«Касперский» раскрыл уникальную американскую шпионскую программу

X-Shar · 25.02.2015

Indy сказал(а):
Далее даже гипотетически допустить какой то там дров, то нужен механизм его загрузки. Это сразу бы спалил любой фаер. Этого нет.

Ну незнаю как с хардом, но что касается USB, тут используется технология Plug-and-Play.

Смысл в том, что какой-то драйвер вовсе необязательно устанавливать и загружать, объясню как я понимаю, если неправ можете поправить:

Итак при подключении например флешки, идёт "инициализация" устройства, далее вполне могут поставится стандартные драйвера, например "Стандартная клавиатура" и т.д.

Теперь суть потенциальной уязвимости, в том что непроверяется класс устройства, например банальная флешка может представится "Клавиатурой" и т.д., для неё будет установлен стандартный майкрософтский драйвер, далее управление уже идёт через девайс, спокойно можно семулировать нажатия определённых клавишь, что повлечёт выполнение определённых действий в винде, вплоть до загрузки и исполнения вредоносного кода, как вариант !

В статье которой я привёл в предыдущем посте, как-раз было продемонстрирован вызов блокнота и написание произвольного текста...

Что касается статьи ЛК, в первом посте, тут два возможных варианта (ИМХО):

1)Была "позаимствована" идея для пиара, "Вот мы нашли необычный троян !";

2)Они действительно обнаружили такую программу на харде и доказали/дополнили исследование "Чёрных шляп".

Тут в общем-то дело в доверии, кто недоверяет ЛК, тут конечно только остаётся ЛК передать заражённое устройство независимым экспертам по ИБ, что-бы они провели исследование харда и сделали анализ данной угрозы если она конечно вообще есть...

З.Ы. Я не являюсь поклонником ЛК, так-же не являюсь их ненавистником...

Отношусь ко всем АВ нейтрально, это так на всякий случай ! WinkSmile

Indy · 25.02.2015

X-Shar

Видимо вы никакого отношения к виксам не имеете, ибо не понимаете самых основ. Пусть что то как то запустилось. Далее неизбежно возникает необходимость работы с высокоуровневыми механизмами оси. А на этом уровне детекторы вполне годные. Не спалиться используя тривиальные техники невозможно.

X-Shar · 25.02.2015

Indy сказал(а):
Видимо вы никакого отношения к виксам не имеете, ибо не понимаете самых основ.

А я и не скрываю, к виксам я никакого отношения не имею, если вы только это поняли, хотя я не раз об этом писал...

А вот вы хоть и виксер, но в безопасности не хрена не смыслете, ваши знания ограничены лишь знаниями низкоуровневого коденга и всё, вы непонимаете устройства АВ, вы даже не знаете что-такое plug-and-play и как это всё устроенно в винде...

Итог большинство ваших знаний устарело и мало эффективно...

Уж извините, но такое впечатление произвели на меня, да и про виксеров которых я знаю, это лол... смех-смех!!!

Это и есть хвалённый уровень эллиты ? Не въехал!!!

Ещё раз извиняюсь, но моё мнение такое !

Indy · 26.02.2015

вы непонимаете устройства АВ

Как раз таки я понимаю устройство аверов, глубже чем кто либо и глубже чем сами аверы, ибо я знаю их ошибки.

Вы товарищ либо больны рассудком, либо типичный троль.

Nedovirus · 26.02.2015

Разговор у вас вообще ни о чем. ЛК предоставила очень много метаданных на файлы (имена, пути, размер, хеши, строки внутри). Любой убогий авер по своему облаку за 5 минут перепроверит правду пишет ЛК или сама файлы вечерком скомпилила. Выборочно некоторые файлы я цепанул - придраться не могу - реально есть и реально столько лет и все такое.

Вброс рассчитан не на хомяков, а на серьезные госконторы разных стран и корпоративных клиентов, это очевидно. Кто не саморекламится - тот покидает рынок. Иное дело, что кто-то пиарится на криптолокере, а кто-то на том, что сложнее вычислить и увязать.

Главная загвоздка одна - что делает обновленная прошивка? Про это они пока ничего не сказали. Подождем.

Nedovirus · 26.02.2015

По поводу badusb:
1. это жесткая таргет атака - изучается конкретная флешка, заражается, доставляется жертве
2. при подключении к ПК обычной usb клавы в системе происходит ее инсталляция, после чего на ней можно печатать. Нормальный ав на эти манипуляции никак не реагирует. Аналогично и с бэдюэсби. Палево только в случае запуска отдельного кода (запуск левого файла). В этом случае антивирус будет его обнюхивать.
Беспалевно от антивируса можно с usb только посылать нажатие клавиш, а все остальное уже из под ОСи.
3. в оси можно сделать нечто, но тут уже под конкретный хипс для большей скрытости надо разрабатывать

pastorok · 26.02.2015

X-Shar сказал(а):
ваши знания ограничены лишь знаниями низкоуровневого коденга и всё,

Нинадо так про кодинг! Загрузив антивирус в отладчик, я бнаружил там много низкоуровнего кодинга Отдыхай!!!

Rufus · 26.02.2015

Indy сказал(а):
Вы товарищ либо больны рассудком, либо типичный троль.

Инди вы либо не делайте оскорбительных сравнений,либо более развёрнуто выражайте свои мысли.Объясните в чём не прав X-Shar.
В противном случае,тема превратится в обычный срач без пруфов-доводов.В итоге один из участников окажется в бане.А мне не хотелось бы вас там увидеть.
Администрация закрывает глаза на ваше эксцентричное поведение,лишь благодаря известному нику.Но ведь нужно как-то поддерживать эту репутацию.Не быть голословным.

X-Shar · 26.02.2015

pastorok сказал(а):
Нинадо так про кодинг! Загрузив антивирус в отладчик, я бнаружил там много низкоуровнего кодинга

Ну это-да, немного резкий пост, а вообще я пытался сказать что-то типо этого:

Nedovirus сказал(а):
По поводу badusb:
1. это жесткая таргет атака - изучается конкретная флешка, заражается, доставляется жертве
2. при подключении к ПК обычной usb клавы в системе происходит ее инсталляция, после чего на ней можно печатать. Нормальный ав на эти манипуляции никак не реагирует. Аналогично и с бэдюэсби. Палево только в случае запуска отдельного кода (запуск левого файла). В этом случае антивирус будет его обнюхивать.
Беспалевно от антивируса можно с usb только посылать нажатие клавиш, а все остальное уже из под ОСи.
3. в оси можно сделать нечто, но тут уже под конкретный хипс для большей скрытости надо разрабатывать

Но у меня не получилось, так понятно и кратко и компетентно рассказать, я начил психовать и из-за этого такой неочень приятный пост получился... WinkSmile

Вообще, мой пост про Инди неочень хороший в плане, что не мне кому-то оценку знаний давать, ибо Инди наверное вполне на законных оснований может спросить "А какие у тебя успехи в этом деле !?", а действительно малварь я не делаю, так вроде и защиту не разрабатываю тоже... Не въехал!!!

Впредь постараюсь не делать такие посты в адрес участников форума, иначе мы ничем не будем отличаться от форумов уровня "Клуба симантек", где все мнят себя крутыми спецами запредельного уровня...

Единственное просьба к Indy, более развёрнуто выражайте свои мысли, по причине что не всегда понятно что хотите сказать и также поменьше ссылок типо "Нубы", "К виксам не имеете отношения...", это не серьёзный вообще подход... NO-no!!!

Про кодинг я хотел сказать, что существуют несколько подходов и инструментов для обхода защиты, в данном случае АВ...

Можно неуметь кодить, можно уметь кодить, не важно... Важно понимать суть уязвимости и специфику АВ !

Вот пример, наш пост на хабре, как атаковался банк например:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Обратная связь: [email protected]

Наш канал в telegram: https://t.me/ru_sfera

Группа VK: https://vk.com/rusfera

Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

«Касперский» раскрыл уникальную американскую шпионскую программу

X-Shar

:)

Indy

Уважаемый пользователь

X-Shar

:)

Indy

Уважаемый пользователь

Nedovirus

Уважаемый пользователь

Nedovirus

Уважаемый пользователь

pastorok

Пользователь

Rufus

Уважаемый пользователь

X-Shar

:)