Jump to content
  • News

    • Leandro Fróes
      No dia 14 de julho a pesquisadora de nick hasherezade postou em seu twitter uma ferramenta feita por ela mesma que converte DLL para EXE.
      Segundo ela, algumas ameaças  vem em forma de DLL e a análise se torna um pouco mais complicada, com isto, hasherezade decidiu escrever esta ferramenta e descrever em seu blog as técnicas que mais utiliza em seu dia a dia analisando binários no formato PE. A ferramenta é muito útil tanto para aprender como o formato PE funciona quanto para aprimorar sua análise ?
      Que tal aplicar esta ferramenta junto dos exercicíos do curso do CERO? ?

    • Alguma vez você precisou fazer uma alteração em um arquivo PE? Seja para brincar e/ou estudar sobre alguma técnica de hooking ou algo assim? Provavelmente você precisou procurar por bytes nulos dentro do arquivo e adivinha só, criaram uma ferramenta pra fazer isto para você sem muito esforço.
      O Inline Empty Byte Finder é uma ferramenta que analisa arquivos executáveis no formato PE e procura por sequências de zeros dentro do arquivo de acordo com as flags de seção que você especificar (execução, escrita, leitura) e no tamanho que quiser:

      A ferramenta está disponível para download e infelizmente não tem código aberto, mas isso não impede você de criar uma igual ou melhor e ainda por cima disponibilizar para todos!!! ?

    • A Agência Nacional de Pesquisa Francesa publicou uma plataforma para análise de binários que chamou de BINSEC. Ainda em fase de testes, a plataforma promete ser útil para análise de binários desconhecidos, contando com recursos como análise semântica, geração de linguagem intermediária e execução simbólica, dentre outros.
      O projeto é livre e licenciado sob a LGPLv2.1. Por hora, só há suporte para análise de binários ELF de 32-bits, mas os desenvolvedores dizem estar trabalhando na extensão da plataforma, o que pode ser acompanhado pelo repositório do projeto no Github.
      A documentação, no entanto, é praticamente inexistente, desde o processo de instalação. Fiquei horas para conseguir compilar e convido o leitor a testar e compartilhar seus resultados!
      Os seguintes pacotes foram necessários num ambiente Debian:
      libmenhir-ocaml-dev menhir libocamlgraph-ocaml-dev libzmq3-dev Depois foi necessário instalar o LLVM em sua versão 6.0, seguindo os passos aqui:
      llvm-6.0 cmake Por fim, o opam precisou ser utilizado para instalar as seguintes pacotes (com opam install):
      piqilib ocamlgraph zarith zmq llvm conf-make ocaml-protoc Ufa! Quem será o primeiro a postar um caso de uso do BINSEC? ?

    • Não é de agora que o mundo inteiro está conectado, as redes Wi-Fi estão presentes em incontáveis locais e a grande maioria utiliza (pelo menos deveria) WPA2. Devido a isto sabemos que a responsabilidade de quem implementa este tipo de tecnologia é enorme, tendo em vista a quantidade de usuários e o impacto negativo que uma simples falha pode causar.
      Como nem tudo é perfeito o avanço da tecnologia também permite que os ataques fiquem mais complexos, ataques estes que permitem a quebra do WPA2. Com isto em mente, a Wi-Fi Alliance anunciou no começo deste ano o WPA3 e com ele foram anunciadas 4 novas funcionalidades.
      As novas funcionalidades dificultam ataques de Brute Force, pois para cada tentativa de senha o atacante deverá interagir com a rede. Proteção de senhas mesmo que fracas, uma chave de 192 bits, uma interface e configuração amigável (mesmo para dispositivos sem ambiente gráfico) e por aí vai.
      A tecnologia terá as versões Pessoal e Empresarial, mas a Wi-Fi Alliance deixa claro que o nível de segurança de ambas é o mesmo. O objetivo é atingir todos os tipos de dispositivos: IoT, notebooks, celulares, etc, visando uma segurança para um mundo em constante mudança e com a chegada de novos paradigmas.
      Nos dias de hoje o WPA2 é o mandatório e o WPA3 opcional, mas a previsão, segundo Kevin Robinson (vice-presidente de Marketing) é que no fim de 2019 o mandatório seja o WPA3.
       
       

    • Neste mês a Mozilla Foundation fez um anúncio da correção de uma falha crítica de segurança em seus navegadores. A falha afeta não só a versão legacy (ESR 52.8.1), mas também o Firefox e Firefox Extended Support Release (ESR) na versão 60.0.2.
      Descoberta pelo pesquisador Ivan Fratric (integrante do time Project Zero da Google) a falha está na biblioteca Skia, utilizada pela maioria dos mantenedores do Firefox e acontece quando um arquivo malicioso no formato SVG utiliza a função de rasterizing com o anti-aliasing desabilitado, permitindo assim que a aplicação quebre com um heap overflow.
      A Mozilla foi rápida e já disponibilizou a atualização, mas é sempre bom verificar se sua versão está atualizada.

    • Recentemente, no canal Papo Binário, falamos sobre o VPNFilter, um malware extremamente avançado e modular (que possui várias funcionalidades) que visa atacar roteadores.
      O número de roteadores afetados já passa da casa dos 500 mil, tornando assim a análise de quais marcas de roteadores foram afetados difícil de ser listada, mas para a felicidade de alguns e infelicidade de outros, esta lista foi aumentada para mais 56, tais quais incluem: D-Link, ASUS, Huawei, Ubiquiti, UPVEL e ZTE. Segundo o laboratório da Talos (grupo de inteligência de ameaças da Cisco) também foi descoberto um terceiro estágio do malware que possui a capacidade de espalhar exploits pela rede utilizando a técnica de  Man-In-The-Middle.
      A dica passada anteriormente era para reiniciar os roteadores, mas aparentemente isto não é mais o suficiente, devido ao módulo de persistência do malware. Cabe a nós ficarmos sempre atentos às novas atualizações dos times de pesquisa (e até mesmo contribuir, por que não?!) para melhorar a forma com que lidamos com ameaças deste nível ?

    • Todos nós ouvimos falar recentemente do lançamento do novo servidor DNS público, o 1.1.1.1, provido pela Cloudflare com a promessa de ser mais rápido e seguro. O servidor atende de fato ao que é prometido e tem agradado a maioria de seus usuários, mas mesmo com toda essa tecnologia não há como escapar do maior inimigo da máquina: o ser humano. ?
      Com o intuito de saber quais IPs são confiáveis ou não, a empresa possui uma lista hard-coded de IPs que pertencem a ela e queria eliminar isto, criando então uma API que faria este trabalho e chamando-a de Provision API. Junto a isto há também uma grande funcionalidade de segurança presente neste servidor chamada de Gatebot, que se resume a uma série de técnicas de mitigação de ataques.
      Alguns disseram que foi um ataque de DDoS, mas a Cloudflare publicou em seu blog no dia 31 de maio que foi um erro cometido por eles, e não por algo externo. O erro de certa forma é simples, mas de grande impacto para todos os usuários do servidor DNS. A questão é que, quando o Gatebot foi implementado junto da API esta não sabia que os intervalos de IP 1.1.1.0/24 e 1.0.0.0/24 eram especiais (da própria Cloudflare), com isto, já podemos imaginar no que deu, não é mesmo? Sim... um falso positivo.
      Esta falta de atenção por assim dizer causou impacto em todos os usuários do servidor por 17 minutos (os deixando sem resolução de nomes) pelo fato do Gatebot pensar que este range de IP era malicioso, levantando várias dúvidas sobre o funcionamento do serviço entregue pela Cloudflare.
      Mesmo com tudo isto a empresa não se abalou e, além de resolver o problema rapidamente também pediu desculpas aos seus usuários e listou as lições aprendidas com o incidente. ?
       

×
×
  • Create New...