Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Depois de 15 anos, foi lançada uma nova versão do txt2regex, um assistente de expressão regular para a linha de comando. Com ele, é possível criar expressões regulares, com pouco ou nenhum conhecimento, respondendo a perguntas em uma interface interativa simples, baseada em texto.

      O txt2regex é um único script de shell feito 100% com comandos internos do bash. O único requisito é o próprio bash, pois nenhum comando como grep, find, sed ou qualquer outro do sistema é usado.

      A versão 0.9, lançada em 21 de maio, traz, dentre outras, as seguintes novidades:
      Adicionado suporte a expressões regulares CHICKEN  Novo testador de expressões regulares que roda os programas em um container Docker. Usando expressão regulares especialmente escritas para o testador, ele verifica como os programas se comportam na "vida real". Isso remove a necessidade de testes manuais ou de ter que ler a documentação do programa sobre expressões regulares.  Veja o change log completo.
      O autor do txt2regex é Aurelio Jargas. Além de criar o programa ele também é escritor, e lançou um dos melhores livros sobre regex encontrados em língua portuguesa: Expressões Regulares - Uma abordagem divertida. 

      E você também pode assistir ao vídeo sobre grep, publicado pelo Mente Binária, e entender um pouco mais sobre o assunto:
    • Uma variante do malware Tekya foi descoberta pela Trend Micro e continua atacando aplicativos do Google Play. A primeira versão do malware foi encontrada pela CheckPoint em março, e era utilizada para realizar fraudes em anúncios. Desde então, esses aplicativos foram removidos da loja, mas cinco apps maliciosos carregam a variante recentemente descoberta. Os aplicativos já foram removidos, mas a variante do Tekya compartilha muitas semelhanças com a versão encontrada anteriormente. 
      Uma das semelhanças é que a criptografia permanece essencialmente idêntica; os mesmos algoritmos e chaves são usados nas duas versões, diz a Trend Micro. Mas nessa variante, o malware registra um receptor que responde às ações "com.tenjin.RECEIVE" ou "android.intent.action.BOOT_COMPLETED". A última ação dá ao malware a capacidade de ativar após a inicialização do dispositivo.
       

      Código de criptografia da nova versão do Tekya. (Fonte: Trend Micro)
      O Tekya teria como alvo até 11 redes de publicidade, incluindo Admob, Facebook e Unity. Os anúncios dessas redes seriam exibidos e os movimentos de toque do usuário copiados pelo InputManager. Assim, o Tekya tenta convencer as vítimas que esses anúncios foram abertos por outros aplicativos, alterando seu ícone e rótulo. Vários desses aplicativos no Google Play estavam infectados, mas o Google os removeu enquanto a pesquisa da Trend Micro estava em andamento. A companhia de segurança continua procurando ameaças semelhantes que possam surgir por aí. Veja a análise completa do malware, em inglês, aqui.
    • Pesquisadores de segurança encontraram uma vulnerabilidade que afeta quase todas as versões do Android. Segundo o TechCrunch, a falha é chamada StrandHogg 2.0 (CVE-2020-0096) e permite que malwares imitem aplicativos legítimos para roubar senhas e outros dados confidenciais. De acordo com a empresa de segurança Promon, o StrandHogg 2.0 funciona enganando a vítima, que pensa estar inserindo suas senhas em um aplicativo legítimo. 
      A falha também permite o roubo de outras permissões de aplicativos para extrair dados confidenciais do usuário, como contatos, fotos, além de rastrear a localização em tempo real da vítima. Quando uma vítima digita sua senha na sobreposição falsa, suas senhas são desviadas para os servidores do cibercriminoso. O StrandHogg 2.0 não precisa de permissões do Android para ser executado. 
      O bug é "quase indetectável", segundo depoimento de Tom Tech Lysemose Hansen, fundador e diretor de tecnologia da Promon, ao TechCrunch, mas não há evidências de que cibercriminosos o tenham em campanhas ativas. Ainda assim, "não há boas maneiras" de detectar um ataque. 
      O Google lançou um boletim com correções da vulnerabilidade classificada como crítica. Além disso, o Google Play Protect, um serviço de triagem de aplicativos embutido em dispositivos Android, passou a bloquear os aplicativos que exploram a vulnerabilidade StrandHogg 2.0. Atualizar os dispositivos Android com as mais recentes atualizações de segurança corrige a vulnerabilidade.
    • No último dia 31 de maio, foi lançada a v2.13.0b3 do HexFiend, um editor hexadecimal para macOS. O programa de código aberto permite: 
      Inserir, deletar e rearranjar bites nos arquivos, trabalhando arquivos de vários tamanhos.  Ele possui uma capacidade de diferenciação de binários, mostrando a diferença entre arquivos, levando em consideração inserções e deleções. Basta abrir dois arquivos e ir no menu File > Compare.  Ele ainda interpreta dados como inteiros ou pontos flutuantes, com ou sem sinal, big ou little endian. Dá suporte à templates, dando visualização de estruturas de arquivos com suporte a scripting. Mais detalhes na documentação do projeto.
      O que mudou no HexFiend?
      Entre as principais mudanças da versão v2.13.0b3 estão:
      Adicionada a preferência para controlar um agrupamento de bytes quando copiando dados como hexadecimal. Adicionado suporte a encodings personalizados de 2 bytes. Adicionados comandos para ler dados de data e hora de sistemas de arquivos FAT (File Allocation Table). Melhorias no destaque em cores dos bytes para o "Dark Mode" do macOS. Veja o change log completo e faça o download neste link.
      Se você quiser entender para que serve um editor hexadecimal, pode assistir ao vídeo sobre Visualizadores Hexadecimais no nosso canal:
       
    • No último sábado, 30 de maio, foi realizada a terceira versão da MBConf@Home. A conferência on-line, promovida pelo Mente Binária, foi criada para disseminar conteúdo sobre segurança da informação durante o período de isolamento social causado pela pandemia do novo coronavírus (COVID-19). Fernando Mercês abriu o evento destacando que o objetivo desse projeto é suprir o gap entre a educação oferecida na área e as necessidades de profissionais qualificados o mercado tem. "Notamos que a universidade, os estudos, a educação não são o suficiente para a área de segurança, que tem bastante nuances. E a gente tenta suprir", disse.
      "A MBConf@Home surgiu durante a quarentena, pois deveríamos ter eventos na área no primeiro semestre, e felizmente tivemos outros também", complementou Mercês. O MBConf@Home v3 levou quatro palestrantes do setor para falar sobre suas experiências em decodificação e exploração de malwares. É possível assistir a todo o evento através do canal do Mente Binária no Youtube. Aqui, a gente traz um resumo do que rolou.
      Decodificando malwares web: uma história de dor e sofrimento
      Fio Cavallari, que é Threat Research Manager na GoDaddy, abriu a grade de palestras falando sobre desofuscação de malware web. Fio "cutuca" malware desde 2003, e é focado em web malware desde 2012.  Segundo ele, PHP e JavaScript dominam a Internet. "Você sempre vai ver malware escrito em PHP e em JavaScript. Isso porque eles têm uma linguagem muito simples. A diferença entre o código vulnerável e o malicioso é a intenção", disse. 
      Ele deu um exemplo de um código malicioso que foi, de fato, detectado em PHP e explicou ainda como funciona a ofuscação do código, com objetivo de confundir, tirando a atenção de quem não é familiarizado com o código. "Ao limpar, é possível verificar a intenção do código. Mas para confundir, dá para incluir, por exemplo, strings em base64". Ele demonstrou como é possível usar técnicas para evitar uma detecção por um antivírus, por exemplo. 
      Ele destrinchou um código ofuscado em PHP e mostrou como identificar se um código é ou não malicioso. "Trabalhar com strings, inclusive usando base64, é importante para identificar pontos comuns entre malware e código válido, mas mesmo assim, a chance de gerar um falso positivo é grande", disse Cavallari.
      Ele ainda ensinou técnicas de desofuscação a partir de ferramentas como Sucuri decoder; ddecode; unphp.net, entre outras. Fio deixou ainda um desafio para quem quiser tentar uma vaga no time de pesquisa de vulnerabilidades e malware da GoDaddy: http://x.co/mbconf2020
      Técnicas de ofuscação de malware em Windows
      Seguindo a mesma linha da primeira palestra, Thiago Marques, que é Security Researcher no Kaspersky Lab, demonstrou as técnicas que criadores de malware têm utilizado para ofuscar seus códigos no Windows. Thiago compartilhou um conteúdo completo em um post de 2016 publicado no sercurelist.com. "As técnicas utilizadas continuam a funcionar da mesma forma, basta saber como realizar a análise para poder aplicá-la em vários cenário", disse. 
      Ele fez ao vivo uma desofuscação de malware para Windows (x86) utilizando o IDA. Segundo Thiago, antigamente, era possível analisar um malware com um funcionamento dentro das strings, e hoje é difícil encontrar um malware que nao tenha algum tipo de ofuscação, seja de string ou de código, e a criação de scripts faz você criar ferramentas que ajudam em análises futuras. "É um tempo que você gasta, mas aquilo vai te servir por muito tempo. É quase uma obrigatoriedade a criação de scripts para que poder seguir com a análise".
      Na conclusão, Thiago reiterou que desenvolvedores de malware sempre irão buscar novas formas para dificultar a análise. Ele alertou ainda que o uso de detecções de ambiente muitas vezes atrapalham a análise dinâmica. "A criação de scripts e ferramentas são praticamente obrigatórios em muitos casos", destacou.
      Análise de malware automatizada em larga escala com Aleph
      Para falar do projeto Aleph, que envolve threat hunting com big data e análise de malware automatizada, foi convidado o pesquisador de segurança Jan Seidl.  O projeto do Aleph começou em 2010, quando ainda era um monte de script em bash, e a ideia foi sempre a mesma: ter um pipeline onde se coloca um malware numa ponta e a análise sai na outra. "A premissa do Aleph é automatizar o processo inicial de triagem de um arquivo", explicou Jan. 
      Segundo ele, para quem não trabalha com análise de malware diariamente, a ferramenta pode ajudar. "Venho de um background de programação, era um desenvolvedor sênior, e muitos conceitos estavam na minha cabeça. Como profissional de segurança, segui desenvolvendo ferramentas para o meu trabalho e para os meus colegas", disse. "A motivação da criação do Aleph foi baixar o nível requerido de conhecimento técnico para pesquisadores ingressarem no mundo da engenharia reversa", complementou
      A nova versão do Aleph segue o estilo batteries included, com inteligência sobre a informação incluída no relatório. "O Aleph nunca substitui o pesquisador, mas economiza tempo na análise de arquivos suspeitos por times, principalmente com um arquivo desconhecido", reiterou Jan.
      O Aleph era um bash script monolítico, e a segunda versão foi criada para ser multiprocesso, escalada. Ele usa o Celery como base e é feito em Python para usar aplicação distribuída. Jan mostrou ainda um screenshot da parte do código onde é possível configurar filas. O Aleph é ainda multiplataforma, podendo ser usado de maneira que rode ferramentas em cada um dos sistemas operacionais. 
      Segundo Jan, o Aleph teve também que ser reconstruído para ser mais modular. "Ele é uma grande experimentação ao longo de anos, e nem tudo está decidido sobre as tecnologias utilizadas. Cada um dos componentes tem uma interface falando e linguagem de orientação". É também possível escolher a tecnologia que mais agrada ao pesquisador. O Aleph é distribuído e escalável, e faz o data science em cima do malware. "Ainda faltam testes, acertos no código, debug em geral, colocar mais gerenciamento de login, mais sistemas de usuário, fazer correção na própria interface, mais analisadores, etc. Tem muita ideia para o futuro", complementou.
      Modern Windows Exploitation - A Tale of a CVE
      Bruno Oliveira, mestre em engenharia de computação e Principal Security Consultant no SpiderLabs da Trustwave, encerrou o ciclo de palestras abordando o CVE-2020-0796 e fazendo a análise técnica da vulnerabilidade do SMBv3. Ele também revisou o patch, identificado os bugs relacionados no código e caracterizando os desafios da exploração. 
      Bruno mostrou a análise do patch para observar características que facilitem a compreensão da vulnerabilidade, identificou a vulnerabilidade, construiu uma prova de conceito para que se tenha um efeito desejado sobre o sistema, partindo para exploração. Ele contou como explorou o CVE-2020-0796. "Identificamos que qualquer usuário da Microsoft poderia explorar o servidor SMBv3", disse. "A primeira coisa foi comparar os drivers responsáveis, a versão vulnerável com a patcheada".
      Após conhecer o binário responsável pelo servidor, Bruno viu que é possível descompactar o patch, pegar um arquivo com versão vulnerável, e fazer a comparação. Ele mostrou ainda que a primeira PoC (Proof of Concept ou Prova de Conceito) que surgiu demonstrou onde exatamente ficava a vulnerabilidade. "Quis trazer a metodologia usada para a análise de 1-day vulnerability, como baixar o patch e olhar qual das funções foram corrigidas, e o que, dentro da função, foi corrigido, além do que parece ser a vulnerabilidade e todo o aspecto e metodologia trazida, desde a análise até olhar o protocolo do caso", explicou, "Tudo demanda conhecimento específico sobre o que você está explorando", complementou.
      Se quiser tirar dúvidas com os palestrantes, basta entrar no fórum do Mente Binária e fazer seus comentários sobre cada palestra. Lá você também pode votar nos assuntos da próxima! ?
    • Com a pandemia do novo coronavírus (COVID-19), o uso de máscaras ampliou, e as empresas de reconhecimento facial estão se esforçando para acompanhar essa nova tendência. As máscaras faciais cobrem uma parte significativa do que o reconhecimento facial precisa para identificar e detectar pessoas. Segundo o CNet, fotos de pessoas mascaradas são utilizadas por essas empresas para treinar seus algoritmos e adaptá-los ao momento atual.
      Em abril, pesquisadores publicaram o COVID19 Mask Image Dataset no Github, usando mais de 1,2 mil imagens coletadas do Instagram. Um mês antes, pesquisadores da China compilaram um banco de dados com mais de 5 mil fotos de pessoas mascaradas que foram coletadas on-line. Empresas de reconhecimento facial já utilizavam imagens das pessoas sem consentimento para treinar seus algoritmos. Os defensores da liberdade civil afirmam que a tecnologia de reconhecimento facial ameaça a privacidade e a liberdade de expressão, alertando também que quase não existem leis que impeçam o abuso das ferramentas de vigilância. 
      Alguns provedores de reconhecimento facial passaram também a pedir a seus funcionários que enviem selfies com máscara, além de editar máscaras em cima das fotos que eles já possuem para testar algoritmos de reconhecimento facial. As empresas também precisam de um conjunto diversificado de imagens para que os algoritmos possam reconhecer melhor mulheres, pessoas de diferentes idades, ou até uma variedade de tipos de máscara. ?
    • Os ataques de ransomware tiveram um crescimento grande nos últimos dois anos, com os ciberatacantes ampliando suas operações a tal ponto que a demanda média de resgate aumentou mais de 10 vezes em um ano. As informações são do BleepingComputer. Segundo a publicação, existe mais de uma dúzia de operadoras de ransomware como serviço (RaaS), cada uma com uma série de afiliadas que se concentram em alvos empresariais em todo o mundo.
      Um relatório da empresa de segurança cibernética Group-IB analisa como essa ameaça mudou em apenas um ano desde 2018. Os atacantes começaram a roubar arquivos das vítimas antes da criptografia para aumentar a alavancagem e forçar um pagamento. De acordo com o relatório, os ataques de ransomware aumentaram 40% em 2019, e o foco em metas maiores elevou o preço do resgate de US$ 6 mil para US$ 84 mil. 
      Em 2020, o valor aumentou ainda mais. Dados da Coveware mostram que a média no primeiro trimestre do ano foi de US$ 111,6 mil, sendo que há casos em que as demandas de resgate chegam a US$ 1 milhão. As famílias de ransomware mais gananciosas são a Ryuk e o REvil, também conhecido como Sodin ou Sodinokibi. 
      Entre as técnicas de ataque mais comuns está o comprometimento via kits de exploração (EKs), serviços remotos externos (principalmente RDP) e spear phishing. As redes que distribuem e-mails maliciosos como Emotet, Trickbot (Ryuk) ou QakBot (ProLock, MegaCortex) são usadas para acessar a rede de destino. Os alvos mais valiosos são a cadeia de suprimentos. Os atacantes também aproveitam a exploração de vulnerabilidades não corrigidas em aplicativos voltados ao público ou comprometimento de MSPs (Provedores de Serviços Gerenciados). 
      Os criminosos também começaram a vazar arquivos roubados das vítimas caso não recebessem o resgate. Pelo menos 12 operadores de ransomware têm sites de vazamento onde publicam dados roubados das vítimas, enquanto outros usam fóruns para compartilhar links para download.
×
×
  • Criar Novo...