Jump to content

Leandro Fróes

Mente Binária
  • Content Count

    177
  • Joined

  • Last visited

Everything posted by Leandro Fróes

  1. Nova release da ferramenta frida chega com diversas correções e facilidades em relação à suas dependências e a forma com que estas são manipuladas. Para quem não sabe do que se trata frida é um toolkit de engenharia reversa utilizado para instrumentar sua análise através de scripts, hookings, tracing e muito mais! Além disso o toolkit é portável e suportado em ambientes Windows, macOS, GNU/Linux, iOS, Android, e QNX. As mudanças mais importantes desta release giram em torno das dependências da ferramenta que agora estão todas atualizadas e em sua melhor versão. Com tais melhorias agora es
  2. ImHex é um editor hexadecimal gráfico multiplataforma e seu principal objetivo é ajudar na engenharia reversa e programação. O editor conta com inúmeras funcionalidades como por exemplo busca por strings, cópia de bytes em diversos formatos (C string, Python, etc), disassembling, hashing e muito mais. Além disso, o editor possibilita a criação das suas próprias templates para serem mapeadas no editor hexa (baseado em um formato de arquivo, por exemplo) através de uma linguagem de patterns: Dentre as novas funcionalidades adicionadas na nova release estão alguns itens da linguagem de
  3. A mais nova release do capa, framework de código aberto com foco em analisar as funcionalidades maliciosas de arquivos/shellcodes, veio com uma quantidade gigantesca de novas regras, melhorias e correções. Além de 50 novas regras também foi adicionado suporte à SMDA utilizando python3, classificação e mapeamento de TTPs (Tactics, Techniques and Procedures) em algumas das regras, scripts de exemplo utilizando capa como uma biblioteca em python dentre outras funcionalidades: Dentre as novas regras adicionadas estão criação tarefas agendadas via linha de comando, alocação de memór
  4. A FireEye lançou nesta sexta-feira a release da versão 1.70 da flare-floss (FireEye Labs Obfuscated String Solver), ferramenta focada em identificar e desofuscar strings escondidas dentro de um arquivo, utilizando desde reconhecimento baseado em heurística até brute-forcing e emulação. Até o momento a ferramenta suporta apenas análise de binários Windows (PE). A ideia da ferramenta veio do fato de que os malwares atuais utilizam diversas técnicas diferentes para proteger strings importantes de um malware, como por exemplo URL, IP, configuração, paths, etc: Dentre os novos itens
  5. A Fireeye liberou faz pouco tempo uma ferramenta extremamente interessante de instrumentação e emulação de arquivos. Conhecida como speakeasy esta ferramenta emula arquivos dinamicamente tanto em kernel-land quanto em user-land. Sua última release adicionou novas chamadas de API em sua engine de emulação como por exemplo GetLogicalDrives e WNetGetConnection, assim como melhorias na emulação de shellcodes. Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, regis
  6. No dia 19 de Janeiro, o usuário cha5126568 abriu uma issue no github do famoso x64dbg e relatou que a última versão do packer Themida não estava sendo detectada pelo debugger, podendo resultar na execução com sucesso de um software malicioso, por exemplo. Além de relatar o ocorrido o usuário também deixou sua análise e possíveis resoluções para se evitar o bypass: Para quem não está familiarizado o ScyllaHide é um plugin do x64dbg de código aberto. Este plugin tem como objetivo impedir que técnicas de Anti-Debugging, frequentemente utilizadas não só por softwares maliciosos mas tam
  7. Para aqueles que procuram uma forma rápida e simples de se montar uma infraestrutura de análise e pesquisa esta notícia é pra você! O IntelOwl é uma plataforma de OSINT (Open-Source Intelligence) e Threat Intelligence de código aberto, com sua última release publicada nesta manhã corrigindo bugs e adicionando novos analisadores ao seu arsenal. A ideia do framework é utilizar seus analisadores e em uma única chamada de API coletar o máximo de informações sobre um arquivo/IP/URL/domínio determinado pelo usuário. Estes analisadores vão desde serviços externos como VirusTotal e Shodan até ana
  8. Fala Edvan, Que louco você está migrando depois de tanto tempo! Sendo bem sincero eu não acho que tenha uma receita de bolo e mesmo que tivesse, seria diferente de pessoa para pessoa. Não só Análise de Malware, mas toda a área de SI no geral abrange basicamente tudo da computação, literalmente tudo: arquitetura, SO, programação, redes, web, etc. Ou seja, a migração de qualquer um desses lugares para área de SI é muito interessante tendo em vista que você já entra com um background de algo que será muito útil no seu dia a dia/processo de aprendizagem. Sua área por exemplo é necessária em T
  9. Se você é da área de Segurança da Informação ou simplesmente tem interesse pelo assunto já deve ter notado que todo dia temos notícias de novos malwares surgindo, sejam eles malwares completamente novos ou variantes de um malware já conhecido. Com isto em mente, faz algum tempo que as empresas de segurança, inteligência e até mesmo pesquisadores independentes passaram a buscar métodos de automatizar não só a análise destes malwares, mas também a administração e armazenamento do arquivo em si, suas características e relacionamentos com outros arquivos demais entidades (domínios, campanhas, ende
  10. @Quer Vinho Opa, na verdade você esqueceu de colocar o \n (isto é, o caracter que representa uma nova linha) dentro das aspas para que o printf interprete o resultado propriamente. Por padrão a printf entende o que você passar como primeiro parâmetro pra função como um const char *, então neste caso você não precisa especificar %s como o "formatador": printf("Mente Binaria eh foda! =)\n");
  11. Opa, poderia ser mais específico? O que quer saber exatamente? Dependendo do que você quer saber não tem necessidade de ler toda uma documentação.
  12. Opa, Eu acredito que antes de usar qualquer ferramenta é importante entender o que ela está fazendo e como ela faz. Se você está tendo dificuldade em entender o que está rolando quer dizer que tem algo faltando, algum entendimento sobre algo. Exatamente como você falou, você precisa entender melhor o que está rolando "por trás dos panos". É super normal estarmos mexendo em algo e não entendermos direito aquilo, e é justamente por isso que temos que focar na base da computação e no seu caso, a base de redes, coisa que nenhum "curso de hacking" vai ti ensinar ?. Acho legal você dar uma
  13. Faz algum tempo que ando botando mais a mão na massa na parte prática da análise de malware e nos conceitos que a envolvem. Este fato somado com minha paixão por tomar notas nos meus estudos acaba resultando na criação de alguns relatórios. Com isto em mente, decidi colocar aqui a análise do último sample no qual trabalhei, de um ransomware chamado Nephilin. Overview O Nephilin é uma variante do Nefilim, um Ransomware que acabou ficando bem conhecido no mês de fevereiro/março devido ao fato de ser uma variante do conhecido Nemty, que costumava trabalhar com operações de Raa
  14. Faz algum tempo que o Mente Binária está com uma nova área de artigos, isto é, uma parte especial do site que reúne todos os artigos escritos por membros da nossa comunidade. A submissão é livre, ou seja, qualquer pessoa pode submeter um artigo e teremos o prazer de ajudar no desenvolvimento e revisão até o momento da publicação. Por onde eu começo? Comece pelo começo! ? A primeira coisa que você precisa ter é uma ideia de assunto para ser abordado e, após tê-la, se faça a seguinte pergunta: já existem artigos/tutoriais sobre este assunto? Eu domino minimamente este assunto? Vale a p
  15. Só adicionando em cima do assunto de "menor PE possível", tem uma pesquisa inteira sobre PE do corkami no github dele e lá tem todas as PoCs dele, incluindo um PE com a menor quantidade de elementos definidos que ele conseguiu criar considerando um contexto de execução. abs!
  16. Na minha opinião a melhor é aquela que você se sente mais confortável. Não sei se é o caso dessa Olimpíada, mas o que vejo dessas competições são desafios de lógica, ou seja, todas as linguagens conseguem atender a necessidade. A diferença ai vai ser o número de linhas que você usa pra resolver um desafio ou outro, talvez até alguma funcionalidade de uma linguagem em particular (paradigma funcional em linguagens como python, por exemplo), mas até ai nada que não possa ser feito de outro jeito com C, por exemplo. Acho que vale você optar pela que você mais tem facilidade porque independent
  17. Nós temos o nosso curso do Pythonicos também no canal do Papo Binário. Se quiser saber um pouco sobre você pode dar uma olhada aqui. Eu fiz umas 2x e recomendo de verdade. Por mais que seja sobre Python 2.7 a ideia geral não muda muito e o curso não fala só sobre o Python em si, mas também sobre APIs e um pouco de pentest também! Abs.
  18. Fala Helder, blz? Isso é definido pelo próprio formato do arquivo e é possível sim achar só olhando pro dump em hexa. Da certo "trabalho" ficar procurando os campos olhando direto pro hexa, mas tenho que dizer, é super divertido e se aprende muito ?. Bom, olhando para o dump do arquivo em hexa a primeira coisa que vemos é o DOS Header, que representa os primeiros 64 bytes do arquivo e nele há um campo chamado e_lfanew, que define o offset para a assinatura PE. Esta assinatura é o primeiro campo de outro header chamado NT Header: typedef struct _IMAGE_NT_HEADERS { DWORD
  19. Opa, na verdade ele não mostra a quantidade de strings distintas não. Peguei um binário qualquer aqui como exemplo e rodei readelf -h arquivo pra pegar as informações do ELF Header: Cabeçalho ELF: Magia: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Classe: ELF64 Dados: complemento 2, little endian Versão: 1 (current) OS/ABI: UNIX - System V Versão ABI: 0 Tipo: EXEC (ficheiro executável) Máquina:
  20. Me diz uma coisa, algum motivo pra você ter feito em Go? Ou foi só preferência msm? Vi que você tem bastante coisa com Go no seu git, vou dar uma olhada o/. Btw, quando comecei a estudar fiz isso aqui https://github.com/leandrofroes/gohunting , é uma toolzinha bem simples pra pegar algumas infos de processos em ambiente *nix com uma saída limpa . Se alguém tiver qualquer feedback vou adorar ouvir.
  21. Eu não lembro porque postei isso na época, mas deve ter sido pelo fato de um tempo atrás eu ter um preconceito muito grande quanto à certificações. Hoje eu posso dizer que continuo com o pensamento de que elas não podem provar seu conhecimento de fato, mas admito que elas ajudam um pouco dependendo do caso ? .
  22. Opa, vou reviver esse post aqui. De uns tempos pra cá as vezes ando brincando com Go e tenho que dizer, a linguagem é muito interessante. Eu curti muito essa pegada única dela de interagir com API e ao mesmo tempo ser robusta e bem estruturada. Vocês fizeram algo com Golang? Acho que até agora só fiz scripts pra interagir com API e uns programas pra agilizar meu trabalho ?. Abs.
  23. Opa, vamos lá: Isso aqui de fato não temos, mas parece ser uma boa. Há um espaço no seu perfil onde você pode colocar o link do seu website, github, gitlab, linkedin, etc. Mesma coisa que o número 2. Abs!!
  24. Fala @HelderPereira. Os primeiros 64 bytes de um arquivo no formato PE pertencem ao DOS-Header. Os primeiros passos do loader são: Checar se os dois primeiros bytes do arquivo são iguais à "MZ". Ir até o campo e_lfanew do DOS-Header (offset 0x3c) e ler a DWORD dentro dele, isto é, os 4 bytes deste campo. Pular para o offset lido e ver se ele é igual à "PE\0\0", ou seja, a assinatura PE. Notou alguma coisa? O campo e_lfanew fica dentro do DOS-Header e ele possui o offset para a assinatura PE. Caso ela não exista, o arquivo é considerado um "não PE", do contrário, o loa
  25. Opa, achei esse do tanenbaum um pouco complicado na época que li (não li todo no caso) . Tem um que é a mesma pegada, mas um pouco mais leve do Mario A. Monteiro chamado Arquitetura e Organização de Computadores. Eu não sei de muitos livros sobre o assunto, e se você me perguntar a maior referência eu diria que é o próprio manual da intel, mas eu não sei se é uma boa começar por ele, principalmente se você não tem um background de computação (não sei qual é o caso). E ah, estudar assembly, por exemplo, ajuda a entender MUITO sobre a arquitetura do seu computador ?.
×
×
  • Create New...