Jump to content

Search the Community

Showing results for tags 'software-release'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Portal Mente Binária
  • Specials

Categories

  • Tech basics
    • Text comprehension
    • English
    • Mathematics
  • Computing Basics
    • Lógica de Programação
    • Computers Architecture
    • Cryptography
    • Data Structures
    • Network
    • Operating Systems
  • Specifics
    • SO Internals
    • Web
    • Python
    • Javascript
    • Infrastructure
    • Go
    • Reverse Engineering
    • DevOps
    • C/C++
    • Log Analysis

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 5 results

  1. A mais nova release do capa, framework de código aberto com foco em analisar as funcionalidades maliciosas de arquivos/shellcodes, veio com uma quantidade gigantesca de novas regras, melhorias e correções. Além de 50 novas regras também foi adicionado suporte à SMDA utilizando python3, classificação e mapeamento de TTPs (Tactics, Techniques and Procedures) em algumas das regras, scripts de exemplo utilizando capa como uma biblioteca em python dentre outras funcionalidades: Dentre as novas regras adicionadas estão criação tarefas agendadas via linha de comando, alocação de memória com permissão de leitura e escrita, captura de IP público, patching da linha de comando do processo e muito mais! Obviamente não podemos considerar a análise como verdade sempre, tendo em vista que existem funções que podem ser utilizadas por softwares legítimos, mas ainda assim a ferramenta ajuda e muito tendo em vista que o processo é todo automático e estático! Lembrando que por enquanto a ferramenta suporta apenas análise de arquivos no formato PE e a limitação de sua funcionalidade é baseada nas regras das quais o capa utiliza. Se você vive em outro planeta e não testou esta ferramenta ainda essa é a sua chance! Se você já testou/usa no seu dia a dia vale a pena atualizar e continuar utilizando?! 😄
  2. A FireEye lançou nesta sexta-feira a release da versão 1.70 da flare-floss (FireEye Labs Obfuscated String Solver), ferramenta focada em identificar e desofuscar strings escondidas dentro de um arquivo, utilizando desde reconhecimento baseado em heurística até brute-forcing e emulação. Até o momento a ferramenta suporta apenas análise de binários Windows (PE). A ideia da ferramenta veio do fato de que os malwares atuais utilizam diversas técnicas diferentes para proteger strings importantes de um malware, como por exemplo URL, IP, configuração, paths, etc: Dentre os novos itens desta release está a adição de um um parâmetro para saída em JSON e correções em funcionalidades como suporte para IDA 7.4+ e no algoritmo de reconhecimento de strings. A funcionalidade de output em JSON é particularmente interessante no ponto de vista de automação, onde poderíamos usar todas as strings desofuscadas pela ferramenta como input para um script do qual se conecta com outra ferramenta, por exemplo: A ferramenta possui várias outras funcionalidades como por exemplo desofuscar strings em shellcodes e funções específicas do binário e também criação de scripts para o radare e IDA à fim de serem utilizados em seus arquivos ".r2" e ".idb":
  3. A Fireeye liberou faz pouco tempo uma ferramenta extremamente interessante de instrumentação e emulação de arquivos. Conhecida como speakeasy esta ferramenta emula arquivos dinamicamente tanto em kernel-land quanto em user-land. Sua última release adicionou novas chamadas de API em sua engine de emulação como por exemplo GetLogicalDrives e WNetGetConnection, assim como melhorias na emulação de shellcodes. Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, registros, etc) a fim de entender o comportamento do arquivo executado e tentar identificar as ação relevante executadas: Além de arquivos completos podemos emular também um ambiente que será responsável pela execução de shellcodes: A ferramenta é feita em Python3 e pode ser executada tanto como uma ferramenta de linha de comando como também uma biblioteca, abrindo espaço para instrumentação/automação. Além disso, a ferramenta também pode se executada via container utilizando docker e também em qualquer ambiente em cloud, tendo em vista que não precisamos configura-la, apenas instalar e rodar. Pelo fato do sistema operacional não ser emulado por completo nem todas as chamadas de API serão suportados no ponto de vista de emulação. Com esta "limitação" em mente os desenvolvedores criaram uma forma bem prática de adicionar os hooks que estão faltando (não sendo emulados), permitindo que qualquer pessoa que tenha interesse possa mitigar este problema. Para mais informações vale dar uma olhada no REAME do projeto 😉. E para aqueles que nos acompanharam semana passada quando falamos do IntelOwl vale lembrar que ele também utiliza o speakeasy!
  4. No dia 19 de Janeiro, o usuário cha5126568 abriu uma issue no github do famoso x64dbg e relatou que a última versão do packer Themida não estava sendo detectada pelo debugger, podendo resultar na execução com sucesso de um software malicioso, por exemplo. Além de relatar o ocorrido o usuário também deixou sua análise e possíveis resoluções para se evitar o bypass: Para quem não está familiarizado o ScyllaHide é um plugin do x64dbg de código aberto. Este plugin tem como objetivo impedir que técnicas de Anti-Debugging, frequentemente utilizadas não só por softwares maliciosos mas também por programas legítimos como Anti-Cheat de jogos, sejam executadas corretamente. O problema relatado foi o fato da última versão do Themida estar utilizando as funções GetForegroundWindow/NtUserGetForegroundWindow e depois GetWindowText/InternalGetWindowText à fim de descobrir o nome da janela do sistema sendo utilizada no momento da execução (neste caso, a janela do debugger em si), fazendo com que o packer identificasse o debugger e parasse de executar. Após alguns dias de discussão o usuário Mattiwatti, um dos principais desenvolvedores do plugin ScyllaHide, trouxe uma resolução para o problema relatado na issue. A solução encontrada foi fazer um hooking da função NtUserGetForegroundWindow, impedindo que a checagem do packer seja feita. Por mais que a correção tenha foco em Windows 10 ela se aplica muito bem à sistemas mais antigos, sem falar que o hook só funciona caso a janela retornada pela chamada da função retorne a janela de um debugger, garantindo maior precisão na execução. Para quem estiver interessado no código em si vale dar uma olhada no commit referente à esta nova release.
  5. Para aqueles que procuram uma forma rápida e simples de se montar uma infraestrutura de análise e pesquisa esta notícia é pra você! O IntelOwl é uma plataforma de OSINT (Open-Source Intelligence) e Threat Intelligence de código aberto, com sua última release publicada nesta manhã corrigindo bugs e adicionando novos analisadores ao seu arsenal. A ideia do framework é utilizar seus analisadores e em uma única chamada de API coletar o máximo de informações sobre um arquivo/IP/URL/domínio determinado pelo usuário. Estes analisadores vão desde serviços externos como VirusTotal e Shodan até analisadores estáticos da própria ferramenta e sandboxes customizadas por você mesmo! Dashboard principal do IntelOwl Página de scan de arquivos Com uma instalação bem simples e utilizando docker, o IntelOwl se mostra não só portável, mas também flexível, permitindo integração com serviços como Cuckoo, Yara e MISP. A tabela a seguir tenta mostrar de forma simples, porém objetiva algumas das principais vantagens e desvantagens sobre o IntelOwn: Lembrando que esta tabela está resumida e independente dela com certeza vale dar uma testada na ferramenta 😉 .
×
×
  • Create New...