• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Новость Вредоносная реклама Notepad++ в Google

Окт 24
  • 1 142
  • 0
Специалисты
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
обнаружили в Google новую кампанию по распространению вредоносной рекламы. Кампания была нацелена на пользователей, желающих загрузить текстовый редактор Notepad++, и оставалась незамеченной несколько месяцев.

Исследователям не удалось получить итоговую полезную нагрузку, но в Malwarebytes считают, что это был Cobalt Strike, который предшествовал развертыванию вымогательского ПО.

1698155607286.png


В рекламе злоумышленники продвигали URL-адреса, которые явно не были связаны с Notepad++, но использовали вводящие в заблуждение заголовки в своих объявлениях. Так как заголовки намного крупнее и более заметны, чем URL-адреса, многие люди, скорее всего, не замечали подвоха.

1698155682610.png


Если жертва кликала по любому из объявлений мошенников, срабатывал редирект, который проверял...
Продолжить...
Новости Общая информационная безопасность

Эксклюзив Картинки от ChatGPT

Окт 24
  • 2 086
  • 5
Всем привет!

ИИ научился создавать и обрабатывать картинки, пока это в бета версии openAI, но прикольно...

1698130277951.png


1698130307436.png


1698130339732.png


1698130371244.png


1698130398197.png

1698130435424.png


1698130476267.png


1698130570886.png


1698130590766.png


1698130659547.png


1698130715412.png


1698130736898.png


1698130757748.png

1698130779126.png
Продолжить...
Всякое

Информация Что такое CR3 защита в играх?

Окт 22
  • 1 250
  • 0
Защита CR3 в анти-чит системах

1. Основы CR3

CR3 — это регистр управления в x86 и x64 архитектурах процессоров, хранящий базовый адрес таблицы страниц (Page Directory Base Address). При переключении контекста между процессами, значение CR3 обновляется, соответственно, указывая на таблицу страниц активного процесса.

2. Взаимосвязь с анти-чит системами

CR3 может быть использован для отслеживания изменений в памяти игрового процесса. Читы, модифицирующие память, часто меняют значение CR3. Отслеживая такие изменения, анти-чит системы могут обнаруживать и блокировать несанкционированные действия.

3. Скрытие базовых адресов модулей

Для усложнения задачи читеров, анти-чит системы могут использовать CR3 для перенаправления запросов к базовым адресам модулей через специфический обработчик. Это не позволяет читам напрямую...
Продолжить...
Как делают читы к играм

Создание DMA чита для игры RUST. Часть 2.

Окт 22
  • 1 947
  • 2
Гайд по геймхакингу: Добавление флагов в Culling ESP :Mem1:

Приветствую, форумчане!

В этой статье, мы рассмотрим, как добавить флаги в Culling ESP, чтобы убрать излишние элементы и оставить только игроков и ботов.

Основные шаги:
  • Основные шаги:
    • Получить OcclusionCulling_Typeinfo
    • Получить staticfields
    • Получить OcclusionCulling instance
    • Получить DebugSettings
    • Включить Culling ESP
    • Прописать слои

Код на C++:
C++: 
            if (globals::PlayerESP)
            {
                uint64_t occlusionCulling = threads::read<uint64_t>(globals::game_assembly + 54013888);  //OcclusionCulling_Typeinfo  > scripts.json
                uint64_t otherCulling = threads::read<uint64_t>(occlusionCulling + 0xb8);
                uintptr_t singletonPointer =...
Продолжить...
Как делают читы к играм

ВАЖНО Ролики с автодоставкой

Окт 16
  • 1 314
  • 5
Всем привет!

Для скачивания с ютуба и не только пользуюсь программой Download Master. Знаю её уже много лет, вещь очень полезная и порой незаменимая. Разработка компании WestByte Software. Украинской компании, прошу заметить. Дальше поймёте, почему это важно.
Программка по умолчанию сохраняет видео, музыку, архивы и так далее по папкам-категориям, расположенным в загрузках. То есть она не использует системную папку Видео, и до последнего времени я туда даже не заглядывал.

Но сегодня совершенно случайно заглянул. Сказать, что я был удивлён содержимым — ничего не сказать.

Там лежало три видеофайла абсолютно проукраинского толка. Если я каким-то боком захотел бы их скачать для ознакомления, они определённо лежали бы в загрузках, как обычно. Да и вряд ли эту хрень я вообще захотел бы скачать, и тем более, долго хранить – мог бы просто посмотреть, да благополучно закрыть вкладку. К тому же на память пока не жалуюсь – я точно знаю, что содержимое роликов увидел впервые...
Продолжить...
Исследование защиты Общая информационная безопасность

На заметку Про детект в памяти. Ничего не поделаешь и это неизбежно)

Окт 09
  • 1 266
  • 3
Всем привет!

Хотел ещё добавить:

Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла

Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада

Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.

Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.

Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


На вход подаётся бинарный код, на выходе по...
Продолжить...
Разработка малвари. Уроки

Inception #7

Окт 08
  • 1 576
  • 0
1696788866574.png


Скачать можно тут:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Продолжить...
Исследование защиты

Уроки Разработка вирусов-35.Обход EDRs.Последняя тема цикла

Окт 08
  • 1 143
  • 1
1696774647348.png


Эта статья будет последняя в этом цикле.

Да ещё много чего не рассказано, но что-то со временем у меня беда, поэтому спешил по быстрее выложить статьи.

Далее ещё планирую оформить это в pdf книги.

Надеюсь эти статьи кому-то покажутся интересным и сразу извиняюсь за их качества, хотя вероятно направления какое-то они могут дать. Dmeh-Smeh-Smeh!!! :sueta:(bug)bug!!!

Введение

Endpoint Detection and Response (EDR) — это решение безопасности, которое обнаруживает и реагирует на угрозы вроде вымогательского ПО и вредоносного программного обеспечения. Его работа основана на постоянном мониторинге конечных точек в поисках подозрительной активности путем сбора данных о таких событиях, как системные журналы, сетевой трафик, межпроцессное взаимодействие (IPC), вызовы RPC, попытки аутентификации и активность пользователя.

Установив EDR на конечные точки, вы будете собирать данные, которые затем будут анализироваться и коррелироваться для...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-34.Обход Windows defender

Окт 08
  • 2 196
  • 6
1696762195469.png


Введение

До сих пор было продемонстрировано множество методов и техник создания и выполнения загрузчика payload, который может обходить различные программы защиты от вредоносного кода. Эта статья будет работать над созданием полнофункционального загрузчика payload с нуля, чтобы укрепить знания, полученные в предыдущих разделах.

Создайте пустой проект Visual Studio и следуйте за этим разделом.

Характеристики загрузчика payload

Реализованный загрузчик payload будет иметь следующие характеристики:

- Поддержка удаленного внедрения кода
- Инжекция с использованием прямых системных вызовов через Hell's Gate
- Хеширование API
- Функции против анализа
- Шифрование payload RC4
- Попытка взлома ключа шифрования (Брут ключа шифрования)
- Отсутствие импорта библиотек CRT

Настройка Hell's Gate

Этот загрузчик использует внедрение payload с использованием прямых системных вызовов, полученных с помощью Hell's...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-33.Уменьшение вероятности детекта зверька

Окт 08
  • 1 255
  • 0
В общем в рамках этого цикла думаю осталось две статьи, эта статья закончит теорию.

А две другие будут практика, где мы попробуем использовать полученные знания для обхода Windows defender.

Далее если у меня будет силы и время, попробую оформить эти статьи в pdf книге.

Итак теперь по теме...

Уменьшение бинарной энтропии

Введение

Энтропия относится к степени случайности в предоставленном наборе данных. Существует различные типы мер энтропии, такие как энтропия Гиббса, энтропия Больцмана и энтропия Реньи. Однако в контексте кибербезопасности термин "энтропия" обычно относится к Энтропии Шеннона, которая выдает значение от 0 до 8. С увеличением уровня случайности в наборе данных увеличивается и значение энтропии.

Бинарные файлы вредоносных программ обычно имеют более высокое значение энтропии по сравнению с обычными файлами. Высокая энтропия, как правило, является индикатором сжатых, зашифрованных или упакованных данных, которые часто используются вредоносными...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-32.Открываем врата ада

Окт 07
  • 2 020
  • 2
1696695222815.png


В этих темах:

ru-sfera.pw

Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами

Что такое системные вызовы (Syscalls) Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти. Помните из вводных модулей, что...
ru-sfera.pw ru-sfera.pw
ru-sfera.pw

Уроки - Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы

В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию. Давайте теперь переделаем техники: https://ru-sfera.pw/threads/razrabotka-virusov-17-izuchaem-texniku-thread-hijacking.4449/...
ru-sfera.pw ru-sfera.pw

Мы обсуждали прямые системные вызовы для обхода хуков и детекта по поведению.

Мы там использовали вспомогательный инструмент Hell's Gate, предлагаю в этой статье модифицировать этот инструмент, что-бы избежать детект на сам инструмент.)

Обновления сделают реализацию более настраиваемой и, следовательно, более скрытной и уменьшат вероятность обнаружения на основе сигнатур. Кроме того, обновленный код изменит способ получения SSN системного вызова, используя
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Если вам нужно восстановить информацию о первоначальной реализации Hell's Gate, посетите репозиторий...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-31.Обход виртуальных машин

Окт 07
  • 1 057
  • 0
1696685870930.png


В этой статье давайте рассмотрим техники антивиртуализации, в случае если вирус пытаются запустить в виртуальной среде или песочнице.

Антивиртуализация через характеристики аппаратного обеспечения

В общем случае виртуализированные среды не имеют полного доступа к аппаратному обеспечению хост-машины. Отсутствие полного доступа к аппаратуре может быть использовано вредоносным программным обеспечением для определения, выполняется ли оно внутри виртуальной среды или песочницы. Учитывайте, что не существует гарантии полной точности, потому что машина может просто выполняться с низкими характеристиками аппаратного обеспечения. Проверяемые характеристики аппаратного обеспечения следующие:
  1. Центральный процессор (CPU) - проверка наличия менее чем 2 процессоров.
  2. Оперативная память (RAM) - проверка наличия менее чем 2 гигабайтов.
  3. Количество ранее подключенных устройств USB - проверка наличия менее чем 2...
Продолжить...
Разработка малвари. Уроки

На заметку Современное фишинговое письмо)

Окт 05
  • 1 691
  • 5
Получил на почту:

1696534325724.png


Ссылка "Погасить задолжность" ведёт на QiWi с просьбой оплатить 1500 рублеков.

Вот можете задонатить этому чуваку.)

Вам нужно авторизоваться, чтобы просмотреть содержимое.


Интересно что реальная почта такая:

1696534443382.png


Да-блин, я понимаю что кажусь дураком, но на такое даже я не поведусь.)))[/url]
Продолжить...
Общая информационная безопасность

Про мой школьный антивирус (пьеса по мой ник и хаЦкерское детство)

Окт 05
  • 1 543
  • 8
Был я школьником. Учителя информатики меня ненавидели, за мои хакерские замашки. И потом, я повзрослел, мозгов прибавилось, вирусы на bat писать перестал, и возникла проблема: в школе половину из моего класса перевели в другой и из другого перевели в наш. И там попал "мамкин хакер". Он писал вирусы на VBS и с помощью CD-RW диска и autorun.inf заражал компы. Вирус выводил на экране порнуху и блокировал диспетчер задач с cmd.exe. И мне дали этот вирус на диске (который хаЦкер забыл) и сказали: как хочешь - лечи! Я был в отчаянии. Интернет у меня дома был Dial-Up. Копаясь в интернете, я нашёл сайт на хостинге narod.ru и там было полное описание реестра Windows. Я сел и стал изучать. Написал пару батников, которые удаляли везде autorun.inf и чинили реестр. Потом, мне сказали - антивирус Касперского стоит дорого и мог бы ты нам написать что-то простое? Я пересёкся с деректором и мы договорились, что после этого оценки по информатике будут не ниже 4. На том и договорились. Началось лето...
Продолжить...
Всякое

Уроки Разработка вирусов-30.Черпаем силы в антиотладке

Окт 04
  • 978
  • 0
1696439834501.png


Техники антианализа - это методы, предотвращающие деятельность специалистов по безопасности (например, команды blue team) по расследованию вредоносного ПО и поиску статических или динамических сигнатур и IoC. Поскольку эта информация используется для обнаружения образца, когда он вновь обнаруживается в среде.

Организации с большим бюджетом на безопасность, как правило, имеют больше сотрудников, таких как аналитики вредоносных программ, чтобы собирать данные о подозрительных бинарных файлах, анализируя их. В целом, аналитики вредоносных программ всегда найдут способ декомпилировать вредоносное ПО, поэтому цель техник антианализа - усложнить процесс анализа.

С другой стороны, организации с меньшим бюджетом на безопасность будут больше полагаться на автоматизированные инструменты, и поэтому техники антианализа могут быть более эффективными в достижении своей цели.

Рассмотрим инструменты анализа вредоносных...
Продолжить...
Разработка малвари. Уроки

ВАЖНО Важная тема по созданию payload и shell code

Окт 02
  • 3 781
  • 0
1696227945643.png


В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д.

Все говорят про какую-то полезную нагрузку, вредоносный код и т.д.

Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её генерировать и т.д.

Давайте попробуем разобраться, вероятно с этого и надо-было начать цикл статей.Dmeh-Smeh-Smeh!!!

Итак:

Что такое сшелл-код?

Сшелл-код (Он-же Payload) – это набор инструкций машинного кода, который может быть выполнен при внедрении в другой процесс. Он часто используется в эксплойтах для получения контроля над системой.

Как его создать, простой метод, для понимания:

Вот неплохая статья для понимания:Малварь как искусство...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы

Окт 01
  • 939
  • 0
1696164820436.png


В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию.

Давайте теперь переделаем техники:

ru-sfera.pw

Уроки - Разработка вирусов-17.Изучаем технику Thread Hijacking

Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка вирусов-21.Инъекция отображаемой памяти

Локальная инъекция отображаемой памяти Введение До сих пор во всех предыдущих реализациях использовался тип локальной памяти для хранения полезной нагрузки во время выполнения. Локальная память выделяется с использованием VirtualAlloc или VirtualAllocEx. На следующем изображении показана...
ru-sfera.pw ru-sfera.pw

ru-sfera.pw

Уроки - Разработка вирусов-19.Изучаем технику APC Injection

Предлагаю в этой статье рассмотреть один способ выполнения полезной нагрузки без создания нового потока. Этот метод известен как APC-инъекция. Что такое APC? Асинхронные вызовы процедур (APC) — это механизм операционной системы Windows, который позволяет программам выполнять задачи асинхронно...
ru-sfera.pw ru-sfera.pw

С использованием косвенного вызова сискола, это поможет обойти большинство средств защиты.)

Также это может послужить примером, как делать такие программы и вы можете уже сами реализовывать такие штуки в своих программах.)))

Итак начнем:

1)Переписываем технику...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-28. Предельная техника. Разборка с сисколами

Окт 01
  • 1 968
  • 0
1696154850638.png


Что такое системные вызовы (Syscalls)

Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти.

Помните из вводных модулей, что syscalls - это API, которые выполняют действия, когда вызывается функция WinAPI. Например, системный вызов NtAllocateVirtualMemory активируется при вызове функций WinAPI VirtualAlloc или VirtualAllocEx. Затем этот системный вызов перемещает параметры, предоставленные пользователем в предыдущем вызове функции, в ядро Windows, выполняет запрошенное действие и возвращает результат программе.

Все системные вызовы возвращают значение NTSTATUS, которое указывает код ошибки. STATUS_SUCCESS (ноль) возвращается, если системный вызов успешно выполняет операцию.

Большинство системных вызовов не документированы Microsoft, поэтому...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-27.Кунгфу-2.Изучаем API Hooking

Сен 30
  • 1 277
  • 0
1696085295787.png


Введение

API Hooking — это техника, используемая для перехвата и изменения поведения функции API. Она часто используется для отладки, обратного проектирования и взлома игр.
API Hooking позволяет заменять оригинальную реализацию функции API собственной версией, которая выполняет некоторые дополнительные действия до или после вызова оригинальной функции. Это позволяет изменять поведение программы без изменения её исходного кода.

Трамплины

Классический способ реализации API-хуков осуществляется с помощью трамплинов.
Трамплин — это шеллкод, который используется для изменения пути выполнения кода путем перехода на другой конкретный адрес в адресном пространстве процесса. Шеллкод трамплина вставляется в начало функции, в результате чего функция становится "подцепленной". Когда вызывается подцепленная функция, вместо нее активируется шеллкод трамплина, и поток выполнения передается и изменяется на другой адрес, что приводит к...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка вирусов-26. Изучаем кунгфу-1. Скрытие таблицы импорта

Сен 30
  • 2 017
  • 5
1696070496950.png


Таблица импортных адресов (IAT) содержит информацию о файле PE, такую как используемые функции и DLL, экспортирующие их. Этот тип информации может быть использован для создания сигнатуры и обнаружения двоичного кода.

Например, изображение ниже показывает таблицу импортных адресов примера инъекции шелл-кода.
Файл PE импортирует функции, которые считаются высоко подозрительными. Решения безопасности могут затем использовать эту информацию для детекта.

1696070440518.png


Сокрытие и обфускация IAT - Метод 1

Чтобы скрыть функции от IAT, можно использовать GetProcAddress, GetModuleHandle или LoadLibrary для динамической загрузки этих функций во время выполнения. Приведенный ниже фрагмент загрузит VirtualAllocEx динамически, и поэтому он не появится в IAT при проверке.

C: 
typedef LPVOID (WINAPI* fnVirtualAllocEx)(HANDLE hProcess, LPVOID lpAddress, SIZE_T dwSize, DWORD...
Продолжить...
Разработка малвари. Уроки

Найти пользователя

Поиск по форуму

Расширенный поиск...

Категории портала

Всякое
40

Исследование защиты
95

Как делают читы к играм
16

Курсы и уроки
9

Мероприятия
7

Новости
62

Общая информационная безопасность
70

Разработка драйверов для Windows
19

Разработка малвари. Уроки
56

Последние сообщения

Верх Низ