При изучении вредоносных программ динамического анализа в изолированных системах-песочницах в большинстве случаев достаточно для того, чтобы выявить природу той или иной угрозы и на основе полученной информации пополнить вирусную базу антивируса. Однако иногда в вирусную лабораторию попадают образцы, требующие глубокого понимания непосредственного алгоритма их работы. И тогда без статического анализа уже не обойтись. Например, для бэкдоров может понадобиться разбор протокола общения с C&C-сервером или алгоритма генерации доменных имен. А при анализе шифровальщиков необходимо выяснять, каким алгоритмом и какими ключами шифровались файлы. При этом часто такие троянские приложения запакованы или обфусцированы, и потому статический анализ может быть осложнен. Пример разбора такой сложной угрозы мы сегодня и рассмотрим.
Итак, перед нами некая вредоносная программа для платформы Windows. Первым делом загрузим ее в IDA Pro Disassembler и попытаемся выполнить автоанализ. Как ни странно, это нам не удается, поскольку тот спотыкается уже в самом начале — на функции Main. Это значит, что для разбора образца нам потребуется приложить определенные усилия.
В конце 2019 года мы обнаружили новую группировку, которую назвали Space Pirates. О том, кого атакуют «пираты» и какие используют техники, уже писали в нашем блоге.
Основными целями киберпреступников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако Space Pirates расширила географию атак и сферу своих интересов.
В течение года мы часто сталкивались с группировкой во время расследований кибератак и с уверенностью можем сказать: ее жертвами за последний год стали по меньшей мере 16 организаций в России. Среди новых жертв — государственные и образовательные учреждения, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса, а также компании, занимающиеся информационной безопасностью. Кроме того, было атаковано министерство в Сербии.
В новой статье об этой APT-группе рассказываем, кто с большой вероятностью стоит за атаками, как изменились география и масштаб угроз в отношении России, а также о том, какие новые и улучшенные инструменты появились в их арсенале.
В продолжение статьи Avast размышления по поводу расшифровки файлов, зашифрованных программой-вымогателем Akira Ransomware. Пишем сами декриптор
Жив еще Visual Basic: программы еще живы. Байт-код VB выполняется виртуальной машиной msvbvm60.dll , которая до сих пор живет в каталоге C:\Windows .
Задача - разгадать алгоритм проверки ключей.
zira's ZittoKeygenme https://crackmes.one/crackme/648b452233c5d4393891390d
Привет! В прошлый раз я рассказывал про содержательную форензику на НТО по информационной безопасности. В этот раз хотел бы поговорить о новом и еще более интересном формате, встретившемся на этом соревновании – поиске и закрытии уязвимостей!
Устраивайтесь поудобнее и готовьтесь к путешествию…
При анализе вредоносного ПО, направленного на майнинг криптовалюты, интереснее всего исследовать именно загрузчики (лоадеры или дроперы) майнеров, чем сами майнеры, так как именно в загрузчиках в первую очередь реализуются техники, направленные на обход средств защиты и противодействие обнаружению.
Так, анализируя образец, вовлеченный в кампанию по распространению майнеров Monero, я наткнулся на давно известный, но, тем не менее, интересный механизм вредоносного ПО.
Этот кейс - ответ на (необъяснимое) внутреннее желание заняться импортозамещением в России, вдохновить на это других людей и компании, чтобы больше хороших продуктов разрабатывалось и производилось локально, а российский маркетинг ассоциировался с брендами мирового уровня и суперпродуктами, вместо безликих СТМ. Начать решил с себя.
Привет, Хабр! В начале апреля 2023 года на одном из хостов был обнаружен подозрительный файл mhddos_proxy_linux_arm64 (MD5: 9e39f69350ad6599420bbd66e2715fcb), загружаемый вместе с определенным Docker-контейнером. По открытым источникам стало понятно, что данный файл представляет из себя свободно распространяемый инструмент для осуществления распределённой атаки на отказ в обслуживании (DDoS), направленный против российской ИТ-инфраструктуры.
После запуска программа получает все необходимые настройки и автоматически
инициирует массированные сетевые подключения к целевым хостам на различных
уровнях TCP/IP для осуществления отказа в обслуживании.
Если вам интересны технические подробности анализа или список целей данного инструмента, то добро пожаловать под кат.
Вся история МЦСТ – с 90-х годов по настоящее время – является отличным примером того, как не нужно вести бизнес. Когда во главе компании стоят люди, абсолютно не смыслящие ни в архитектурах, ни в управлении, ни в оптимизации процессов, с абсолютным непониманием меняющейся мировой экосистемы, бросающиеся громкими заявлениями, за которыми ничего не стоит. Эти люди превратили возможно потенциально процветающий бизнес в компанию-паразит, пожирающую государственные средства, в ответ выдавая никому не нужный хлам по видом отечественных микропроцессоров. Процессор Эльбрус. Ахиллесова пята отечественной микроэлектроники. Сколько дифирамб было спето православными адептами этих процессоров… Сколько людей было введено в заблуждение самой политикой МЦСТ, через блоггеров выпуская свои байки об уникальной архитектуре Эльбрус, которой аналогов нет. И всё это не смотря на то, что в сети опубликовано достаточно материалов по разбору тупиковости архитектуры Эльбрус.
Друзья, сегодня мы завершаем публикацию решений нашего CTF-марафона! В нем было пять уровней сложности, в каждом по пять заданий — всего 25 заданий. Перед вами разбор пятого уровня сложности. Предыдущие уровни вы можете изучить здесь: часть 1, часть 2, часть 3, часть 4.
Результаты марафона мы подвели в начале апреля, но задания все еще доступны — и вы можете попробовать решить их для себя.
Помните, мы рассказывали о взломе ШГУ Hyundai Tucson (часть 1, часть 2)? В самом начале было упоминание, что автор опирался на похожую работу, проделанную владельцем Hyundai Ioniq 2021. И у него совсем недавно вышло продолжение — взлом свежей, более защищённой прошивки. Cloud4Y предлагает почитать, что же там изменилось и какие проблемы остались.
Если вы не читали предыдущие части, стоит хотя бы пробежаться глазами.
"Как это доска с мотором стоит 1 000 000 руб?
Я с батей в гараже сделаю за 100к"
Если после этой мысли Вы начали искать информацию в интернете и набрели на эту статью - открывайте пиво/опрокидывайте стопку/наливайте бокал белого, и поехали.
Для создания AC/DC источников питания есть две микросхемы, которые можно назвать «народными» - IR2153 и TL494.
В этой статье рассмотрю простейшее включение микросхемы IR2153.
Впервые с реверс-инжинирингом мне пришлось столкнуться в детстве и да, мой опыт закончился полным провалом. Я не достиг результата, но получил бесценный опыт. Давайте разберёмся, почему я потерпел неудачу и почему многие инициативы по реверс-инжинирингу в России имеют все шансы повторить мой «успех»?
