Fernando Mercês

Batizado com nome herdado da estrela binária VV Cephei, o Linux.Cephei é provavelmente o primeiro file infector para executáveis ELF (utilizados nos sistemas baseados em Linux, entre outros) escrito na linguagem Nim. Isso mesmo, o autor é um tanto excêntrico e disse em seu blog que o Linux.Cephei é inofensivo (por enquanto) e fez somente para participar de um concurso de programação. O vírus é do tipo que chamamos de prepender, ou seja, ele adiciona algo "antes" da execução de um programa saudável, no caso, de um binário ELF. A técnica para isso é a alteração de seu entrypoint. Nos testes que fizemos aqui, o Linux.Cephei só funcionou com binários compilados estaticamente: $ uname -a Linux malinux 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 GNU/Linux $ cat /etc/debian_version 9.2 $ cat h.c #include <stdio.h> int main(void) { printf("ola mundo do bem!\n"); return 0; } $ gcc -static -o hello h.c $ ./hello ola mundo do bem! $ chmod +x linux.cephei $ ./linux.cephei $ ./hello Did you know that VV Cephei, also known as HD 208816, is an eclipsing binary star system located in the constellation Cepheus, approximately 5,000 light years from Earth? It is both a B[e] star and shell star. Awesome! https://en.wikipedia.org/wiki/VV_Cephei The more you know... :) ola mundo do bem! $ gcc -o hello h.c $ ./linux.cephei $ ./hello ola mundo do bem! Perceba que ele injetou seu código com sucesso no binário hello, mas somente quando foi compilado estaticamente. Além da linguagem exótica, ultimamente não se vê muitos file infectors já que a moda de infectar executáveis passou. De qualquer forma, é bom ficar de olho. Com códigos como o do Linux.Ceiphei, vírus podem permanecer ocultos num sistema por muito tempo. E pouca gente usa antivírus no Linux, mesmo tendo uma alternativa livre como o ClamAV.

O que é Engenharia Reversa? Engenharia reversa de software é a técnica para entender como um trecho de código funciona sem possuir seu código-fonte. É aplicável em diversas áreas da tecnologia como: Análise de malware Reimplementação de software e protocolos Correção de bugs Análise de vulnerabilidades Adição/Alteração de recursos no software Proteções anti-pirataria Alguns termos e abreviações para a engenharia reversa incluem: RCE (Reverse Code Engineering), RE, e reversing. Como funciona? Quando um programa tradicional é construído, o resultado final é um arquivo executável que possui uma série de instruções em código de máquina para que o processador de determinada arquitetura possa executar. Com ajuda de software específicos, profissionais com conhecimentos dessa linguagem (em nosso caso, Assembly) podem entender como o programa funciona e, assim, estudá-lo ou até fazer alterações no mesmo. O treinamento O CERO (Curso de Engenharia Reversa Online) é um treinamento básico de engenharia reversa gratuito publicado no nosso canal no YouTube Papo Binário, graças ao suporte dos nossos apoiadores. O instrutor @Fernando Mercês é Pesquisador de Ameaças na Trend Micro, onde atua como investigador de ciber crime, utilizando engenharia reversa e técnicas de inteligência de ameaças no time de Pesquisa de Ameaças Futuras (FTR). Criador de várias ferramentas livres na área, com frequência apresenta suas pesquisas nos principais eventos de segurança no Brasil e no exterior. É também professor e fundador da Mente Binária, uma instituição de ensino e pesquisa sem fins lucrativos comprometida com o ensino de computação no Brasil. Aulas publicadas Aula 0 - Como funciona a Engenharia Reversa Aula 1 - Sistemas de Numeração Aula 2 - Arquivos Aula 3 - Arquivos binários Aula 4 - Strings de texto Aula 5 - Executável PE - Apresentação Aula 6 - Executável PE - Seções e endereçamento Aula 7 - Executável PE - Imports Table Aula 8 - Executável ELF - Apresentação Aula 9 - Executável ELF - Símbolos, PLT e GOT Aula 10 - Win32 API Aula 11 - Linux syscalls Aula 12 - Assembly - Instruções e registradores Aula 13 - Assembly - Repetições e saltos Aula 14 - Assembly - Convenções de chamada de função Aula 15 - Funções e pilha Aula 16 - Breakpoints de software Aula 17 - Quebrando o crackme do Cruehead (Parte 1) Aula 18 - Quebrando o crackme do Cruehead (Parte 2) Aula 19 - Compressão de executáveis Aula 20 - Descompressão e reconstrução da IAT Aula 21 - Breakpoints de memória Aula 22 - Rastreando instruções (tracing) Aula 23 - Strings ofuscadas Aula 24 - Anti-debug Pré-requisitos Máquina virtual com Ubuntu Máquina virtual com Windows 7 Lógica de programação. Desejável ter assistido o treinamento gratuito Programação Moderna em C.

O que é C? C é uma linguagem de programação criada na década de 60 e utilizada largamente até os dias atuais. É comum se ouvir que “metade do Universo é escrito em C” e de fato é impressionante o número de aplicações de base escritas nesta linguagem. Exemplos incluem: Linux, Apache httpd, PHP, Java, Perl, Ruby, Python e a API do Windows. Por que estudar C? Acreditamos que o estudo da linguagem C é muito benéfico para o profissional que lida com computadores, independente da área. Estudar C nos obriga a focar nas bases da computação, entender como os dados são manipulados em memória pelo sistema operacional e pelo processador, suas limitações e condições para funcionamento. Algumas vantagens de se estudar C são: Pouca coisa "vem pronta" em C, nos forçando a implementar e entender as limitações da computação atual. O programador tem controle quase total do contexto do programa. É uma linguagem comercial, principalmente na era dos embarcados. Mas C não é velho? A linguagem foi criada há muito tempo, mas continua sendo atualizada e utilizada. Basta olhar o índice TIOBE, que mede as linguagens mais em alta no mundo, para comprovar o que dissemos. A última atualização na especificação padrão foi em 2011 mas os compiladores adicionam extensões periodicamente. O gcc (GNU Compiler Collection) e o Visual Studio, da Microsoft, são bem famosos, mas há também o clang que ganhou bastante espaço recentemente. O treinamento O treinamento Programação Moderna em C é gratuito aborda aspectos modernos da linguagem, bem como do ecossistema para desenvolvimento de aplicações em C, como o SO, editores de texto, IDE’s, etc. O curso está no YouTube, no nosso canal Papo Binário. São 20 aulas em 23 vídeos. O instrutor @Fernando Mercês é Pesquisador de Ameaças na Trend Micro, onde atua como investigador de ciber crime, utilizando engenharia reversa e técnicas de inteligência de ameaças no time de Pesquisa de Ameaças Futuras (FTR). Criador de várias ferramentas livres na área, com frequência apresenta suas pesquisas nos principais eventos de segurança no Brasil e no exterior. É também professor e fundador da Mente Binária, uma instituição de ensino e pesquisa sem fins lucrativos comprometida com o ensino de computação no Brasil. Aulas publicadas Aula 0: Preparando o ambiente Aula 1: Funções main() e printf() Aula 2: Variáveis booleanas e do tipo char Aula 3: Variáveis do tipo int Aula 4: Variáveis do tipo float Aula 5: Arrays Aula 6: Operadores aritiméticos Aula 7: Operadores lógicos Aula 8: Operadores bit-a-bit Aula 9: Condicional if Aula 10: Repetições (Parte 1/2) Aula 10: Repetições (Parte 2/2) Aula 11: Ponteiros (Parte 1/2) Aula 11: Ponteiros (Parte 2/2) Aula 12: Indexação de arrays e ponteiros Aula 13: Alocação dinâmica de memória Aula 14 - Estruturas e Uniões Aula 15 - Funções Aula 16 - Macros Aula 17 - Escopo e classes de armazenamento Aula 18 - Projeto readpe (Parte 1/3) Aula 19 - Projeto readpe (Parte 2/3) Aula 20 - Projeto readpe (Parte 3/3) Pré-requisitos Máquina física ou virtual com Linux. Básico do shell do Linux. Lógica de programação é desejável.