Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Эксперименты сумасшедшего
APT attribution 🙂
Ниже представлены инструменты, которые помогают проводить атрибуцию к определенной группировке во время работы над инцидентом или просто изучением индикаторов.
Помню в самом начале своего пути примерно таким и занимался... было безумно интересно читать кучу разных статей на тему разборов APT - группировок, их инструментария и свойственного им поведенческого анализа.
Источники:
- https://apt.etda.or.th/cgi-bin/listgroups.cgi
- https://attack.mitre.org/groups/
- https://intezer.com/ost-map/
- https://pan-unit42.github.io/playbook_viewer/
- https://orkl.eu/tas
- https://malpedia.caad.fkie.fraunhofer.de/
- https://www.vx-underground.org/
- https://aptmap.netlify.app/
- https://cse.google.com/cse?cx=003248445720253387346:turlh5vi4xc
- Google docs
Сборник ссылочек взятый с канала GoldenHackSpace.
Ниже представлены инструменты, которые помогают проводить атрибуцию к определенной группировке во время работы над инцидентом или просто изучением индикаторов.
Помню в самом начале своего пути примерно таким и занимался... было безумно интересно читать кучу разных статей на тему разборов APT - группировок, их инструментария и свойственного им поведенческого анализа.
Источники:
- https://apt.etda.or.th/cgi-bin/listgroups.cgi
- https://attack.mitre.org/groups/
- https://intezer.com/ost-map/
- https://pan-unit42.github.io/playbook_viewer/
- https://orkl.eu/tas
- https://malpedia.caad.fkie.fraunhofer.de/
- https://www.vx-underground.org/
- https://aptmap.netlify.app/
- https://cse.google.com/cse?cx=003248445720253387346:turlh5vi4xc
- Google docs
Сборник ссылочек взятый с канала GoldenHackSpace.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
Forwarded from xclip
Windows kernel drivers for red team tools development
https://idov31.github.io/2022/07/14/lord-of-the-ring0-p1.html
https://idov31.github.io/2022/08/04/lord-of-the-ring0-p2.html
https://idov31.github.io/2022/10/30/lord-of-the-ring0-p3.html
https://idov31.github.io/2023/02/24/lord-of-the-ring0-p4.html
https://idov31.github.io/2022/07/14/lord-of-the-ring0-p1.html
https://idov31.github.io/2022/08/04/lord-of-the-ring0-p2.html
https://idov31.github.io/2022/10/30/lord-of-the-ring0-p3.html
https://idov31.github.io/2023/02/24/lord-of-the-ring0-p4.html
❤🔥2
Forwarded from colby57 / Reverse-Engineering
Дождались всё-таки?
Статья про деобфускацию импортов в Overwatch 2 вышла в свет: https://yougame.biz/threads/300963/
Статья про деобфускацию импортов в Overwatch 2 вышла в свет: https://yougame.biz/threads/300963/
Forwarded from Trickery Hub
Агаа, так так так, что тут у нас...
Райтап с использованием тритона, который не бьётся по реверсерским чатикам...
Это мы постим.
Райтап с использованием тритона, который не бьётся по реверсерским чатикам...
Это мы постим.
Forwarded from RME-DisCo @ UNIZAR [www.reversea.me]
Obscure Windows File Types https://remyhax.xyz/posts/obscure-win-files/
REMY HAX
Obscure Windows 7 File Types
Do you know all of the default Windows 7 file formats? I’ve certainly seen a few in my time, though I can’t say I’ve seen a corpus of all the samples in one place.
❤2
Forwarded from white2hack 📚
Windows forensic Commands.pdf
470.1 KB
Windows forensic Commands, unofficial mini guide, 2023
Forwarded from RME-DisCo @ UNIZAR [www.reversea.me]
How-to: Reversing and debugging ISAPI modules https://www.skullsecurity.org/2023/how-to-reversing-and-debugging-isapi-modules
SkullSecurity Blog
How-to: Reversing and debugging ISAPI modules
Recently, I had the privilege to write a detailed analysis of CVE-2023-34362, which is series of several vulnerabilities in the MOVEit file transfer application that lead to remote code execution. One of the several vulnerabilities involved an ISAPI module…
Forwarded from xclip
Серия статей о том, как работает виртуализация
https://docs.saferwall.com/blog/virtualization-internals-part-1-intro-to-virtualization
https://docs.saferwall.com/blog/virtualization-internals-part-2-vmware-and-virtualization-using-binary-translation/
https://docs.saferwall.com/blog/virtualization-internals-part-3-xen-and-paravirtualization/
https://docs.saferwall.com/blog/virtualization-internals-part-4-qemu/
https://docs.saferwall.com/blog/virtualization-internals-part-1-intro-to-virtualization
https://docs.saferwall.com/blog/virtualization-internals-part-2-vmware-and-virtualization-using-binary-translation/
https://docs.saferwall.com/blog/virtualization-internals-part-3-xen-and-paravirtualization/
https://docs.saferwall.com/blog/virtualization-internals-part-4-qemu/
❤4
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CyberSecurityTechnologies (-CST-)
#Reversing
Debugging Windows Isolated User Mode (IUM) Processes
https://blog.quarkslab.com/debugging-windows-isolated-user-mode-ium-processes.html
Debugging Windows Isolated User Mode (IUM) Processes
https://blog.quarkslab.com/debugging-windows-isolated-user-mode-ium-processes.html
Forwarded from Order of Six Angles
YouTube
The Basics of Analyzing and Creating Structures in IDA Pro - Part 1
In this video, part of a 3 video series, we'll look at what a basic structure is, discuss how it uses memory and use a sample program to create a compiled binary for reverse engineering. We'll then use IDA Pro to analyze the code and identify signs of structure…
Forwarded from Order of Six Angles
Unveiling Secrets in Binaries using Code Detection Strategies
https://synthesis.to/presentations/recon23_code_detection.pdf
https://synthesis.to/presentations/recon23_code_detection.pdf
Forwarded from SecAtor
Ресерчеры из Лаборатории Касперского раскрыли атаку на цепочку поставок в рамках кампании, которая продолжается более 3 лет.
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО для кражи информации. Перенаправления прекратились в 2022 году.
Как отмечают ресерчеры ЛК, официальная страница загрузки freedownloadmanager[.]org, в некоторых случаях перенаправляла тех, кто пытался загрузить версию ПО под Linux, на домен deb.fdmpkg[.]org с вредоносным пакетом Debian. При этом критерии дифференциации заражений непонятны до сих пор.
Помимо прочего исследователями были выявлены многочисленные публикации в соцсетях, Reddit, StackOverflow, YouTube [1, 2] и Unix Stack Exchange с продвижением вредоносного домена в качестве надежного источника для загрузки Free Download Manager, а также сообщения, иллюстрирующие заражения пользователей.
Сам вредоносный пакет Debian, который используется для установки дистрибутивов Linux, содержит скрипт Bash для кражи информации и бэкдор crond, который устанавливает обратную оболочку с сервера C2. Компонент crond создает в системе новое задание, которое запускает сценарий кражи при запуске системы.
При этом, как выяснили исследователи, скрипт содержит комментарии на русском и украинском языках, в том числе информацию об улучшениях, внесенных в вредоносное ПО, а также высказывания активистов.
Исследователи полагают, что бэкдор crond - это штамм вредоносного ПО Bew, циркулирующего с 2013 года, а похититель Bash был обнаружен в дикой природе и впервые проанализирован еще в 2019 году. Так что, набор инструментов не является новым.
Bash Steer, изученный Лабораторией, производит сбор информации о системе, истории просмотров, паролей в браузерах, ключей аутентификации RMM, истории оболочки, данных криптокошельков, а также для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Собранные данные затем загружаются на сервер злоумышленников для их дальнейшего задействования в атаках или продажи в киберподполье.
По данным телеметрии ЛК, жертвы этой кампании раскиданы по всему миру, включая Бразилию, Китай, Саудовскую Аравию и Россию.
Хотя кампания в настоящее время неактивна, исследователи рекомендуют пользователям, установившим Free Download Manager для Linux в период с 2020 по 2022 год, убедиться в отсутствии вредоносной ПО.
Для следует отыскать следующие файлы и в случае обнаружения удалить их: /etc/cron.d/collect, /вар/tmp/crond, /вар/tmp/bs, а с индикаторами компрометации можно ознакомиться в отчете.
В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО для кражи информации. Перенаправления прекратились в 2022 году.
Как отмечают ресерчеры ЛК, официальная страница загрузки freedownloadmanager[.]org, в некоторых случаях перенаправляла тех, кто пытался загрузить версию ПО под Linux, на домен deb.fdmpkg[.]org с вредоносным пакетом Debian. При этом критерии дифференциации заражений непонятны до сих пор.
Помимо прочего исследователями были выявлены многочисленные публикации в соцсетях, Reddit, StackOverflow, YouTube [1, 2] и Unix Stack Exchange с продвижением вредоносного домена в качестве надежного источника для загрузки Free Download Manager, а также сообщения, иллюстрирующие заражения пользователей.
Сам вредоносный пакет Debian, который используется для установки дистрибутивов Linux, содержит скрипт Bash для кражи информации и бэкдор crond, который устанавливает обратную оболочку с сервера C2. Компонент crond создает в системе новое задание, которое запускает сценарий кражи при запуске системы.
При этом, как выяснили исследователи, скрипт содержит комментарии на русском и украинском языках, в том числе информацию об улучшениях, внесенных в вредоносное ПО, а также высказывания активистов.
Исследователи полагают, что бэкдор crond - это штамм вредоносного ПО Bew, циркулирующего с 2013 года, а похититель Bash был обнаружен в дикой природе и впервые проанализирован еще в 2019 году. Так что, набор инструментов не является новым.
Bash Steer, изученный Лабораторией, производит сбор информации о системе, истории просмотров, паролей в браузерах, ключей аутентификации RMM, истории оболочки, данных криптокошельков, а также для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).
Собранные данные затем загружаются на сервер злоумышленников для их дальнейшего задействования в атаках или продажи в киберподполье.
По данным телеметрии ЛК, жертвы этой кампании раскиданы по всему миру, включая Бразилию, Китай, Саудовскую Аравию и Россию.
Хотя кампания в настоящее время неактивна, исследователи рекомендуют пользователям, установившим Free Download Manager для Linux в период с 2020 по 2022 год, убедиться в отсутствии вредоносной ПО.
Для следует отыскать следующие файлы и в случае обнаружения удалить их: /etc/cron.d/collect, /вар/tmp/crond, /вар/tmp/bs, а с индикаторами компрометации можно ознакомиться в отчете.
Securelist
Trojanized Free Download Manager found to contain a Linux backdoor
Kaspersky researchers analyzed a Linux backdoor disguised as Free Download Manager software that remained under the radar for at least three years.
❤🔥3❤1
Forwarded from Eastonia
Деобфускация импортов VMP с помощью иды
От того самого челика с решением Hex-Rays CTF, который еще оказывается соавтор книги Practical Reverse Engineering
Part 1
Part 2
Part 3
Полезный лайфхак(оказывается на поверхности сурсов апи) по вырубанию эксепшенов, чтобы не мешали, когда трейсишь
От того самого челика с решением Hex-Rays CTF, который еще оказывается соавтор книги Practical Reverse Engineering
Part 1
Part 2
Part 3
Полезный лайфхак
e = idaapi.retrieve_exceptions()Snippets source
for ex in e:
ex.flags = idaapi.EXC_SILENT
idaapi.store_exceptions()
🐳2❤🔥1