Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Малварь как искусство Фреймворк для тестирования антивирусов

  • 5 063
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

ВАЖНО [КНИГА] Разработка драйверов для Windows

  • 3 062
  • 1
1697104372490.png


Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:
  • Драйверы физических устройств.
  • Сетевые драйверы и фильтры.
  • WFP (Windows Filtering Platform).
  • Более подробная информация о мини-фильтрах файловой системы.
  • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
  • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
...

[Книга] Введение в разработку вредоносных программ

  • 3 571
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

  • 4 999
  • 2
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

Вопрос Скрипт вирусы, почему не актуально ?

  • 114
  • 2
1730802338578.png


Всем привет, тут вчера на форуме была создана а потом удалена тема, с причиной "Неактуально!"

В этой теме был выложен скрипт на питон, он-же во вложении.
Пароль:111

Вкратце скрипт делает следующее:

Данный скрипт собирает информацию с компьютера на котором был запущен скрипт и загружает её на веб сервер WebDAV.
При запуске скрипт работает в фоновом режиме и добавляется в автозагрузку Windows для автоматического запуска при каждом входе в систему.
Что делает скрипт:
Автозагрузка :
Скрипт добавляется в реестр Windows (`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`) с указанием пути текущего исполняемого файла.
После первого запуска скрипт будет запускаться автоматически при каждом входе в систему.
Сбор информации :
IP-адрес: Получает информацию об IP через API ipinfo.io.
Пароли браузеров: Извлекает и расшифровывает пароли из Google Chrome, Edge и Brave.
Файлы с рабочего стола: Собирает...

Какие камеры видеонаблюдения невозможно взломать?

  • 133
  • 0
images.jpg


Когда речь идет о безопасности, ставки всегда высоки: защита активов и конфиденциальность -ключевые аспекты для компаний и частных лиц.

При этом важно понимать, что кибербезопасность — это не только качество самой камеры, но и грамотная настройка и управление системой видеонаблюдения.
В эпоху, когда угрозы кибербезопасности стремительно развиваются, возникает важный вопрос: какие камеры видеонаблюдения невозможно взломать?

Миф о 100%-ной защищенности камер видеонаблюдения:

На самом деле, не существует камер видеонаблюдения, которые на 100% невозможно взломать.
Однако некоторые модели гораздо лучше защищены и более устойчивы к атакам.
При выборе камеры, а также при её установке и управлении, можно сделать систему видеонаблюдения практически неуязвимой для большинства угроз.

Давайте разберёмся, какие технологии и меры помогают значительно повысить уровень безопасности камер и системы...

На заметку Apple и цензура

  • 152
  • 0
1730367540309.png


Так ради размышления, сообщение от Amnezia VPN:

У нас плохие новости.
Буквально пару часов назад мы получили сообщение от Apple, что они по требованию Роскомнадзора удаляют наше приложение Amnezia VPN из AppStore.

Мы можем сказать только одно.

Не покупайте больше никогда айфоны, не покупайте больше никогда технику Apple, иначе рано или поздно просто потеряете доступ в Интернет.

Отнеситесь к этому серьезно.

Мы смогли преодолеть блокировки протоколов, мы смогли преодолеть блокировки серверов, но мы ничего не можем сделать против Apple. Они являются сейчас самым крупным провайдером цензуры в мире, и ради прибыли идут на любые шаги.

Пусть это будет открытое послание не только к пользователям из России, но и к пользователям по всему миру. Если в вашей стране вдруг случится беда и опустится цензура, то Apple пойдет на поводу сил зла, и продаст вашу свободу не считаясь ни с какими...

Инструкция Запуск анонимного мессенджера HLM в сети «Hidden Lake»

  • 305
  • 0

Анонимная сеть Hidden Lake

hl_logo.png

Анонимная сеть Hidden Lake (HL) - это децентрализованная F2F (friend-to-friend) анонимная сеть с теоретической доказуемостью на базе очередей (QB-задача). В отличие от известных анонимных сетей, подобия Tor, I2P, Mixminion, Crowds и т.п., сеть HL способна противостоять атакам глобального наблюдателя. Сети Hidden Lake для анонимизации своего трафика не важны такие критерии как: 1) уровень сетевой централизации, 2) количество узлов, 3) расположение узлов и 4) связь между узлами в сети, что делает её уникальной.
Исходный код анонимной сети Hidden Lake находится в открытом доступе на странице репозитория GitHub:
[COLOR=rgb(239, 239...

На заметку Дети - Хакеры

  • 401
  • 1
1729502600649.png


Кристофер фон Хассель, 5 лет​

Кристофер фон Хассель стал самым молодым хакером в истории. Еще будучи пятилетним мальчиком, он обнаружил уязвимость в системе авторизации Xbox Live. Он смог войти в аккаунт своего отца, обойдя стандартную процедуру авторизации.

Кристофер обнаружил, что если на втором экране подтверждения после ввода неправильного пароля просто нажать пробел, то можно авторизоваться в системе. Это было обнаружено методом «научного тыка».

Отец Кристофера, Роберт, который работает в сфере информационной безопасности, был поражен достижением сына и отправил отчет в Microsoft. Компания признала наличие уязвимости, исправила ее и даже внесла имя Кристофера в список исследователей безопасности на своем сайте. Кроме того, Microsoft щедро наградила юного хакера, подарив ему игры на 50 долларов и годичную подписку на Xbox Live.

Бетси Дэвис, 7 лет​

Бетси Дэвис — семилетняя девочка из Южного Лондона...

Информация Что-же это такое svchost.exe и зачем он нужен ?

  • 501
  • 1
1729262205237.png


Что такое svchost.exe?

svchost.exe (от англ. Service Host — "Хост служб")
- это системный процесс в операционной системе Windows, который используется для хостинга и управления динамическими библиотеками (DLL), содержащими системные службы.

Поскольку многие службы Windows реализованы как DLL, svchost.exe позволяет им работать внутри общего процесса, что повышает эффективность использования системных ресурсов.

Зачем он нужен?

Эффективность ресурсов: Группируя несколько служб в одном процессе, система снижает нагрузку на оперативную память и процессор.
Упрощение управления: Позволяет легче управлять службами, обновлять и отлаживать их без необходимости изменять код ядра системы.
Стабильность системы: Разделение служб по разным процессам svchost.exe обеспечивает, что сбой одной службы не повлияет на работу других.

Как это работает?


Группировка служб: Службы Windows...

Информация VPN4TV - клиент VLESS/Reality/Outline/Amnezia для смарт-ТВ и приставок

  • 456
  • 0
1729254186465.png


11 сентября вышло обновление клиента VPN4TV, который зарелизился незадолго до этого, в сентябре 2024 года.

VPN4TV - модификация популярного прокси- и VPN-клиента Hiddify.

VPN4TV работает на телевизорах с Android TV, ТВ-приставках, смартфонах и планшетах, например:
  • Android TV: Sony, Phillips, TCL, Hisense, Яндекс ТВ, Салют ТВ, Sber TV
  • ТВ-приставки: NVIDIA Shield, Xiaomi Mi Box S, Chromecast with Google TV, SberBox
Клиент поддерживает VLESS (в том числе с XTLS-Reality), TUIC, Hysteria, Wireguard, ShadowSocks (Outline), некоторые варианты Amnezia VPN. Возможна выборочная маршрутизация трафика (только для ресурсов вне страны, или выборочно для приложений).
Заявлена совместимость с популярным некоммерческим сервисом , позволяющим всем желающим получить свой личный бесплатный VPN-сервер.

Поскольку на ТВ и приставках обычно неудобно вводить текстовые данные (URL...

Информация Эпидемия майнеров в РФ, что и как

  • 431
  • 0
1729076040444.png


В дополнении этой темы:ВАЖНО - (Не)торрент: новый майнер с валидной подписью

Анализ Лаборатории Касперского:

На прошлой неделе эксперты «Лаборатории Касперского» подробный разбор вредоносной кампании, направленной в основном на русскоязычных пользователей.

Ссылки на вредоносные программы продвигаются в результатах поиска, результатом установки такого ПО является полный перехват контроля над системой злоумышленниками. Хотя подобные атаки никак нельзя назвать новыми, данная кампания представляет интерес как локализацией (большинство потенциальных жертв находятся в России), так и нестандартными методиками закрепления в системе.

1729075626050.png


Атака начинается с клика по ссылке в результатах поиска. Как видно на примере...

Информация Атака на ДоХтор веб

  • 514
  • 3
1728992785523.png


Как специалисты Data Leakage & Breach Intelligence (DLBI), хакерская группировка DumpForums заявила о компрометации инфраструктуры компании «Доктор Веб».

При этом через официальный Telegram-бот компании пользователям пришли сообщения о взломе, а хакеры уже опубликовали дампы нескольких БД внутренних ресурсов.

1728992827373.png


По информации DLBI, хакеры обнародовали дампы ldap.dev.drweb[.]com, vxcube.drweb[.]com, bugs.drweb[.]com, antitheft.drweb[.]com, rt.drweb[.]com и так далее. Исследователи пишут, что данные актуальны на 17 сентября 2024.

1728992853976.png


1728992873209.png

В своем Telegram-канале группировка заявляет, что похитила у компании более 10 ТБ данных и скрывалась в сети компании более месяца.

«Нам удалось взломать и выгрузить сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер...

Информация Супер-майнер, многолетнее вживление

  • 644
  • 4
1728111626596.png


Вредоносное ПО под названием "perfctl" на протяжении как минимум трёх лет нацелено на серверы и рабочие станции Linux, оставаясь в основном незамеченным благодаря высоким уровням скрытности и использованию руткитов.

Согласно исследователям Aqua Nautilus, которые обнаружили perfctl, это вредоносное ПО, вероятно, нацелилось на миллионы серверов Linux за последние годы и, возможно, заразило несколько тысяч из них.

Эти выводы основаны на многочисленных сообщениях жертв вредоносного ПО, опубликованных на онлайн-форумах, все из которых содержат индикаторы компрометации, связанные исключительно с активностью perfctl.

Вектор атаки — неверно настроенные сервера и утёкшие данные доступа. Руткиты для скрытности, сокет Unix для внутренней коммуникации и TOR для стука вовне.

Малварь также резко обрубает активность, если юзер заходит на сервер. Так, у одного юзера ЦП шкалил под 100%, но вредонос сразу отключался при логине через SSH...

Информация Хукаем ReadProcessMemory и запрещаем x64dbg читать память нашего приложения.

  • 647
  • 1
Всем привет!
Пришло в голову попробовать хукнуть ReadProcessMemory функцию внутри x64dbg и посмотреть на результат.
Как по мне, получилось неплохо, в этой статье я коротко расскажу как я это реализовал.

Для хука я использовал библиотеку Detours, так-же можно использовать MinHook.
Для начала создадим нужную функцию, которой мы заменим оригинальный ReadProcessMemory.
C++:
typedef BOOL(WINAPI* READPROCESSMEMORY)(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
    ); READPROCESSMEMORY original_ReadProcessMemory;

BOOL hook_ReadProcessMemory(
    HANDLE  hProcess,
    LPCVOID lpBaseAddress,
    LPVOID  lpBuffer,
    SIZE_T  nSize,
    SIZE_T* lpNumberOfBytesRead
)
{
    if (lpBuffer != NULL) {
        memset(lpBuffer, 0x90, nSize);
    }
    if (lpNumberOfBytesRead) {
        *lpNumberOfBytesRead = nSize;
    }
    return TRUE;
}

В данном хуке, мы получаем размер буфера и заменяем все значения в нем...

ПЕНТЕСТИНГ Что такое DDoS Amplification и с чем его едят?

  • 793
  • 4
Всем привет!

Написание этой статьи я начал несколько месяцев назад, а потом забил на это.
Но сейчас я нашей наброски и решил все написать с нуля.

В этой статье я хочу более подробно углубиться в DDoS.
В первой части этой статьи, мы разберем:
Что такое DDoS Amplification?
Если говорить простыми словами, в интернете есть разные сервера
Эти сервера иногда используют уязвимые сервисы, которые помогают усилить нашу атаку.

Требования для исполнения атаки?
Для начала вам понадобится VPS/VDS, с IPHM Enabled (IP HEADER MODIFICATION Enabled).
ВНИМАНИЕ!!!! НЕ СТОИТ ИСКАТЬ ТАКИЕ ХОСТИНГИ ПО ЗАПРОСУ В ГУГЛ/ЯНДЕКС.
95% "ХОСТИНГОВ" КОТОРЫЕ ЕСТЬ В ГУГЛЕ ПО ЗАПРОСУ IPHM VPS - СКАМ!!!!
100% скам который я проверил на себе (строго избегать этих хостингов):

Как проверить возможность спуфинга на...

Новость Атака на Яндекс-Браузер

  • 825
  • 1
Изучая неудавшуюся целевую атаку на неназванного российского оператора грузовых железнодорожных перевозок, исследователи «Доктор Веб» малварь, которая пыталась использовать уязвимость в «Яндекс Браузере» для закрепления в скомпрометированной системе.

В марте 2024 года к специалистам обратились представители крупного российского предприятия, работающего в отрасли грузовых железнодорожных перевозок. Внимание сотрудников отдела информационной безопасности привлекло подозрительное письмо с прикрепленным к нему вложением. Ознакомившись с полученным запросом, аналитики пришли к выводу, что компания чуть не стала жертвой целевой атаки. Злоумышленники хотели собрать информацию о системе и развернуть модульную малварь на взломанной машине.

1725616653320.png


Атака началась с фишингового письма, замаскированного под резюме соискателя. К письму был приложен архив, якобы содержащий PDF-файл с анкетой. Однако...

На заметку Функция Recall в Windows 11. Шпион

  • 599
  • 0
Напомним, что функцию Recall представили в мае 2024 года. Она призвана помочь «вспомнить» любую информацию, которую пользователь просматривал в прошлом, сделав ее доступной с помощью простого поиска.

Так, Recall, которую планировали включить по умолчанию на всех новых ПК Copilot+, делает снимок активного окна на экране каждые несколько секунд, записывая все, что происходит в Windows, будь то просмотр сайтов в браузере, общение в мессенджере или работа с другими приложениями.

Полученные снимки обрабатываются нейронным процессором (Neural Processing Unit, NPU) устройства и ИИ-моделью для извлечения данных со скриншотов. Затем информация сохраняется в SQLite, и пользователи Windows могут осуществлять поиск по истории с помощью запросов на родном языке.

В итоге Recall как со стороны ИБ-экспертов, так и со стороны защитников конфиденциальности. Специалисты сравнивали функцию...

На заметку Грокаем алгоритмы искусственного интелекта

  • 748
  • 0
1725201237200.png


Всем привет !)

Может кому будет интересно почитать, наткнулся на две книги, последняя кстати совсем новая 2024 года, нашёл в сети второе издание "Грокаем алгоритмы".)

Грокаем алгоритмы искусственного интелекта:

Грокаем алгоритмы. 2-е издание:


Думаю интересно почитать, в книгах всё описано доступным языком, это вам не книги Кнута, но эти книги для новичков, или кому просто интересны алгоритмы и устройства ИИ.

Первую книгу также рекомендую студентам или кто готовится к собесам.)

Юмор Прикол с овечкой

  • 755
  • 2
1724488624039.png


Выдрал из этих тем:



В общем программа после запуска отображает бегающую овечку по экрану, можно над кем-нить подшутить.

Программа безвредная.

VT:

Пароль:111

Найти пользователя

Поиск по форуму

Последние сообщения

Верх Низ