Реверс-инжиниринг *

Любые программные системы включают в себя нужные и не очень нужные пакеты. Получается огромный объём кода (для одного несложного сайта npm list -a выдаёт список из 4256 зависимостей). А так как «весь код — это ваш код», то такие зависимости надо тестировать. И регулятор требует, да и просто собственные продукты хочется защитить от вторжений, утечек и других неприятностей.

В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

Мою первую статью я желаю посвятить истории о том, как я решил заняться исследованием часто встречающихся в модулях PlayStation Portable непонятных байтовых строк. Никакой документации в Homebrew коммьюнити найти не удалось, так что я взялся за дело сам.

Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.

Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.

В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных.

Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.

О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет.

Реверс-инженеринг приложений — серьезная угроза для разработчиков iOS. Он может привести к утечке интеллектуальной собственности, подделке приложений, созданию вредоносного программного обеспечения и другим проблемам. В этой статье мы обсудим методы и практики, которые помогут защитить ваше приложение от реверс-инженеринга.

Привет! Меня зовут Евгений Биричевский, в Positive Technologies я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности (PT ESC). Не так давно исследователи из Black Lotus Labs рассматривали несколько образцов 2018 года — elevator.elf и bpf.test. Пускай образцы и старые, но они используют уязвимости в eBPF, что происходит крайне редко: такие случаи можно практически пересчитать по пальцам.

Исследователи достаточно подробно описали общие функции и особенности ВПО, отметили запуск и использование eBPF-программ, но практически не описали сами eBPF-программы. Мне это показалось значительным упущением, ведь крайне редко удается пощупать in the wild использование уязвимостей в eBPF. Основываясь на дате появления образца и его поведении, исследователи предположили, что используется CVE-2018-18445. В этой статье мы научимся анализировать eBPF, достаточно подробно разберем используемые eBPF-программы, а также подтвердим или опровергнем гипотезу об использовании CVE-2018-18445.

Сегодня мы продолжим изучение реверсинга приложений под Android. В предыдущей статье мы рассмотрели основы устройства приложений, установили необходимые инструменты и разобрали небольшой пример. В этой статье мы продолжим разбирать практические примеры.

Электрическая игрушка "Детская логическая машина" (ДЛМ) представляет собой устройство, позволяющее решать несложные логические задачи про приведённым в настоящей инструкции рисункам и описаниям программ.

ДЛМ способна отвечать на вопросы, решать поставленные перед ней задачи, быть партнёром в играх и даже экзаменатором.

На коробке предупреждение, что игрушка только для детей 13-15 лет. Читайте статью с осторожностью, если не попадаете в указанный диапазон.

Мобильные устройства стали неотъемлемой частью нашей жизни. Без любимого гаджета мы лишаемся банковских приложений, госуслуг и других сервисов, без которых наша жизнь становится намного сложнее.

По этой причине мобильные приложения, являются лакомой целью для злоумышленников. Подселив вредонос на телефон жертвы можно получить доступ ко всем используемым приложениям. Конечно, есть защитные механизмы типа одноразовых паролей, но многие современные вредоносы умеют их обходить.

Поэтому специалистам по информационной безопасности необходимо понимать как работают приложения под Андроид и какие инструменты можно использовать для их реверсинга. В этой статье мы начнем рассматривать устройство приложений под Андроид и тот инструментарий, который нам понадобится.

Продолжаем поиск, начатый в предыдущей части "О чудный мир Fermax (часть 1, ADS Citymax monitor)". Посмотрим, нет ли какого-либо готового решения по автоматизации открывания двери в подъезде. Оказывается, Fermax предлагает продукт "Wifi Vds Call Divert Wi-Box". Коробочка 80х80х20 мм подключается непосредственно к плате адаптерa терминала при помощи обычной отвертки, питается от сети же видеодомофона. Есть готовое приложение для iOS и Android, и при звонке в дверь отправляет пуш уведомление (iOS) или звонок (Android), хранит лог событий и фото позвонивших. Выглядит как идеальное решение, стоит сравнительно дорого ((100 EUR + доставка) + 25% налог) и есть один нюанс, Wi-Box предназначен для технологии VDS, а терминал у меня ADS.

Здравствуйте, дорогие друзья! Многие кто давно следит за проектом, наверное помнит что на официальном сайте ReactOS выходили выпуски новостей. Потом ~где-то после 2013 года их выпуск прекратился, а все переводы после переезда сайта на новый движок были удалены.

Но, весь архив новостей сохранился на нашей русскоязычной вики, а новые выпуски, которые выходили начиная с 2021 года мы публиковали в нашем vk-сообществе.

Но теперь новости проекта будут публиковаться в паблике на Хабре.

И сегодня вам будет представлен перевод 104-го выпуска новостей.

Через неопределенное время после переезда на новую квартиру мое внимание привлек терминал видеодомофона грустно висевший непосредственно у входной двери. Ничего особенного, не молодой терминал испанской компании Fermax, модель CityMax ADS 2447 с гордой надписью High Resolution Flat Monitor, толщиной миллиметров семьдесят и со странным изогнутым белым экраном.

Изучение внутреннего устройства приложений, созданных с использованием нативной опережающей компиляции (AOT).

Ozon и Wildberries завалены дешевыми китайскими ноутбуками «коленочной» сборки с ценниками 17–25 тыс. руб. и оперативной памятью 24 или 32 ГБ. Интересно то, что процессоры Intel Celeron N5095 и Celeron J4125, которые лежат в их основе, официально поддерживают лишь 16 и 8 ГБ соответственно.

Но тут есть любопытный момент — существуют примеры, когда эти процессоры работают с большим объемом ОЗУ, чем официально заявлено. Это может случиться по многим причинам, начиная с того, что процессоры могут являться отбраковкой каких‑то старших моделей, поддерживающих большие объемы памяти, и заканчивая обычным маркетингом, когда Intel на словах занижает характеристики, чтобы задекларировать большее число различий между линейками процессоров.

Как бы там ни было, к безымянным китайцам только один вопрос — это фейк или нет?

Попытаемся отреверсить и заглянуть в реализацию фото-эффектов приложения камеры Xiaomi 8 летней давности