Реверс-инжиниринг *

Немалое количество простых кнопочных телефонов, присутствующих в российских магазинах, содержат нежелательные недокументированные функции. Они могут совершать автоматическую отправку СМС-сообщений или выходить в интернет для передачи факта покупки и использования телефона (передавая IMEI телефона и IMSI SIM-карт). Встречаются модели со встроенным трояном, отправляющим платные СМС-сообщения на короткие номера, текст которого загружается с сервера, также бывают устройства с настоящим бэкдором, пересылающим входящие СМС-сообщения на сервер злоумышленников.
Статья описывает детали вредоносных функций и способы их обнаружения.

Компания Explore Scientific известна в России уже давно, правда в узких кругах. Начинала она в своё время с производства достаточно высококачественной астрономической оптики и продажи её по демпинговым ценам, чем и заслужила репутацию в среде любителей астрономии по всему миру. С годами компания выросла, укрепилась на рынке, цены стали уже не вполне вменяемые, а ассортимент стал расширяться.

Но как быстро, однако, меняется мир вокруг! Я был немало удивлён, увидев в магазине оптики погодные станции, продаваемые под этим брендом. Ещё большее удивление вызвал беспроводной метеодатчик к одной из этих станций, который по внешнему виду как две капли воды походил на не так давно появившийся в ассортименте Oregon Scientigic датчик THGR511.

Предыстория

Дизассемблируем двоичный файл

В первой части этой статьи эксперт компании «Информзащиты»  рассказал, как ему удалось отследить атаку группировки Winnti, «жертвами» которой становятся предприятия военно-промышленного комплекса, аэрокосмической отрасли, правительственные организации и разработчики ПО. Злоумышленники закрепляются в инфраструктуре организаций с целью вывода конфиденциальной информации. Анализ атаки помог автору обнаружить техники и тактики Winnti. 

В этой части вы найдете описания утилит, используемых Winnti для «уклонения от защиты» и узнаете, как обезопасить данные.

Всем привет. Тут такое дело: ещё одна моя реверсерская мечта сбылась - я написал процессорный модуль для IDA Pro с нуля, за два дня! Если вы когда-то тоже хотели написать свой модуль, но боялись начать - думаю, моя статья сможет помочь.

В качестве кода, который требуется дизасемблировать, будет выступать код виртуальной машины из очень крутого хоррора, который выходил сначала на SNES, потом на PS1, PC и Wonderswan - "Clock Tower - The First Fear". В игре имеется 9 концовок (sic!), атмосфера гнетущая, а в качестве главного злодея выступает "Scissorman" (человек с руками-ножницами). Заинтересовал? Тогда добро пожаловать...

В середине мая 2021 года эксперты из SOLAR JSOC вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) выпустили отчет о серии целенаправленных атак, выявленных в 2020 году. Согласно исследованию, главной целью атакующих в России были федеральные органы исполнительной власти (ФОИВы).

Изучая это исследование, Анастасия Тихонова, руководитель группы исследования сложных угроз Threat Intelligence Group-IB, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода Threat Intelligence Group-IB, поймали себя на мысли, что уже видели похожие инструменты в более ранних APT-атаках из Китая.

На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy.

Во 2-ой части статьи демонстрируются возможности IDAPython по деобфускации строк для дальнейшего статического анализа.

Лето 2021 года выдалось жарким не только из-за погоды, но и новостей из мира Ransomware. В конце мая группа DoppelPaymer произвела, пользуясь маркетинговым термином, "ребрендинг", переименовав свои новые программы-вымогатели в Grief (Pay OR Grief). А в июне-июле группы DarkSide и REvil друг за другом последовательно исчезли из публичного пространства после громких атак на компании Colonial Pipeline и Kaseya соответственно. Под конец июля на рынок групп, зарабатывающих вымогательством, вышел новой игрок – BlackMatter. Но вот новый ли?

70 лет назад в Ярославле работал крупный автомобильный завод, выпускавший тяжелые грузовики, тягачи, самосвалы. В биографии предприятия, основанного в 1916 году, были также автобусы и троллейбусы, в том числе двухэтажные — в конце 30-х их поставили в Москву.

В 1959 году Ярославский автозавод был преобразован в моторный (сегодня это ПАО «Автодизель»), а производство грузовых автомобилей полностью переведено на Кременчугский автозавод. Сохранившиеся образцы автомобильной техники, выпускавшейся в Ярославле, можно пересчитать по пальцам одной руки. Возвращением утраченной истории ярославского автопрома занимается проект «Машины Победы», участники которого восстанавливают старинную технику.

Одной из таких машин стал седельный тягач ЯАЗ-221. Над его воссозданием работает команда студентов Ярославского государственного технического университета «ЯАЗ в строй». А помогают им преподаватели, руководство вуза, реставраторы исторической техники, коллекционеры, инженеры, производственные и транспортные компании Ярославля.

Имеется файл CrackMe, при запуске которого предлагается ввести ключ лицензии.

В апреле 2021 года в ходе регулярного мониторинга угроз ИБ специалисты нашего PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. В дальнейшем аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из файлов, которые мы обнаружили во время исследования, имели достаточно интересные названия. Например, «хавсралт.scr» (монг. вложение) и «Информация_Рб_июнь_2021_года_2021062826109.exe». Как позже показало исследование, они содержали троян удаленного доступа (RAT).

По нашим данным, за первые семь месяцев 2021 года в мире было проведено в общей сложности около десятка атак с использованием найденных образцов вредоносов. Детальный анализ вредоносного ПО, многочисленные пересечения по функционалу, применяемым техникам и механизмам позволили нам связать обнаруженный зловред с активностью группы APT31 (она же Zirconium и Judgment Panda). Чем известна преступная группа, кого атаковала ранее и какие у нее ключевые интересы, можно узнать по ссылке. Примечательно, что за пять лет существования группировки под ее удар Россия попала впервые.

Ниже разберем созданное APT-группой ВПО, включая новый дроппер, уловки его разработчиков, а еще расскажем, по каким критериям проводили атрибуцию атак. Полную версию нашего исследования читайте здесь.

Одно фишинговое письмо, по неосторожности открытое сотрудником компании, - и важная информация слита злоумышленнику. Всего лишь один клик мышью и на компьютере сотрудника запущены процессы, «допускающие» злоумышленников к инфраструктуре организации. При этом «антивирусы» взлом пропустили. Как раз с таким случаем столкнулся наш автор, эксперт «Информзащиты», когда обнаружил атаку группировки Winnti на компанию-заказчика. Киберпреступники нацелены на кражу данных у предприятий военно-промышленного комплекса, правительственных организаций и разработчиков ПО.

«Информзащите» удалось не только предотвратить кибератаку, но и отследить техники и тактики Winnti. Анализ получился достаточно глубоким и будет любопытен техническим специалистам. Предлагаем погружаться в детали постепенно, а потому сегодня только первая часть скринов кода и наших комментариев. 

Давайте представим, что вы студент старших курсов вуза по какому-нибудь околоИБшному направлению или специалист в смежной области, желающий сменить сферу деятельности на исследование защищенности аппаратного или программного обеспечения. Потенциальный работодатель почти всегда требует практический опыт, но как его получить?

Можно выбрать какое-нибудь устройство и самостоятельно ковырять его до победного конца (или полного разочарования в своих навыках). А можно делать подобное в рамках стажировки, где опытные наставники проведут по этому тернистому пути, поддерживая и направляя, если это необходимо.

Далее вас ждет история о том, что я делал на стажировке в НТЦ "Вулкан".

На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy. Демонстрируются их возможности по расшифровке конфигурационных данных, деобфускации строк и вызовов функций API для проведения дальнейшего статического анализа.

Какие системы сегодня используются в телефонной сети Финляндии?

В этой статье я расскажу о своем опыте реверса приватного API одного из популярных впн клиентов - ExpressVPN. Мы рассмотрим, как находить и обходить методы обнаружения MITM (обход ssl pinning), научимся работать с фридой в iOS реверсинге, поколупаемся в клиенте используя иду, и после этого разберем необычную шифровку запроса, при помощи которого происходит авторизуется в аккаунт.

Вот, что нам будет нужно при выполнение этого задания.

Чтение файла, запись в реестр, создание нового процесса — вот примеры событий, обработка которых задействует ядро операционной системы. Практика показывает, что большинство интересных операций в ОС стабильно обнаруживается отслеживанием системных вызовов. Большинство, но не все.

Не так давно мы опубликовали статью, посвященную плагину exploitmon для системы динамического анализа вредоносных файлов DRAKVUF. Главным героем нашего сегодняшнего материала стал еще один плагин в этой системе — rpcmon.

Ниже рассмотрим особенности механизма межпроцессного взаимодействия и подходы к обнаружению важных вызовов на пользовательском уровне. Мы расскажем, как это реализовано в PT Sandbox, и приведем случаи, когда перехваты на уровне ядра недостаточно информативны или вовсе бесполезны.

Решил сделать серию публикаций про интересные трюки и оригинальные идеи, выявленные при анализе вредоносных программ, а также и про подходы, которые использовались при анализе. Надеюсь, что публикации будет интересными, а возможности и желания хватит на большую серию, а там уже увидим…

В качестве первой публикации решил выбрать одну из любимых находок, которая попалась мне в октябре 2016 года. Речь идет об одной из первых реализаций интересной техники закрепления с помощью WMI "Event Triggered Execution: Windows Management Instrumentation Event Subscription" (T1546.003).