Многие известные вам форумчане принимали участие в наполнении статьями данного e-zina.
Журнал доступен на двух языках. Ссылки ниже:
Скачать|Download Русская версия. Скачать|Download English versionАрхив новостей (2004-2015 год)
- Автор темы Winux
- Дата начала
- Статус
Многие известные вам форумчане принимали участие в наполнении статьями данного e-zina.
Журнал доступен на двух языках. Ссылки ниже:
Скачать|Download Русская версия. Скачать|Download English version
Итак! Новшества на xss.pro/!
1. ддос запрещен в чистом виде как ранее. Если вы ддосер и желаете иметь топ на дамаге - платите. Сумма оплаты за наличие у нас вашего топика составляет 50$ в месяц. Существующие топики будут удалены 25-28декабря, в случае, если за них не поступит оплата. Данное ограничение так же не касается баннеров, которые размещаются на платной основе. Сумма стика на топик ддосера составит дополнительных 20$.
2. Запрещены бессмысленные АПЫ! Хотите поднять свой топ выше - пишите по-существу. Выполнил заказ такой-то. Трудность такая-то. Результат такой-то + отзыв клиента. Или - поступило пополнение в количестве 500 штук страны, города, пол, возраст. Или - пополнение серверов ... страны, характеристики, ценник. И т.д. Каждый ап ОБЯЗАН нести в себе или показатель вашей работы или полезную информацию.
3. за каждый бессмысленный ап я буду закрывать топик на срок от 1 до 10 недель. ЛИБО удалять без возможности восстановления.
4. Каждый пост не в тему будет наказываться. Отныне очень строго.
5. Каждый срач в топиках сэллеров будет наказываться. Отныне очень строго. Хотите обсудить - заведите топ с четким названием по которому будет сразу понятно о чем речь.
Отныне у нас будет так. И если этому форуму суждено жить/умирать - то это будет происходить по описанным выше правилам.
Всем удачного дня!
Объявляю новый конкурс. Давайте сделаем друг другу подарки к новому году.
Что от вас требуется:
1. Написать статью, обзор, перевод. Уникальный контент.
2. Сделать реверс интересного сэмпла или технологии.
3. Привести примеры интересного кода (придерживаться тематики форума)
4. Запилить билдеры на любые интересные продукты
5. Выложить коллекцию интересных сэмплов (за текущий год)
Если в ваших силах любое из вышеперечисленного - сделайте это. И нам и вам будет интересно зайти на дамагу на новый год (ну или сразу после похмелья) и по-развлекать себя интересным чтивом или сэмплом.
С меня, как обычно, денежное вознаграждение за самый интересный топ.
Если не прижмут с ддосом - то 200$ я смогу выкроить на данный приз.
В предверии нового года принято подводить итоги и строить новые планы.
Об итогах уходящего года особо сказать нечего. Год прошел как-то незаметно, серо и скучно. Все что-то пилили, зарабатывали шэкели, устраивали личную и семейную жизнь, некоторые успели обзавестись детьми. Но выдающихся или очень ярких событий в нашей жизни как-то не произошло. Были страшноватые события от органов, были мутные темы аверов, были какие-то социальные кипишения. Но не было ярких достижений.
Что же пожелать всем нам в новом году? Ну во-первых хочется пожелать не быть тяговой лошадью. Присоединюсь к пожеланию лошадиного здоровья. НО важнейшим хочется все-таки пожелать всем настроения. Хорошего и яркого настроения! Инициативности, творческого вдохновения, удачного стечения обстоятельств и крепчайшего здоровья. (это не значит что пить можно нон-стоп
) Ну и не забывать наш, родной многим, форум. Писать и читать. Творить и развивать. p.s. чуть не забыл. Желаю всем проснуться без головной боли
Для чего это нужно? - Чтобы не спалить свой компьютер всевозможным снифферам и чтобы не оставлять на компьютере палева в виде установленных Tor/I2P роутеров. Вдобавок, подняв роутеры на сервере с широким каналом, вы окажете бОльшую помощь работе сетей, чем подняв роутеры на домашнем компьютере с узким каналом. Некоторые настройки отсюда (например, логи) пригодятся для любых серверов.
Инструкция актуальна для Centos 6 x64_64 Minimal. Большинство конфигов одинаковы для всех дистров, если юзаете какой-нибудь дебиан, поправите этот мануал сами. Рекомендую использовать выделенный сервер, а не VDS, т.к. слабый VDS может не вытянуть нагрузки и с VDS жуликам/органам намного легче слить данные, чем с полноценного сервера. При заказе сервера не забывайте пользоваться VPN или Socks, и оплачивайте анонимными валютами типа чеков Paymer или Bitcoin/Litecoin/*coin
p.s. обзор выше
Betabot это http-бот со следующим набором функций: Ринг3 руткит, формграббер, боткиллер, собственная проактивная защита и различные обходы антивирусов.
-----------------------------------------------------------------------------------
Banking Bot vs Trojan
Знакомство с формграббером.
Формграббер это часть софта, которая делает инжект в браузер, при инжекте софт патчит код браузера, чтобы поймать POST-данные. Это деталь имеет смысл только для ловли username + password для авторизации на сайтах вроде фейсбука. Формграбер бесполезен при двух-факторной авторизации и при использовании одноразовых паролей, что делает его бесполезным для получения учетных данных с защищённых сайтов, типа банковских.
Знакомство с вебинжектами.
Банковские аккаунты защищены гораздо лучше, я не буду сидеть здесь и перечислять методы защиты, но я приведу один пример: Большинство людей замечают, что для оплаты чего либо со своего аккаунта необходимо предоставлять дополнительную информацию, которую они не используют при авторизации на сайте банка. Короче формграббер мог перехватит имя юзера и пароль, но для реального использования счёта потребуется более подробная информация.
Поскольку дополнительная информация никогда не запрашивается на сайте банка, единственный способ узнать её - спросить у самого пользователя. Вряд ли пользователь выдаст нас свои данные, если мы просто вежливого его попросим, поэтому преступники придумали следующие решение: Вебинжекты. Они являются приложением к формграбберу, которое позволяет валвари модифицировать веб-страницы, а так же воровать с них данные веб-форм. Теперь вирус может добавить в веб-форму дополнительное поле для запроса тайных данных, которые обычно не спрашивают.
Обзор Crypt4u.com
Читаем свежий обзорчик сервиса Crypt4u.com от нашего проверяющего TrueMind. В котором мы увидим аназил файлика, закриптованного указанным сервисом.
Желаем всего наиприятнейшего и наилучшего. Внимания мужчин и зависти женщин. С праздником дорогие дамы!
!!! Убедительная просьба не ставить новый пароль такой же как был ранее.
https://xss.pro/img/nod32.jpg
Добрый день! Много споров ходит вокруг новой технологии nod32.Да и признаться, меня тоже смутила надпись "Обнаружена угроза в памяти", при запуске одного криптованного семпла. Неужели ав стали сканировать память процессов, чтобы ловить запакованные семплы сразу после распаковки? Но в таком случае пойдёт прахом вся отрасль криптования, ибо придётся морфить код который исполняется, а не скрывать его за неприступным для эмуляторов слоем криптора.
Собственно проблема была интересной, и мы решили провести группу тестов.
Тестировать ПО на AV вообще хорошая идея. Действительно, зачем выбрасывать деньги за неактуальный софт, который спалится через 40 минут после прогруза..
Мы взяли поньку, Win32/Fareit по классификации майкрософта, и криптанули её.
Чистый семпл сразу сносится нодом, криптованный как ни в чем не бывало сбрасывает отчет на диск.
Значит для того что бы стимулировать AV к проверке памяти нужны некие дополнительные условия, чем просто запуск нового процесса.
цитата из документации:
Модуль HIPS включает в себя дополнительный модуль сканирования памяти, который сканирует выполняющиеся приложения при изменении их состояния с целью обнаружения возможных подозрительных или вредоносных действий.
Не очень внятно, особенно в конце. Но выбирать не приходится.
Продолжим тесты, теперь возьмём софт, с которым был замечен новый вид детекта, например один граббер. Я пробовал на тест андромеду 2.07, но реакции AV не последовало.
После запуска криптованого граббера он успешно отработал вплоть до... внедрения в exporer!
Что интересно, детект чистого файла без криптовки и детект файла в памяти, совершенно одинаков.
Ок, другой семпл. Малоизвестный RAT, так же криптованный, при запуске получаем это:
Пора разобраться, в чем дело. Открываем Ollydbg, трассируем до появления детекта.
Как и ожидалось, он происходит при вызове RegSetValueExW, прописывающий наш семпл на авторан.
Обычная проактивка!
Обдумав все полученные факты, мы пришли к выводу, что т.н. "модуль сканирования памяти" это надстройка над HIPS (HIPS - проактивная технология защиты, построенная на анализе поведения.)
При вызове подозрительных апи, например необходимых для инжекта в чужой процесс, NOD останавливает выполнение нашего семпла и проверяет его в памяти. Что разумно, ибо к моменту вызова палевных апи модуль почти наверняка будет в распакованном виде, даже если до этого был качественно закриптован.
Используйте качественный софт с поддержкой!
egyp7 и valentin_p
coru.ws
И так, теперь нам следует скачать сам пакет sqlmap, для этого в консоли линукса я использую пакет "GIT", и его функцию "clone", для этого в консоли выполем следующее
p.s. Обзор выше. Это пост для главной.
RAMNIT BOT
Впервые появился ~ в апреле 2010, как файловый инфектор, заражающий pe32(.exe, .scr и .dll) и HTML-документы. Сейчас это многокомпонентный бот, который может воровать важные данные, такие как FTP-аккаунты и куки из браузера. В течении лета 2011 ramnit достиг пика своей популяции, занимая более 17% от всех случаев заражения.
Однако очевидно, что владельцы ботнета не могли быть удовлетоврены одним лишь взятием этой ачивки, и область интересов малвари сдвинулась с одного заражения и кражи учетных данных к атакам на финансовые учреждения, позаимствовав некоторые модули из утёкшего Zeus.
В этой статье мы погрузимся глубже в анализ Ramnit, в функциональность каждого из его компонентов. ВЫ увидите каким мощным зверем он стал, и мы прольём свет на его вероятные пути развития.
Красивая хрень на картинке? Специально старался чтобы привлечь ваше внимание. А теперь поехали под кат. Будем знакомиться с новым продуктом на рынке. Называется сие чудо - "Migera".
Давайте попробуем разобраться что это и с чем его едят.
Migera - это менеджер web-шеллов. Она позволяет:
1. чекать ваши шеллы на жив/мертв
2. смотреть информацию по имеющимся шеллам. ОС, битности, привилегии и т.д.
3. выполнять на всех шеллах разом один и тот же код, запускать произвольные файлы
4. имеются шаблоны для проведения иных операций. Таких как ддос, спам и т.д.
Ну давайте посмотрим на картинки имеющейся админки:
Посмотрели? Симпотично в целом. Но вот количество опций и вариаций... я по старости своей стал трудно воспринимать админки в которых надо разбираться более 20 минут... А тут придется покопаться и не раз обратиться за мануалом. НО. Чувство полного контроля... Оно бодрит и заставляет чувствовать себя .... местным божком
Ладно. Поехали дальше. Пробуем заставить данное чудо работать.
Вкинем для старта в него шеллов. Я заливал 1283 шелла выданных автором.
Берем шеллы, заходим на нужную вкладку, ctr+v, поехалииииии.......иииии.....иииии.......
Долго. Очень долго идет импорт. По моим подсчетам - порядка 4 минут. Как-то меня это огорчило. Ну не через браузер же они чекаются в самом деле. Недоработачка...
Ладно. Бог с ним. Тыкаем в кнопочку "перезапуск" .... офигеваем. Данная софтина чекает шеллы быстрее чем импортирует раз так в ... 10. (может мне инет пора менять? А вдруг и правда браузером чекали их при импорте
)))Воу-воу полехче. Проц 150-160%. Сильно. Но пофиксить надо.
Отлично. Получили мы на выходе списки отчеканных шеллов. Видим валид/не_валид/ошибки авторизации. Хм. А удобно при покупке шеллов вот так за секунды их все чекать.
Принцип здесь следующий. Создается конфиг (шаблон работы по нашему). Затем по шаблону билдится задание. А затем задание устанавливается на запуск. Смотрим.
Я тоже не сразу врубился. Но в принципе логично, если подумать. Да и богатство выбора радует. Можно зашаблонить любую задачу. Потом подставлять в нее нужные переменные и юзать буквально тремя кликами. Кстати, на картинках выше мы создавали шаблон для ддоса сайта. (т.к. по словам автора, шеллы были порядком юзанные, завалить цель нам не удалось, хотя заметна была значительная задержка в ответах сервера.)
А таким образом создал шаблон для скачивания главной страницы dlab.im
Код:
echo file_get_contents("https://dlab.im/");
Ну и подтверждение что боты реально ломились за страничкой.
Теперь небольшая ложка коричневого вещества.
Для проверки сего дела был подключен наш уважаемый модер GOONER.
Если кратко - то да. Данные технологии имеют место быть. Они реально работают. Они реально помогают. Но вот назвать их приватными. Ну переработанными - да. Ну улучшенными - да. Но это не зиродей. Это легко гуглится. Просто нужно иметь определенный скилл что бы переработать и использовать это.
Ну и вроде все. Продукт есть. Он интересный. Но он не уникальный. Стоит ли он своих денег - решать вам и только вам. За автора могу замолвить слово. Оперативный. Жаждет найти своего покупателя. Готов переписать хоть ДНК любимого хомячка для достижения своей цели. Так что вопросов типа "а переделайте мне на r57 или с99" задавать даже не стоит. Это будет реализовано быстро и вероятно еще до первой продажи. Добавление любого функционала - запросто. В общем удачи и процветания нам, вам и автору.
Записки на полях, специально для xss.pro/ by Ar3s
Рад вас снова видеть на нашем форуме. В эти жаркие июльские дни делать абсолютно ничего не хочется. Полная лень и апатия.
В амебном состоянии я решил почитать твиттер. И наткнулся на множество сообщений о новой малваре под линукс под названием Mayhem. Ну покликал по ссылкам. Почитал. Первое упоминание более-менее информативное попалось от яндекса. Информация была скудная но интересная.
Это и привлекло мое внимание. Долгое гартание вниз привело меня к линку на блог MMD (Malware Must Die!).
C указанных урлов были стянуты сэмплы. Но не просто так а с некоторыми приключениями.
Первая часть файлов была отдана gooner на растерзание.
C 18.09.2014 на форуме появился раздел аукцонов. Что это значит и с чем это едят - советую почитать тут.
Первый аукцион размещен тут. И это не шутка.
Призываю всех активнее присоединяться к данному типу сделок. Это может выгодно сказаться на вашем деле.
https://xss.pro/img/p2p/logo.png
Доброго времени суток уважаемые посетители форума!
Ввиду двух вещей, которые уже произошли или вот-вот произойдут мне захотелось по будоражить общественность на тему замены всем знакомого jabber (xmpp).
А произошло два события:
Дорогие друзья, свершилось! Без объявления войны, журнал Inception дорос до второго выпуска, теперь он в pdf.
Это наш подарок миру:
Это наш подарок миру:
23 мая 2015 года состоится 3я бета конференция форума reverse4you.org
Приглашаем к участию докладчиков с докладами на такие темы как:
реверс инжиниринг
низкоуровневое программирование
обход защиты ПО
обход АВ
фаззинг
Если вам есть что рассказать присылайте ваши доклады на e-mail: mail.gif conf@reverse4you.org
- Статус