Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Всем привет!

Для начала краткая теория-шпаргалка:​

Какие бывают DDoS атаки?

По типу объекта, который выводится из строя можно выделить четыре основных класса атак, осуществляемых на разных уровнях согласно модели OSI:

Первый класс (L2) — «забивание» канала. Эти атаки направлены на лишение доступа сервера к внешней сети вследствие исчерпания ширины его канала. Чаще всего в таких случаях используются массированные, с точки зрения количества трафика, атаки типа Amplification (NTP-, DNS-, RIP-… Amplification может быть любой). Основная задача состоит в том, чтобы канал шириной, например, 1 гигабит/с залить хотя бы 1,1 гигабит/с. Этого будет достаточно для прекращения доступа к серверу.

К данному классу атак также относятся различные flood’ы:

• SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает...

Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?

1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:

• Драйверы физических устройств.
• Сетевые драйверы и фильтры.
• WFP (Windows Filtering Platform).
• Более подробная информация о мини-фильтрах файловой системы.
• Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
• Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…

...

Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

14 января 2025 года сбой в работе Рунета. Роскомназдор кратковременное нарушение связности сети и сообщил, что её работа оперативно восстановлена. О причинах сбоя РКН ничего не сообщил. Профильные эксперты в этом инциденте разобраться.

Что произошло?

1. Если в работе одного сервиса происходит технический сбой, то этот сервис становится недоступен во всех странах мира. В данном случае аналогичных сбоев в других странах не зафиксировано.
2. Если проблема на стороне интернет-провайдера, то в таком случае интернет или часть сервисов не работает только в сети именно этого провайдера.

В случае, когда во всей стране у разных провайдеров происходит одна и та же проблема - это признак работы ТСПУ (технических средств противодействия угрозам...

может закрыться в ближайшие месяцы после почти 20 лет существования. Это самый известный и некогда самый популярный сайт для программистов, где они могут попросить коллег о помощи или сами подсказать ответ на вопрос других разработчиков.

Теперь же Stack Overflow в упадке – все больше разработчиков адресуют свои вопросы не другим специалистам, а нейросетям.

ИИ крушит Stack Overflow​

Портал Stack Overflow, крупнейший в мире форум для разработчиков ПО со всей планеты, стремительно теряет популярность по мере того, как все больше программистов открывают для себя генеративные нейросети. Как сообщил в своем GitHub-профиле разработчик Теодор Смит (Theodore Smith), известный под псевдонимом hopeseekr, Количество новых вопросов на Stack Overflow становится все меньше, притом не из года в год, а буквально каждый месяц.

Смит привел...

Версия 8, 2025 год:

Пароль:xss.is

Версия 7, 2024 год:

Версия 1-6 (2013-2022 годы):

Пароль:111

⚡️ Срочно обновите Google Chrome, Firefox и Windows!

Разработчики выпустили патч, закрывающий одну из самых критических уязвимостей — CVE-2025-0291.

Эта дыра позволяет злоумышленникам удалённо запускать вредоносный код на вашем устройстве и получать полный доступ ко всем данным.

Защитите себя и предупредите близких, чтобы они тоже обновились!

В даркнете начались продажи базы, неизвестно на сколько достоверная но...

Хакеры утверждают, что им удалось выкачать данные Росреестра.

Заявляется, что получен доступ к более чем 2 млрд строк, общим размером около 1 Тб.

В качестве доказательства своих слов, хакеры опубликовали в свободном доступе ссылку на скачивание фрагмента базы данных, содержащего 81,990,606 строк:

ФИО
адрес эл. почты (401 тыс. уникальных)
телефон (7,5 млн уникальных)
адрес
паспорт (серия/номер, кем и когда выдан)
дата рождения
СНИЛС
дата
компания

❗️Более 12,5 тыс. вхождений слова rosreestr в адресах эл. почты и более 1,1 тыс. эл. почт в домене @rosreestr.ru.

Самая "свежая" запись в этом фрагменте датируется 10.03.2024.

Сейчас идет сбой в реестре блогеров.

Россреестр всё отрицает, кому верить непонятно, но неприятненько.:(

Всем привет!

Есть такая интересная тулза для нагрузочного тестирования, которая кстати не хило так может нагрузить проц. сервера (Смотри скрин выше, запуск http-флуд запросами, всего 5 потоков).)

Apache JMeter:

• Описание: Один из самых популярных инструментов для нагрузочного тестирования. Подходит для тестирования веб-приложений, API, баз данных и других систем.
• Функции:
  • Тестирование HTTP, HTTPS, SOAP, REST, FTP и других протоколов.
  • Гибкость и возможность настройки сложных сценариев.
  • Отчеты в виде графиков и статистики.
• Платформа: Java, работает на Windows.
• Сайт:
  Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Использование Apache JMeter на Windows включает несколько шагов от установки до запуска тестов. Вот подробное руководство:

---

1. Установить Apache JMeter​

1. Скачать...

______________________________________
| Веб-страница: |
| [Скрытый майнер] |
|_____________________________________|
| ^
| |
v |
.----------------------------------. |
| Процессор (CPU) загружен | <------+
| на 80–100% без ведома юзера |
'----------------------------------'
|
| Шум кулера ↑↑↑
v
(Быстро садится батарея, растут счета за электричество)

[Пользователь]
«Почему всё тормозит?!»

В последние годы всё чаще можно услышать о скрытых майнерах, которые используют мощности вашего компьютера для добычи криптовалюты без вашего ведома. Такие «серые» или даже откровенно вредоносные скрипты могут встраиваться в веб-сайты: вы посещаете страницу, а ваш компьютер незаметно для вас...

Всем привет!

Всех-кто посещает форум хочу поздравить с праздниками.

Всем удачного и счастливого Нового Года.

Если провести итоги уходящего года, то для меня он выдался весьма не плохой, если не учитывать обстановку в мире, надеюсь в следующем году наконец-то закончится война и будет более спокойней.

Что касается форума, не стану скрывать было желание его вообще удалить, но потом подумал что в рунете не так-уж и много аналогичных форумов, ососбенно где нет комерса, не скажу что тут что-то супер в плане контента, но какая-то оригинальность форума есть, поэтому удалять как-то очень жалко.

К тому-же тут сейчас много чего сделано и в качестве эксперимента, например на форуме есть общение в реалтайме, т.е. обновление постов в реальном времени как в чате и статусы пользователя.
Есть два стиля, светлый и темный.

Также настроил антиддос защиту, правда после этого перестали ддосить, было интересно проверить защиту, а ддосить...

Интересную методику придумали в РКН, многие СМИ пишут что это для попыток контроля блокировок, а я скажу что это для деанонимизации пользователей в сети.
Вот смотрите, вы подключились к VPN, при этом в РКН уже будут знать как ваш реальный IP-адрес, так и адрес VPN которым вы пользуетесь.

Частично или полностью это обойти можно только через цепочку VPN или VPN + ТОР, что-то такое.

Это делается видимо не для блокировок, а для контроля сети.

Сама новость:

Операторы связи будут обязаны предоставлять Роскомнадзору (РКН) информацию, позволяющую идентифицировать пользовательские устройства в интернете.

Проект приказа Роскомнадзора подразумевает сбор сетевых адресов, используемых для актуализации правил фильтрации, в целях противодействия компьютерным атакам, в том числе DDoS-атакам, сообщил представитель Роскомнадзора. Информация о личных устройствах пользователей собираться не будет, поскольку она не нужна для противодействия...

STELEAR PYTHON

Обновлённый скрипт 'Stealer' теперь адаптирован для работы с вебхуком Discord, что позволяет загружать архивы напрямую на указанный канал.
В отличие от предыдущей версии, которая отправляла архивы на yandex-WebDAW, новая версия использует вебхук Discord, что значительно ускоряет процесс отправки архивов.

Кроме того, скрипт генерирует уникальное имя архива, на основе MAC адреса компьютера..
Это означает, что для каждой учётной записи создается свой архив, и если на сервере уже существует файл с таким именем, он будет перезаписан.
Это позволяет избежать дублирования архивов и поддерживает более организованное хранение данных.

Скрипт выполняет следующие шаги:

1. Собирает данные с компьютера:
- Все текстовые файлы (`.txt`) с рабочего стола.
- Снимок с веб-камеры (если доступно).
- Скриншот рабочего стола.

2. Извлекает учетные данные из веб-браузеров (Chrome, Edge, Brave).
3. Определяет местоположение пользователя.
4. Получает MAC...

Всем привет!

Разработчик программы:ВАЖНО - Miner Search - Поиск и уничтожение скрытых майнеров

В своём телеграм канале:

Написал советы как защитится от майнеров, вот:

Кратко о том, как не ловить майнер.

❗️ Автор не побуждает к установке пиратских копий программ. Всё что вы делаете на свой страх и риск.

Основные признаки такие:
1) В сборке лежат файлы data0.bin и data1.bin (возможно другие файлы с .bin). Обычно data1.bin реальный установщик, а data0 самораспаковывающийся архив с майнером (примерно 100-300 МБ). Это не всегда так, но в этом можно убедиться поменяв расширение .bin на .exe. Если иконка поменялась на коробку с книгами - это оно.
2) Если эта игра, репак имеет шаблонное название "Torrent Game". Сразу отменяет скачивание.
3) Если репак в архиве, то распаковать...

Всем привет!

Если вы разрабатываете софт, не важно на каком уровне, на уровне ядра, или более высокий уровень, то в любом случае часто приходится работать с большими массивами данных.

Вот встаёт всегда вопрос обработки таких данных, если вы можете работать с такими штуками как питон или C#, то там как правило уже есть готовые библиотеки, такие как dict, например в питоне, или в C# Dictionary по моему называется, достаточно ознакомится с документацией и применять в своей задаче.

А теперь представьте, вы пишите загрузчик операционной системы, или пишите драйвер, по факту вы используете язык Си и у вас ничего нету, поэтому уметь использовать базовые структуры данных и писать их самому, весьма не плохой скил.
Да в линуксе например есть API для работе с хеш-таблицами в драйверах.

Но всё-же предлагаю в этой статье попробовать самим написать оптимизированный поиск по хеш-таблицам.

Итак начнем:...

В работе ChatGPT обнаружился странный баг. Если попросить его дать информацию о том, кто такой David Mayer (Дэвид Майер) или просто написать это имя, в боте происходит сбой и выводится сообщение, что команду нельзя выполнить.

Никто не знает, кто такой Дэвид Майер и почему нейронка не хочет о нем говорить.

Введение​

Безопасность сервера является одной из ключевых задач администратора системы. Одним из инструментов для обеспечения сетевой безопасности является iptables — мощный инструмент для настройки правил фильтрации трафика в Linux.

В этом руководстве мы рассмотрим, как создать Bash-скрипт, который автоматически обновляет список IP-адресов Cloudflare и настраивает правила iptables для защиты вашего сервера.

Шаг 1: Основы работы с iptables​

iptables — это утилита для настройки и управления таблицами правил фильтрации пакетов в ядре Linux.
С его помощью можно контролировать входящий и исходящий сетевой трафик на основе различных критериев, таких как IP-адрес, порт, протокол и т.д.

Основные команды iptables:​

• iptables -A — добавить правило в цепочку.
• iptables -D — удалить правило из цепочки.
• iptables -P — установить политику по...

В России теперь запрещено распространение практически любой информации о VPN, включая научную и статистическую.​

На официальном портале правовой информации был опубликован соответствующий приказ Роскомнадзора, вносящий изменения в критерии оценки информации и отнесению ее к запрещенной в России для внесения в соответствующий реестр ведомства.

Он вступит в силу 30 ноября и будет действовать до 1 сентября 2029 года. В соответствии с текстом приказа, теперь к запрещённой будет относиться также научная, научно-техническая и статистическая информация о способах, методах обмена информацией в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", при обеспечении доступа к информационным ресурсам и/или информационно-телекоммуникационным сетям с применением защищенных каналов связи.

Для сравнения, ранее исключение касалось научной, научно-технической и статистической информации о способах, методах...