mister-utka31 мар в 04:19

Реверсим малварь Roaming

Простой

13 мин

IT-инфраструктура * Windows * Антивирусная защита * Информационная безопасность * Реверс-инжиниринг *

Комментарии 13

Разбор хороший. Малварь - обычная простейшая детская "матрешка" без фантазий. Рекомендую чтото стоящее попробовать разобрать с антиотладкой, антиэмуляцией, антидампом, полиморфом, обфускацией.

mister-utka 31 мар в 05:13

Спасибо! А так да, согласен. Ожидал как доп ко всему майнер)

maxscitech 31 мар в 05:18

Ну точно школьная тогда безделушка, раз майнер. Реверс тут проведен зачетно, правда дизассемблировать, трассировать и декомпилировать обычно в таких недомалварях нечего.

mister-utka 31 мар в 05:21

Спасибо! Буду надеяться что в следующий раз попадется что-то поинтереснее :) Хотя мне как для начала самое то.

40kTons 31 мар в 05:40

Насколько востребованы на рынке люди, которые умеют делать что-то подобное? Security Researchers, Vulnerability Researchers, Reverse Engineers?

mister-utka 31 мар в 05:45

Ваканций по данной тематике лично мне попадается крайне мало. Всего за полгода было два собеса.
Первый - в какую то странную компанию, которая реверсит приложения казино под десктоп и пишет игровых ботов.
Второй - в Касперский.

40kTons 31 мар в 05:51

Да уж. Заниматься чем-то таким профессионально мало у кого получится, разве что как хобби. Реальней пилить условые микросервисы за сравнимые деньги

mister-utka 31 мар в 05:59

Я бы посоветовал заниматься тем, к чему душа лежит, потому что только в таком случае не нужно будет заставлять себя учиться через силу. По сути в IT я так и пришел, мне просто было интересно, как работает телеграфный аппарат. А потом понеслось - сеть, протоколы, Linux... Так я и по началу и стал сисадмином :)

40kTons 31 мар в 06:56

Я к тому что если нет возможности найти работу по интересному направлению, то зарабатывать на хлеб можно в мейнстримном направлении, а развлекать себя интересным направлением уже в свободное время (если оно ещё остается), и пытаться найти работу по интересному

NutsUnderline 31 мар в 07:12

Так же в ресурсах можно найти, что использовалась лицензионная версия Delphi, причем Enterprise версия:

Это же автор Smart Install Maker ее использовал? Сам этот инсталлер тоже платный но не думаю что хацкеры ее регистрировали (номер лицензии наверняка можно отследить в бинарнике).

но показательно тут другое. Доступ AnyDesk отсылается на почту и там пароль даже на эту почту в голом виде. Домен правда не работает, но по нему уже с лета 2025 года упоминания в интернетах и анализы этой же малвари

mister-utka 31 мар в 07:21

На VirusTotal нашел ip адрес этого домена, но на нем к сожалению уже нет висящих mail-сервисов. Так то конечно было бы прикольно посмотреть, что там.
По номеру лицензии интересно, попробую поискать)

8street 31 мар в 08:39

Интересно, сколько таких малварей и вирусов, уже бездействующих, находится в вирусных базах? Ведь там должен быть список со времен создания Windows. Процентов 95, наверное.

mister-utka 8 часов назад

Возможно они не совсем бездействующие. Если думать со стороны злоумышленников при точечных атаках на компании (не просто спам рассылка), то имеет смысл для каждой поднимать отдельный домен (ну или хотя бы поддомен). Потому как средства защиты блочат не только по файлам, но и по доменам и url адресам. Я с таким столкнулся, когда мы проводили тестовую фишинговую атаку. В итоге я так настроил рассылку, чтобы в каждом сообщении был уникальный url на архив для каждого пользователя, а на веб сервере подготавливался уникальный путь для каждого сообщения. Если продвинуть такую идею, то можно поднимать уникальный домен 3 уровня для каждого пользователя :). Ну для пущего чтобы малварь сам себя удалял после отработки. Тем самым аналитикам будет сложнее достать сэмлы для анализа.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий