Публикации по теме 'malware'
Деобфускация RAT на основе .JS #1
Недавно я обнаружил образец вредоносного ПО .JS на MalwareBazaar , который выглядел интересно. В этой статье описываются шаги, которые я предпринял, чтобы раскрыть его истинные намерения.
На первый взгляд видно, что он сильно запутан, а на месте разбросано интересное слово:
Странное слово, на которое я ссылаюсь, это «r0Tw31LeR». Меня это заинтриговало и заставило копнуть глубже.
Сценарий начинается с определения различных функций и переменных, используемых для раскрытия..
Повышение привилегий с помощью подмены родительского PID
Добро пожаловать в нашу последнюю статью, в которой мы погружаемся в интригующий мир повышения привилегий в ОС Windows. Сегодня мы представим передовую технику, известную как подмена родительского PID, мощный метод, позволяющий повысить привилегии с Администратора до желанной NT AUTHORITY SYSTEM .
Введение
В сфере кибербезопасности повышение привилегий является важнейшим аспектом понимания и обеспечения безопасности компьютерных систем. Эксплуатируя уязвимость подмены родительского..
Расшифровка строки Poison Ivy
Это короткий и краткий блог, чтобы поделиться с вами, как и было обещано, сценарием IDAPython, используемым для расшифровки строк в образце Poison Ivy, который обсуждался в нашем предыдущем сообщении в блоге [1].
Прежде чем мы сможем начать расшифровку строк, нам сначала нужно найти функцию декодирования строк. Просматривая код Poison Ivy, мы видим функцию, которая принимает три параметра в качестве входных данных; один из них является ключом, а другой — смещением на несколько байтов...
Олицетворение процесса токена пользователя
Добро пожаловать в мою новую статью, в которой мы отправляемся в исследовательское путешествие в увлекательную и сложную технику вредоносного ПО для Windows, известную как «Олицетворение токена процесса». Поскольку киберугрозы продолжают развиваться, понимание сложных методологий атак и противодействие им становится все более важным. В этом отношении олицетворение токена процесса представляет собой серьезную проблему для систем Windows, поскольку оно использует уникальный подход для..
Разработка эксплойтов 02 - формат файла PE 1
PE - это собственный 32-битный формат файла Windows, а PE + - собственный 64-битный формат файла Windows. Каждый 32-битный исполняемый файл Windows (кроме VxD и 16-битных DLL) использует формат файла PE.
32-разрядные библиотеки DLL, файлы COM, элементы управления OCX, апплеты панели управления (файлы .CPL) Серверы Scren и исполняемый файл .NET являются форматом PE. Даже драйверы режима ядра NT используют формат файла PE.
Тем не менее, зачем нам об этом знать? Есть несколько причин...
Дополнительная оптимизация потерь для увеличения гипотез для обнаружения домена DGA
В этом посте описаны некоторые эксперименты, которые я проводил с использованием вспомогательной оптимизации потерь для увеличения гипотез (ALOHA) для обнаружения домена DGA.
(Обновление 2019–07–18) . Получив отзыв от одного из авторов статьи ALOHA, я изменил свой код , чтобы установить веса потерь для вспомогательных целей, как они это делали в своей статье (использованные веса: основная цель 1.0, вспомогательные цели 0.1). Я также добавил 3 словарных DGA. Все диаграммы и показатели..
Объектно-ориентированное вредоносное ПО - говорит какой-то чувак
Я работаю в сфере безопасности, и одна вещь, о которой я слышал много путаницы, - это некоторые из поколений новых инфекций и почему даже новейшие антивирусные решения на основе машинного обучения и искусственного интеллекта не могут обнаружить некоторые из этих инфекций. Я не стремлюсь полностью технически устранять любую из этих угроз, поскольку существуют лаборатории с лучшими ресурсами и более осведомленными людьми, которые могут выполнять гораздо лучшую работу, чем я мог надеяться..
