Реверс-инжиниринг *

Компиляторы плохо справляются с генерацией кода для интерпретаторов, и можно превзойти их, написав интерпретатор на языке ассемблера.

Всем привет! В этой серии райтапов мы разберем известные задания по эксплуатации бинарных уязвимостей с Exploit Exercises (там их больше нет, поэтому я их перекомпилировал под Win). О том, что такое Buffer Overflow прекрасно и с примерами написано ТУТ (отличная статья от @Mogen). Кстати говоря, много крутых задачек на тему PWN есть на Codeby Games, так что рекомендую :)

Итак... мы будем решать наши задачки, используя статический (Ghidra) и динамический анализ (x64dbg). И самое главное, мы будем делать это без исходников уязвимой программы, в отличие от того, как это сделано ТУТ и ТУТ.

Stack0

Для решения этой задачки я буду использовать свою «песко‑реверс‑лабораторию», где у меня уже все «стоит» :)

Любые программные системы включают в себя нужные и не очень нужные пакеты. Получается огромный объём кода (для одного несложного сайта npm list -a выдаёт список из 4256 зависимостей). А так как «весь код — это ваш код», то такие зависимости надо тестировать. И регулятор требует, да и просто собственные продукты хочется защитить от вторжений, утечек и других неприятностей.

В ходе своего анализа ВПО, я наткнулся на вредонос, который ещё не был никем проанализирован. Его имя – YoungLotus, в Интернете очень мало информации по нему. Именно поэтому я решил изучить его и написать эту статью. Как и в прошлой моей статье, я распакую и опишу основные характеристики вредоноса, его методы закрепления, способ коммуникации с C2 и его основные возможности.

Мою первую статью я желаю посвятить истории о том, как я решил заняться исследованием часто встречающихся в модулях PlayStation Portable непонятных байтовых строк. Никакой документации в Homebrew коммьюнити найти не удалось, так что я взялся за дело сам.

Всем привет! Меня зовут Виталий Самаль, я старший специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies. Мы с командой отслеживаем актуальные угрозы, анализируем тактики и техники атакующих и на основе этих данных пишем детектирующие правила и модули для MaxPatrol EDR.

Сегодня я хочу поговорить про вредоносное ПО, известное среди экспертов как HIDDENSHOVEL, или GHOSTENGINE. Примечательно то, какие техники используют атакующие на различных этапах его доставки и развертывания для запуска обычного майнера XMRig.

В статье не будет анализа всей цепочки. Вместо этого я сосредоточусь на конкретном модуле под названием kill.png, который может завершать процессы установленных средств защиты, и покажу на примере нашего продукта, как происходит обнаружение этапов заражения. Кроме того, в конце статьи приведу полный список из 1661 процесса в распакованном модуле, которые ВПО принудительно завершает для уклонения от обнаружения.

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных.

Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.

О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет.

Реверс-инженеринг приложений — серьезная угроза для разработчиков iOS. Он может привести к утечке интеллектуальной собственности, подделке приложений, созданию вредоносного программного обеспечения и другим проблемам. В этой статье мы обсудим методы и практики, которые помогут защитить ваше приложение от реверс-инженеринга.

Привет! Меня зовут Евгений Биричевский, в Positive Technologies я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности (PT ESC). Не так давно исследователи из Black Lotus Labs рассматривали несколько образцов 2018 года — elevator.elf и bpf.test. Пускай образцы и старые, но они используют уязвимости в eBPF, что происходит крайне редко: такие случаи можно практически пересчитать по пальцам.

Исследователи достаточно подробно описали общие функции и особенности ВПО, отметили запуск и использование eBPF-программ, но практически не описали сами eBPF-программы. Мне это показалось значительным упущением, ведь крайне редко удается пощупать in the wild использование уязвимостей в eBPF. Основываясь на дате появления образца и его поведении, исследователи предположили, что используется CVE-2018-18445. В этой статье мы научимся анализировать eBPF, достаточно подробно разберем используемые eBPF-программы, а также подтвердим или опровергнем гипотезу об использовании CVE-2018-18445.

Сегодня мы продолжим изучение реверсинга приложений под Android. В предыдущей статье мы рассмотрели основы устройства приложений, установили необходимые инструменты и разобрали небольшой пример. В этой статье мы продолжим разбирать практические примеры.

Электрическая игрушка "Детская логическая машина" (ДЛМ) представляет собой устройство, позволяющее решать несложные логические задачи про приведённым в настоящей инструкции рисункам и описаниям программ.

ДЛМ способна отвечать на вопросы, решать поставленные перед ней задачи, быть партнёром в играх и даже экзаменатором.

На коробке предупреждение, что игрушка только для детей 13-15 лет. Читайте статью с осторожностью, если не попадаете в указанный диапазон.

Мобильные устройства стали неотъемлемой частью нашей жизни. Без любимого гаджета мы лишаемся банковских приложений, госуслуг и других сервисов, без которых наша жизнь становится намного сложнее.

По этой причине мобильные приложения, являются лакомой целью для злоумышленников. Подселив вредонос на телефон жертвы можно получить доступ ко всем используемым приложениям. Конечно, есть защитные механизмы типа одноразовых паролей, но многие современные вредоносы умеют их обходить.

Поэтому специалистам по информационной безопасности необходимо понимать как работают приложения под Андроид и какие инструменты можно использовать для их реверсинга. В этой статье мы начнем рассматривать устройство приложений под Андроид и тот инструментарий, который нам понадобится.

Продолжаем поиск, начатый в предыдущей части "О чудный мир Fermax (часть 1, ADS Citymax monitor)". Посмотрим, нет ли какого-либо готового решения по автоматизации открывания двери в подъезде. Оказывается, Fermax предлагает продукт "Wifi Vds Call Divert Wi-Box". Коробочка 80х80х20 мм подключается непосредственно к плате адаптерa терминала при помощи обычной отвертки, питается от сети же видеодомофона. Есть готовое приложение для iOS и Android, и при звонке в дверь отправляет пуш уведомление (iOS) или звонок (Android), хранит лог событий и фото позвонивших. Выглядит как идеальное решение, стоит сравнительно дорого ((100 EUR + доставка) + 25% налог) и есть один нюанс, Wi-Box предназначен для технологии VDS, а терминал у меня ADS.

Здравствуйте, дорогие друзья! Многие кто давно следит за проектом, наверное помнит что на официальном сайте ReactOS выходили выпуски новостей. Потом ~где-то после 2013 года их выпуск прекратился, а все переводы после переезда сайта на новый движок были удалены.

Но, весь архив новостей сохранился на нашей русскоязычной вики, а новые выпуски, которые выходили начиная с 2021 года мы публиковали в нашем vk-сообществе.

Но теперь новости проекта будут публиковаться в паблике на Хабре.

И сегодня вам будет представлен перевод 104-го выпуска новостей.