процесс. Он часто используется в эксплойтах для получения контроля над системой.
Как его создать, простой метод, для понимания:
Вот неплохая статья для понимания:Малварь как искусство...
Уроки Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы
В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию.
Давайте теперь переделаем техники:
Уроки - Разработка вирусов-17.Изучаем технику Thread Hijacking
Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки...
Уроки - Разработка вирусов-21.Инъекция отображаемой памяти
Локальная инъекция отображаемой памяти Введение До сих пор во всех предыдущих реализациях использовался тип локальной памяти для хранения полезной нагрузки во время выполнения. Локальная память выделяется с использованием VirtualAlloc или VirtualAllocEx. На следующем изображении показана...
Уроки - Разработка вирусов-19.Изучаем технику APC Injection
Предлагаю в этой статье рассмотреть один способ выполнения полезной нагрузки без создания нового потока. Этот метод известен как APC-инъекция. Что такое APC? Асинхронные вызовы процедур (APC) — это механизм операционной системы Windows, который позволяет программам выполнять задачи асинхронно...
С использованием косвенного вызова сискола, это поможет обойти большинство средств защиты.)
Также это может послужить примером, как делать такие программы и вы можете уже сами реализовывать такие штуки в своих программах.)))
Итак начнем:
1)Переписываем технику...
