Fernando Mercês

Passei um tempo usando o Windows 10 depois de anos em Linux e macOS. Logo percebi dificuldades específicas com shell, instalação de programas, etc. Mas também percebi que é possível deixar o Windows muito próximo, no quesito de usabilidade, de um Linux com shell completo ou macOS. Neste artigo vou mostrar as ferramentas e configurações que mais me ajudaram. Boa leitura! ? Gerenciador de pacotes Vou começar falando dele por um motivo muito simples: outros programas podem ser instalados com ele. Pois é, parece que a Microsoft aprendeu com as distros Linux e projetos como o Chocolatey, já que finalmente anunciou seu gerenciador de pacotes, o winget. Para instalar, baixe o arquivo com extensão .appxbundle na área de releases do repositório do projeto no Github. Após isso você pode abrir qualquer terminal (Command Prompt / cmd.exe ou Powershell) e digitar winget pra ver seu novo gerenciador de pacotes: Vamos buscar por exemplo os programas que que tenham a palavra "security" em seu nome ou descrição, para testar: Qualquer um desses programas pode ser instalado com um simples "winget install". Faça o teste com o Notepad++ por exemplo: winget install notepad++ Os comandos list (listar os programas instalados) e upgrade (atualizar os programas instalados) ainda são experimentais, mas você pode habilitá-los da seguinte maneira: Digite winget settings no terminal. Um arquivo settings.json se abrirá. Nele, adicione: "experimentalFeatures": { "list" : true, "upgrade" : true }, O meu aqui tá assim: A lista de programas disponíveis está aumentando cada vez mais, já que o winget é de código aberto. ? Terminal decente Mas na real, a primeira coisa de que senti falta foi um terminal decente. Graças a Deus encontrei o Windows Terminal. Para instalar com o winget (não se assuste - dá pra usar a tecla Tab para autocompletar): winget install Microsoft.WindowsTerminalPreview Aí olha só quem chega na festa: Este terminal concentra tudo em um: Prompt de Comando, Powershell e Linux (rodando via WSL), e é multi-abas. Claro que tá longe de um Terminator ou iTerm2, mas também tá longe de um cmd.exe né? Deus me livre e guarde! kkkk O novo Windows Terminal também tem uma configuração baseada em JSON e uns recursos interessantes como a divisão automática da janela do terminal. Ao apertar Alt+Shitft+D, olha o que acontece: terminal_split.mp4 A divisão da janela (split) funciona para janelas com qualquer shell. Hashes Eu sempre curti um software pra Windows chamado TotalHash, que adiciona os hashes de arquivos em suas propriedades, mas este infelizmente tem dois problemas: não é livre nem suporta plugins (logo, não consigo extender para suportar os hashes que preciso), é pago e não é scriptável. Resolvi isso com o cmdlet Get-FieHash do Powershell. Por padrão ele exibe o SHA-256 de um arquivo, mas há várias opções, como se pode observar na imagem: Sniffer Por essa nem o futuro esperava! O Windows 10 agora tem um sniffer nativo: o pktmon. Se liga: E sim, ele suporta filtros. Por exemplo, para logar somente pacotes IPv4 na porta 80/tcp: pktmon filter add HttpPuro -d ipv4 -t tcp -p 80 Você pode adicionar mais de um filtro se quiser e com qualquer nome (aqui chamei o meu de HttpPuro). Depois, é só iniciar a captura pedindo para logar os eventos: pktmon start --etw Para parar a captura, o comando é o stop: pktmon stop Por padrão o pktmon cria um arquivo chamado PktMon.etl num formato próprio. Este pode ser convertido para texto: pktmon format PktMon.etl -o log.txt Ou para o formato PCAP-NG, suportado pelo Wireshark e outros analisadores de pacotes: pktmon pcapng PktMon.etl -o capture.pcap Há várias outras opções que valem serem exploradas. É de fato um sniffer completo. Em breve vou falar mais sobre as seguintes ferramentas: PowerToys Sysinternals O novo diskusage.exe. WSL 2.0. Por hora é isso. Conforme eu encontre coisas novas, vou adicionando aqui. Se souber de alguma novidade ou algo que ache que precise ser citado aqui, por favor comente aí embaixo! Espero que seja útil para quem precisa usar o Windows por algum tempo, por qualquer motivo. ?

Uma das apresentações na BlackHat Europe é sobre a Tsurugi, uma distribuição Linux com foco em DFIR (Digital Forensics and Incident Response). Nas palavras dos criadores da distro: A principal ideia por trás do projeto Tsurugi Linux é a simplicidade, já que os tópicos [aos quais ela se destina] podem ser bastantes complexos. Os menus da distro foram organizados na "ordem em que a investigação ocorre" e as ferramentas agrupadas em categorias. São elas: Imaging (fazer imagens do dispositivo afetado) Hashing (checar integridade) Montagem de imagens/dispositivos Criação de linha do tempo Análise de artefatos Recuperação de dados Forense em memória Análise de Malware Recuperação de senhas Análise de rede Análise de imagens Forense em dispositivos móveis Open Source Intelligence Análise de ambientes em nuvem Forense virtual Criptomoedas Outras ferramentas Criação de relatório Pra fazer download do Tsurugi e formar sua própria opinião sobre, é só ir no site oficial do projeto clicando no botão abaixo. Há versões de 32 e 64-bits. ?

Pesquisadores da Trend Micro encontraram uma nova versão da backdoor utilizada pelo grupo conhecido pelo nome OceanLotus (também conhecido como APT 32, APT-C-00, SeaLotus ou Cobalt Kitty). Ao grupo são atribuídas investidas contra empresas nas verticais de mídia, pesquisa e construção civil. A nova variante da backdoor parece ter como alvo usuários falantes de vietnamita, baseando-se no nome do arquivo através do qual tenta se disfarçar. Vetor de entrada O chega como um bundle com ícone e extensão de documento do Word, só que não é! Fonte: Trend Micro Research Na real o bundle é um ZIP e este arquivo aparentemente .doc exibido tem na real a seguinte extensão: "\xef\xb8\x80doc". Pois é, estes três bytes representam o caractere variant selector-1 (VS1) que modifica a aparência do caractere anterior, mas no caso do ponto, não faz nada. Não tenho acesso a um macOS no momento mas testei num Windows via WSL aqui e realmente o truque é quase imperceptível: Na imagem acima o terminal do WSL respresentou o VS1 com dois espaços, antes e depois do ponto. Já o Windows mostrou normalmente o .doc, mas na coluna "Type" dá pra ver que tem algo errado. Mas e aí? Se a extensão não é exatamente ".doc", então o Word não vai abrir, certo? Certo, mas é isso mesmo que o autor do malware quer. O macOS vê o bundle como não suportado e para estes tipos a ação padrão é abrir com o comando "open". Isso faz com que o arquivo, que na real é um script em bash, seja executado! Super engenhoso. Múltiplos estágios O ataque é modular e em estágios. O script em bash citado acima é só o primeiro. O último estágio é um binário Mach-O mesmo. Para saber mais sobre, confere no blog da Trend. ;) Usuários de macOS, fiquem de olho. Vocês não estão livres de ameaças não, viu?

O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777. O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas: Fonte: O Bastidor O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas. É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP: SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções: Link: https://www.virustotal.com/gui/file/ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748/detection Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados: O alerta em PDF publicado pelo CAIS RNP. Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo). Todo o trabalho da PF e outras instituições na resposta ao incidente. Ao passo que também vimos movimentos questionáveis: A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque. O atual presidente ao dizer que já se sabe quem é o hacker. Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo. O total silêncio do CERT.br. Live do CAIS RNP (texto recebido via WhatsApp) Prezados, O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores. Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil. Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas. Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h). Documentos Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte. Análise do loader Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ:

No último sábado o Altieres Rohr, colunista do G1, noticiou que o brasileiro Andres Alonso Bie Perez, de 14 anos, foi premiado com 25 mil dólares por encontrar e reportar uma falha no Facebook em um dos programas de bug bounty. Certamente é uma notícia e tanto e atualmente poucos assuntos recebem tanta atenção na área de segurança quanto a busca por vulnerabilidades em troca de pagamentos em programas similares. Não é de se espantar, já que os valores dos prêmios parecem ser muito mais atraentes do que os salários oferecidos no Brasil, mesmo para profissionais de tecnologia já estabelecidos. O que será que fez Andres ganhar uma quantia dessas? Seria sorte? Seriam os "cursos hacker"? Talvez horas e horas no YouTube assistindo "hackers"? Eu tenho um palpite: não é nenhum desses. Na própria notícia o Altieres nos conta que Andres é medalhista de prata na OBI (Olimpíada Brasileira de Informática) em 2020, competição esta que abrange o Brasil inteiro onde os melhores algoritmos para os problemas apresentados são premiados. Ou seja, Andres é um programador - e dos bons! Para participar da OBI, é preciso estar na escola estudando. Ou seja, Andres leva a escola a sério. Do G1: O adolescente já pretendia dedicar um tempo para procurar falhas e participar do programa de "bug bounty" do Facebook, mas a descoberta que rendeu a ele o prêmio aconteceu enquanto criava um aplicativo de celular. "Naquele momento, eu não estava procurando", revela. Ou seja, Andres estava programando, criando um aplicativo, quando encontrou a falha. Andres sabe programar e, novamente, repito, sabe bem. Em resumo, para os que sonham ganharem milhares de reais em programas de bug bounty, recomendo fortemente que fuja dos cursos hacker, saia da Internet e vá programar. Grude em seus professores, invista em bons livros, se torne um programador de verdade. Não existe bom profissional de segurança da informação sem bases sólidas em computação. Ponto. Esqueça a falação e a zueira... Nada disso te ensina a pensar como um programador, muito menos como um hacker. Recursos não faltam. Eis alguns: OBI - Estude Conceitos de programação Programação Moderna em C Muito importante usar sua escola/universidade, seus professores, grupos de estudos, amigos, livros e, principalmente, sua consciência, afinal você com certeza sabe quando sabe e sabe quando não sabe.

Existem vários frameworks para emulação de binários. No livro introdutório de Engenharia Reversa que escrevi, há um apêndice só de ferramentas onde alguns deles são listados. Confesso que quando vi "mais emulador" pensei: "ok, mais um emulador..." mas a FireEye não costuma lançar coisa inútil, então resolvi dar uma olhada ao invés de só julgar e ignorar. E, cá entre nós, foi a melhor coisa que fiz. Rodei o Speakeay no macOS e curti bastante a quantidade de recursos e possibilidades que ele traz. Vou contar aqui rapidinho o que rolou. ? Instalação O processo de instalação foi bem fácil: git clone https://github.com/fireeye/speakeasy.git cd speakeasy python3 -m pip install -r requirements.txt python3 setup.py install Uso Invocando o script principal sem nenhum argumento, damos de cara com o help do programa: $ python3 run_speakeasy.py usage: run_speakeasy.py [-h] [-t TARGET] [-o OUTPUT] [-p [PARAMS [PARAMS ...]]] [-c CONFIG] [-m] [-r] [-a ARCH] [-d DUMP_PATH] [-q TIMEOUT] [-z DROP_FILES_PATH] [-l MODULE_DIR] Emulate a Windows binary with speakeasy optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET Path to input file to emulate -o OUTPUT, --output OUTPUT Path to output file to save report -p [PARAMS [PARAMS ...]], --params [PARAMS [PARAMS ...]] Commandline parameters to supply to emulated process (e.g. main(argv)) -c CONFIG, --config CONFIG Path to emulator config file -m, --mem-tracing Enables memory tracing. This will log all memory access by the sample but will impact speed -r, --raw Attempt to emulate file as-is with no parsing (e.g. shellcode) -a ARCH, --arch ARCH Force architecture to use during emulation (for multi-architecture files or shellcode). Supported archs: [ x86 | amd64 ] -d DUMP_PATH, --dump DUMP_PATH Path to store compressed memory dump package -q TIMEOUT, --timeout TIMEOUT Emulation timeout in seconds (default 60 sec) -z DROP_FILES_PATH, --dropped-files DROP_FILES_PATH Path to store files created during emulation -l MODULE_DIR, --module-dir MODULE_DIR Path to directory containing loadable PE modules. When modules are parsed or loaded by samples, PEs from this directory will be loaded into the emulated address space [-] No target file supplied Destaque para as opções -z e -d que prometem salvar os arquivos criados pelo programa e um dump de memória do processo, respectivamente. Emulando um executável PE O Speakeasy ainda não é perfeito. Emulei vários binários, mas a maioria tinha uma ou outra função da API do Windows ainda não suportada pelo programa. Um exemplo é o nosso desafio AnalyseMe-03, que gerou a seguinte saída: $ python3 run_speakeasy.py -t ~/Downloads/AnalyseMe-03.exe 0x40101e: 'KERNEL32.GetCommandLineA()' -> 0x40b0 0x40105c: 'KERNEL32.GetStartupInfoA(0x1211fa0)' -> None 0x401102: 'KERNEL32.GetProcessHeap()' -> 0x4120 0x401109: 'KERNEL32.HeapAlloc(0x4120, 0x8, 0x80)' -> 0x4140 0x40108d: 'KERNEL32.GetModuleHandleA(0x0)' -> 0x400000 0x40135e: 'KERNEL32.CreateFileA("C:\\Program Files\\Oracle\\VirtualBox Guest Additions\\DIFxAPI.dll", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x40138f: 'KERNEL32.CreateFileA("C:\\windows\\System32\\Drivers\\Vmmouse.sys", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x4011fe: 'wininet.InternetOpenA("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)", 0x1, 0x0, 0x0, 0x0)' -> 0x20 Caught error: unsupported_api Invalid memory read (UC_ERR_READ_UNMAPPED) Unsupported API: wininet.InternetOpenUrlA * Finished emulating Tudo bem. O software é livre, então eu posso ir lá e adicionar suporte à InternetOpenUrlA da wininet.dll, caso eu realmente precise. E mesmo assim, o Speakeasy foi capaz de emular várias outras funções, que já me dizem o que o binário faz. Achei que os seguintes recursos valem o destaque: Fácil instalação. Multiplataforma. Pode ser usada como biblioteca em Python. Exemplos. Suporta shellcode. Emula drivers em ring0. Por ser emulador, dispensa SO e virtualizador. Cria um dump de memória. Salva os arquivos criados. Sem dúvida um software impressionante, principalmente se o utilizamos com foco em famílias de malware em específico. Pode salvar muitas horas de análise. ? Pontaço para a FireEye de novo, que mês passado, diga-se de passagem, lançou o capa, que cobri no canal. Já são duas ferramentas que entraram pro meu dia a dia na análise de binários de Windows.