• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Малварь как искусство Фреймворк для тестирования антивирусов

  • 1 500
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

ВАЖНО [КНИГА] Разработка драйверов для Windows

  • 1 402
  • 1
1697104372490.png


Всем привет, как-то я переводил эту книгу:Перевод книги Windows Kernel Programming

Но есть профессиональный перевод, которым хочу поделиться.)

В этой книге обсуждается множество вопросов, так как тема драйверов режима ядра чрезвычайно обширна. Тем не менее книгу следует рассматривать как вводный учебник в мир драйверов устройств режима ядра.

Некоторые из тем, которые в книге не рассматривались:
  • Драйверы физических устройств.
  • Сетевые драйверы и фильтры.
  • WFP (Windows Filtering Platform).
  • Более подробная информация о мини-фильтрах файловой системы.
  • Другие общие средства разработки: таблицы хранения данных, AVL-деревья,битовые карты.
  • Типы драйверов для конкретных технологий: HID (Human Interface Device), экран, звуковая карта, Bluetooth, хранение данных…
...

[Книга] Введение в разработку вредоносных программ

  • 1 242
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

  • 1 205
  • 0
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

На заметку О том как беспалевно спамить на форумах и блогах

  • 67
  • 0
1710693047815.png


Всем привет!

Обнаружил интересный метод спама:

Вот тут на форуме, как и на других форумах, например на васме, персонаж создавал отвелеченные темы, например "Подскажите фильмы 90" и т.д.

Всё это хорошо, но если форум позволяет редактировать темы, то тема через какое-то время превращается в "Бездепы казино".Dmeh-Smeh-Smeh!!!ohmy88

Вот как это происходит тут:Бездепы в казино

Или например та-же тема на васме:

Хе, круто придумано, так-то мало кто поймет что к чему.Dmeh-Smeh-Smeh!!!

На заметку О том почему Линус Торвальдс обосрал С++

  • 161
  • 2
Линус Торвальдс признается, что ненавидит C++, а программистов на этом языке он оскорбляет. Разбираемся, в чем заключается причина ненависти.

В 2007 году пользователь Дмитрий Какурин написал письмо Линусу Торвальдсу, в котором спросил программиста, почему тот использует чистый Си вместо того, чтобы написать все на C++. Само использование чистого Си Дмитрий Какурин назвал емким словом bullshit.

В ответ Линус Торвальдс поделился своим мнением: bullshit — это сам Какурин, C++ — это ужасный язык, на котором кодеры генерируют, мягко говоря, «нечистоты», а программистов C++ вовсе не стоит допускать до Linux.

1710259439078.png


После откровенных оскорблений Торвальдс перешел к аргументам.Dmeh-Smeh-Smeh!!!

Позиция Линуса Торвальдса относительно C++​

В первую очередь, Линус говорит, что использование C++ неизменно приводит программиста к плохим решениям вроде использования библиотек STL или Boost, которые считаются прекрасными.

Однако на деле, по...

Малварь как искусство О том как использовать украденные cookie

  • 269
  • 0
1709489385907.png


Всем привет!

Часто в стиллерах есть такой функционалл, как кража истории браузера и cookie.
Про это мало где написанно, но в ряде случаев если завладеть cookie, то можно входить на сайты жертвы, без использования паролей.
Это связанно с тем, что многие сайты для авторизации используют сессию, это некий случайный набор данных, который генерируется после корректной авториции и хранится как-раз в cookie.
Эту сессию как правило либо перегенерировают раз в месяц, либо вообще она используется постоянно.)

Ну тут зависит всё от сайта, например банковские системы дополнительно привязывают сессию к айпи-адресу пользователя и сама сессия валидна минут 10-15.
Но многие сайты не делают никаких проверок и как правило угон сессии = угону аккаунта.)

Интересно, на сколько сложно импортировать чужой cookie себе в браузер ?
А сделать это не сложно, вот...

Импорт cookie в браузер или в другое приложение для...

На заметку Mangle - Тулза для обхода антивирусов

  • 409
  • 0
1708702621492.png


Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.

Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.

Код:
./mangle -h

       _____                        .__
      /     \ _____    ____    ____ |  |   ____
     /  \ /  \\__  \  /    \  / ___\|  | _/ __ \
    /    Y    \/ __ \|   |  \/ /_/  >  |_\  ___/
    \____|__  (____  /___|  /\___  /|____/\___  >
        \/     \/     \//_____/         \/
                    (@Tyl0us)

Использование ./Mangle:
  -C string
        Путь к файлу, содержащему сертификат, который вы хотите клонировать
  -I string
        Путь к...

Информация d3ranged blog

  • 469
  • 2
1708325325006.png


Всем привет!

Раньше был блог vxlab, но потом автор удалил блог, я был немного расстроен, т.к. у автора было много статей интересных.

Но вчера обнаружил, что автор создал новый блог вот:

В частности поддерживает прикольную утилиту для чистки вирусов:

В общем кому интересно рекомендую.)))

Малварь как искусство Опять обходим антивирусы и EDR

  • 398
  • 0
1707738979550.png


В качестве продолжения этих статей:



Оригинал:

Для нашей ежегодной внутренней хакерской конференции, которую мы назвали SenseCon в 2023 году, я решил изучить взаимодействие между драйвером Windows и его процессом в пользовательском режиме.

Вот некоторые подробности об этом путешествии:

Атакующие могут использовать примитив эксплойта чтения/записи ядра Windows, чтобы избежать взаимодействия между EDR_Driver.sys и его EDR_process.exe. В результате некоторые механизмы обнаружения EDR будут отключены, что сделает его...

Малварь как искусство Уклоняемся от поведенческого детекта антивируса и EDR

  • 520
  • 0
1707574181719.png


Всем привет!

В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем
Рекомендую прочитать вначале статью выше.

В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве:

Вообще тут существуют два варианта обхода:

1)Использовать антихуки в своём приложении, этот метод относительно простой и описан уже здесь:Уроки - Разработка вирусов-32.Открываем врата ада
Или вот ещё проект:Малварь как искусство - Фреймворк для тестирования антивирусов

Но данный метод не позволяет 100% обойти защиту, т.к. многие AV используют коллбэки и...

На заметку История одного стилера под Линукс

  • 447
  • 0
1707386766834.png


Источник:

В ходе расследования одного инцидента был обнаружен целый кластер вредоносной активности, нацеленный на операционную систему Linux, который оставался незамеченным как минимум с 2020 года. Дальнейший анализ показал, что вредоносное программное обеспечение выдавало себя за очень популярный мультиплатформенный менеджер загрузок.

Наше исследование началось с того, что мы получили образ диска и дамп памяти одного ноутбука на операционной системе Linux. Предполагалось, что этот ноутбук был скомпрометирован. Нашей задачей было опровергнуть это или, наоборот, доказать, поняв, что там вообще произошло.
Чтобы начать работать, мы составили супертаймлайн, который содержал данные о файловой системе машины — когда и какие файлы создавались или модифицировались, какие использовались источники...

Как определить пользователя за прокси и VPN

  • 257
  • 0
1707296110586.png


Интересное объяснение, также в видяшке приведен чекер:

Малварь как искусство Архитектура антивирусов и EDR - систем

  • 535
  • 6
1706874098041.png


Перевод статьи:

Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал (dummy EDR) и расскажу об этом здесь.

EDR (Endpoint Detection and Response)
- это вид продукта безопасности, который направлен на обнаружение аномальной активности на компьютере или сервере.
Ища ресурсы по работе EDR, я понял, что даже если существует много литературы о EDR, нет многих статей, объясняющих архитектуру EDR и как оркестрируются различные компоненты EDR. Эта статья призвана развенчать мифы о том, как работают EDR, создавая настраиваемый вариант, внедряющий несколько техник, используемых в реальных EDR.

Глава 1. История вирусов


Сначала мы рассмотрим историю...

Уборщица перерубила рунет

  • 497
  • 1
1706686105302.png


Координационный центр доменов .ru и .рф сообщил о «технической проблеме», связанной с глобальной инфраструктурой DNSSEC.

«Возникла техническая проблема, затронувшая зону .ru, связанная с глобальной инфраструктурой DNSSEC. Специалисты Технического центра интернет и МСК-IX работают над ее устранением. В настоящее время для абонентов НСДИ проблема решена. Идут восстановительные работы. Мы будем держать вас в курсе ситуации», — сказал РБК глава этого центра Андрей Воробьев.

В Минцифры также , что доступ к сайтам в зоне .ru будет восстановлен в ближайшее время.

Как ранее рассказали источники РБК в отрасли, в центральном регионе России наблюдаются сбои у ряда мобильных операторов и провайдеров: не открываются многие сайты и приложения в зоне .ru. Причина — в сбое с DNSSEC. В итоге, чтобы решить проблему, операторы начали отключать проверку DNSSEC, объяснили собеседники РБК.

DNSSEC — это набор...

Малварь как искусство Различные фреймворки для обхода EDR систем

  • 556
  • 6
vt_scan.png


Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.

Вот что получилось найти на гитхабе (Более-менее новые).

1)TerraLdr:

Details:​

  • no crt functions imported
  • syscall unhooking using
  • api hashing using Rotr32 hashing algo
  • payload encryption using rc4 - payload is saved in .rsrc
  • process injection - targetting 'SettingSyncHost.exe'
  • ppid spoofing & blockdlls policy using NtCreateUserProcess
  • stealthy remote process injection - chunking
  • using debugging & NtQueueApcThread for payload execution
2)Alaris:

Малварь как искусство Скрываем нагрузку в скриптах

  • 544
  • 1
1704270127418.png


Всем привет!

Вот в этой теме был задан вопрос, как склеить зверька с какой-то полезной программой.
Самое просто это использовать самораспаковывающийся архив, например так:ВАЖНО - Делаем крутой крипто-джойнер и обходим детект VT

Но в этой теме давайте рассмотрим как запаковать пейлоад в скрипт на bat или на sh для линукса.

Это может часто быть полезно и для легальных программ, в случае линукса, так можно сделать свой инсталятор.)

Предлагаю вначале рассмотреть линукс:

Чтобы упаковать бинарный файл (бинарник) в .sh скрипт на Linux, вы можете использовать следующий подход. Этот метод основан на использовании скрипта shell, который включает в себя сам бинарный файл, закодированный в формате base64. Вот подробный пример...

Малварь как искусство Набор методов по обходу AMSI

  • 392
  • 2
1703405780759.png


Этот репозиторий содержит некоторые методы обхода AMSI, которые были найдены в различных блогах.

Большинство скриптов обнаруживаются самим AMSI. Поэтому вам нужно найти триггер и изменить сигнатуру в этом месте путем переименования переменных/функций, замены строк или кодирования и декодирования во время выполнения.

Как альтернативу, вы можете обфусцировать их с помощью ISESteroids или Invoke-Obfuscation, чтобы заставить их работать.

В архиве примеры реализации методов обхода (Там текстовый файл README.md, безобидный, но его могут детектить АВ):

0. [Using Hardware Breakpoints](#Using-Hardware-Breakpoints "Goto Using-Hardware-Breakpoints")
1. [Using CLR hooking](#Using-CLR-hooking "Goto Using-CLR-hooking")
2. [Patch the provider’s DLL of Microsoft MpOav.dll](#Patch-the-providers-DLL-of-Microsoft-MpOav.dll "Goto Patch-the-providers-DLL-of-Microsoft-MpOav.dll")
3. [Scanning Interception and Provider function...

На заметку Указатели в C/C++ разборка

  • 773
  • 4
1703336611098.png


В этой теме предлагаю обсудить, такую тему как указатели в C/C++, также теоретически разберём такую концепцию как "умные указатели".

Итак, что такое указатели ?
Указатель
— это переменная, значение которой является адресом памяти.
Это может-быть просто какой-то адрес на выделенную память, например маллоком, это может-быть адрес массива, адрес какой-то переменной и т.д.

В C и C++ указатели используются для динамического управления памятью, обработки массивов, структур и других сложных данных.

Объявление и Инициализация Указателей​

Чтобы объявить указатель, вы должны указать тип данных, на который он будет указывать, за которым следует символ звёздочки (*). Например:

C:
int *pointerToInt;
char *pointerToChar;

Инициализация указателя происходит путём присвоения ему адреса переменной, используя оператор &:

C:
int var = 10;
int *pointerToInt = &var;

Также можно...

Новость За слив геймплея GTA VI пожизненная госпитализация в псих. больнице

  • 455
  • 0
1703233146860.png


Британский суд приговорил 18-летнего хакера Ариона Куртаджа к госпитализации в психиатрической клинике на неопределённый срок за взлом Rockstar Games и слив геймплея GTA VI. Судья заявила, что Куртадж — ключевой член группировки Lapsus$, а его навыки и желание совершать преступления показывают, как он опасен для общества. Он останется в больнице на всю жизнь, если только врачи не сочтут, что он больше не представляет угрозы, BBC.

Напомним, что в сентябре 2022 года Куртадж, находясь в отеле Travelodge под охраной полиции, Rockstar Games, используя Amazon Firestick, клавиатуру, мышь, гостиничный телевизор и мобильный телефон. Куртадж украл 90 видеороликов геймплея и тысячи строк кода раннего билда GTA VI. Код и видео подросток выложил на форуме под ником TeaPotUberHacker. Он был арестован и содержался под стражей до суда...

Посетителей за сегодня

Пользователи онлайн

Сейчас на форуме нет ни одного пользователя.
Верх Низ