WinAPI

http://www.bcw.narod.ru/

Смотрел поледний ролик IppSec и открыл для себя очень удобную утилиту создания скриншотов:

apt install flameshot

Умеет выделять зону на экране, добавлять текст, стрелки, комментарии, блюрить часть скриншота (креды например), выделать участки прямоугольниками, менять цвета всего этого правой кнопкой мыши, можно даже сделать скриншот области, перетащить в нужное место и снова сделать скриншот этой области... MUST HAVE!

BIOS interrupts

http://www.ctyme.com/intr/int.htm

Dr Fu

http://fumalwareanalysis.blogspot.com/p/malware-analysis-tutorials-reverse.html

Мы добавили статью в нашу коллекцию Windows Process Injection

"Thread and Process State Change a.k.a.: EDR Hook Evasion Method #4512" от Yarden Shafir

Ссылка

SimpleHTTPServer на Rust

cargo install simple-http-server

Генерим серт

req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

Перепиливаем серт в нужный формат

pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt

Добавляемся в hosts
Запускаемся

simple-http-server.exe -i --ip 127.0.0.1 -p 80 --cert .\certificate.pfx --certpass YOURSUPERSECRETPASS

Tenet is an IDA PRO plugin for exploring execution traces. The goal of this plugin is to provide more natural, human controls for navigating execution traces against a given binary.

Check it out: https://blog.ret2.io/2021/04/20/tenet-trace-explorer/

#idapro #reverseengineering #idapython #KosBeg

■■■■□ OverRide - Binary Exploitation And Reverse-Engineering (From Assembly Into C).

https://github.com/anyaschukin/OverRide

​👾 APT-бэкдор ShadowPad.

Winnti — Китайская хакерская группировка, ключевые интересы которой — это шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из ВПО собственной разработки. Winnti использует сложные методы атак, в числе которых supply chain и watering hole. Группа точно знает, кто их жертва: она очень осторожно развивает атаку и только после детального анализа зараженной системы загружает основной инструментарий.

🖖🏻 Приветствую тебя user_name.

• Сегодня я хочу затронуть тему, касательно ShadowPad. Это бэкдор который применялся в атаках типа supply chain (такими, к примеру, были взломы CCleaner и ASUS). ShadowPad активно использовался Winnti, которая активна по меньшей мере с 2012 года.

• Описать данный бэкдор в рамках одного или даже нескольких постов, у нас не хватит места и займет много времени. Поэтому я рекомендую ознакомится тебе с материалом от PT: ShadowPad: новая активность группировки Winnti. Либо обратить внимание на отчет от drweb: Исследование APT-бэкдора ShadowPad и его связи с PlugX.

• Если ты увлекаешься анализом вредоносного кода, и тебе интересна эта тема, то наши друзья vx-underground загрузили себе на сайт образцы ShadowPad. Скачать можно отсюда: https://vx-underground.org/samples/Exotic/ShadowPad/

• В качестве дополнительного материала, я рекомендую тебе ознакомиться с пошаговым руководством по внедрению эксплойта в ядро Linux ➕ изучить ряд статей:

• DEFENSOR ID.
• Silver Sparrow.
• Anubis. Исходный код.
• Cerberus. Исходный код.
• MosaicRegressor. Буткит для UEFI.
• Новый вид фишинговых атак. Образцы малвари.
• Ragnar Locker. Вымогательство из Виртуальной Машины.
• Создание лабораторной среды для анализа вредоносного ПО.

‼️ Дополнительную информацию ты можешь найти по хештегу #Malware. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.

A Silly Anti-Disassembly Trick (Score: 100+ in 6 hours)

Link: https://readhacker.news/s/4Kkpd
Comments: https://readhacker.news/c/4Kkpd