Как создать буткит самостоятельно
Буткит являет собой стандартный рудкит, который включается еще до того, как операционная система загрузилась. Основной его особенностью является то, что он может перехватывать функции ядра и повышать до уровня системы привилегии. Навыки по написанию буткита будут полезны для тех, кто хочет зафиксировать свои знания по строению системы. Написания буткита является непростой задачей, так как причина возникновения ошибки не всегда ясна. Тузлы, которые нужны для написания:
виртуальная машина, на которой установлена Windows XP;
язык программирования С++;
программный пакет TASM;
редактор файлов двоичного типа (Hiew);
опционная программа Bochs.
Составление алгоритма
После включения компьютера загружается биос и выполняют все положенные на него функции. Первая часть буткита пишется с первого сектора первого диска, на который проходит джампация биоса. Перехват функций прерывания биос даст возможность контролировать дальнейшее считывание дисковых секторов. Если мы осуществим перехват данного прерывания, то сможем сделать просплайс любой функции, которая вызывалась операционной системой. Это обеспечит сохранение при переходе в защищенное состояние. Как только функция, которую мы перехватили, вызовется, обработчик будет выполнять полезную нагрузку.
Поочередность действий:
запуск операционной системы с главной загрузочной записью;
переписка первых байтов (446) главной загрузочной записи кодом буткита;
выполнение компиляции кода;
осуществление записи бинарника в главную загрузочную запись.
Скопировать код можно на 1 килобайт оперативной памяти компьютера. По адресу, на котором находится эта память (0:413h), система не будет обращаться, так как для нее будет создаваться впечатление, что там уже память отсутствует. Далее переходим в место, куда скопировали код, и выполняем оставшуюся работу. Вначале тут происходит чтение четвертого сектора, расшифровка главной загрузочной записи и в конце выводится строка, в которую нужно ввести пароль. После правильного введения пароля операционная система загружается в стандартном режиме.
Открыть бинарник, который вы получили, можно в редакторе типа Hiew, и там скопировать все байтики.Также можно использовать плагин, который выполнял копирование байтиков, и преобразовать их в массив на языке Си. Если все было выполнено верно, операционная система будет продолжать грузится.
Троян BackSwap использует новые способы кражи средств с банковских счетов
Работники из ESET недавно выявили еще один вид трояна, который использует совершенно инновационный метод по воровству криптовалюты со счета банка. Троянский вирус под названием BackSwap ведет работу с интерфейсом графики в операционной системе Windows. Работа выполняется при помощи имитирования клавишных нажатий во избежание его выявления, и для того, чтобы обойти все средства защиты, используемые в рабочем браузере.
История возникновения троянского вируса
Специалисты, которые занимаются уничтожением данного вируса, заметили его еще в начале 2018 года. На тот момент кибер группа, разработавшая BackSwap, начала распространять свою первоначальную версию программы такую, как «Программа для воровства виртуальной валюты». Ее действия были направлены на изменение адресных данных веб кошелька в обменном буфере. После этого группа кибер специалистов создала обновленную версию. Начиная с 13.05.2018 года, ESET обозначают всю антивирусную продукцию под знаками Win32/BackSwap. A.
Способы распространения трояна BackSwap
Эксперты утверждают, что существует, как минимум, два способа распространение троянского вируса.
1. За счет спама через загрузчика под названием Nemucod. В заспамленной папке с письмом находится вложение с измененным кодом, который трудно проанализировать. На сегодняшний день такая рассылка ориентирована на клиентов банковских отделений, живущих в Польше.
2. Также через заспамленные письма, но с помощью загрузчика Nymaim. Содержимое письма практически не отличается от предыдущего.
Подробное описание трояна BackSwap
Данный троянский вирус работает через программное обеспечение Malware. Специалисты, занимающиеся исследованием этого вида вируса, утверждают, что он внедряется в браузерный процесс за счет вредоносного кода. Таким образом, Malware может отследить посещаемость официальных сайтов интернет-банкингов, а потом изменить трафик или перенаправить свою потенциальную жертву на мошеннический сайт. Но это достаточно сложная задача, чтобы реализовать ее, так как современная антивирусная продукция с защитными механизмами для браузера легко сможет распознать подобную внедряемость кода.
Также известно то, что создатели трояна адаптировали свои схемы по атакам на каждую версию браузеров и запаслись тактиками на случай выхода обновлений. Таким образом, BackSwap не занимается внедрением вредоносного кода в процесс. Он просто отслеживает момент, когда человек зайдет в банкинг. Это возможно при помощи событий Windows, которые отражаются в цикле ожидания оповещения.
Троян BackSwap использует новые способы кражи средств с банковских счетов
Разработчики антивирусных программ под названием ESET совсем недавно обнаружили очередной, не похожий на остальные виды, троянский вирус. Он направлен на кражу виртуальной валюты с банковских счетов. Новый вирус носит название BackSwap. Его работа ведется при помощи графического интерфейса исключительно через операционную систему Windows. Действия заключаются в том, чтобы имитировать нажатия клавиш клавиатуры для того, чтобы:
быть незамеченным при проникновении в процесс браузера;
обойти все существующие антивирусные средства, которые используют в рабочем браузере.
Как происходит рабочий процесс трояна BackSwap
Вся работа производится при помощи вредоносного обеспечения под названием Malware.
1. Малвар занимается отслеживанием урл страницы, которую пользователь посетил в последний раз.
2. Затем он устанавливает перехватчик всех прошедших событий (event hooks). Это предоставляется возможным при помощи цикла оповещений от ОС Windows. К ним относятся:
еvent focus object;
еvent selection object;
Еvent name change object идругие.
Программа занимается поиском значения, указанного урл при помощи поисковой системы по объекту их строк, начинающиеся с обозначением НТТРS.
3. После этого, антивирусная продукция под названием Win32/BackSwap. A. ищет адрес, который относится к банку, а также заголовок окна в браузере. В заголовке должно быть указано то, что банковский клиент готов к денежному переводу.
4. После обнаружения заданной информации, создатель трояна внедряет вредоносную программу, которая полностью соответствует конкретному банковскому отделению и вводит его в нужный браузер. Распознавание проводится вполне простым, даже местами тривиальным, однако очень эффективным методом.
Мнение специалистов ESET
Разработчики ESET уведомляет о том, что в данный момент троян БэкСвэп активно применяется в атаках, направленных на клиентов как минимум 5ти банков в Польше. А именно:
ПКО Польский Банк;
ВБК С.А. Банк Заходный;
мБанк;
ИНГ и Пекао.
Также специалисты указывают на то, что разработчиков троянского вируса интересуют переводы денежных средств исключительно в крупных размерах. Размер варьируется от десяти тысяч до двадцати тысяч в польской валюте. В переводе на российские рубли – это от 168 тысяч до 337 тысяч рублей. Код мошенников не просто заменяет расчетный счет получатели, а изменяет вводное поле на липовое.
WWW: Google Sheets VM — виртуальная машина внутри электронной таблицы
Виртуальная машина – это программная система, которая работает по принципу отдельно разработанной программы, дает возможность запуска одной ОС в виде отдельно созданного приложения. Программа гостевой системы полностью изолирована во внутренней части виртуальной машины. Как пример одной из таких машин рассмотрим WWW: Google Sheets VM.
Что представляет собой WWW: Google Sheets VM
WWW: Google Sheets VM представляет собой простую виртуальную машину, которая создана в электронной таблице от Google. Ее задача – исполнение программ. Автором данной разработки является блогер Брайан Стефенсон. Он решил опубликовать один пост в своем персональном блоге, где описал вполне исчерпывающую инструкцию о проведении своего нового, интересного эксперимента.
Как создать виртуальную машину внутри электронной таблицы: рекомендации специалиста.
1. Прежде всего, пользователю необходимо открыть и скопировать документ, который есть на персональной странице блогера Брайана Стефенсона. Это крайне необходимо, так как в противном случае скрипты не будут работать.
2. Далее нужно немного подождать момента, когда на экране появится вкладка под названием «Компьютер».
3. После этого, нажав на данную вкладку, надо будет прослушать некое предупреждение от Google про то, что подобное расширение не является пунктом «белого списка».
4. После того, как программа полностью готова, нужно выбрать пункт под названием «Run».
5. Затем на экране появиться ячейка, которая называется «Output», в ней можно заметить появление вычислительных результатов. По желанию вы сможете написать там что-то свое, самостоятельно. Для данной отладки необходимо воспользоваться пошаговым исполнением под названием «Step».
Тем, кому интересно, какой рабочий процесс данной виртуальной машины, могут открыть дополнение «Scripteditor» и подробнее ознакомиться с работой. Этот скрипт совсем несложный, в нем менее пятисот строк.
Подведение итогов
Виртуальная машина WWW: Google Sheets VM является достаточно просто. В ней есть 4 регистра по общему предназначению, указатели на вспомогательную инструкцию и указатель на стеку. Кроме этого в ней имеется девять инструкций. Среди них: прибавление, отнимание, возможность умножать и делить, проведение операций со стекой, возможность безусловного и условного перехода, различные функции, выведение остатка.
22,97% лучших VPN на рынке допускают утечки данных
Джон Мейсон занимается исследованием в области безопасности киберпространства. Он провел тестирование 74 VPN-сервисам, чтобы обнаружить, существуют ли утечки информации самой разной конфигурации. При проведении тестирования, специалист самыми разными методами старался заполучить фактический IP-адрес пользователя. Известно, что никакие сервисы не должны раскрываться, чтобы вся информация была строго конфиденциальной.
Господин JohnMason при своем исследовании проделал единое тестирование, для обнаружения факта утечки IP-адреса. Для получения точной информации специалист применял шесть самых разных посторонних инструментов.
После окончания проведения работ, полученные результаты не удовлетворили исследователя: из 74 VPN-сервисов утечку данных давали 17 сервисов. Об этом Мейсон написал в отчете о своих исследованиях, добавив, что это составляет 22,97% самых «лучших» VPN-сервисов, имеющихся на рынке.Специалист опубликовал весь перечень сервисов, которые могут подвергаться утечкам. Некоторые VPN-сервисы из списка представлен ниже:
1. Hoxx VPN – за него можно платить или получить без оплаты.
2. VPN Area - за вариант нужно платить;
3. VPN.ht - за вариант нужно платить;
4. DotVPN - вариант без оплаты;
5. Hola – вариант полностью без оплаты;
6. Speedify - вариант без оплаты;
7. Betternet - вариант без оплаты;
8. Ivacy – вариант без оплаты;
9. Touch VPN - за вариант нужно платить;
10. Zenmate - вариант без оплаты;
11. Ace VPN - за вариант нужно платить;
12. AzireVPN- за вариант нужно платить;
13. BTGuard - за вариант нужно платить;
14. VPN Gate- вариант без оплаты;
Самыми общеизвестными формами утечек информации являются:
DNS;
WebRTC;
IP;
для Chrome существуют утечки расширений.
Чтобы при исследованиях получить максимально точный результат, Джон Мейсон применял такие инструменты, например:
Check IP (IPv6 & IPv4) | Perfect Privacy
IP X - IP info and leak test suite
Обстоятельные результаты исследований и методы проведенного тестирования, представлены в подробном отчете, который опубликовал Джон Мейсон.
Читать статью на:
