Ру-Сфера: Исследование защиты и обсуждение IT-безопасности

Всем привет!

На форуме появилась возможность общаться в реалтайм.

Что это значит ?

Примерно как в месседжерах, если кто-то будет писать в теме, или переписке, будет отображаться никнейм, примерно так:



Также не нужно обновлять страницу, после публикации сообщения, она автоматически будет подгружаться.

Прикольно получилось кстати, мне нравится...)))

Привет, камрады, друзья-товарищи и просто читатели. Мы мало что знаем о КНР, отсюда и интерес к данной новости. Специалисты компании «Лаборатория Касперского» донесли до нас информацию, что за серийными атаками на европейские организации стоит северокорейская хак-группа Lazarus.

Хакеры пользуются собственным разработанным ПО DTrack, которое можно назвать многомодульным бэкдором нового поколения. Данная вредоносная штука сочетает в себе:

• Кейлоггинг;
• Перехват скриншотов;
• Перехват IP-адресов/информации о сетевых подключениях;
• Перехват запущенных процессов;
• Сбор истории браузера.

DTrack умеет запускать процессы, манипулировать файлами, красть их, изменять. Многие могут возразить, что назвать такое ПО «новым» нельзя. Однако, он умеет обходить многие антивирусные программы, а его география распространения включает следующие страны: Германию, Бразилию, Индию, Италию, Мексику, Швейцарию, Саудовскую Аравию, Турцию и США. Ранее он не распространялся с такой...

Теперь на форуме появился портал!)

Что это такое ?

Теперь при создании темы, можно создать статью...

Что такое статья ?

На главной страницы форума будет отображаться превью вашей статьи, например так:



Но данный функционал доступен не всем, а только начиная с группы "Форумчанин", возможно даже имеет смысл ограничить этот функционал до модераторов, или до группы просветленный, но посмотрим...)

Также у статейных тем, можно изменить отображение, пример можете глянуть тут:Зачем покупать VPN, если можно легко поднять свой и достаточно безопасный?

В таком случае упор внимания посетителя будет делаться именно на статье.

Опасность хакинга гражданской бытовой жизни: уязвимости в системах «Умный дом»

И снова приветствуем всех коллег по цеху безопасности и просто любопытных пользователей. Все мы привыкли, что хакинг, взломы, киберкражи – это все вот там, в интернете, не в реальной жизни, а в виртуальном пространстве. На самом деле, чем шире прогресс шагает вперед, тем больше мы окружаем себя цифровым пространством, а в нем и реализовывается хакинг.



Уязвимости есть не только в стандартном ПО. Например, компания Promon, которая специализируется на информационной безопасности, провела исследования и выявила, что двери в системах «умных домов» можно взломать и открыть. Речь в отчете идет конкретно об «умных дверях» от производителя Airphone. Для справки уточним, что такие изделия от этого бренда используются не только в гражданских жилых домах. Они так же монтируются в государственных и военных объектах США и Великобритании.


Такие модели...

Всем привет!

Хочу напомнить, а может кто и не знал, об интересной особенности при настройке серверов.

Во многих серверах, например Apache2, по умолчанию включены различные модули с защитой, что доступ может-быть только по локальному хосту, но например по айпи 127.0.0.1, а может вы и сами такую защиту делали...

Всё это конечно круто, если бы не НО...

Вот например я недавно поднял .onion ресурс в сети TOR, вот такой: mf5bwlzr7legiogx6tvrxm4bwms7hrlinpfipixgkyyz7j3ltxzo6eyd.onion

Ну и спросите вы что здесь такого, ну поднял и поднял...

А вот-что:

Вообще вкратце как это работает на моём сервере, сервер апаче слушает порт 8080 на локалхосте, а сервер TORa по этому триклятому локалхосту передаёт запрос апачу, а апач как сгенерирует страницу отдаёт её в сеть тор.
Это вкратце, также например работают гибридные сервера apache2+nginx и т.д.

Ну и вот как я потом вспомнил, у апача есть такой неприятный модуль server-status, если глянете...

Зачем покупать VPN, если можно легко поднять свой?
Всем привет, товарищи безопасники и просто любопытные! С вами снова Mr.Dante, или, для своих пацанов, просто Дантес))))

Сегодня мы поговорим о такой штуке, как VPN. Опытным пользователям объяснять, что это такое, не нужно, а вот рядовым пользователям информация будет полезна. Так же разберем, как можно быстро и дешево поднять свой VPN сервак в Европе. Поехали!

Что такое VPN
С недавнего времени многие в РФ и СНГ в целом столкнулись с проблемой, когда любимый сайт с хентаем или голыми тётьками не открывается. Было же, да? Конечно было. Но запреты коснулись не только взрослых сайтов, но и вполне обычных. То есть, сервер на той стороне, на сайте, который мы пытаемся открыть, вычисляет наше местоположение. Видит, что мы из страны, которая в блок-листе, и не пускает нас посмотреть свеженький контент. Не знаю, почему такие ограничения стали вводить даже сайты взрослой тематики, но видимо...

Я долгое время не был на форуме по причине того, что мой ноутбук помер.
Причина тому проста, я удалил английскую раскладку и не смог войти в систему XD.
Пока я пытаюсь установить BlackArch, пишу эту статью на свою компудахтере шиндос.
(Полностью важная информация.)

«Среда Безопасности – просто о сложном»: Windows и дополнительное ПО
Всем привет! Вот и наш первый выпуск по средам в рубрике «Среда Безопасности». Здесь мы будем публиковать все то, что рядовому пользователю кажется сложным и неизвестным, более простым языком. А начнем мы с азов безопасности.

Что следует знать прежде всего
Каждому пользователю стоит запомнить, что только от него и его знаний зависит уровень его безопасности. Причем первичные правила элементарны, а их соблюдение поможет каждому уберечься от ситуаций, когда взяли и сперли аккаунт социальной сети. Для затравки приведу цитату со сборника уже крылатых олдовых цитат:

• «Коннект: Слушай, мож мы родственники?
• ALEXA: думаешь???
• Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
• ALEXA: *енко
• Коннект: О, у тебя 8 новых писем )
• ALEXA: в смысле???»

Многие считают, что хакинг – это умение взламывать ПО. На самом деле хакинг – это...

Функционал безопасности Windows 11: Когда подумали про безопасность, но забыли про пользователей
Всем привет, и сегодня у нас начинается вторничная рубрика «Вторничный разбор». На столе препарирования у нас в первом выпуске Windows 11, которая наделала шума еще до релиза. Вообще я скептически отношусь к обновлениям ОС. Как к частичным (модульным), так и к полноценным. Обычно в играх сначала выходит сырой проект, потом его допинывают патчами. У Майкрософт скорее наоборот, сначала все работает нормально, а потом обновление заставляет тебя учиться плясать с бубном. Но в 11 версии, ВОЗМОЖНО, все не так плохо, давайте глянем, что нам товарищ Билл, который Гейтс, принес нового из функций безопасности.

Модуль безопасности TPM 2.0
Вы когда-нибудь хотели выстрелить себе в ногу? Ну, знаете, так прям по серьезному, из крупного калибра? Вот в Майкрософт захотели. И даже выстрелили. Но сначала обозначим, что это за модуль, и для чего нужна эта...

Вооружившись утилитой process hacker видим такую картину:



2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:



Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный...

Постарался влепить как можно меньше воды, но и тему в два предложения тоже делать не захотел. Приятного ознакомления!

Всем привет!

Не знаю на сколько востребована эта тема здесь...

Но я уже писал что ЛК активно занимается разработкой своей системы, для различных задач.

На самом деле разработка системы достаточно сложный процесс, ведь не достаточно просто разработать ядро (Сколько сейчас фан. ОС, да и вообще много кастомных ядер для различных целей), самое сложное по моему мнению, это "заточить" систему под какие-то проекты, будь это например маршрутизатор, тонкий клиент, или телефон.

При адаптации системы, возникает потребность как в написании драйверов для устройств, так и написании чего-то высокоуровневого, например пользовательского интерфейса, браузера и т.д.

Всё-это хорошо, но что-бы это всё стало возможно сделать качественно и в адекватные сроки, нужны специалисты, больше конечно системщики, но и также и те-кто хорошо шарит и в более высокоорентированных вещах, например разработка GUI и т.д.

Да разработка таких вещей, это достаточно специфическая вещь, это вам например не бизнесс...

Неплохой мануалл по буткитам от Positive Technologies (Март 2022 года):

Есть видео вариант статьи, очень познавательно:

Что это за курс

Обучающий курс «Теоретические основы ИБ» подготовлен и проводился в апреле 2022 года аналитиком Kaspersky ICS CERT Екатериной Рудиной. Курс состоит из 5 живых лекций общей продолжительностью около 10 астрономических часов. Мы не стали вырезать из видеоматериалов ответы на вопросы из зала и из чата, спонтанные обсуждения и отходы от темы - на наш взгляд, они представляют не меньший интерес, чем заранее подготовленные материалы.

Некоторые из материалов первоначально использовались при обучении студентов ВУЗов в рамках курса "Теоретические основы компьютерной безопасности". Эти материалы были существенно переработаны и дополнены на основе опыта работы над продуктами и сервисами ЛК, а также по результатам сотрудничества с международными организациями по стандартизации и консорциумами (IEEE, ISO, ITU-T, Industrial IoT Consortium).

Для удобства изучения каждая двухчасовая лекция нарезана на более короткие видеоуроки. Почти каждый видеурок сопровождается кратким...

Всем привет!

В этой теме попытался поднять тему безопасности и будущего антивирусов:Информация - Крах антивирусов, или что нас ждет в будущем

В этой-же теме хочу обсудить одно из направлений ЛК, которое отвечает за разработку KasperskyOS.

На самом деле система разрабатывается уже около 10 лет, но только сейчас появились продукты на основе этой ОС, и в будущем думаю неплохие перспективы выйти на рынок таких систем...

Вот тут можно прочитать про эту ОС:
Вот тут про процесс разработки:

Немного расскажу, а зачем вообще нужна ещё одна ОС, если существует куча как специализированных ОС, так и общего применения...

Всем привет, закончил "Обзорный перевод книги" Windows Kernel Programming.

Само качество перевода конечно не самое хорошее, это не уровень редакции, да и перевод делал больше для себя, а последние две главы практически не вычитывал, т.к. хотел по быстрее закончить перевод, по причине, что понял, что даже такой превод требует больших как энергозатрат, так и времени.

Более-того понял, что смысла вот так читать книги "От корки, до корки" нет, а нужно читать темы, которые нужны конкретно для решения задач, да конечно не плохо прочитать такую книгу, даже кто не собирается писать драйвера, т.к. в книге показано много трюков С++, которые можно использовать в своих прикладных программах.

Также к сожалению данная книга направлена на совсем новичков в теме, и даёт только набор каких-то базовых знаний и в ней не рассмотрено многие моменты, в частности, что интересно было-бы мне:

• Аппаратные драйверы устройств.
• Сетевые драйверы и фильтры.

Тут я понял, что часто проще даже...

В этой последней главе книги мы рассмотрим различные темы, которые не соответствовали предыдущем главам.

В этой главе:

• Подпись драйвера.
• Средство проверки и отладки драйверов.
• Использование нативных API.
• Драйверы фильтров.
• Монитор устройства.
• Подключение драйвера.
• Библиотеки ядра.

Во вложении pdf для чтения.

Файловые системы предоставвляют операции ввода-вывода для доступа к файлам. Windows поддерживает несколько файловых систем, прежде всего это NTFS.

Фильтрация файловой системы - это механизм, с помощью которого драйверы могут перехватывать вызовы, адресованные файловой системе. Это полезно для многих типов программного обеспечения, таких как антивирусы, резервное копирование, шифрование и многое другое.

Windows долгое время поддерживала модель фильтрации, известную как фильтры файловой системы, которая сейчас называется устаревшими фильтрами файловой системы.

Была разработана новая модель, называемая мини-фильтрами файловой системы для замены устаревшего механизма фильтрации. Мини-фильтры легче писать во многих отношениях, и они предпочтительный способ разработки драйверов фильтрации файловой системы.

В этой главе:

• Введение.
• Загрузка и выгрузка драйвера.
• Инициализация драйвера.
• Установка драйвера.
• Обработка операций...

Ядро предоставляет больше способов перехвата определенных операций/событий. Сначала мы рассмотрим объект уведомления, где может быть перехвачено и получение дескрипторов некоторых типов объектов. Далее мы рассмотрим перехват операций реестра.

В этой главе:

- Уведомления об объектах.

- Драйвер защиты процессов .

- Уведомления реестра.

- Внедрение в уведомление реестра.

- Упражнения.

Уведомления об объектах

Ядро предоставляет механизм для уведомления заинтересованным драйверам при попытке открыть или скопировать дескриптор определенных типов объектов.

Официально поддерживаемые типы объектов: процесс, поток.

Для регистрации уведомления существует функция апи ObRegisterCallbacks, прототип которого выглядит так:

Перед регистрацией должна быть инициализирована структура OB_CALLBACK_REGISTRATION, которая...

Один из мощных механизмов, доступных для драйверов ядра - это возможность получать уведомления, когда происходят важные события. В этой главе мы рассмотрим некоторые из этих событий, а именно создание процесса.

А также создание и разрушение потоков и загрузка образов.

В этой главе:
• Уведомления о процессах.
• Регистрация уведомлений о процессах.
• Предоставление данных в пользовательском режиме.
• Уведомления о потоках.
• Уведомления о загрузке образов.
• Упражнения.

Уведомления о процессах

Каждый раз, когда процесс создается или уничтожается, заинтересованные драйверы могут быть уведомлены ядром об этом факте. Это позволяет драйверам отслеживать процессы, возможно, связывая некоторые данные с этими процессами.

Как минимум, это позволяет драйверам отслеживать создание/уничтожение процесса в
в реальном времени. Под «в реальном времени» я подразумеваю, что уведомления отправляются «в оперативном режиме».

Как часть создания процесса драйвер не может пропустить какие-либо...