Интересная мысль, но мне кажется, что такая реализация не отменяет 1) "физическую" ограниченность полосы пропускания, 2) ограниченность аппаратных мощностей атакуемых серверов)
Спасибо за вопрос! Сервис доступен на всех версиях Windows, даже куда более ранних чем Win10. Данные уязвимости, однако (судя по сайту MSRC) затрагивают Win10, win11, и почти все редакции Windows-серверов По дефолту он не должен быть включен, однако устанавливаемые 3rd-party приложения могут на него опираться и включать при установке
Дорогу осилит идущий! На самом деле, если знать изначально куда копать, то всё это проделать не так уж сложно. Но если ничего неизвестно, как было в данном случае - да, придётся запастись терпением и пытаться, пытаться, пытаться...
Спасибо! Надеюсь, что было полезно! Действительно, пришлось попотеть, тут постарался задокументировать только "правильный" путь. Помимо этого, сделать кучу ошибок, которые даже не стал подробно описывать - и так много, да и не упомнишь всё)
Одной из целей ставил, чтобы было полезно и интересно для тех, кто не совсем в данной теме, так что очень рад видеть Ваш коммент, спасибо! А про сложность - это чистая правда, но относится и к другим сферам, по себе знаю) Обилие неструктурированной информации входит в противоречие с количеством свободного от работы временем, пытаешься от случая к случаю зачитываться материалом, а на большее уже и не хватает
Спасибо! Не думаю, что разработчики инструмента ставили себе задачу от чего-то скрываться, но Ваша идея интересная, и на мой взгляд вполне осуществимая если бы ею занялись сами разработчики pyarmor, так как уникальная ключевая информация в каждом экземпляре присутствует
Тут почему-то начались минусные осадки, и тем не менее, спасибо вам на добром слове, будем пытаться создавать ещё больше полезных и интересных материалов!
По поводу того что инструмент слабый - мне кажется, что разработчики бы с вами не согласились. Да и учебную функцию он не выполняет, вся конфигурация и цели зашиты внутри инструмента и инфраструктуры на github) Но по поводу других интересных разрезов анализа этого ПО - это Вы верно подметили, спасибо
Спасибо за вопрос! На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что через рцеху в этом оркестраторе установили и запустили докер-контейнер вредоносный, других артефактов не нашли
Спасибо за вопрос! Докер-контейнер официальный, распространяемый самими злоумышленниками. Но поставили его неизвестным путём. На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что контейнер поставили через рцеху в этом оркестраторе, т.к. других точек входа не нашли
Хороший вопрос! Действительно, и так понятно что утилита для DDoS'а, но лично мне интересно, а на какие именно цели она заточена, какие методы защиты авторы применили, и есть ли там ещё что-то интересное внутри. По итогу получился неплохой (по нашему мнению) материал, который может быть интересен в качестве кейс-туториала по анализу вредоносов защищенных таким же образом, или дальнейших модификаций данной утилиты (возможно, более агрессивных в плане закрепления) поэтому и решили поделиться!
Интересная мысль, но мне кажется, что такая реализация не отменяет 1) "физическую" ограниченность полосы пропускания, 2) ограниченность аппаратных мощностей атакуемых серверов)
Спасибо за вопрос! Сервис доступен на всех версиях Windows, даже куда более ранних чем Win10. Данные уязвимости, однако (судя по сайту MSRC) затрагивают Win10, win11, и почти все редакции Windows-серверов
По дефолту он не должен быть включен, однако устанавливаемые 3rd-party приложения могут на него опираться и включать при установке
Дорогу осилит идущий! На самом деле, если знать изначально куда копать, то всё это проделать не так уж сложно. Но если ничего неизвестно, как было в данном случае - да, придётся запастись терпением и пытаться, пытаться, пытаться...
Спасибо! Надеюсь, что было полезно! Действительно, пришлось попотеть, тут постарался задокументировать только "правильный" путь. Помимо этого, сделать кучу ошибок, которые даже не стал подробно описывать - и так много, да и не упомнишь всё)
Спасибо, Стараемся!
Одной из целей ставил, чтобы было полезно и интересно для тех, кто не совсем в данной теме, так что очень рад видеть Ваш коммент, спасибо!
А про сложность - это чистая правда, но относится и к другим сферам, по себе знаю) Обилие неструктурированной информации входит в противоречие с количеством свободного от работы временем, пытаешься от случая к случаю зачитываться материалом, а на большее уже и не хватает
Спасибо! Не думаю, что разработчики инструмента ставили себе задачу от чего-то скрываться, но Ваша идея интересная, и на мой взгляд вполне осуществимая если бы ею занялись сами разработчики pyarmor, так как уникальная ключевая информация в каждом экземпляре присутствует
Спасибо Вам! будем и дальше пытаться не слишком упрощать контент
К светлому будущему, с легко-поддерживаемым, расширяемым, портируемым кодом!
sarcasm_off
А с будущим выходом Mojo, быть может, к производительному и статически-типизированному настоящему
Не уверен, что залетело бы, всё таки у ПО из того списка предполагается полезный функционал изначально, а тут...
Спасибо! если ещё найдётся интересный и познавательный кейс, обязательно расскажу о нём)
Очень приятная оценка, спасибо за поддержку!
Спасибо за Вашу оценку! Постараюсь держать планку, хоть статья и не без огрехов!
Тут почему-то начались минусные осадки, и тем не менее, спасибо вам на добром слове, будем пытаться создавать ещё больше полезных и интересных материалов!
Рад стараться, спасибо Вам!)
Спасибо Вам, "будем постараться"!)
По поводу того что инструмент слабый - мне кажется, что разработчики бы с вами не согласились. Да и учебную функцию он не выполняет, вся конфигурация и цели зашиты внутри инструмента и инфраструктуры на github)
Но по поводу других интересных разрезов анализа этого ПО - это Вы верно подметили, спасибо
Спасибо за вопрос! На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что через рцеху в этом оркестраторе установили и запустили докер-контейнер вредоносный, других артефактов не нашли
Спасибо за вопрос! Докер-контейнер официальный, распространяемый самими злоумышленниками. Но поставили его неизвестным путём. На устройстве крутился веб-сервис на Go и давно не обновлявшийся Nomad, поэтому предполагаем что контейнер поставили через рцеху в этом оркестраторе, т.к. других точек входа не нашли
Хороший вопрос!
Действительно, и так понятно что утилита для DDoS'а, но лично мне интересно, а на какие именно цели она заточена, какие методы защиты авторы применили, и есть ли там ещё что-то интересное внутри. По итогу получился неплохой (по нашему мнению) материал, который может быть интересен в качестве кейс-туториала по анализу вредоносов защищенных таким же образом, или дальнейших модификаций данной утилиты (возможно, более агрессивных в плане закрепления) поэтому и решили поделиться!