> @oleksandr_now гайз, тут появился такой вопрос. надо портабл (запускать с флешки, без админа) виртуалку с виндой сделать. из сети ей нужен только NAT, никакой интеграции с системой не надо, то есть чисто теоретически это должно быть реально. из чего такое делают? тебе на какой ос?

хостовая всмысле

О! Мимо проходя. А кто на nasl по нессус и опенвас умеет писать? У меня приступ одиночества.

Ясно-понятно)

ты хотел странного)

ты хотел странного)

Ну вдруг извращенцы есть)

хостовая всмысле

win 7+, в идеале линух/osx тоже, но не обязательно

вмтварь плеер

кстати это идея, надо глянуть

ему дрова нужны

вообще на виндах с hyper-v ты можешь просто hyper-v включать а на флешке только конфиг и диск виртуалки держать

хотя что бы его врубить и настроить все равно привилегии админа будут нужны

Раз так, кто нить драйвера под винду писал/пишет?

Без взаимодействия с устройствами

В разрезе ИБ

короче получается что qemu со своим движком динамической бинарной трансляции это самое лучшее что ты можешь себе позволить

для всего остального нужны гипервизоры и прочее

О! Мимо проходя. А кто на nasl по нессус и опенвас умеет писать? У меня приступ одиночества.

зачем?

@isox_xx у меня к тебя провокационный вопрос. Какие модели угроз в случае атаки на терминал ты видишь? При попытке применить http://fstec.ru/component/attachments/download/812 к данному вопросу начинает болеть голова 8)

> inte11 Раз так, кто нить драйвера под винду писал/пишет? > inte11 Без взаимодействия с устройствами > inte11 В разрезе ИБ писать не пишу, но ломаю)

если на нексус есть лиц. то писать ниче не надо

Что значит ломаешь?)

разве что одеи есть какие

значит 0деи ищу

Дизассемблеришь?

Ненавижу ассемблер)

@isox_xx и будут ли по твоему мнению эти модели угроз отличаться от случая с банкоматами?

могу и нет, пару раз писал рабочий эксплойт чисто по логу фаззера

пару раз по аварийному даму с машины не имея самого драйвера на руках

Ты находишь уязвимость в 0м кольце

А эксплуатируешь ее в 3м?

В юзер мод?

ога

Ну круто

откуда ее еще есть смысл эксплойтить, лол

@isox_xx у меня к тебя провокационный вопрос. Какие модели угроз в случае атаки на терминал ты видишь? При попытке применить http://fstec.ru/component/attachments/download/812 к данному вопросу начинает болеть голова 8)

Пс) у меня есть два ответа))) ленивый на сегодня - напоминаю, что ни один терминал не принадлежит нам и не является частью нашей инфраструктуры) это же агентская схема, мы только пилим процессинг. Неленивый - там интересная игра уровня "ты с одними правами с злоумышленником". Ну тут советую слить наш бинарь и переверсить, мы стараемся "бодаться" по мере возможности сил.

Если есть возможность получить адм привилегии, нет ничего сложного в регистрации и запуске драйвера без перезагрузки

@isox_xx я помню, про то, что терминалы не ваши и все остальное.

А это уже совершенно иной уровень владения машиной

@isox_xx мне бы тезисно хотя бы, на твой взгляд и в сравнении с банкоматами

> inte11 Если есть возможность получить адм привилегии, нет ничего сложного в регистрации и запуске драйвера без перезагрузки ну DSE тебе как минимум нужно будет обойти который подпись у твоего драйвера проверять будет

но это легко, да

те мне интересено это все не для частного случая терминалов Qiwi.

В случае с х64

сейчас везду x64

я эксплойты и руткиты под 32-х битные системы уже лет этак несколько портирую только по особому запросу потому что не нужно никому

Печалька

Но помнится я встречал способы обхода этой фигни еще давно. Может чтото и новое придумали

да там обходить нечего

Например? Левый сертификат сделать? Я просто не помню

Дело давно было

если у тебя уже есть админ в юзермоде -- то тупо грузишь чужой подписаный драйвер (от китайского антивируса там) с известной 1day багой, обходишь SMEP с помощью ROP цепочки и шеллкодом грузить уже образ своего драйвера который надо запустить

посмотри на blog.cr4.sh первую статью про уязвимости в синкпадах, я сто лет назад выкладывал код для обхода DSE на базе 0дей уязвимости в драйвере от secret net

Ок, спс

этим же кстати антивирусы и hips вообще отлично обходятся (включая весь этот ваш сраный некстген) потому что на подписанный драйвер от нормального продукта они не ругаются

а то что он грузится что бы быть немедленно проэксплуатированным -- они и не поймут

этим же кстати антивирусы и hips вообще отлично обходятся (включая весь этот ваш сраный некстген) потому что на подписанный драйвер от нормального продукта они не ругаются

хехе, отлично

ей

ERROR: S client not available

неужели спят все

Что такое сон?

действительно

когда есть кек

Нет кека на земле, но нет его и выше.

Исходники https://www.sendspace.com/file/vqqmlj

Бесплатный сыр только в мышеловке и то для второй мышки

Бесплатный сыр только в мышеловке и то для второй мышки

(с) @isox_xx )))

Альт линукс умер

а зачем он был нужен?

а зачем он был нужен?

Теперь астра линукс в приоритете

и тоже не нужен

Миллионы выделяют

И?

Обычная практика распила

Теперь астра линукс в приоритете

Конечно, конечно

))

камрады, а кто в теме - киньте линкой как запдейтить win2003 от пети. для более новых осей вроде нахожу инфу, но для старья этого маловато чтото вот например как этот SMB1 выключить - не нахожу

0patch

камрады, а кто в теме - киньте линкой как запдейтить win2003 от пети. для более новых осей вроде нахожу инфу, но для старья этого маловато чтото вот например как этот SMB1 выключить - не нахожу

https://www.microsoft.com/en-us/download/details.aspx?id=55248 — вот же вроде, не?

да 98 накатил. а что - это все чтоле?

камрады, а кто в теме - киньте линкой как запдейтить win2003 от пети. для более новых осей вроде нахожу инфу, но для старья этого маловато чтото вот например как этот SMB1 выключить - не нахожу

KB4012598

угу.. впрочем да. если верить https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ то это все что можно поделать с 2003 спасибо.

а еще можете посоветовать сканер или скрипты на проверку от пети? чтобы немного убедиться, что апдейты делают свое дело

угу.. впрочем да. если верить https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ то это все что можно поделать с 2003 спасибо.

Ты и сам это понимаешь, но с 2003 надо бы уже валить.

а еще можете посоветовать сканер или скрипты на проверку от пети? чтобы немного убедиться, что апдейты делают свое дело

можешь его запустить просто

валю, но еще есть койкакая кухня с ним. терминалы будь они неладны

А разве не тут пролетала ссылка на какой-то сканнер как раз на EternalBlue и вот эту всю хрень?