Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

На заметку Перехват WinApi функций.

Июл 23
  • 1 874
  • 18
Сегодня столкнулся с тем, что мне нужно перехватить WinApi функции и изменить результат который они передают в программу.
Первый раз решил пойти сложным путем, методом изменения таблицы импортов, пытаясь поменять адрес в таблице импортов на нужный мне (перед этим создав темплейт функции).
Сделать у меня это не получилось, по этому я решил использовать библиотеку Detours.

Для работы будем использовать библиотеку detours, вам её нужно будет установить через NuGet.
Сначала создадим темплейты наших функций, я покажу это на 2х примерах: GetUserNameW и RegOpenKeyExW.
C++: 
typedef BOOL(WINAPI* GETUSERNAMEW)(LPWSTR lpBuffer, LPDWORD pcbBuffer);
typedef LONG(WINAPI* REGOPENKEYEXW)(HKEY hKey, LPCWSTR lpSubKey, DWORD ulOptions, REGSAM samDesired, PHKEY phkResult);

GETUSERNAMEW original_GetUserNameW;
REGOPENKEYEXW original_RegOpenKeyExW;
Далее, нам нужно создать "Прототип" функции которая будет заменятся на оригинальную.
Сначала я просто покажу код, потом более подробно расскажу...
Продолжить...
Исследование защиты

WinAPI по-русски - Большой справочник - Функций!

Июл 23
  • 1 280
  • 6
555555.png
Огромный справочник функций WinAPI , с подробными описаниями функций.
Архив содержит :
Справочник - Функций WinApi​
Справочник - Сообщений WinApi​
Справочник - Ошибок Windows​
ПРИММЕР ОПИСАНИЯ:
----------------------------------------------------------------------------​
Функция _lwrite
Описание:
function _lwrite(FileHandle: Integer; Buffer: PChar; Bytes: Integer): Word;
Записывает данные из буфеpа Buffer в указанный файл.
...
Продолжить...
Всякое

Уроки Разработка малвари - 3. Так какой-же язык выбрать !?

Июл 21
  • 2 994
  • 4
1689926666478.png


Вообще в сети много холиваров на это тему.

Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с процессором, реверс и т.д.

Да, всё это может присутствовать в разработке, но необходимо понимать, что малварь сейчас весьма обширное понятие.

Вот приведу пару примеров:

1)Нам нужно сделать ботнет, что мы будем использовать ?

Клиент - какой язык мы будем выбирать, уж точно не ассемблер, тут на самом деле выбор очень широк, даже тот-же C# подойдёт.
Серверная часть - Тут выбор ещё больше, всякие-там php, питонячие скрипты, а почему-бы и нет, вот даже на Си писать сервер сейчас может-быть затратно с нуля.

Кстати по поводу ботнета, в бытности мы как-то делали небольшой проект для конкурса XSS, вот интересные статьи рекомендую...
Продолжить...
Разработка малвари. Уроки

Уроки Разработка малвари - 2. Изучаем инструменты

Июл 18
  • 2 730
  • 2
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки.

Предыдущая часть тут: Зачем изучать разработку вредоносных программ ?

Перед началом путешествия по разработке вредоносного программного обеспечения необходимо подготовить рабочее пространство, установив инструменты для разработки вредоносных программ, а также их отладки.

Эти инструменты будут полезны в процессе разработки и анализа вредоносного программного обеспечения.

Отмечу что пока мы будем рассматривать ОС Windows, т.к. большинство малвари пишут именно под эту ОС, но также в будущем хочу затронуть Линукс и может-быть несколько статей будут затрагивать обсуждение малвари для мобильных устройств.)

Инструменты разработки/отладки и исследования программ

Установите следующие инструменты:

Visual Studio - это среда...
Продолжить...
Разработка малвари. Уроки

BlackLotus Windows UEFI

Июл 14
  • 1 494
  • 2
00001.png
Исходный код вредоносной программы Blacklotus для Windows UEFI !
BlackLotus - это инновационный буткит UEFI, разработанный специально для Windows. Он включает в себя встроенный обход безопасной загрузки и защиту Ring0/Kernel для защиты от любых попыток удаления. Это программное обеспечение служит для работы в качестве загрузчика HTTP. Благодаря его надежному сохранению нет необходимости в частых обновлениях агента новыми методами шифрования. После развертывания традиционное антивирусное программное обеспечение не сможет сканировать и удалять его. Программное обеспечение состоит из двух основных компонентов: агента, который устанавливается на целевом устройстве, и веб-интерфейса, используемого администраторами для управления ботами. В данном контексте...
Продолжить...
Новости

Обход антивирусов методом вызова API функций, по их порядковым номерам.

Июл 12
  • 1 715
  • 5
Данный метод не новый, но я всё же решил его выложить, думаю не помешает для инфы!
Есть несколько способов избежать необходимости объявлять API в таблице импорта двоичного файла, и при этом, использовать его.​
Такие методы, как вызов API по имени , вызов API по хэшу , встраивание шеллкода, как правило, являются наиболее распространенными.​
В данном методе, о котором я раскажу, API объявляется, но только не с его именем.​
Идея, заключается в том, чтобы попытаться вызвать функции, которые экспортируют библиотеки, используя порядковые номера, которые​
к ним относятся, вместо их явных имен. Этот метод из соображений совместимости обычно не рекомендуется, поскольку возможно,​
что в зависимости от операционной системы, в которой запущен двоичный файл, он может в конечном итоге не...​
Продолжить...
Исследование защиты

Обзор на протектор ASM-GUARD

Июл 10
  • 1 650
  • 2
2.8.jpg

Всем привет! Сегодня я бы хотел сделать обзор на программу ASM-GUARD
Ссылка на гитхаб
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

ASM-GUARD - это программа предназначена для обеспечения защиты программ, написанных на языке ассемблера (ASM). Она предлагает несколько функций и особенностей, которые помогают усилить безопасность и предотвратить возможные атаки на ASM-код.

Ниже представлен обзор функций и особенностей ASM-GUARD:

1) Сжатие инструкций (Instruction compression):
ASM-GUARD использует сжатие инструкций, что может помочь усложнить анализ и изменение программы на уровне ASM.

2) Фейковый...
Продолжить...
Исследование защиты

Зачем изучать разработку вредоносных программ ?

Июл 01
  • 3 698
  • 8
virus.jpg


Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.)

Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная.

Вот я и решил позаимствовать от туда темы, где-то сделать перевод, но в целом решил создать раздел Введение в разработку вредоносных программ где будет размещаться обновленная информация по теме разработки малвари, темы возьму прям из модулей.)

И вероятно затрону и другие системы, кроме винды, это не будут просто переводы, а темы от меня...

Раздел будет предназначен как для новичков, так и для тех-кто хочет что-то вспомнить, как минимум будет легче искать и бесплатно.)

Также можно завести раздел в гите под такие...
Продолжить...
Исследование защиты Разработка малвари. Уроки

Информация Очередной тотальный брутфорс

Июн 23
  • 3 137
  • 2
1687527142601.png


Исследователи засекли (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
) очередную волну атак по линуксовским SSH-серверам.

Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов.

Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
).

После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль.

Между тем словарик данных доступа, как всегда, показательный.

Если я усну и проснусь через сто лет и меня...
Продолжить...
Новости

На заметку Сборка Windows 10 с вредоносами в разделе EFI

Июн 15
  • 1 767
  • 7
Хакеры
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
на торрент-трекерах сборки Windows 10, содержащие в разделе EFI вредоносное программное обеспечение для хищения криптовалюты.

Операционная система не способна обнаружить зловред.

1686840716147.png


Extensible Firmware Interface или EFI — интерфейс между ОС и прошивкой устройства, который обеспечивает стандартную среду для загрузки системы и запуска предзагрузочных приложений.
EFI важен для систем на базе UEFI, пришедших на смену устаревшего BIOS.

Атаки проводили с использованием модифицированных разделов EFI для активации вредоносного ПО в обход ОС и её инструментов защиты, как и в случае с буткитом BlackLotus.
Исследователи Dr.Web обнаружили, что пиратские ISO-образы Windows 10 используют EFI в качестве безопасного места для хранения компонентов клипера.

Стандартные антивирусные инструменты обычно не сканируют раздел EFI, поэтому вредоносное ПО...
Продолжить...
Новости

Информация Зачем нужно выравнивание и заполнение структур ?

Май 26
  • 2 382
  • 3
Всем привет!

Для новичков интересная тема, вот многие знают что компилятор выравнивает содержимое структур обычно кратно 4 в x32 и кратно 8 в x64.

Да есть разные атрибуты компилятора, которые запрещают это делать.

Но в этой статье предлагаю разобраться, зачем это вообще делается, как можно оптимизировать потребление памяти без специальных атрибут компилятора.

Итак, статья больше для новичков, но думаю будет интересно.)

Безымянный.png

Процессор и память​

Упрощенное представления взаимодействия процессора и памяти. Память имеет адресную байтовую последовательность и расположена последовательно. Чтение или запись данных в памяти выполняется посредством операций, которые воздействуют на одну ячейку за раз. Чтобы прочитать ячейку памяти или произвести запись в нее, мы должны передать ее числовой адрес. Память способна выполнять с адресом ячейки две операции: получить хранящееся в ней данные или записать новые. Память имеет...
Продолжить...
Курсы и уроки

На заметку Белый феникс - Восстановление файлов, которые зашифрованы вымогателями

Май 13
  • 1 269
  • 0
blackcat.jpg


ИБ-эксперты создали
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, новый инструмент для дешифровки файлов, пострадавших в результате атак программ-вымогателей. «Белый Феникс» позволит жертвам частично восстановить файлы, зашифрованные малварью, которая использует прерывистое шифрование. Инструмент уже доступен для бесплатной загрузки
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.

Прерывистое шифрование представляет собой метод, используемый некоторыми вымогательскими группировками. Идея заключается в том, что малварь попеременно шифрует и не шифрует фрагменты данных, что позволяет зашифровать файл намного быстрее, делая данные непригодными для использования жертвой.

Осенью 2022 года специалисты...
Продолжить...
Исследование защиты Новости Общая информационная безопасность

Программа Zero VPN - Официальный VPN клиент от Ру-Сфера

Май 09
  • 3 191
  • 23
1683639872787.png


Это только тестовая версия, сейчас доступна одна локация (Германия),.
Логирования нет (от слова совсем).
Не помню до какого числа оплачен сервер, так что не знаю сколько эта локация будет работать..
В будущем добавлю ещё сервера, сейчас заняты разработкой Android приложения и улучшений Windows версии.

Хочу услышать фидбек от вас, по дизайну и по работе клиента.

Накрыл клиент с помощью VMP.

Вход в клиент с помощью аккаунта Ру-Сфера.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Последнее обновление: 17.05.2023:
Добавил авто-получение серверов.
Добавил счетчик траффика.
Добавил информацию об подключении к серверу.
Исправление мелких багов.
Продолжить...
Новости

Эксклюзив DMA Engine BETA

Май 07
  • 2 570
  • 3
Всем привет!
Не так давно начал делать программу под названием DMA Engine.
Выкладываю тестовую версию (На столько тестовая, что её даже сырой не назвать).
Работает программа с помощью FPGA платы для DMA атак.

Данная программа планируется как аналог Cheat Engine.
На данный момент реализовано:
Чтение памяти.
Получение загруженных модулей.
Получение базового адреса модуля.

Накрыл программу с помощью VPM, тк пока не хочу сливать исходный код.
Программа работает на ЯП C#.

SS:
1683462657357.png


Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
|
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Для работы требуется такое устройство:
A86d767b74418455898d4bd9c0c37e6abQ.png


Эксклюзивно для ru-sfera.pw.
Продолжить...
Как делают читы к играм

На заметку Нужно ли разработчику быть специалистом по ИБ?

Май 03
  • 1 855
  • 0
Кстати не плохое выступление, там не много, рекомендую послушать...)

Продолжить...
Общая информационная безопасность

Малварь как искусство Атака при помощи дрона

Апр 30
  • 2 576
  • 1
5762.970.jpg

Оригинал:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Ты сидишь за клавиатурой на одном из верхних этажей охраняемого здания, расположенного посреди закрытой территории в окружении забора с колючей проволокой под напряжением. Ты чувствуешь себя в полной безопасности — за ней следят не только камеры, но и бдительная охрана. За окном раздается подозрительное жужжание, ты отвлекаешься на непонятный источник звука, и этих нескольких секунд достаточно, чтобы на твой компьютер установился бэкдор, а хакер, расположенный в 20 км от тебя, проник в корпоративную сеть. Фантастика? Ничего подобного!

Дрон — отличный инструмент для злоумышленника, поскольку такой аппарат может нести на себе до трети собственного веса в виде полезной нагрузки. Но атаковать удаленный объект «по воздуху» не так‑то просто: «хакерский дрон» должен обладать высокой автономностью, управляться...
Продолжить...
Исследование защиты Общая информационная безопасность

ВАЖНО Всегда проверяйте ссылки на первых полосах поисковиках

Апр 22
  • 1 710
  • 1
1682178032050.png


Вот нужно-было скачать браузер...

Ввел в Яндексе "Mozilla" и как видите офф. сайт только на шестой позиции...

Более того на первой позиции яндекс-браузер, который к мозилле отношения не имеет, но интересна вторая позиция:mozilla.yesload.net

mozilla.yesload.net - Фейковый сайт, сайт похож на офф. сайт мозилы, но если скачаете от туда инсталлер, то установится куча софта, КРОМЕ МОЗИЛЛЫ... Dmeh-Smeh-Smeh!!! wink1 sm181818

Короче увесистая адварь, но это жесть, неужели поисковики не могут такое фильтровать.

Так-что осторожно, так можно распространять вирусы, фишинговые сайты банков и т.д.

Это рабочий пример из жизни, на момент написания статьи, ссылка весьма жива...)
Продолжить...
Исследование защиты Общая информационная безопасность

Новый раздел "Халява"

Апр 22
  • 3 643
  • 8
654d5e9587db570e63220ef565536e5f.jpg


Всем привет!

Тут на форуме увидел пост, скорей-всего спамера:На заметку - Магазин ggsel, отзывы

И подумал, может сделать раздел "Халява", можно постить промо-акции, неофициальные магазины к софту и т.д.

Может это поднимет активность на форуме ?)
Продолжить...
Всякое Новости

На заметку Secure by design

Апр 22
  • 1 727
  • 0
По дефолту разработчики, стремясь достичь безопасности приложения, идут операционным путем: пишут тесты и делают ревью, чтобы устранять уязвимости уже по факту их выявления. Однако существует подход, в рамках которого классический комплекс мер становится не нужен, — все эти требования будут неявно выполнены за счет использования правильного дизайна и архитектуры системы.

oxwl66xcc20-pwku1f8dqvqeixk.png


Меня зовут Сергей Талантов, я — архитектор и Security Champion
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и занимаюсь разработкой продуктов, к которым предъявляются самые жесткие требования в плане безопасности. В этой статье расскажу про подход Secure by design: от теории (что это такое и какие виды этого подхода существуют, а также как и почему мы его применяем) к практике (паттерны безопасного дизайна и примеры их использования на С++)...
Продолжить...
Исследование защиты Общая информационная безопасность

На заметку Тонкий клиент на KasperskyOS

Апр 15
  • 1 207
  • 0
56faf2ba70f7bbea62b8e9fe116bbc54.png


Помните, как еще до пандемии компании стремились обеспечить безопасный доступ в периметр для своих сотрудников-удаленщиков? Особенно, если данные были сверхважными, — например, бухгалтерские сведения или корпоративные документы. Решения были сложные, громоздкие и дорогие. А представляете, насколько критичным это стало сейчас?!

Меня зовут Сергей Яковлев, я руковожу проектом Kaspersky Thin Client, построенным на базе
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Thin Client — это один из основных компонентов Virtual Desktop Infrastructure, то есть системы доступа к удаленным рабочим столам. В этой статье я на примере такого клиента расскажу, как можно сделать продукт безопасным (и притом коммерчески рентабельным!). Какие были этапы, с чем столкнулись, через что прошли и как решали проблемы. Поехали...
Продолжить...
Всякое Общая информационная безопасность

Найти пользователя

Поиск по форуму

Расширенный поиск...

Категории портала

Всякое
36

Исследование защиты
88

Как делают читы к играм
16

Курсы и уроки
9

Мероприятия
7

Новости
56

Общая информационная безопасность
64

Разработка драйверов для Windows
19

Разработка малвари. Уроки
55

Последние сообщения

Верх Низ