Реверсинжиниринг PWN-тасков или эксплуатируем бинарные уязвимости (Часть 4 / Stack3)
Всем доброго времени суток! Набираем обороты... Сегодня мы будем 'пывнить" stack3.exe (ссылочка на файл, как обычно, на Github). Stack3 Закидываем в Ghidra: Читать далее...
Реверс-инжиниринг eBPF-программы на примере сокет-фильтра и уязвимости CVE-2018-18445
Привет! Меня зовут Евгений Биричевский, в Positive Technologies я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности (PT ESC). Не так давно исследователи из Black Lotus Labs рассматривали несколько образцов 2018 года — elevator.elf и bpf.test. Пускай образцы и старые, но...
Быть или не быть: вопросы расшифровки данных после атаки программ-вымогателей
В этом блоге мы кратко расскажем, что происходит после шифрования ИТ-инфраструктуры, что чувствует жертва, какие действия предпринимаются ею для восстановления своей инфраструктуры. Что следует и не следует делать пострадавшим от атаки вымогателей, что могут предложить им ИБ-компании в таких...
Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf. Внимание аналитиков тогда привлекла новая для группы полезная нагрузка – злоумышленники использовали Rhadamanthys Stealer, стилер с модульной архитектурой, написанный на C++ и...
Взламываем транспортные карты: чит на бесконечные деньги
Этот парень открыл все турникеты на станции. Вы до сих пор считаете, что все хакеры вредны? Начну с простого вопроса: кто из вас пользуется общественным транспортом? А кому нравится за него платить? Если такие все же найдутся, то могут смело переставать читать статью. Для остальных у меня есть...
Buhtrap расставил новые «ловушки для бухгалтеров»
Эксперты Group-IB Threat Intelligence — Илья Шумеев, специалист по анализу вредоносного кода, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода, проанализировав новые атаки, выяснили, что заражение происходило при посещении сайтов, замаскированных под профильные ресурсы для...
Зашифрованные: как атаковали российский бизнес
Для того, чтобы понять, как атаковали российский бизнес, и с головой погрузиться в изучение матрицы наиболее часто используемых атакующими тактик, техник и процедур (TTPs), давайте сначала ответим на вопрос: кто атаковал? Если еще пять лет назад практически 70% всей хакерской активности, с которой...
«Хакер»: Учимся анализировать программы для x86 с нуля
Исследование исполняемого файла можно разделить на три этапа: поверхностный, глубокий, хирургический. На первом мы малыми силами собираем информацию о подопытном файле. Под «малыми силами» я подразумеваю легкие в использовании и широко распространенные средства анализа. В этой статье мы поговорим о...
LeetD3vM4st3R
В APK находится функционал по генерации сигнатуры для ассоциативного массива. Постарайтесь получить подпись для следующего набора данных: { "user" : "LeetD3vM4st3R", "password": "__s33cr$$tV4lu3__", "hash": "34765983265937875692356935636464" } и отправить результат @****** в Telegram....
Средства автоматизации анализа вредоносных программ
На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy. Демонстрируются их возможности по расшифровке конфигурационных данных, деобфускации строк и вызовов функций API для...
Анализ вредоносных программ. Интересные трюки
Решил сделать серию публикаций про интересные трюки и оригинальные идеи, выявленные при анализе вредоносных программ, а также и про подходы, которые использовались при анализе. Надеюсь, что публикации будет интересными, а возможности и желания хватит на большую серию, а там уже увидим… В качестве...