В предыдущей статье мы копнули тему линий IRQ и приоритетов IRQL, но чтобы погрузиться в практику, нам нужно ещё немного теории. В мире драйверов WDM всё начинается с понимания базовых объектов драйвера и устройства — с того, что определяет его «скелет» и окружение. Об этом — в новой статье.

⚙️ Схема передачи управления

Система Windows виртуализирует память, разбивая физическую ОЗУ на 4 КБ фреймы, которым назначаются виртуальные адреса. Когда процесс создаётся, система выделяет ему страницы виртуальной памяти, храня ссылки на них в таблицах Page Directory, PDPT, PD, и PT. При этом 48-битный линейный адрес делится на пять частей, где каждый уровень таблиц содержит 512 записей, что в архитектуре x64 позволяет адресовать до 256 ТБ памяти (пополам между ядром и пользователем).

⚙️ DRIVER_OBJECT и DEVICE_OBJECT: Основные элементы драйвера

Что такое драйвер на уровне кода? По сути, это структура DRIVER_OBJECT, где описан весь функционал, который драйвер способен выполнить. Эта структура создаётся диспетчером ввода-вывода Windows, а в нашу функцию инициализации DriverEntry() передаётся лишь указатель на неё.

⚙️ IRP: Пакеты запросов к драйверу

IRP, или Input/Output Request Packet — своего рода джокер в системе запросов. Когда пользователь отправляет команду драйверу (например, DeviceIoControl()), создаётся IRP, который поступает драйверу через DEVICE_OBJECT->CurrentIrp. Этот пакет содержит все данные о запросе и предписывает драйверу, что делать дальше. Когда IRP обработан, диспетчер удаляет его, переходя в режим ожидания следующего запроса.

⚙️ Стек драйверов: FDO, PDO и FiDO

Каждое аппаратное устройство в модели WDM работает в связке с двумя типами драйверов: физическим (PDO) и функциональным (FDO). К ним может добавляться фильтрующий драйвер (FiDO), если требуется расширить возможности. Эти драйверы выстраиваются в стек, по которому передаются запросы IRP.

Запросы передаются по стеку сверху вниз: драйвер верхнего уровня обрабатывает IRP и может передать его ниже. Если драйвер FDO решает, что сам справится с запросом, он завершает обработку, отправив команду IoCompleteRequest().

✏️ Рекомендуемые команды WinDbg:
🔸 !drvobj — основная информация по DRIVER_OBJECT
🔸 !devobj — основные сведения об устройстве DEVICE_OBJECT
🔸 !devstack — позиция драйвера в стеке

➡️ Читать подробнее

Крутая возможность заявить о себе на VK Security Confab Max

11 декабря 2024 года пройдёт конференция по кибербезопасности — VK Security Confab Max.

Главные темы: SOC, AppSec, защита пользователей, облаков и инфраструктуры.

Программа обещает насыщенный день: технические доклады, нетворкинг, афтепати. Не можете приехать? Будет онлайн-трансляция!

Хочешь выступить? Подавай заявку до 29 ноября ➡️ тут
Новости и детали ➡️ тут

🚩 Новые задания на платформе Codeby Games!

👩‍💻  Категория Active Directory — Аноним

🌍 Категория Веб — Провальный код

Приятного хакинга!

POODLE — это опасная уязвимость в старом криптографическом протоколе SSL 3.0. Эксплойт позволяет злоумышленникам расшифровывать данные, которые пользователи передают на уязвимых сайтах, и даже захватывать их сессии.

✏️ Что такое SSL и CBC?
SSL (Secure Socket Layer) — протокол, обеспечивающий защищённую передачу данных. Он использует асимметричное шифрование для аутентификации и симметричное для конфиденциальности.

В случае с POODLE наибольшая проблема кроется в режиме шифрования CBC (Cipher Block Chaining), где каждый блок данных зашифрован на основе предыдущего, что создаёт слабое место для потенциальной атаки.

⚙️ Как работает POODLE?
Чтобы успешно провести атаку, злоумышленник сначала инициирует атаку «человек посередине» (MITM) и выполняет «downgrade dance» — принудительно понижает версию соединения до уязвимого SSL 3.0. В результате можно расшифровать данные в зашифрованной сессии, а злоумышленник получает доступ к cookies, паролям и другим чувствительным данным.

✔️ Почему это важно?
POODLE показывает, как устаревшие протоколы, если их оставить включёнными, могут представлять угрозу даже для современных систем. Многие системы всё ещё поддерживают SSL 3.0 ради обратной совместимости, что и делает их уязвимыми для POODLE.

⭐️ Как защититься?
В большинстве случаев поможет отключение поддержки SSL 3.0 и использование более современных протоколов, таких как TLS 1.2 или выше. В статье разбираются детали атаки и пошаговый анализ того, как хакеры используют POODLE для расшифровки данных.

➡️ Читать подробнее в блоге

В киберкриминальном мире появился новый фишинговый инструмент — GoIssue, нацеленный на пользователей GitHub и всю софтверную экосистему. 👀 GoIssue позволяет злоумышленникам собирать email-адреса с профилей GitHub и запускать массовые фишинговые атаки, что повышает риск кражи исходного кода и проникновения в корпоративные сети.

Повышенный риск для GitHub и организаций 🛡
🔸По данным SlashNext, GoIssue представляет собой серьёзную угрозу для разработчиков, использующих GitHub. Захватив учетные данные одного разработчика, злоумышленники могут развернуть атаки на цепочки поставок, создавая уязвимости для всей компании.
🔸Фишинговые кампании, запущенные через GoIssue, могут привести к краже учетных данных, загрузке вредоносного ПО или несанкционированному доступу к приватным репозиториям.

Как работает GoIssue? ⚙️
Инструмент автоматизирует сбор email-адресов с GitHub, используя токены и фильтры по критериям — например, членству в организациях и активности. Затем отправляются фишинговые сообщения, имитирующие уведомления GitHub, которые могут обходить спам-фильтры и попасть прямо в почтовый ящик разработчиков.

Стоимость и доступность GoIssue
GoIssue продается за $700 за индивидуальную версию или $3,000 за полный исходный код, предоставляя анонимность через прокси-сети и позволяя запускать высокотаргетированные фишинговые кампании.

Мнение экспертов:

🗣️ «Появление GoIssue сигнализирует о новой эре, когда платформы для разработчиков становятся полем боя, и защита должна адаптироваться», — прокомментировал Джейсон Сороко из Sectigo.

🗣️ «Не менее важно дать пользователям навыки распознавать подозрительные письма и сообщать о них, а также интегрировать человеческую разведку в центр системы безопасности», — добавил Мика Аалто, сооснователь Hoxhunt.

#новости

💵 Стример потерял $100,000 из-за утечки seed-фразы во время эфира

Англоязычный криптовалютный стример случайно раскрыл свою seed-фразу во время прямой трансляции, что привело к мгновенной утрате $100,000 (около 10 млн рублей).

Ошибка произошла из-за того, что на экране оказалось открыто приложение с заметками, где была сохранена резервная фраза. Злоумышленники тут же воспользовались этой информацией и вывели все средства.

✏️ Seed-фраза — это ключ к вашему криптокошельку. Получив доступ к ней, любой человек может полностью контролировать средства на счёте.

💡 Как избежать таких ситуаций?
🔸Никогда не храните seed-фразу в цифровом формате (особенно на устройствах с выходом в интернет).
🔸Используйте двухфакторную аутентификацию.

🗣️ Это не первый подобный случай. В июле стример Дмитрий Dmitry_Lixxx Лиханов также случайно показал свою seed-фразу в эфире. Хоть часть средств и удалось вернуть, история обошлась ему в немалую сумму.

#новости

В 2016 году Илья Лихтенштейн, 35-летний предприниматель российского происхождения, взломал одну из крупнейших криптобирж мира — Bitfinex. Он похитил 120 000 биткоинов, стоимость которых с $70 млн на момент кражи выросла до $10,7 млрд.

✏️ Приговор и сотрудничество с властями
На этой неделе федеральный суд США приговорил Лихтенштейна к 5 годам лишения свободы. Его жена, Хизер Морган, также обвиняется в участии в отмывании украденных средств. Она была вовлечена в процесс без подробных объяснений со стороны Лихтенштейна, а узнала о взломе лишь в 2019 году.

✏️ Лихтенштейн полностью признал свою вину и помог правоохранительным органам вернуть 96% украденных биткоинов, а также предоставил ценную информацию для расследований других киберпреступлений.

Громкая кража и уникальная схема
🔸 Украдено: 120 000 BTC
🔸 Отмыто: ~21% от суммы (около $14 млн)
🔸 Средства перемещались с использованием курьеров из Казахстана и Украины.

🗣️ Сотрудники IRS назвали использованную Лихтенштейном схему отмывания одной из самых сложных, с которыми они сталкивались.

👀 Интересный факт: Хизер Морган, известная под псевдонимом Razzlekhan, — бизнесвумен и рэперша. Её приговор будет вынесен 18 ноября, и прокуратура запрашивает для неё 18 месяцев тюрьмы.

#новости

❓ Кто сказал, что форензики не любят GUI?

📣 VolWeb - это платформа для анализа цифровой судебной памяти, которая использует возможности фреймворка Volatility 3.

🥇 Главным преимуществом VolWeb является предоставление визуального интерфейса для цифровой криминалистики, а также автоматическая обработка и извлечение артефактов с использованием мощностей фреймворка Volatility 3.

✔️ Клонируем репозиторий

git clone https://github.com/k1nd0ne/VolWeb.git

1️⃣ Генерируем самоподписанный сертификат для MinIO или VolWeb

openssl genrsa > ./privkey.pem
openssl req -new -x509 -key ./privkey.pem > ./fullchain.pem

2️⃣ Создаем виртуальное окружение

cd VolWeb/docked
cp .env.aws.example .env
vim .env (or any text editor)

3️⃣ Запускаем контейнер

cd VolWeb/docker
docker-compose up

4️⃣ Переходим по адресу https://fqdn-or-ip-of-volweb/ и используем для входа значения по умолчанию

admin:password
user:password

Исследователь Марко Фигероа поделился своими исследованиями о получении широкого доступа к песочнице ChatGPT.
Сама песочница представляет из себя изолированную среду, позволяющую пользователям безопасно взаимодействовать с ней и быть изолированными от других пользователей.

✏️ Используя команду list files /home/sandbox/.openai_internal/ исследователю удалось получить информацию о конфигурации и настройках песочницы.

🏆 Воодушевившись найденными результатами, он получил возможность загружать в папку /mnt/data собственные Python-скрипты и выполнять их!

❗️При этом стоит отметить, что песочница не предоставляет доступ к определённым конфиденциальным папкам и файлам (/root, /etc/shadow и т.д.).

👀 Однако OpenAI в своей bug bounty программе считает, что даже если таким путем можно извлечь файлы конфигурации, это все равно не является основанием для получения вознаграждения.

✔️ Вероятно, решение OpenAI оставить некоторые действия в «песочнице» как выходящие за рамки отражает их уверенность в стратегии сдерживания пользователя за пределы контейнера.

🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома

Старт: 2 декабря. Успейте приобрести курс по старой цене до конца ноября!📥

Содержание курса:
🔸 65 рабочих и 16 экзаменационных тасков в лаборатории ✔️
🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF)
🔸 трудоустройство / стажировка для лучших выпускников 🥇

Получите практические навыки как в рабочих задачах, так и в Bug Bounty.

📥С декабря стоимость курсов увеличится на 15%

🚀 Пишите нам @Codeby_Academy
➡️ Подробнее о курсе

Права доступа в Linux💻

В правах доступа для файлов и каталогов приминяется одинаковый принцип. В целях упрощения права доступа разделены на три категории:

r - чтение: 4;
w - запись: 2;
x - исполнение: 1;

Для установки прав доступа используется такой шаблон:

[User:r/w/x] [Group:r/w/x] [All:r/w/x]

Для практики можно создать простой скрипт который выводит надпись "hello world".

#!/bin/bash

echo "Hello world!"

и посмотреть его права командой ls -la | grep 'main.sh'
Для примера у нас будет такой вывод:

-rw-r--r--

Мы видим что для пользователя есть права на чтение и запись, для участников нашей группы есть право только читать, и у всех остальных тоже доступ только к чтению.
Запустить его мы не сможем, так как у скрипта нет на это прав. Для этого давайте изменим его права специальной командой chmod:

chmod 774 main.sh

Почему 774? Ответ: Мы прибегли с следующей формуле User/Group/All:4+2+1, где 4 - чтение, 2 - запись, 1 - исполнение. 4+2+1=7

Теперь не только мы, но и пользователи нашей группы смогут использовать, читать и редактировать файл. Остальные только читать.
Для простоты можно заменить числа на буквы

chmod +x main.sh

также будет работать и позволит скрипту исполниться.

NetScanner👴

Netscanner — это инструмент сканирования сети с такими функциями, как: Список интерфейсов оборудования, Переключение активного интерфейса для сканирования и дампа пакетов, Сканирование сетей WiFi, Уровень сигнала WiFi (с диаграммами), Pinging CIDR с именем хоста, oui и mac-адресом, Дамп пакетов (TCP, UDP, ICMP, ARP), Дамп пакетов, Запуск/пауза дампа пакетов.

Использование netscanner:

-t, --tick-rate: Скорость тика, т.е. количество тиков в секунду (По умолчанию: 1)
-f, --frame-rate: Частота кадров, т.е. количество кадров в секунду (По умолчанию: 10)
-h, --help: Вывод помощи
-v, --version: Вывод версии программы

Запуск:

netscanner

Вы сможете увидеть сигнали WiFi в левом верхнем меню, в правом верхнем доступные интерфейсы, а снизу Пакеты, Порты, Трафик.

Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать? 💬

Научим на курсе “Атака на Active Directory". Авторы: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

Содержание курса:
🙂 Архитектура AD и ее базис
🙂 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🙂 Как закрепиться внутри? Техники и эксплоиты

➡️ практическая лаборатория AD содержит более 30 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках

🌟 Сертификат / удостоверение о повышении квалификации
🌟 Старт: 16 декабря*

*Успейте приобрести курс по старой цене до конца ноября!

🚀 @Codeby_Academy
➡️ Узнать подробнее о курсе

➡️ Читайте отзывы от учеников предыдущих потоков здесь

Дипфейк — это поддельное фото, видео или аудио, сгенерированное искусственным интеллектом для имитации внешности и голоса человека. При создании дипфейков нейросеть анализирует и копирует мимику, движения лица, интонацию и даже фон речи. 👀

В новой статье разбираем как работают дипфейки и как с ними бороться.

Основные инструменты создания дипфейков — это генеративно-состязательные сети (GAN), автоэнкодеры, рекуррентные сети (для аудио) и сложные алгоритмы трекинга движений лица.

🗣️ Сейчас дипфейки можно встретить как в развлекательной индустрии, так и в рекламе. Например, дипфейк с Брюсом Уиллисом использовался в рекламе «МегаФона», а в кинематографе они позволяют завершать съёмки с участием актёров, которые покинули проект, как это было с Полом Уокером в «Форсаже 7».

Но в политике и преступной сфере дипфейки представляют угрозу, помогая манипулировать общественным мнением и обманывать людей. Преступники подделывают голоса и образы для вымогательства денег и распространения дезинформации.

Чем опасны дипфейки?
Дипфейки становятся мощным инструментом в руках мошенников, позволяя обманом получать доступ к деньгам и конфиденциальной информации. Среди опасностей:
🔸Финансовое мошенничество
🔸Обход систем безопасности

➡️ Читать полную версию статьи

Telegram продолжает набирать популярность среди злоумышленников, использующих его для распространения вредоносных программ, таких как Lumma Stealer.
Lumma Stealer способен украсть огромное количество личной информации: логины, пароли, данные банковских карт, истории браузеров и многое другое.

⚙️ Как работает атака?
Lumma Stealer распространяется через Telegram-каналы, которые предлагают "крякнутые" программы или архивы с якобы безвредным ПО. Один из таких каналов, VIP HitMaster Program, насчитывает более 42,000 подписчиков, а второй, MegaProgram +, имеет 8660 подписчиков. Интересно, что оба канала часто пересылают друг другу сообщения, что делает их влияние ещё более широким.

В одном из разобранных случаев, злоумышленники замаскировали вредоносный файл под популярную программу CCleaner 2024 — средство для очистки системы и оптимизации производительности. Но после извлечения из архива (.rar) пользователи обнаруживали, что вместо ожидаемого установочного файла CCleaner, они получали два заражённых файла, одним из которых был Lumma Stealer. В частности, файл с названием XTb9DOBjB3.exe является вредоносным и используется для кражи конфиденциальной информации.

⚙️ Механизмы скрытности и обфускации
Файл был не просто вредоносным, но и тщательно замаскированным. Например, он скрывал код, который подключался к аккаунту на Steam, чтобы установить связь с командным сервером злоумышленника. Странным образом, имя пользователя было зашифровано и подключено к нескольким псевдонимам.
После дешифровки этого имени, вредоносное ПО связывалось с сервером командования и управления (C2), что позволяло атакующим не только красть данные, но и скачивать дополнительные вредоносные файлы. Все эти действия затрудняют обнаружение вредоносного ПО антивирусами и системами защиты.

💱 География атак
Больше всего атак в настоящее время подвергаются пользователи Telegram из Индии, за ними следуют пользователи из США и Европы. Это подтверждает, что злоумышленники стремятся охватить как можно более широкую аудиторию, используя Telegram как популярную платформу для доставки угроз.

🚨 Запомните, использование популярных платформ как каналов для распространения вредоносного ПО — это не что-то новое, но Telegram даёт злоумышленникам уникальные возможности для обхода защиты. Поэтому будьте особенно внимательны к тем файлам, которые вы скачиваете и открываете через этот мессенджер.

#новости

🔄 ♥️ bettercap v2.40.0

Мощная, легко расширяемая платформа, написанная на 💻 Go, которая призвана предложить исследователям, пентестерам и реверс-инженерам простое в использовании решение "все в одном", для проведения разведки и атак на сети 👴 Wi-Fi, Bluetooth, беспроводные HID устройства и сети 🚠 Ethernet.

Установка в 💻 Kali:

sudo apt update && sudo apt install bettercap

Установка via 🖥 Docker:

docker pull bettercap/dev
docker run -it --privileged --net=host bettercap/dev -h



Запуск Web UI и интерактивной сессии:

sudo bettercap -caplet http-ui

sudo bettercap

Стандартные данные для входа:

Логин: user
Пароль: pass

Возможности:

Сканирование WiFi сетей, деаутентификация клиентов
Авто захват рукопожатий
Bluetooth сканирование
ARP, DNS, NDP and DHCPv6 спуферы для MitM атак
Мощный сетевой сниффер
Быстрый сканер портов
Удобный веб интерфейс
И многое другое

🚩 Новые задания на платформе Codeby Games!

🕵️ Категория Форензика — В чём секрет кота Бориса?

🏆 Категория Квесты — SSL

🧰 Категория PWN — 0xLEET

Приятного хакинга!