|Drovorub Malware|
🤙 Шизо на связи и с интересным материалом(как всегда с описанием для вас, чтобы понимали, стоит ли читать или нет).
💥Разбор вредоноса Drovorub под Linux, который был применён 85-м Главным Центром Специальных служб ГРУ Генерального Штаба РФ(аккуратней и красивее названия, конечно, придумать не могли).
Работа была написана сотрудниками АНБ и ФБР, в ней довольно подробно разбирается процесс обнаружения и облегчения последствий после заражения системы. Причём, по факту Drovorub - это не просто одна малварь, а целый туллкит, состоящий из импланта, соединённого с руткитом LKM(другой LKM руткит есть на канале ), средствами передачи файлов(file transfer), форвардингом портов и C2 сервером. Собственно, модуль Drovorub-kernel препятствует обнаружению вредоноса посредством сокрытия артефактов Drovorub из тулзов для масштабирования live-response. Решением этого - является использование кернела версии 3.7 и выше, в которой используется принудительная подпись ядра на более сильном уровне, нежели в предыдущих версиях.
В процессе атаки разворачивается имплант Drovorub (клиент), позволяющий взаимодействовать с инфраструктурой C2, что в последствии даёт возможность атакующей стороне загружать и подгружать(upload) файлы, выполнять команды от рута и форвардить сетевой трафик на другие узлы в сети.
🤙The Shizo is in touch with interesting material (as always with a description for you to understand whether it is worth reading or not).
💥Analysis of the Drovorub malware for Linux, which was used by the 85th Main Center of Special Services of the GRU of the General Staff of the Russian Federation (of course, they could not come up with a neater and more beautiful name).
The work was written by employees of the NSA and the FBI, it examines in some detail the process of detecting and alleviating the consequences after the infection of the system. Moreover, in fact Drovorub is not just one malware, but a whole toolkit consisting of an implant connected to the LKM rootkit (another LKM rootkit is on the channel ), by means of file transfer, port forwarding and C2 server. Actually, the Drovorub-kernel module prevents the detection of a malware by hiding Drovorub artifacts from tools for scaling live-response. The solution to this is to use kernel version 3.7 and higher, which uses a forced kernel signature at a stronger level than in previous versions.
During the attack, the Drovorub implant (client) is deployed, which allows interacting with the C2 infrastructure, which subsequently allows the attacking side to upload and upload files, execute commands from the root and forward network traffic to other nodes in the network.
#malware #NSA #FBI #GRU
🤙 Шизо на связи и с интересным материалом(как всегда с описанием для вас, чтобы понимали, стоит ли читать или нет).
💥Разбор вредоноса Drovorub под Linux, который был применён 85-м Главным Центром Специальных служб ГРУ Генерального Штаба РФ(аккуратней и красивее названия, конечно, придумать не могли).
Работа была написана сотрудниками АНБ и ФБР, в ней довольно подробно разбирается процесс обнаружения и облегчения последствий после заражения системы. Причём, по факту Drovorub - это не просто одна малварь, а целый туллкит, состоящий из импланта, соединённого с руткитом LKM(другой LKM руткит есть на канале ), средствами передачи файлов(file transfer), форвардингом портов и C2 сервером. Собственно, модуль Drovorub-kernel препятствует обнаружению вредоноса посредством сокрытия артефактов Drovorub из тулзов для масштабирования live-response. Решением этого - является использование кернела версии 3.7 и выше, в которой используется принудительная подпись ядра на более сильном уровне, нежели в предыдущих версиях.
В процессе атаки разворачивается имплант Drovorub (клиент), позволяющий взаимодействовать с инфраструктурой C2, что в последствии даёт возможность атакующей стороне загружать и подгружать(upload) файлы, выполнять команды от рута и форвардить сетевой трафик на другие узлы в сети.
🤙The Shizo is in touch with interesting material (as always with a description for you to understand whether it is worth reading or not).
💥Analysis of the Drovorub malware for Linux, which was used by the 85th Main Center of Special Services of the GRU of the General Staff of the Russian Federation (of course, they could not come up with a neater and more beautiful name).
The work was written by employees of the NSA and the FBI, it examines in some detail the process of detecting and alleviating the consequences after the infection of the system. Moreover, in fact Drovorub is not just one malware, but a whole toolkit consisting of an implant connected to the LKM rootkit (another LKM rootkit is on the channel ), by means of file transfer, port forwarding and C2 server. Actually, the Drovorub-kernel module prevents the detection of a malware by hiding Drovorub artifacts from tools for scaling live-response. The solution to this is to use kernel version 3.7 and higher, which uses a forced kernel signature at a stronger level than in previous versions.
During the attack, the Drovorub implant (client) is deployed, which allows interacting with the C2 infrastructure, which subsequently allows the attacking side to upload and upload files, execute commands from the root and forward network traffic to other nodes in the network.
#malware #NSA #FBI #GRU
❤1👍1
|Comti Ransom PoC exploit|
🔥Malvuln разработал PoC эксплоит для Contin - рансома, который контролирует и предотвращает шифрование малварей файлов. Работает это таким образом, что мы захватываем vuln DLL(посредством проверки каталога "C:\Windows\System32") и выполнить код для действий, описанных выше. В случае неудачи, происходит захват id нашего процесса и его завершение.
Есть видео - демонстрация на YouTube
Вот порядок действий для использования сплоита:
1️⃣Компилим код на Си, как динамическую либу "netapi32.dll"
2️⃣Перемещаем либу в каталог, где находится раносомарь
3️⃣При желании можно скрыть: attrib +s +h "netapi32.dll"
4️⃣Запускаем Conti
⚠️ Важно, используя этот код, вы подтверждаете согласие на возможные риски в дальнейшем.
🔥Malvuln has developed a PoC exploit for Contin - ransomware, which controls and prevents the encryption of small files. It works in such a way that we capture the vuln DLL (by checking the directory "C:\Windows\System32 ") and execute the code for the actions described above. In case of failure, the id of our process is captured and completed.
There is a video demonstration on YouTube
Here is the procedure for using the exploit:
1️⃣Compile the C code as a dynamic library "netapi32.dll "
2️⃣Move the libu to the directory where the ranosomar is located
3️⃣If desired, you can hide: attrib +s +h "netapi32.dll "
4️⃣Launching Conti
⚠️ Important, by using this code, you confirm your consent to possible risks in the future.
Вот и PoC сплоит/That's the PoC exploit:
#include "windows.h"
#include "stdio.h"
//By malvuln
//Purpose: Code Execution
//Target: Conti Ransomware
//MD5: 9eb9197cd58f4417a27621c4e1b25a71
/** DISCLAIMER:
Author is NOT responsible for any damages whatsoever by using this software or improper malware
handling. By using this code you assume and accept all risk implied or otherwise.
**/
//gcc -c netapi32.c -m32
//gcc -shared -o netapi32.dll netapi32.o -m32
BOOL APIENTRY DllMain(HINSTANCE hInst, DWORD reason, LPVOID reserved){
switch (reason) {
case DLL_PROCESS_ATTACH:
MessageBox(NULL, "Code Exec", "by malvuln", MB_OK);
TCHAR buf[MAX_PATH];
GetCurrentDirectory(MAX_PATH, TEXT(buf));
int rc = strcmp("C:\\Windows\\System32", TEXT(buf));
if(rc != 0){
HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid());
if (NULL != handle) {
TerminateProcess(handle, 0);
CloseHandle(handle);
}
}
break;
}
return TRUE;
}
#poc #exploit
🔥Malvuln разработал PoC эксплоит для Contin - рансома, который контролирует и предотвращает шифрование малварей файлов. Работает это таким образом, что мы захватываем vuln DLL(посредством проверки каталога "C:\Windows\System32") и выполнить код для действий, описанных выше. В случае неудачи, происходит захват id нашего процесса и его завершение.
Есть видео - демонстрация на YouTube
Вот порядок действий для использования сплоита:
1️⃣Компилим код на Си, как динамическую либу "netapi32.dll"
2️⃣Перемещаем либу в каталог, где находится раносомарь
3️⃣При желании можно скрыть: attrib +s +h "netapi32.dll"
4️⃣Запускаем Conti
⚠️ Важно, используя этот код, вы подтверждаете согласие на возможные риски в дальнейшем.
🔥Malvuln has developed a PoC exploit for Contin - ransomware, which controls and prevents the encryption of small files. It works in such a way that we capture the vuln DLL (by checking the directory "C:\Windows\System32 ") and execute the code for the actions described above. In case of failure, the id of our process is captured and completed.
There is a video demonstration on YouTube
Here is the procedure for using the exploit:
1️⃣Compile the C code as a dynamic library "netapi32.dll "
2️⃣Move the libu to the directory where the ranosomar is located
3️⃣If desired, you can hide: attrib +s +h "netapi32.dll "
4️⃣Launching Conti
⚠️ Important, by using this code, you confirm your consent to possible risks in the future.
Вот и PoC сплоит/That's the PoC exploit:
//By malvuln
//Purpose: Code Execution
//Target: Conti Ransomware
//MD5: 9eb9197cd58f4417a27621c4e1b25a71
/** DISCLAIMER:
Author is NOT responsible for any damages whatsoever by using this software or improper malware
handling. By using this code you assume and accept all risk implied or otherwise.
**/
//gcc -c netapi32.c -m32
//gcc -shared -o netapi32.dll netapi32.o -m32
BOOL APIENTRY DllMain(HINSTANCE hInst, DWORD reason, LPVOID reserved){
switch (reason) {
case DLL_PROCESS_ATTACH:
MessageBox(NULL, "Code Exec", "by malvuln", MB_OK);
TCHAR buf[MAX_PATH];
GetCurrentDirectory(MAX_PATH, TEXT(buf));
int rc = strcmp("C:\\Windows\\System32", TEXT(buf));
if(rc != 0){
HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid());
if (NULL != handle) {
TerminateProcess(handle, 0);
CloseHandle(handle);
}
}
break;
}
return TRUE;
}
|Tails 5.0|
🤙 Шизо на связи.
🔓Хоть и Шизо с опаской смотрит на tails(есть на то объективные причины, если вам интересно - подробнее расскажу), но об обновлении нужно рассказать и прокомментировать, как не крути.
Начать нужно с главного перехода 10 версии дебиан(buster) на 11 версию(bullseye), это конечно хорошо в том плане, что того же самого OpenPGP есть более свежая версия, однако по опыту использования bullseye( начал тестировать после выхода через несколько дней), версия является не стабильной в какой-то степени, много у кого спрашивал и подтвердили ошибки в работе ОС. Так что - это палка на двух концах.
Перейдём к остальным основным новостям:
1️⃣На смену приложению seahorse(Passwords and Keys) и OpenPGP Applet пришла царица - Клеопатра(шутка, приложение, как приложение). Пока по клеопатре серьёзного аудита безопасности - не видел, предупредить - предупредил, дальше думайте сами. Сами разработчики это оправдывают удобством и более интенсивной разработкой(анонимность чаще всего сопровождается дискомфортом, а когда вам говорят про удобство, нужно задуматься).
2️⃣ Изменения и обновления в системе:
💥фича персистант хранилища для дополнительных программ включается теперь по дефолту для быстроты и надёжности( про надёжность - спорно,
💥обновление до GNOME 3.38 - тут даже нечего комментировать, был старый добрый второй гном и эпоха ламповых форумов, спасибо что не перешили на 40-ю версию.
3️⃣Обновление встроенного ПО: Тор браузер до 11.0.11;tor до 0.4.6.10; MAT до 0.12(если вдруг не пользовались - нужно для удаления большинства метаданных из уймы форматов), в которой добавлена возможность работать ещё с несколькими форматами: SVG, WAV, EPUB, PPM и MS Office; Audacity до 2.4.2; Disk Utility до 3.38; GIMP до 2.10.22; Inkscape до 1.0 и LibreOffice до 7.0
4️⃣Вот, то что мне понравилось и реально полезно - фикс VeraCrypt, который затрагивает разблокировку томов, требующих длинную парольную фразу(passphrase) .
И уйма минорных изменений тык
Подводя итоги, хочется сказать, что обновление не такое уж интересное со всех сторон, каких-то новых интересных фич для усиления безопасности, приватности и анонимности - нет. Переход на следующую версию Debian - тоже спорный момент.
Так что, либо думайте в сторону Whonix/QubeSOS, либо собирайте с нуля(LFS, либо можно посмотреть в сторону этого) и дальше конфигурируйте для себя сами, либо просто возьмите чистый Debian и уберите из него то, что не нужно и настройте под себя, а Tails - больше для зумеров и для тех, кому нужна условная анонимность просто для галочки и все эти советы от Сноудена - в топку.
#anonymity #tails
🤙 Шизо на связи.
🔓Хоть и Шизо с опаской смотрит на tails(есть на то объективные причины, если вам интересно - подробнее расскажу), но об обновлении нужно рассказать и прокомментировать, как не крути.
Начать нужно с главного перехода 10 версии дебиан(buster) на 11 версию(bullseye), это конечно хорошо в том плане, что того же самого OpenPGP есть более свежая версия, однако по опыту использования bullseye( начал тестировать после выхода через несколько дней), версия является не стабильной в какой-то степени, много у кого спрашивал и подтвердили ошибки в работе ОС. Так что - это палка на двух концах.
Перейдём к остальным основным новостям:
1️⃣На смену приложению seahorse(Passwords and Keys) и OpenPGP Applet пришла царица - Клеопатра(шутка, приложение, как приложение). Пока по клеопатре серьёзного аудита безопасности - не видел, предупредить - предупредил, дальше думайте сами. Сами разработчики это оправдывают удобством и более интенсивной разработкой(анонимность чаще всего сопровождается дискомфортом, а когда вам говорят про удобство, нужно задуматься).
2️⃣ Изменения и обновления в системе:
💥фича персистант хранилища для дополнительных программ включается теперь по дефолту для быстроты и надёжности( про надёжность - спорно,
💥обновление до GNOME 3.38 - тут даже нечего комментировать, был старый добрый второй гном и эпоха ламповых форумов, спасибо что не перешили на 40-ю версию.
3️⃣Обновление встроенного ПО: Тор браузер до 11.0.11;tor до 0.4.6.10; MAT до 0.12(если вдруг не пользовались - нужно для удаления большинства метаданных из уймы форматов), в которой добавлена возможность работать ещё с несколькими форматами: SVG, WAV, EPUB, PPM и MS Office; Audacity до 2.4.2; Disk Utility до 3.38; GIMP до 2.10.22; Inkscape до 1.0 и LibreOffice до 7.0
4️⃣Вот, то что мне понравилось и реально полезно - фикс VeraCrypt, который затрагивает разблокировку томов, требующих длинную парольную фразу(passphrase) .
И уйма минорных изменений тык
Подводя итоги, хочется сказать, что обновление не такое уж интересное со всех сторон, каких-то новых интересных фич для усиления безопасности, приватности и анонимности - нет. Переход на следующую версию Debian - тоже спорный момент.
Так что, либо думайте в сторону Whonix/QubeSOS, либо собирайте с нуля(LFS, либо можно посмотреть в сторону этого) и дальше конфигурируйте для себя сами, либо просто возьмите чистый Debian и уберите из него то, что не нужно и настройте под себя, а Tails - больше для зумеров и для тех, кому нужна условная анонимность просто для галочки и все эти советы от Сноудена - в топку.
#anonymity #tails
👍4❤1
|Tails 5.0|
🤙 The Shizo is in touch.
🔓 Although the Schizo looks at tails with caution (there are objective reasons for that, if you are interested, I will tell you more), but you need to tell and comment on the update, no matter how cool.
You need to start with the main transition of debian version 10 (buster) to version 11 (bullseye), this is of course good in the sense that there is a more recent version of the same OpenPGP, however, from the experience of using bullseye (I started testing after a few days), the version is not stable to some extent, I asked a lot of people and confirmed the errors in the OS. So it's a double-edged sword.
Let's move on to the rest of the main news:
1️⃣ To replace the seahorse application(Passwords and Keys) and OpenPGP Applet Queen Cleopatra came(a joke, an app, like an app). While I haven't seen a serious security audit on Kleopatra, I warned you, then think for yourself. The developers themselves justify this with convenience and more intensive development (anonymity is most often accompanied by discomfort, and when they tell you about convenience, you need to think about it).
2️⃣ Changes and updates in the system:
💥 the storage persistant feature for additional programs is now enabled by default for speed and reliability (it is debatable about reliability,
💥 update to GNOME 3.38 - there's not even anything to comment on, there was a good old second gnome and the era of lamp forums, thank you for not switching to the 40th version.
3️⃣ Firmware update: Tor browser to 11.0.11; tor to 0.4.6.10; MAT to 0.12 (if you haven't used it, you need to remove most of the metadata from a lot of formats), which adds the ability to work with several more formats: SVG, WAV, EPUB, PPM and MS Office; Audacity to 2.4.2; Disk Utility up to 3.38; GIMP up to 2.10.22; Inkscape up to 1.0 and LibreOffice up to 7.0
4️⃣ Here's what I liked and really useful - fix VeraCrypt, which affects unlocking volumes that require a long passphrase.
And a lot of minor changes click.
Summing up, I would like to say that the update is not so interesting from all sides, there are no new interesting features to enhance security, privacy and anonymity. Switching to the next version of Debian is also a controversial point.
So, either think towards Whonix/QubesOS, or build from scratch(LFS, or you can look in the direction of this ) and then configure for yourself, or just take a clean Debian and remove from it what you don't need to customize it for yourself, and Tails is more for zoomers and for those who need conditional anonymity just for show and all these tips from Snowden are in the furnace.
#anonymity #tails
🤙 The Shizo is in touch.
🔓 Although the Schizo looks at tails with caution (there are objective reasons for that, if you are interested, I will tell you more), but you need to tell and comment on the update, no matter how cool.
You need to start with the main transition of debian version 10 (buster) to version 11 (bullseye), this is of course good in the sense that there is a more recent version of the same OpenPGP, however, from the experience of using bullseye (I started testing after a few days), the version is not stable to some extent, I asked a lot of people and confirmed the errors in the OS. So it's a double-edged sword.
Let's move on to the rest of the main news:
1️⃣ To replace the seahorse application(Passwords and Keys) and OpenPGP Applet Queen Cleopatra came(a joke, an app, like an app). While I haven't seen a serious security audit on Kleopatra, I warned you, then think for yourself. The developers themselves justify this with convenience and more intensive development (anonymity is most often accompanied by discomfort, and when they tell you about convenience, you need to think about it).
2️⃣ Changes and updates in the system:
💥 the storage persistant feature for additional programs is now enabled by default for speed and reliability (it is debatable about reliability,
💥 update to GNOME 3.38 - there's not even anything to comment on, there was a good old second gnome and the era of lamp forums, thank you for not switching to the 40th version.
3️⃣ Firmware update: Tor browser to 11.0.11; tor to 0.4.6.10; MAT to 0.12 (if you haven't used it, you need to remove most of the metadata from a lot of formats), which adds the ability to work with several more formats: SVG, WAV, EPUB, PPM and MS Office; Audacity to 2.4.2; Disk Utility up to 3.38; GIMP up to 2.10.22; Inkscape up to 1.0 and LibreOffice up to 7.0
4️⃣ Here's what I liked and really useful - fix VeraCrypt, which affects unlocking volumes that require a long passphrase.
And a lot of minor changes click.
Summing up, I would like to say that the update is not so interesting from all sides, there are no new interesting features to enhance security, privacy and anonymity. Switching to the next version of Debian is also a controversial point.
So, either think towards Whonix/QubesOS, or build from scratch(LFS, or you can look in the direction of this ) and then configure for yourself, or just take a clean Debian and remove from it what you don't need to customize it for yourself, and Tails is more for zoomers and for those who need conditional anonymity just for show and all these tips from Snowden are in the furnace.
#anonymity #tails
👍2
|Malware development: persistence|
🛡Только в образовательных целях!
Это цикл статей про разработку и закрепление в системе вредоносов.
🛡For educational purposes only!
This is a series of articles about the development and persistence of malware in the system.
🦠часть1/part1 (
🦠часть2/part2 (
🦠часть3/part3 (
🦠часть4/part4 (
🦠часть5/part5 (
🦠часть6/part6 (
🦠Часть7/part7 (
🦠Часть8/part8 (
🦠Часть9/part9 (
🦠Часть10/part10 (
🦠Часть11/part11 (
🦠Часть12/part12 (
🦠Часть13/part13 (
🦠Часть14/part14 (
🦠Часть15/part15 (Internet Explorer ) +📔 исходный код/source code
🦠Часть16/part16 (Cryptography Registry Keys ) +📔 исходный код/source code
🦠Часть18/part18 ??(Windows Error Reporting ) +📔 исходный код/source code
🦠Часть19/part19 (Disk Cleanup Utility ) +📔 исходный код/source code
🦠Часть20/part20 (UserInitMprLogonScript (Logon Script)) +📔 исходный код/source code
💥Перед прочтением советую ознакомиться с тактиками закрепления от MITRE ATT&CK и статью о механизмах закрепления в Windows.
💥Before reading, I advise you to familiarize yourself with the persistence tactics from MITRE ATT&CK and an article about persistence mechanisms in Windows.
#malwareDevelopment #persistence #CPP #PS #Hijack #APT29 #windows
🛡Только в образовательных целях!
Это цикл статей про разработку и закрепление в системе вредоносов.
🛡For educational purposes only!
This is a series of articles about the development and persistence of malware in the system.
🦠часть1/part1 (
Registry run keys) +📔 исходный код/source code🦠часть2/part2 (
Screensaver hijack) +📔 исходный код/source code🦠часть3/part3 (
COM DLL hijack) +📔 исходный код/source code🦠часть4/part4 (
Windows services) +📔 исходный код/source code🦠часть5/part5 (
AppInit_DLLs) +📔 исходный код/source code🦠часть6/part6 (
Windows netsh helper DLL) +📔 исходный код/source code🦠Часть7/part7 (
Winlogon) +📔 исходный код/source code🦠Часть8/part8 (
Port monitors) +📔 исходный код/source code🦠Часть9/part9 (
Default file extension hijacking) +📔 исходный код/source code🦠Часть10/part10 (
Using Image File Execution Options) +📔 исходный код/source code🦠Часть11/part11 (
PowerShell profile) +📔 исходный код/source code🦠Часть12/part12 (
Accessibility Features) +📔 исходный код/source code🦠Часть13/part13 (
Hijacking uninstall logic for application) +📔 исходный код/source code🦠Часть14/part14 (
Event Viewer help link ) +📔 исходный код/source code🦠Часть15/part15 (Internet Explorer ) +📔 исходный код/source code
🦠Часть16/part16 (Cryptography Registry Keys ) +📔 исходный код/source code
🦠Часть18/part18 ??(Windows Error Reporting ) +📔 исходный код/source code
🦠Часть19/part19 (Disk Cleanup Utility ) +📔 исходный код/source code
🦠Часть20/part20 (UserInitMprLogonScript (Logon Script)) +📔 исходный код/source code
💥Перед прочтением советую ознакомиться с тактиками закрепления от MITRE ATT&CK и статью о механизмах закрепления в Windows.
💥Before reading, I advise you to familiarize yourself with the persistence tactics from MITRE ATT&CK and an article about persistence mechanisms in Windows.
#malwareDevelopment #persistence #CPP #PS #Hijack #APT29 #windows
👍10