VictorNeves

Fala pessoal! Eu estou tentando analisar um malware (.dll) que sempre termina a execução do debugger, não identifiquei técnicas ant-debbug (acredito que o xdbg me informaria se tem um isDebugPresent, por exemplo). Na tentativa de obter os IoCs antes do malware parar sua execução, eu pesquisei pelas Strings ofuscadas, peguei o offset delas, e alterei na mão o EIP. A dúvida é se isso deveria funcionar, por que após ele passar pelo o que parece ser o método de desofuscação, o xdbg não me mostra o valor da String

Olá pessoal! tudo bom? Compartilho com voces a monografia que fiz para disseminar conhecimentos sobre segurança de aplicação. Toda a monografia foi baseada em experiências reais que tive durante um processo de implantação. Problemas, o que deu e não deu certo, o que deu certo com dificuldade, o que é obrigatório ou não (para atender ao PCI-DSS) ; está ai para iniciar um bate-papo (já que to postando em "Bate-papo" hehe) sobre o assunto. Abaixo vai o resumo pra quem quiser ver se o assunto agrada antes de ter que baixar o PDF. Boa leitura, Obrigado pela atenção RESUMO Este trabalho tem por objetivo fornecer uma visão das atividades mínimas requeridas para construir e manter aplicações que forneçam segurança a seus usuários, frente ao fato de que a interação da sociedade com a internet vem se fazendo presente de forma cada vez mais intensa, surgindo também a preocupação com a confidencialidade, integridade e disponibilidade de serviços considerados importantes como, por exemplo, serviços ligados às atividades financeiras fornecida aos usuários. Modelos de desenvolvimento seguro foram estudados e pensados em como atender aos requisitos de segurança de aplicação do PCI Security Standards Council. Durante o trabalho foram apresentadas atividades mínimas para o cumprimento de tais requisitos. Palavras-chave: Segurança da informação. Desenvolvimento seguro. Segurança de aplicações. desenvolvimentoSeguroPCIDSS.pdf

Tenta usar técnica pomodoro, depois volte e nos conte o resultado! =]

Main.java.zip@Fernando Mercês Lá no final, uma única string com os números... Aprendi bastante malícia com essa campanha que até hoje se tem muita pouca informação ... sabe-se que atacaram a República da Moldávia, eu chamo essa campanha de 'new order', por conta do primeiro arquivo que peguei deles... Só peguei a string dele e substituí no seu script.

é.... quase.... bati na trave de desofuscar o resto...

Pronto, já temos ofuscador e desofuscador! hehe E quando voce vai fazer reverse de um malware que voce encontra isso... dá ate preguiça... mas será que com esse script em python eu consigo desofuscar o resto do malware que caiu na minha mão?? Já volto... mhua mhua mhua

BOOOAAAA sacada! hahahaha não tinha pensado nisso!

Opa! e ai Fernando! bom dia! Pô, vlw ai pela observação do base64, não sabia que também havia essa maneira! Sobre o segundo questionamento, é porque eu não expliquei direito, mas o segundo comando não é digitado por mim, seria por um arquivo que teria o papel de dropper, poderia ser um comando injetado num .doc, .odt, .pdf, qualquer coisas que executasse o comando por mim. Esse dropper seria enviado sob ataque de engenharia social, então no segundo comando eu presumiria que o usuário já tenha caído nesse ataque e executado o dropper.

Estou em uma atividade de PoC de uma ferramenta de segurança no trabalho. Dentre vários objetivos, um era bypassar um RAT pelas defesas de perímetro (IDS, IPS, FW) e executá-lo. Pois bem, não sei se essa técnica é muito difundida/conhecida mas fica ai a dica rápida para os pentesters de como passei pelas defesas. No linux existe o comando cat, que lê os dados de um arquivo e cospe pra algum lugar. Então pedi para que a saída do comando fosse para o comando base64 . Eu pensei, "se o cat cospe caracteres, eu posso pegar esses caracteres e codificá-los em base64, ninguém vai saber do que se trata!" $ cat rat.jar | base64 > souInocente Escrevi um então enviei para a vítima, no caso uma outra máquina virtual da PoC. E fiz o inverso: $ cat souInocente | base64 -d > rat.jar ; ./rat.jar E não é que parada funcionou?! Achei super simples, rápido e eficiente! Desculpa se a técnica é velha e/ou conhecida, eu nunca ouvi falar. Abraços a tod@s

eu participaria.... se soubesse assembly, sou da baixa plataforma, mundo java, python... nao faço a menor ideia por onde começar, talvez por aquelas video aulas de C do canal rsrs

Olá pessoal, Esse é meu primeiro post no fórum, vim trazer um método de ofuscação de palavras. O objetivo é contribuição para a comunidade com conhecimento. Meses atrás houve um malware que ofuscava TODAS as Strings usando os códigos da tabela ASCII, pode parecer simples, mas a forma que ele usou foi bastante interessante. O método dele deixava bem estressante a reverse. Ele colocou TODAS as strings ofuscadas numa única tripa gigantesca de número. O método consiste em transformar cada caractere no seu código ASCII e juntar em uma String só. Para desfazer o processo, voce precisa saber onde cada código referente à cada letra está. Vamos montar a palavra 'victor', a representação de cada letra é pelos seguintes números: v 118 i 105 c 99 t 116 o 111 r 114 A ofuscação seria: 11810599116111114 Porém, perceba, alguns caracteres possuem 3 outros 2 casas numéricas. Então na hora de desfazer, voce tem que saber o lugar de CADA caractere, o reverso seria o exemplo de código a seguir (vou fazer de modo genérico, depois voce coloca na sintaxe da linguagem que voce escreve) : var="11810599116111114" desofuscado = Char(var.split(0,3))+Char(var.split(4,7))+Char(var.split(7,9))+ <e por ai vai> Então voce vai catando os números e transformando pra char e formando sua palavra. Método simples, mas quando voce coloca TODAS AS STRINGS do seu código numa variável só, vai ficar uma tripa gigantesca de número e muito chato de fazer o reverse; se é voce quem ofusca, não pode perder a posição de cada caractere, um número a mais ou a menos e voce pode simplesmente mudar uma palavra!