19.02.2016

Самозащита антивирусов. [AV bypass]

Применяемые техники:




ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.

PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.

Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.

RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.

Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.

Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.

ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf

16.02.2016

Twitter sec memories #4 [16.02.16] (Shellsploit/HackSpy/CVE-2016-0051/REMnux)

Shellsploit
Позволяет генерировать кастомные шеллкоды, бэкдоры и инжекторы для различных операционных систем, с возможностью обфускации через энкодеры.
Зависимости:
pip install capstone
pip install readline

Пуск:
python setup.py --s/ --setup install
chmod +x shellsploit
./shellsploit

Удаление:
setup.py --s/--setup uninstall
alt tag

alt tag


HackSpy-Trojan-Exploit

Тулза для генерации трояна, нацеленного на пробитие windows тачки.

  • Кейлоггер
  • Скрины рабочего стола
  • Контроль бота через cmd


CVE-2016-0051 (Proof-of-concept BSoD (Blue Screen of Death) and Elevation of Privilege (to SYSTEM))
Elevation of Privilege on Windows 7 x86 before the patch

https://github.com/koczkatamas/CVE-2016-0051

REMnux Linux Distro for Malware Analysis
Version 6 Release

REMNUX V6 FOR MALWARE ANALYSIS (PART 1-2)

15.02.2016

Twitter sec memories #3 [15.02.15] (Sublist3r/GoAT/GoBot/DLLRunner)

Sublist3r
Утилита написана на python, для поиска собдоменов, с использованием поисковых движков-Google, Yahoo, Bing, Baidu, и Ask
(Fast subdomains enumeration tool for penetration testers)
Sublist3r

git clone https://github.com/aboul3la/Sublist3r.git
GoAT 
Троян написанный на языке Go, который использует твиттер в качестве командного центра для управления ботами. Имеет руткит подуль, написанный на C для самозащиты и хайда себя в системе.

Старшим братом которого является:
GoBot


DLLRunner
Скрипт на python для анализа dll`лок в песочнице.


                                               https://github.com/neo23x0/dllrunner