Почему малварь жива?

Тема в разделе "WASM.ZEN", создана пользователем hiddy, 7 апр 2019.

  1. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    Rel, у скриптов всё же есть существенный недостаток == их как-то надо доставить на машину жертвы и установить + ничего не мешает делать белые листы и для скриптов тоже. короче, обыденный юзерь не всегда сможет запустить и "белый" скрипт, а уж на остановку левачка он даже думать об этом устанет + коменты в этих инетах от ужо прошедших сий тяжкий путь зовсим нЭдопомагають (напостят всякие недоброжелатели, мол-де плохой скрипт своровал чой-то/завалил ось/прочие пошлости да вульгарщену) :)
     
  2. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    установить скрипт? это что-то явно новое...
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    Rel, chmod +x ./script.sh да, и не из всякой директории можно запустить даже sh -c ./script.sh (в зависимости от настроек). конечно, можно поизощряться чрез cat ./script|sh но такое не всегда сработает, нужно ужо типо такого cat ./script|sed -e $cmd|sh. с тем же питоном, там совсем грустно == не все зависимости могут оказаться на машине жертвы.
     
  4. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    как бы про венду разговор был...

    99% того, что нужно малвари, уже есть в стандартной библиотеке, начиная с питона 2.6... остальное при желании можно таскать в скрипте... можно даже сдропнуть so-шник и подгрузить его через ctypes...
     
  5. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    в вынь тоже можно запретить прямой запуск скриптов, тч считай их придётся устанавливать.
    много раз встречал ситуацию, когда пЕтончик с первого пенделя не пашет и приходится ковыряться со всем сим безобразием да чрез pip не всегда нормально модули удаётся подгрузить приходится их ставить по-всякому + бывают конфликты зависимостей. ваще, в лине и белую софтину поставить.. может в такое безобразие укатывать, а с малварей == тамо нужно целый супорт открывать с бесплатной горячей линией. ЗДРАВСТВУЙТЕ, НАША МАЛВАРЯ, ТО ЕСТЬ ОЧЕНЬ НУЖНЫЙ СОФТ, КОСО ВСТАЛА В ВАШУ СИСТЕМУ. ПОЖАЛУЙСТА, ОТРЕДАКТИРУЙТЕ НАСТРОЙКИ СУДО ИЛЬ ОТКРОЙТЕ НАМ РЕМОУТ ДОСТУП :)
     
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    я тут привел ссылку, там порядка 60 различных венды, которые нужно будет блокировать...

    когда имеешь прямые руки, с питоном мало проблем возникает...
     
  7. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    а что их блокировать? движок модифицируется == прежде, чем скрипт запускается, его сверяют на валидность. к примеру, хэш сумма + размер файла и, если ничего подобного в белом списке нет, ноу-гоу
    как-то пересёкся с одним челом и он мне изрёк сакраментальную фразу: ПРОГИ НАДО ПИСАТЬ БЕЗ БАГОВ.
    конечно, надо (кто же спорит?). :) на деле же питон так хорош для малвари, что им толком и не пользуются.
     
  8. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    админы не станут себе перекручивать яйки запрещая VBScript/Powershell, которым они сами пользуются для администрации сети во-первых... во-вторых, даже если они заблочены, то это всего 2 процесса из 60, которые потенциально можно использовать для запуска кода... заблочил InstallUtil, получил невозможность удаленно устанавливать .NET сервисы юзерам... заблочил regasm, пользователь не может установить ни один COM-объект на систему... заблочил MSBuild, внезапно у всех программистов в сети пропала возможность собирать код... заблочил wmic, никакие wmi-скрипты от пользователя больше не работают... ну и тд...
    --- Сообщение объединено, 18 апр 2019 ---
    пользуются гораздо больше, чем ты думаешь... даже в ред-тименге есть https://github.com/EmpireProject/EmPyre - которую постоянно юзают с линуксами и маками...
     
  9. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.074
    и что с того? я хотел бы увидеть успешный скриптовый вирус.. впрочем, был такой ILOVEYOU.txt.vbs но дело было давно и такое уже не тащит :)
    всё решаемо, просто решать надо :)
     
  10. hiddy

    hiddy Member

    Публикаций:
    0
    Регистрация:
    10 мар 2019
    Сообщения:
    82
    Потому что m$. Понятное дело что есть уязвимые драйверы и парочка 0-day в привате, но это не считается, у рядового малварщика, коих большинство, нет ни того ни другого.
     
    UbIvItS нравится это.
  11. im.

    im. Active Member

    Публикаций:
    0
    Регистрация:
    16 сен 2017
    Сообщения:
    310
    У винды прикол есть, на некоторых версиях нет полного набора корневых сертификатов, по-моему 2011 года, и часть подписанных легитимных драйверов не встает. Что касается ядра, на мой взгляд отсутствие информации это следствие недоверия паблику. Появились буткиты в паблике, привело к тому, что всякое дно стали на них запускать, локеры всякие. Ни один здравомыслящий человек, знающий как добраться до ядра, не выложит маргиналам такую информацию, да еще и бесплатно.

    По-мимо этого никуда не подевалось направление ресерча прошивок различных устройств, все эти ring -1 и ring -2. У материнок полноценная ОС встроена судя по крутости интерфейсов firmware, в SSD многоядерные процессоры в контроллерах со сложным ПО, настоящие аппаратные визоры типа Intel AMT и прочее. И все это без какой-либо защиты от малвары. Считаю здесь самое интересное. Развитие продолжается, все это только будет усложняться.
    --- Сообщение объединено, 28 апр 2019 ---
    Мнение Криса Касперски из логов:
     
    Последнее редактирование: 28 апр 2019