Jump to content

Fernando Mercês

Administradores
  • Content Count

    973
  • Joined

  • Last visited

Everything posted by Fernando Mercês

  1. Dados os ocorridos recentes sobre vazamento de dados como o caso da Netshoes, resolvi compartilhar mais uma ferramenta, desta vez um programa em Python que recebe um endereço de e-mail como argumento e busca por leaks que o envolvam. Adicionalmente, de posse de alguma senha vazada, é possível testar o reuso de credenciais em diferentes serviços. O nome do software é Cr3dOv3r, disponibilizado sob a licença livre MIT. Aqui encontrei uma minha de Instagram (que não utilizo), que possui uma senha vazada anteriormente, conforme visto na imagem. Vale a pena conferir seus e-mails aí!
  2. @Rick Santos sua explicação foi incrível. Muito obrigado! Compilei seu programa e funciona perfeitamente. Já que o @fredericopissarra falou da .rodata, andei dando uma olhada e achei bem legal o tratamento que o NASM dá dependendo do nome da seção/segmento: $ objdump -h hello.o hello.o: file format elf64-x86-64 Sections: Idx Name Size VMA LMA File off Algn 0 .data 00000007 0000000000000000 0000000000000000 00000380 2**2 CONTENTS, ALLOC, LOAD, DATA 1 .rodata 00000007 0000000000000000 000000000000
  3. @Guilherme Thomazi Bonicontro que legal que você viu a notícia aqui e apareceu. És Brasileiro? Eu tentei novamente mas mesmo compilando a partir do código-fonte, só consegui infectar binários estáticos, veja: $ git clone https://github.com/guitmz/nim-cephei.git $ cd nim-cephei $ nim c -d:release cephei.nim Hint: used config file '/etc/nim.cfg' [Conf] Hint: system [Processing] Hint: cephei [Processing] Hint: streams [Processing] Hint: os [Processing] Hint: strutils [Processing] Hint: parseutils [Processing] Hint: math [Processing] Hint: algorithm [Processing] Hint: times [Processing] H
  4. Em tempo, hoje tava dando uma olhada nas ferramentas de linha de comando que vêm com o Visual Studio e descobri o MASM lá (ml.exe). Aqui fica em: C:\Program Files\Microsoft Visual Studio\2017\Community\VC\Tools\MSVC\14.11.25503\bin\Hostx86\x86 (a versão de 32-bits). Compilei o mesmo programa do post original do tópico com a seguinte linha: > ml.exe hello.asm /link /subsystem:windows O resultado do disassembly:
  5. Todas as palestras ministradas na REcon, a maior conferência sobre engenharia reversa do mundo, que aconteceu em Montreal este ano estão disponíveis (slides e vídeos), inclusive no YouTube. Dentre as várias apresentações interessantes está a Crypton Exposing malware deepest secrets, das pesquisadores Julia Karpin e Anna Dorfman da F5. Na palestra elas comentam que a ferramenta reduziu de várias horas (talvez dias) para apenas alguns minutos o trabalho de descriptografar arquivos de configuração de malware como o ZeusVM, Citadel e outros. Além disso, a palestra é muito divertida! Claro que
  6. Version 3.3.8

    48 downloads

    Este programa serve para inspecionar objetos OLE da Microsoft (documentos RTF, HWP, etc) e extrair dados, payloads, etc. Vale muito a pena também olhar os outros programas da MiTeC em http://www.mitec.cz.
  7. Version 1.10

    60 downloads

    Analizador gráfico de arquivos PE com recursos muito interessantes como: Cálculo de entropia. Categorização de strings (URL, chaves de registro, suspeitas...). Análise de delay imports. Análise detalhada de binários .NET. Mostra as TLS callbacks. E mais... O site oficial é https://www.mzrst.com e a versão 1.10 saiu em 10/10/2017. Pra funcionar é preciso instalar o Microsoft Visual C++ 2010 Redistributable pra sua plataforma (32 ou 64-bits), caso não tenha.
  8. Version 0.1

    73 downloads

    Conversor genérico para vários tipos de dados, strings, cálculo de hash, conversão de IP, etc. Muito legal! Vale a pena dar uma olhada nas outras ferramentas do mesmo autor! A senha para descompressão é "kahusecurity" (sem aspas).
  9. Version 1.0

    66 downloads

    cpu_rec.py é um script em Python para encontrar instruções Assembly de várias arquiteturas em arquivos arbitrários (qualquer tipo de arquivo).
  10. Version 2.0.1

    96 downloads

    O Radare, radare2 ou simplesmente r2 é um framework completo para engenharia reversa onde seu principal componente é um debugger. É multiplataforma e possui uma poderosa interface gráfica (em modo texto), além de uma web UI. No site oficial tem vários exemplos, comparações e documentação.
  11. 80 downloads

    O Miasm é um framework para execução simbólica dinâmica (DSE) desenvolvido na França, que você pode entender melhor no próprio blog dos autores. Ele pode ser utilizado como um plugin para os debuggers ou a partir do Python, por exemplo. O autor também gravou um vídeo sobre a ferramenta, sem legendas em Português, no entanto.
  12. Postei uma sobre Eng. Reversa mas tem essa aqui específica para análise de malware que é bem legal: https://github.com/rshipp/awesome-malware-analysis Abraços, Fernando
  13. Vaga para Estagiário de Desenvolvedor C++ Descrição: Desenvolvemos uma aplicação desktop multiplataforma (Windows e Mac) para análise de dados actimétricos. Os dados de atividade e repouso do usuário são coletados por meio de um dispositivo chamado actímetro para então serem descarregados no software. O software é responsável pela configuração do dispositivo e pela extração e análise dos dados. Por meio dos dados coletados através do dispositivo é possível estimar os horários de sono e vigília dos usuários e realizar análises do ritmo circadiano. Trabalhamos em parceria com di
  14. Valeu, @Rick Santos. Adicionei um teste que fiz e baixando o binário pronto do repositório do Github até que funcionou, mas só para binários estaticamente linkados. Quando tentei a partir do fonte, obtive um erro quando o Linux.Cephei tenta ler ele próprio. Acho que o autor está desenvolvendo ainda, ou não quer que saiam por aí utilizando para o mal. Abraço, Fernando
  15. Deparei-me recentemente com uma lista interessante com ferramentas, livros e outros "recursos" para eng. reversa. Segue: https://github.com/wtsxDev/reverse-engineering Espero que curtam. Impressionante como hoje em dia material não falta. Abraços, Fernando
  16. Batizado com nome herdado da estrela binária VV Cephei, o Linux.Cephei é provavelmente o primeiro file infector para executáveis ELF (utilizados nos sistemas baseados em Linux, entre outros) escrito na linguagem Nim. Isso mesmo, o autor é um tanto excêntrico e disse em seu blog que o Linux.Cephei é inofensivo (por enquanto) e fez somente para participar de um concurso de programação. O vírus é do tipo que chamamos de prepender, ou seja, ele adiciona algo "antes" da execução de um programa saudável, no caso, de um binário ELF. A técnica para isso é a alteração de seu entrypoint. Nos t
  17. Boa noite! Resposta curta: Defesa em web - WAF (ex.: ModSecurity), Snort e Suricata podem ajudar também (não sei quanto)... Servidores Linux - as permissões (lsattr, chmod etc), SElinux, PaX, Lynis, tripwire... Mas se você não tem nada na base, a defesa vai ser fraquíssima IMHO. Então ela vem... a Resposta longa: Tenho uma regrinha simples que é a seguinte: seja lá o que eu queira defender/atacar, preciso entender muito disso antes de defender/atacar. Ou seja, se você quer defender um servidor web, é bom ser especialista no assunto servidor web primeiro. Q
  18. $ echo 'main() { char *s="boa, 06!"; while(*s) printf("%d", *s++); }' | tcc -run - 98111974432485433 Sábado é dia de alegria!
  19. Posta aí o que rolou... Se quiser postar o malware (zip com senha "virus") ou a string toda também é bem vindo. =)
  20. hahahaha, sabe que deu uma ideia de fazer um programa que detecta que tipo de ofuscação tá sendo usada na string - e tenta desofuscar, claro? Será que é útil? Tipo assim:
  21. Nessa thread um usuário fala pra apertar Alt+F3, logar e atualizar o sistema com o apt. Vale tentar... Eu Googlei por "Failed to start User Manager for UID 131" e caí nela. Abraços, Fernando
  22. É justamente a parte difícil né. Mas eu entendi. Valeu!
  23. Opa, Tenho duas observações, brother: A primeira é sobre o comando base64. Como muitos outros no Linux (grep, md5sum, etc) ele recebe um arquivo como entrada, por isso você não precisa do cat: $ base64 rat.jar > souInocente E na outra ponta: $ base64 -d souInocente > rat.jar A outra é sobre o "bypass" em si. Você tá assumindo que tem controle da máquina onde a RAT vai ser executada, ou seja, já tem shell nela, certo? Sendo assim, praticamente qualquer coisa pode ser utilizada para transferir um executável sem que as ferramentas de segurança barrem(scp, download vi
×
×
  • Create New...