• Избранное: ссылки по reverse engineering


      Всем привет!


      Сегодня мы хотели бы поделиться своим списком материалов по тематике reverse engineering (RE). Перечень этот очень обширный, ведь наш исследовательский отдел в первую очередь занимается задачами RE. На наш взгляд, подборка материалов по теме хороша для старта, при этом она может быть актуальной в течение продолжительного времени.


      Данный список ссылок, ресурсов, книг мы уже лет пять рассылаем людям, которые хотели бы попасть в наш исследовательский отдел, но не проходят пока по уровню знаний или только начинают свой путь в сфере информационной безопасности. Естественно, этому перечню, как и большинству материалов/подборок, через некоторая время потребуется обновление и актуализация.


      Забавный факт: нам показывали, как некоторые компании рассылают наш список материалов от себя, но только в очень старой редакции. И вот после этой публикации они, наконец, смогут использовать его обновленную версию с чистой совестью ;)


      Итак, перейдем к списку материалов!

      Читать дальше →
    • Microsoft Office Automation: Еще одна лазейка для макровируса

        Пакет программ Microsoft Office — это не только фактический стандарт офисного ПО, но и весьма сложная и многофункциональная среда, позволяющая создавать решения, предназначенные прежде всего для применения возможностей Microsoft Office и автоматизации рутинных действий пользователя при работе с документами. Эта программная платформа, называемая Объектной Моделью Microsoft Office (Microsoft Office Object Model), или же Автоматизацией Microsoft Office (Microsoft Office Automation) основана на Объектной Модели COM и содержит обширный набор классов, предоставляющих доступ практически к любому элементу или действию, доступному пользователю при работе с Microsoft Office через графический интерфейс.

        image
        Объектная модель Microsoft Word (частично)
        Читать дальше →
      • Внедряем безопасность в процесс разработки крупного проекта



          В данной статье нам хотелось бы поделиться своим опытом внедрения нашей команды пентестеров в цикл разработки большого проекта «МойОфис». Найти материал подобной тематики с реальными кейсами на русском языке практически невозможно. Всем, кого интересует модные направления пентестов, теория, практика, методики, тулзы и реально найденные уязвимости в контексте безопасной разработки, — добро пожаловать под кат. Статья изобилует полезными ссылками на теоретические и практические материалы. Но давайте по порядку.

          Читать дальше →
          • +40
          • 18.3k
          • 6
        • HexRaysPyTools: декомпилируй с удовольствием


            В этой статье я собираюсь рассказать о плагине для IDA Pro, который написал прошлым летом, еще находясь на стажировке в нашей компании. В итоге, плагин был представлен на ZeroNights 2016 (Слайды), и с тех пор в нём было исправлено несколько багов и добавлены новые фичи. Хотя на GitHub я постарался описать его как можно подробнее, обычно коллеги и знакомые начинают пользоваться им только после проведения небольшого воркшопа. Кроме того, опущены некоторые детали внутренней работы, которые позволили бы лучше понять и использовать возможности плагина. Поэтому хотелось бы попытаться на примере объяснить, как с ним работать, а также рассказать о некоторых проблемах и тонкостях.

            Читать дальше →
          • Доверенная загрузка Шрёдингера. Intel Boot Guard


              Предлагаем вновь спуститься на низкий уровень и поговорить о безопасности прошивок x86-совместимых компьютерных платформ. В этот раз главным ингредиентом исследования является Intel Boot Guard (не путать с Intel BIOS Guard!) – аппаратно-поддержанная технология доверенной загрузки BIOS, которую вендор компьютерной системы может перманентно включить или выключить на этапе производства. Ну а рецепт исследования нам уже знаком: тонко нарезать реверс-инжинирингом имплементацию данной технологии, описать её архитектуру, наполнив недокументированными деталями, приправить по вкусу векторами атак и перемешать. Подбавим огня рассказом о том, как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику использовать эту технологию для создания в системе неудаляемого (даже программатором) скрытого руткита.

              Кстати, в основе статьи – доклады «На страже руткитов: Intel BootGuard» с конференции ZeroNights 2016 и 29-й встречи DefCon Russia (обе презентации здесь).
              Читать дальше →
            • Браузеры и app specific security mitigation. Часть 1


                Данная статья является вводной для небольшого цикла, посвященного механизмам безопасности, предназначенным для противодействия успешной эксплуатации уязвимостей класса memory corruption в web-браузерах. В рамках этого цикла мы рассмотрим, какие механизмы и с какой целью внедряются разработчиками браузеров, и поговорим о том, как их можно было или до сих пор можно обойти.

                Если вам интересна тема защиты приложений или то, как разработчики эксплоитов преодолевают защиту, добро пожаловать под кат.
                Читать дальше →
              • Браузеры и app specific security mitigation. Часть 2. Internet Explorer и Edge

                  Internet Explorer & Edge


                  Целью данной статьи является обзор специфичных, интегрированных в браузеры Internet Explorer и Edge, механизмов защиты от эксплойтов.


                  Мы решили объединить обзор механизмов безопасности IE и Edge в одну статью, поскольку, во-первых, оба они являются продуктами небезызвестной компании Microsoft, а, во-вторых, такой подход позволяет отследить, как менялся подход к защите и, соответственно, само развитие механизмов защиты у данных браузеров. Ну и также по той причине, что у IE и Edge общая кодовая база.


                  ie_success_story


                  Читать дальше →
                  • +32
                  • 5.4k
                  • 3
                • Программа ZeroNights 2016 + анонс HackQuest



                    По доброй традиции, мы делимся с вами новостями программы конференции ZeroNights, своими ожиданиями от мероприятия, предвкушаем новые темы и обсуждения, радуемся новым спикерам и участникам. Ниже мы представим новости программы и расскажем немного о каждом докладе, который вы будете иметь возможность услышать на ZN.

                    Основная программа


                    Ключевой Докладчик конференции — Михаэль Оссманн (Michael Ossmann)
                    Добро пожаловать на физический уровень

                    Каждая конференция ZeroNights – это новый мир со своими особенностями, возможностями для открытий и свершений. Исследовательская Вселенная не имеет границ.

                    Не случайно в качестве ключевого докладчика на ZN 2016 мы выбрали Михаэля Оссманна (Michael Ossmann), известного исследователя в области безопасности беспроводных систем, разработчика аппаратного обеспечения для высококвалифицированных ИТ-экспертов. Михаэль— исследователь в области безопасности беспроводных систем, разработчик аппаратного обеспечения для хакеров. Получивший известность благодаря проектам с открытым кодом HackRF, Ubertooth, и Daisho, Михаэль основал проект Great Scott Gadgets, чтобы исследователи могли использовать новые перспективные инструменты.
                    Читать дальше →
                    • +24
                    • 5.6k
                    • 3
                  • Распознавание DGA доменов. А что если нейронные сети?


                      Всем привет!


                      Сегодня мы поговорим про распознавание доменов, сгенерированных при помощи алгоритмов генерации доменных имен. Посмотрим на существующие методы, а также предложим свой, на основе рекуррентных нейронных сетей. Интересно? Добро пожаловать под кат.

                      Читать дальше →
                      • +18
                      • 12.3k
                      • 8
                    • Обезвреживаем бомбу с Radare2


                        Доброго времени суток, %username%! Сегодня мы отправимся изучать бесчисленные возможности фреймворка для реверсера — radare2. В виде подопытного я взял первую попавшую бомбу, она оказалась с сайта Университета Карнеги Меллон.
                        Читать дальше →
                      • Сказ о компрессоре, который можно называть, но не помню, как

                          Вашему вниманию предоставляется не совсем новогодняя история, в которой есть завязка, интрига, детективное расследование, погоня, коварство, мудрость древних и счастливый финал. Под катом вас ожидают археологические раскопки Хабра эпохи перестройки и щепотка ассемблера x86 по вкусу.

                          Читать дальше →
                        • Trojan-Downloader.Win32.Cabby.cemx — Часть первая — Распаковка

                          Привет, Хабр!

                          Скажу сразу: я не вирусный аналитик и не занимаюсь этой деятельностью профессионально. Работаю сетевым инженером в одной из компаний в группе компаний из трех букв. Так что прошу строго не судить и отнестись с пониманием.

                          Цель данной статьи — не экспресс анализ вредоносного ПО с целью написания отчета о высокоуровневой логике его работы, а погружение в реверс-инжиниринг с головой для повышения своих знаний и опыта. Поэтому пройдемся по всему алгоритму распаковки подробно.

                          Сразу предупрежу, будет много картинок и листингов дизассемблированного кода.

                          Готов к конструктивной критике и буду рад вашим советам по оптимизации моих мыслей.

                          В недалеком прошлом в нашу компанию проник нашумевший CTB-Locker, что заинтересовало нашу службу информационной безопасности: почему не сработали антивирусы и фильтрация веб-трафика? Что конкретно делает данный зловред, хорошо описано на securelist. С этим все ясно и не имеет смысла проводить повторный анализ того, что и так неплохо описано.

                          С целью понимания причин инцидента рассмотрим именно вектор распространения данного зловреда.
                          Читать дальше →
                        • OpenBTS (1 часть) — Первое знакомство

                          image OpenBTS.org — это открытый проект c исходным кодом на GitHub, призванный провести революцию среди мобильных сетей путем замены устаревших телекоммуникационных протоколов и традиционно сложных запатентованных аппаратных систем использованием Интернет-протокола и программного обеспечения с гибкой архитектурой. Архитектура этой системы является открытой для инноваций, позволяя любому желающему разрабатывать новых приложения и сервисы на базе OpenBTS и значительно упрощает настройку и эксплуатацию сети мобильной связи.
                          Читать дальше →
                        • Как я повышал конверсию машинным обучением

                            В этой статье я попробую ответить на такие вопросы:
                            • может ли один доклад умного человека сделать другого человека одержимым?
                            • как окунуться в машинное обучение (почти) с нуля?
                            • почему не стоит недооценивать многоруких бандитов?
                            • существует ли серебряная пуля для a/b тестов?

                            Ответ на первый вопрос будет самым лаконичным — «да». Услышав это выступление bobuk на YaC/M, я восхитился элегантностью подхода и задумался о том, как бы внедрить похожее решение. Я тогда работал продуктовым менеджером в компании Wargaming и как раз занимался т.н. user acquisition services – технологическими решениями для привлечения пользователей, в число которых входила и система для A/B тестирования лендингов. Так что зерна легли на благодатную почву.

                            К сожалению, по всяким причинам я не мог плотно заняться этим проектом в обычном рабочем режиме. Зато когда я слегка перегорел на работе и решил устроить себе длинный творческий отпуск, одержимость превратилась в желание сделать такой сервис умной ротации лендингов самостоятельно.
                            Читать дальше →
                          • Криптоконструктор

                            • Tutorial
                            image

                            Если вы чувствуете, что, все чаще в окружающем вас контенте, мелькают слова “безопасность данных”, “конфиденциальность”, “шифрование”, если вы в курсе ситуации со Сноуденом или заявлениями британских премьер-министров о запрете прозрачного шифрования, то можете читать ниже.
                            Читать дальше →
                          • Безопасность сетевой инфраструктуры. Расширенные методы взлома и защиты. Видео

                            • Tutorial


                            Мы решили продолжить нашу традицию публиковать записи наших предыдущих вебинаров для всех желающих с целью повышения уровня осведомленности в ИБ. Не лишним будет отметить, что вебинары составляют примерно 20% от наших программ обучения, основной упор делается на практику. Проверить свои знания вы всегда можете в наших лабораториях тестирования на проникновение, например сейчас для всех желающих открыта бесплатная лаборатория тестирования на проникновение Test lab v.7.

                            Программа курса:

                            Первое занятие — «Инструментарий пентестера»
                            Это занятие представляет из себя небольшой обзор истории появления и развития дистрибутива BackTrack и превращением его в Kali Linux.


                            Читать дальше →
                            • +23
                            • 63.4k
                            • 6
                          • Несколько интересностей и полезностей для веб-разработчика #40

                              Доброго времени суток, уважаемые хабравчане. За последнее время я увидел несколько интересных и полезных инструментов/библиотек/событий, которыми хочу поделиться с Хабром.

                              NativeScript




                              Открытый фреймворк для создания мобильных приложений под iOS, Android и Windows Phone основанный на NodeJS. И весь цимус в том, что это не очередная кроссплатформенная оболочка над WebView (аля PhoneGap), NativeScript со слов разработчиков обеспечивает на JavaScript такие же возможности, какие обеспечивают нативные Objective-C, Java или .NET.

                              Также хочу упомянуть о NW.js, который до появления IO.js назывался Node-Webkit. Проект по такому же принципу позволяет писать десктопные приложения под Windows, Mac и Linux с помощью веб-технологий. Более того микроконтроллеры, умные дома, интернет вещей, Oculus Rift, Nest выпускают API на JS. Вспоминая все эти новости, хочется сказать, что JavaScript все чаще и чаще представляется как унифицированное средство для кроссплатформенной разработки.
                              Читать дальше →
                              • +35
                              • 60.5k
                              • 9
                            • Результаты Radare Summer of Code 2014 и организация нового RSoC/GSoC 2015

                                Во-первых, хочу отчитаться по прошлому RSoC'14, поблагодарить аудиторию хабра за ту помощь, позволившую нам организовать это мероприятие.

                                Благодаря тому, что не было необходимости следовать правилам Google, мы смогли изменить двух «официальных» участников «на лету». В прошлом году мы выбрали двух официальных участников и 6 «неофициальных» (без денежного вознаграждения). Однако, в процессе продвижения кодинга осталось лишь трое неофициальных участников. Но, так как им успешно удалось завершить свои задания, мы поделили собранные деньги поровну между ними (порядка $700 на человека). Рассмотрим задания подробнее:

                                Два задания не были выполнены/завершены — это полный перевод всего фреймворка на использование базы данных sdb и доводка до ума webui.

                                С другой стороны, три задания были завершены успешно, и на данный момент весь код находится в основной ветке.

                                Во-первых, это поддержка парсинга сложных структур и отображение их в необходимом формате, с помощью команды pf и парсера описания данных на языке Си (struct/union, etc).

                                Во-вторых, это поддержка загрузки и использования сигнатур формата FLIRT (из IDA Pro), а также интеграция с Yara. Благодаря тому, что это задание было успешно выполнено, radare2 может быть использован для анализа malware с использованием существующих баз сигнатур, накопленных за годы работы с IDA Pro и Yara. Код интеграции с Yara вынесен в отдельный репозиторий.

                                Ну и последнее успешно выполненное задание — это поддержка PDB. Основное отличие от многих отладчиков и дизассемблеров (кроме IDA Pro) — это парсинг формата самостоятельно, без использования вызовов системных библиотек Windows.

                                Кроме того, с прошлого года значительно улучшилась ситуация с документацией: radare.today/radare2-is-documented
                                Что же ждет нас в этом году?
                                • +16
                                • 4.1k
                                • 5
                              • Новое сердце для китайского фонарика

                                  Купив множество китайских фонариков, мощностью от 100 до 16000 люмен, так и не остался доволен.

                                  В большинстве случаев фонарик не отдаёт заявленный продавцом световой поток. Так получается из-за того, что продавцы в лучшем случае указывают максимальный световой поток, который может отдавать установленный светодиодный модуль, но в результате экономии на материалах светодиод работает, если повезёт, в половину от своего максимума. Для ограничения тока применяются тонкие провода, это позволяет отказаться от использования источника постоянного тока и ограничиться простым ШИМ контроллером с силовым ключём.

                                  Читать дальше →
                                  • +9
                                  • 33.5k
                                  • 2
                                • Обзор новых функций Intercepter-NG

                                    Год ожиданий не прошел напрасно и он компенсируется достаточно интересными функциями, появившимися в новой версии инструмента. Релиз состоялся раньше намеченного срока и часть ранее планируемых функций в него не вошли из-за того, что появились куда более важные нововведения.

                                    В новой версии присутствует ранее продемонстрированная атака на Active Directory (Ldap Relay), функция Java Injection, эксплоит для уязвимости HeartBleed, Plugin Detector, но заострить внимание я хотел бы на совсем других вещах.
                                    Читать дальше →