Jump to content

Fernando Mercês

Administradores
  • Content Count

    666
  • Joined

  • Last visited

  • Country

    Brazil

Community Reputation

0 Neutral

Personal Information

Recent Profile Visitors

8,468 profile views
  1. É, tá fora mesmo. Desistiu do projeto, @Dutra? Abraços!
  2. Salve, pessoal, tudo bem? A gente vai participar semana que vem de um evento sobre saúde mental onde falaremos sobre o tema dos jogos sombrios e o impacto em nossas crianças e adolescentes. Estão todos convidados. O link para inscrição é https://cnv.emrede.social/saudemental/ 🙏
  3. Oi @Rubem! Desculpe não responder antes. De fato já não lembro por onde me contactou. São realmente muitas mensagens e trabalhos aqui... De qualquer forma, minha sugestão seria realmente abrir um tópico aqui. Então tomei a liberdade de transformar sua resposta em um novo tópico (fica à vontade para mudar o título se quiser), na área de programação em C. Assim o pessoal consegue ajudar mais. No entanto, é importante você colocar um código inicial e falar sobre suas dúvidas, sabe? Fica mais fácil para a galera ajudar. Grande abraço!
  4. Existem vários frameworks para emulação de binários. No livro introdutório de Engenharia Reversa que escrevi, há um apêndice só de ferramentas onde alguns deles são listados. Confesso que quando vi "mais emulador" pensei: "ok, mais um emulador..." mas a FireEye não costuma lançar coisa inútil, então resolvi dar uma olhada ao invés de só julgar e ignorar. E, cá entre nós, foi a melhor coisa que fiz. Rodei o Speakeay no macOS e curti bastante a quantidade de recursos e possibilidades que ele traz. Vou contar aqui rapidinho o que rolou. 🙂 Instalação O processo de instalação foi bem fácil: git clone https://github.com/fireeye/speakeasy.git cd speakeasy python3 -m pip install -r requirements.txt python3 setup.py install Uso Invocando o script principal sem nenhum argumento, damos de cara com o help do programa: $ python3 run_speakeasy.py usage: run_speakeasy.py [-h] [-t TARGET] [-o OUTPUT] [-p [PARAMS [PARAMS ...]]] [-c CONFIG] [-m] [-r] [-a ARCH] [-d DUMP_PATH] [-q TIMEOUT] [-z DROP_FILES_PATH] [-l MODULE_DIR] Emulate a Windows binary with speakeasy optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET Path to input file to emulate -o OUTPUT, --output OUTPUT Path to output file to save report -p [PARAMS [PARAMS ...]], --params [PARAMS [PARAMS ...]] Commandline parameters to supply to emulated process (e.g. main(argv)) -c CONFIG, --config CONFIG Path to emulator config file -m, --mem-tracing Enables memory tracing. This will log all memory access by the sample but will impact speed -r, --raw Attempt to emulate file as-is with no parsing (e.g. shellcode) -a ARCH, --arch ARCH Force architecture to use during emulation (for multi-architecture files or shellcode). Supported archs: [ x86 | amd64 ] -d DUMP_PATH, --dump DUMP_PATH Path to store compressed memory dump package -q TIMEOUT, --timeout TIMEOUT Emulation timeout in seconds (default 60 sec) -z DROP_FILES_PATH, --dropped-files DROP_FILES_PATH Path to store files created during emulation -l MODULE_DIR, --module-dir MODULE_DIR Path to directory containing loadable PE modules. When modules are parsed or loaded by samples, PEs from this directory will be loaded into the emulated address space [-] No target file supplied Destaque para as opções -z e -d que prometem salvar os arquivos criados pelo programa e um dump de memória do processo, respectivamente. Emulando um executável PE O Speakeasy ainda não é perfeito. Emulei vários binários, mas a maioria tinha uma ou outra função da API do Windows ainda não suportada pelo programa. Um exemplo é o nosso desafio AnalyseMe-03, que gerou a seguinte saída: $ python3 run_speakeasy.py -t ~/Downloads/AnalyseMe-03.exe 0x40101e: 'KERNEL32.GetCommandLineA()' -> 0x40b0 0x40105c: 'KERNEL32.GetStartupInfoA(0x1211fa0)' -> None 0x401102: 'KERNEL32.GetProcessHeap()' -> 0x4120 0x401109: 'KERNEL32.HeapAlloc(0x4120, 0x8, 0x80)' -> 0x4140 0x40108d: 'KERNEL32.GetModuleHandleA(0x0)' -> 0x400000 0x40135e: 'KERNEL32.CreateFileA("C:\\Program Files\\Oracle\\VirtualBox Guest Additions\\DIFxAPI.dll", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x40138f: 'KERNEL32.CreateFileA("C:\\windows\\System32\\Drivers\\Vmmouse.sys", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x4011fe: 'wininet.InternetOpenA("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)", 0x1, 0x0, 0x0, 0x0)' -> 0x20 Caught error: unsupported_api Invalid memory read (UC_ERR_READ_UNMAPPED) Unsupported API: wininet.InternetOpenUrlA * Finished emulating Tudo bem. O software é livre, então eu posso ir lá e adicionar suporte à InternetOpenUrlA da wininet.dll, caso eu realmente precise. E mesmo assim, o Speakeasy foi capaz de emular várias outras funções, que já me dizem o que o binário faz. Achei que os seguintes recursos valem o destaque: Fácil instalação. Multiplataforma. Pode ser usada como biblioteca em Python. Exemplos. Suporta shellcode. Emula drivers em ring0. Por ser emulador, dispensa SO e virtualizador. Cria um dump de memória. Salva os arquivos criados. Sem dúvida um software impressionante, principalmente se o utilizamos com foco em famílias de malware em específico. Pode salvar muitas horas de análise. 🙏 Pontaço para a FireEye de novo, que mês passado, diga-se de passagem, lançou o capa, que cobri no canal. Já são duas ferramentas que entraram pro meu dia a dia na análise de binários de Windows.
  5. Apoyar las actividades de ejecución de servicios sobre las tecnologías de ESET Realizar análisis sobre campañas de malware en la región Dar respuesta a los requerimientos internos y externos sobre códigos maliciosos Participar en distintos eventos de Seguridad Informática en distintos países de Latinoamérica Realizar investigaciones sobre temas puntuales relacionados en la Seguridad Informática, con el fin de elaborar papers que puedan ser publicados y/o ser presentado en una Conferencia internacional. Mantenerse actualizado con las nuevas tecnologías, proponiendo nuevos proyectos y acciones que posicionen a ESET Latinoamérica a la vanguardia de la industria. Mantener relaciones con la comunidad regional de seguridad de la información. Cumplir con las Políticas y Directivas de Seguridad de la Información definidas por la compañía. Integrar los valores de ESET Latinoamérica en cada decisión y comportamiento diario, haciendo de ellos pilar de la cultura corporativa y transmitiéndolos en cada gestión llevada a cabo. Ejecutar las actividades del Programa de Concientización interno de la Compañía Alcance Regional Mais informações: https://www.linkedin.com/jobs/view/2008817311/
  6. Version 1

    6 downloads

    Arquivo utilizado no artigo da Revista H2HC, edição 15 (ainda em construção).
  7. Boa noite! Eu cliquei no link mas já tá fora do ar, o que provavelmente significa que preencheram a vaga. Tem outras lá no entanto: https://careers.godaddy.com/search-jobs Abraço!
  8. DBA - https://hbsis.gupy.io/jobs/261695 Conhecimentos em ambientes Linux/Unix e rotinas em shell script ou python; Conhecimentos de Cloud Computing; Instalação, upgrade e migração de versões de BD relacionais, Mysql, MariaDB, PostgreSQL e SQL Server; Instalação, upgrade e migração de versões de DB não relacionais MongoDB; Realização de backup/recovery nas tecnologias citadas; Rotinas de administração e monitoramento de banco de dados, análise e tuning de performance; Atuar em ambientes de alta disponibilidade, recomendando e implementando a utilização de clusters; Conhecer ambientes SaaS de bancos de dados e apresentar preparo para migrações. DevOps I - https://hbsis.gupy.io/jobs/261794 Experiência em ALM cloud, Azure Devops (padrão Ambev) ou similiar, pipeline, build automation e deploy automation; Conhecimento em Arquitetura de software: Microserviços, mensageria; Conhecimento em componentes de infra de software: Kubernetes, autoscaling e afins; Desejável conhecimento em monitoramento Cloud: Datadog (padrão Ambev) ou similar; Desejável conhecimento em Engenharia de software: Agile e métricas. DevOps II - https://hbsis.gupy.io/jobs/431823 Conhecimento em linguagens de programação e arquitetura de software; Foco em aplicações com alta escalabilidade, disponibilidade e interoperabilidade entre os sistemas; Experiência em CI/CD, escrevendo pipelines avançadas, automação e versionamento de código; Conhecimento em estratégias de deploy como Canário e Blue/Green; Conhecimento em processos e ferramentas de monitoramento de aplicações; Conhecimento em sistemas operacionais, protocolos de rede e virtualização; Conhecimento em banco de dados relacionais e não relacionais; Conhecimento de plataformas Cloud, MultiCloud, IaC (Infrastructure as code) e linguagens de script; Conhecimento em computação avançada (Sysadmin); Domínio de ambientes de alta volumetria.
  9. Responsabilidades: Auxiliar e conduzir a definição, estruturação e construção de plataformas e fundações para o desenvolvimento de software; Definir e auxiliar na definição de estratégias para manutenção e sustentação de sistemas com tecnologias legadas; Promover o uso de arquiteturas, frameworks, topologias e processos de alta disponibilidade, segurança e escalabilidade; Participar de fóruns, colaborar na definição e difundir melhores práticas de arquitetura e desenvolvimento, em parceria com a Engenharia Corporativa e alinhado com as necessidades do Segmento; Acompanhar e auxiliar a execução das atividades das Engenharias Locais do Segmento; Realizar treinamentos e colaborar na disseminação de conhecimento entre os times. Requisitos: Superior em Engenharia da Computação, Ciência da Computação, Sistemas de Informação, Análise e Desenvolvimento de Software, Banco de Dados, Redes de Computadores ou cursos compatíveis; Fluência em múltiplas linguagens e paradigmas de programação; Experiência em desenvolvimento de sistemas e alta disponibilidade; Conhecimento em ferramentas de automação de build (Azure DevOps Pipelines, Jenkins, Puppet, Chef, Ansible, Salt, etc.); Conhecimento em tecnologias de virtualização em contêineres (Docker, rkt) e orquestração (Kubernetes, OpenShift, ECS); Inglês instrumental (CEF-B1: capacidade de interagir em inglês sobre tópicos que lhe sejam familiares). Mais detalhes: https://totvs.gupy.io/jobs/464565
  10. Venha fazer parte de uma empresa que tem como propósito inspirar empresas e despertar o melhor das pessoas! Como fazemos isso? Tendo a inovação em nosso DNA e paixão por servir, e é por isso que nos dedicamos para desenvolver as melhores soluções para os nossos clientes! Aqui você vai encontrar um ambiente que estimula a criatividade, incentiva a autonomia e te encoraja a se desafiar todos os dias. Com a liderança no mercado de benefícios, estamos presentes nos segmentos de alimentação, cultura, mobilidade e saúde e buscamos profissionais engajados e com grande senso de realização. Junte-se a nós! =) Alelo. Inteligência que conecta pessoas e negócios. #VemSerAlelo #AleloLovers #SangueVerde Quais serão as suas responsabilidades? Elaborar requisitos de segurança no desenvolvimento de projetos de negócio e jornada de transformação para cloud; Elaborar modelagem de ameaças para cenários de utilizações das aplicações, bem como propor soluções para mitigação; Definir requisitos de arquitetura de segurança de aplicações, infraestrutura de segurança e processos de execução; Atuar no melhor esforço de custo-benefício de implementação, uso de soluções de segurança em nuvem e padrões de mercado; Atuar de forma sinérgica com os times de arquitetos, infraestrutura e desenvolvimento de aplicações; Contribuir com o time em ações de melhoria dos processos gerais de segurança da informação. Do que você precisa? Superior completo em Tecnologia da Informação, Segurança da Informação e áreas correlatas; Conhecimento nas melhores práticas de codificação e OWASP; Conhecimento de soluções de contêineres, middlewares e processos de DevSecOps; Conhecimentos de soluções baseadas em nuvem; Vivência de, no mínimo, 5 anos com arquitetura de segurança para o desenvolvimento de aplicações; Conhecimento comprovado ou treinamentos em metodologia ágil. O que você vai encontrar aqui? Flexibilidade de horário e dress code; Home Office; Oportunidades de crescimento e desenvolvimento; Reconhecimento meritocrático; Ambiente de trabalho criativo e descontraído; Happy Friday. LOCAL DE TRABALHO: Alphaville/ Barueri- SP https://jobs.kenoby.com/alelo/job/especialista-em-seguranca-da-informacao-arquiteto-de-seguranca-de-aplicacoes/5f19a06c78f73f5054e30d3b
  11. Responsabilidades: Executar atividades e processos de Segurança da Informação, com foco em gestão de usuários e acessos; Realização de controles e revisão de perfis de acesso; Interagir com projetos para análise das demandas e definição de perfis e grupos de acessos e implementá-los nos sistemas de controle de acesso. Requisitos: Formação Superior em Sistemas de Informação, Engenharia da Computação, Ciência da Computação, Processamento de Dados ou áreas relacionadas; Experiência em área de gestão de acessos, administração de usuários, suporte a usuários, permissões e grupos em ambiente Microsoft (Active Directory); Raciocínio lógico, capacidade analítica e proatividade; Excelente comunicação, postura e relacionamento interpessoal; Certificações na área de Segurança da Informação/Cybersecurity serão consideradas um diferencial. Candidate-se em https://jobs.kenoby.com/bancopine/job/analista-de-seguranca-da-informacao-jr-pcd/5f3be44f9715a47eb287442c
  12. Quer trabalhar em um ambiente jovem,informal e desafiador? Então vem pra 4Linux. Estamos contratando: Analista Linux , Desenvolvedor Phyton, Analista Jboss e DBA PostgreSQL e outros Inscreva-se e participe do processo seletivo: https://jobs.rankdone.com/4linux/
  13. O loader do Windows usa esse campo pra passar saber pra qual endereço passar o fluxo de execução pro processador. Tem um pouco disso aqui: https://mentebinaria.gitbook.io/engenharia-reversa/o-formato-pe/cabecalhos/opcional#addressofentrypoint Mas o assunto é mais longo, envolve o contexto do processo, thread, etc. Se quiser entender em detalhes, recomendo o livro Windows Internals. 😉 Abraço!
  14. Que show! Não fazia ideia! Parabéns! 🎊
  15. A NSA, agência de espionagem norte-americana, acaba de publicar um documento de 45 páginas detalhando o funcionamento de um malware chamado Drovorub, a quem atribuiu o desenvolvimento ao governo Russo. Segundo o relatório, o malware é composto por 4 partes: Cliente, usado como implante. Módulo de kernel que é o rootkit. Agente que faz o redirecionamento de portas e transfere arquivos entre vítima e C2. Servidor que tem o software do C2. O diagrama geral de funcionamento do malware é mostrado na figura abaixo: O cliente recebe comandos do servidor, pode transferir arquivos e abrir uma shell remota. Além disso, ele também instala o rootkit, que é capaz de ocultar processos (fazendo com que não apareçam na listagem de comandos como ps e top do Linux), arquivos, sockets abertos e até mesmo pacotes recebidos pelo Netfilter. Em resumo, o atacante tem total controle de seu servidor Linux. Talvez até mais controle que você. 🤷🏽 Pra saber se seu servidor está infectado, a NSA recomenda buscar pelas strings "sc!^2a", "do_fork" e "net_list_request" num dump de memória. Recomendações adicionais, incluindo regras para detectar o tráfego de rede Snort e Yara para encontrar os arquivos podem ser encontradas no documento. Sinistro. O.o
×
×
  • Create New...