Reverse Dungeon
4.63K subscribers
739 photos
59 videos
990 files
2.3K links
Reverser's notes
The Mentor
1989
Download Telegram
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
APT attribution 🙂

Ниже представлены инструменты, которые помогают проводить атрибуцию к определенной группировке во время работы над инцидентом или просто изучением индикаторов.

Помню в самом начале своего пути примерно таким и занимался... было безумно интересно читать кучу разных статей на тему разборов APT - группировок, их инструментария и свойственного им поведенческого анализа.

Источники:
- https://apt.etda.or.th/cgi-bin/listgroups.cgi
- https://attack.mitre.org/groups/
- https://intezer.com/ost-map/
- https://pan-unit42.github.io/playbook_viewer/
- https://orkl.eu/tas
- https://malpedia.caad.fkie.fraunhofer.de/
- https://www.vx-underground.org/
- https://aptmap.netlify.app/
- https://cse.google.com/cse?cx=003248445720253387346:turlh5vi4xc
- Google docs

Сборник ссылочек взятый с канала GoldenHackSpace.
Please open Telegram to view this post
VIEW IN TELEGRAM
6
Дождались всё-таки?

Статья про деобфускацию импортов в Overwatch 2 вышла в свет: https://yougame.biz/threads/300963/
Forwarded from Trickery Hub
Агаа, так так так, что тут у нас...
Райтап с использованием тритона, который не бьётся по реверсерским чатикам...
Это мы постим.
Forwarded from white2hack 📚
Windows forensic Commands.pdf
470.1 KB
Windows forensic Commands, unofficial mini guide, 2023
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from greg0r0 life&work
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CyberSecurityTechnologies (-CST-)
Forwarded from Order of Six Angles
Unveiling Secrets in Binaries using Code Detection Strategies

https://synthesis.to/presentations/recon23_code_detection.pdf
Forwarded from SecAtor
Ресерчеры из Лаборатории Касперского раскрыли атаку на цепочку поставок в рамках кампании, которая продолжается более 3 лет.

В течение этого периода сайт Free Download Manager перенаправлял пользователей Linux в репозиторий пакетов Debian с вредоносным ПО для кражи информации. Перенаправления прекратились в 2022 году.

Как отмечают ресерчеры ЛК, официальная страница загрузки freedownloadmanager[.]org, в некоторых случаях перенаправляла тех, кто пытался загрузить версию ПО под Linux, на домен deb.fdmpkg[.]org с вредоносным пакетом Debian. При этом критерии дифференциации заражений непонятны до сих пор.

Помимо прочего исследователями были выявлены многочисленные публикации в соцсетях, Reddit, StackOverflow, YouTube [1, 2] и Unix Stack Exchange с продвижением вредоносного домена в качестве надежного источника для загрузки Free Download Manager, а также сообщения, иллюстрирующие заражения пользователей.

Сам вредоносный пакет Debian, который используется для установки дистрибутивов Linux, содержит скрипт Bash для кражи информации и бэкдор crond, который устанавливает обратную оболочку с сервера C2. Компонент crond создает в системе новое задание, которое запускает сценарий кражи при запуске системы.

При этом, как выяснили исследователи, скрипт содержит комментарии на русском и украинском языках, в том числе информацию об улучшениях, внесенных в вредоносное ПО, а также высказывания активистов.

Исследователи полагают, что бэкдор crond - это штамм вредоносного ПО Bew, циркулирующего с 2013 года, а похититель Bash был обнаружен в дикой природе и впервые проанализирован еще в 2019 году. Так что, набор инструментов не является новым.

Bash Steer, изученный Лабораторией, производит сбор информации о системе, истории просмотров, паролей в браузерах, ключей аутентификации RMM, истории оболочки, данных криптокошельков, а также для облачных сервисов (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).

Собранные данные затем загружаются на сервер злоумышленников для их дальнейшего задействования в атаках или продажи в киберподполье.

По данным телеметрии ЛК, жертвы этой кампании раскиданы по всему миру, включая Бразилию, Китай, Саудовскую Аравию и Россию.

Хотя кампания в настоящее время неактивна, исследователи рекомендуют пользователям, установившим Free Download Manager для Linux в период с 2020 по 2022 год, убедиться в отсутствии вредоносной ПО.

Для следует отыскать следующие файлы и в случае обнаружения удалить их: /etc/cron.d/collect, /вар/tmp/crond, /вар/tmp/bs, а с индикаторами компрометации можно ознакомиться в отчете.
❤‍🔥31
Forwarded from Eastonia
Деобфускация импортов VMP с помощью иды

От того самого челика с решением Hex-Rays CTF, который еще оказывается соавтор книги Practical Reverse Engineering

Part 1
Part 2
Part 3

Полезный лайфхак (оказывается на поверхности сурсов апи) по вырубанию эксепшенов, чтобы не мешали, когда трейсишь

e = idaapi.retrieve_exceptions()
for ex in e:
ex.flags = idaapi.EXC_SILENT
idaapi.store_exceptions()

Snippets source
🐳2❤‍🔥1