Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

188_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

19.96 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1510 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						Взлом
					BUY
w Click				to 88						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

[0x08048080]> aa

[0x08048080]> pdf

Помимо команды проанализировать файл, добавилась новая — pd?. Она позволяет вывести на экран дизассемблированные строки. В нашем случае — всей функции, а так как файл небольшой, она и является главной.

Вывод осуществляется до конца функции. Так как мы запускаем с десктопа, то и прокрутить вывод в терминале не составит труда, но можно вывести только первые N строчек с текущего адреса. Поэтому найдем строчку с позитивным сообщением в этой функции. Если же так не получается, то воспользуемся еще одной особенностью фреймворка.

Помимо различного встроенного функционала, в radare2 есть поддержка запуска системных утилит, пример работы с :

ƃɥ ɥɯɥɫɯɥɯɥƄʴ Ŷ Ŝ

Ŷ Ŷ ɥ ɥɯɥɫɯɥ ɪ ɰɥɬɰɨɥɫɥɯ ř

Ŝ ɏ ɏ ɏ ɏɏɏɏɏ ɏ Ś ɥ ɥɯɥɫɰɨɥɬ

Вот мы и получили сразу нужный адрес, в который передается наша строка. Так как проверка пароля должна быть до обращения к ней, то выведем строки до нее. Для начала возьмем десять:

[0x08048080Ƅʴ Ş10 @ɥ ɥɯɥɫɯɥ ɪ

\|		ɥ ɥɯɥɫɯɥ ɩ	ɥɩ ɩ	addř
\|		0x080480c4ɨ ɨ
\|		Ś ɥ ɥɯɥɫɯɥ ɨ ſ ŜŜ ƀ
\|		ɥ ɥɯɥɫɯɥ ɬ	be1b910408	ř0x804911b ; 0x0804911b
\|		0x080480caɩɭɰɨɥɫɥɯ ř ŜŚ ɥ ɥɯɥɫɰɨɩɭ
\|		0x080480cfɰɥɮɥɥɥɥɥɥ řɥ ɮ Ś ɥ ɥɥɥɥɥɥɥɮ
\|		0x080480d4	fc	cld
\|		ɥ ɥɯɥɫɯɥ ɬɪ ɭ
Ŷ řʰʳɥ ɥɯɥɫɯɥ ɮ			ɮɬɨɭ 0x80480ef Ś ſ ŜŜ ƀ
\|	\|	0x080480d9	b804000000	ř0x4 ; 0x00000004
\|	\|	0x080480de	bb01000000	ř0x1
				; 0x00000001
[0x08048080]>
	Вот мы и нашли проверку и переход не к нужной нам функ-				Рис. 5. Функция, кото-
ции по адресу ɥ ɥɯɥɫɯɥ ɮ. Более наглядно часть кода пред-					рая проверяет введен-
ставлена на скриншоте (рис. 5).					ный код в crackme

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 09 /188/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Описание операнда сравнения я приводил выше. Как видишь, какая-то строка (а какая, кроме введенной, в принципе, еще может быть?) сравнивается с найденной нами ранее, но оставим это пока что. Наша задача теперь — пропатчить эту команду перехода.

Перейдем к ней и проверим, правильный ли адрес указали:

[0x08048080]> s ɥ ɥɯɥɫɯɥ ɮ

[ɥ ɥɯɥɫɯɥ ɮ]> pd ɮ

Ŷřʰʳɥ ɥɯɥɫɯɥ ɮ

ɮɬɨɭ 0x80480ef

Ś ſ ŜŜ ƀ

\| \|	0x080480d9	b804000000	ř0x4
			;	0x00000004
\| \|	0x080480de	bb01000000	ř0x1
			;	0x00000001

| | ɥ ɥɯɥɫɯɥ ɪɰɥɬɰɨɥɫɥɯ ř

Ŝ ɏ ɏ ɏ ɏɏɏɏɏ ɏŚ ɥ ɥɯɥɫɰɨɥɬ

| | 0x080480e8ɨɭɥɥɥɥɥɥ řɥ ɨɭ

Ś ɥ ɥɥɥɥɥɥɨɭ

| | 0x080480edɯɥ0x80

|| syscall[0x80][0Ƅʰţ ɏ ŜŜ ʫ91| |

Ś ɥ ɥɯɥɫɯɥ ɮ ſ ŜŜ ƀ

ŶļŞʴ0x080480ef b801000000 ř0x1

; 0x00000001

[ɥ ɥɯɥɫɯɥ ɮ]>

А вот запатчить можно разными способами. Ниже представлены примеры операндов в шестнадцатеричном представлении:

[ɥ ɥɯɥɫɯɥ ɮƄʴ Š ɩ Ş ɯɭŞ ɐɮɬɨɭɐ

0x18

[ɥ ɥɯɥɫɯɥ ɮƄʴ Š ɩ Ş ɯɭŞ ɐɮɫɨɭɐ

je 0x18

[ɥ ɥɯɥɫɯɥ ɮƄʴ Š ɩ Ş ɯɭŞ ɐ ɥɥɐ

ɥ ɩ

[ɥ ɥɯɥɫɯɥ ɮƄʴ Š ɩ Ş ɯɭŞ ɐ9090ɐ

•Наша непосредственная команда.

•Старый добрый патчинг: видим n — удаляем, не видим — добавляем.

•Прыжок на «следующий» адрес.

•Ну и просто забить пропускающимися байтами.

Возьмем третий вариант и выйдем для проверки:

ɥ ɥɯɥɫɯɥ ɮƄʴ ɥɥ

[ɥ ɥɯɥɫɯɥ ɮƄʴ

Результат ты можешь увидеть на соответствующем скриншоте (рис. 6). А утилиту rasm2 в этом случае можно использовать для проверки правильности ввода. Коман-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 09 /188/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

На radare как на ладони

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			89
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Рис.6.Удачныйпатчинг crackme

Рис. 7. Найденная строка с нужным ключом

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Лица, использующие данную информацию в противозаконных целях, могут быть привлечены к ответственности.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 90						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 09 /188/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Для улучшения читабельности дизассемблированного кода (в частности, сделать непрерывные стрелки, показывающие переходы) советую добавить опцию:

Ŝ ɯʰ

Такие небольшие команды можно прописать в файле конфигурации

Ŝŵ, чтобы они вы-

полнялись автоматически при запуске фреймворка.

дой ţ вида ты патчишь в виде шестнадцатеричных чисел,	Рис. 8. Визуальный
но при желании можно вводить и обычными командами, это	интерфейс в radare2
будет примерно так:

0x80480d9

С помощью «грязного» трюка мы решили этот crackme, но хотелось бы разобраться с настоящим паролем. Вспом-

ним, что неизвестная строка все-таки проверяется перед выводом победного сообщения. При анализе находим небольшой цикл, который берет семь символов и XOR’ит их с клю-

чом 0x21 (рис. 7).

Попробуем провести обратную операцию с найденной строкой. Найдем ее представление в коде:

[0x08048080]> px ɨɭɒ Ŝ

Такую выборку еще используют для нахождения различных call-команд. Но теперь покажу обещанный пример использования утилиты radiff2. У нас имеются два файла с всего лишь одной отличной функцией. Я предпочитаю смотреть сразу на два файла, то есть на одном отличия первого, на другом — второго.

ɒ śɌŵ ɤ ɩ Ş

ɨ ɏ ɨ ʴ ŵ ŵ ɨ

ɒ śɌŵ ɤ ɩ Ş

ɨ ɨ ɏ ʴ ŵ ŵ ɩ

ɒ śɌŵ ɤ ŵ ŵ ɨ ĺ

ŵ ŵ ɩ

Кстати, в таком формате можно и просто смотреть файл. Достаточно его сравнить с самим собой:

	Ş Ş0 1 ɩ ɪ		4 ɬ ɭ ɮ 8 9
	ɥɨɩɪɫɬɭɮɯɰ					ɒ śɌŵ ɤ ɩ Ş ɨ
	ɥ ɥɯɥɫɰɨɩɭ	ɬɨɬɫ ɫɩɬɯ ɫɪɬɫ ɬɬɥɥ ɥɥɬɫ ɭɯɭɬ ɩɥɫ				ɨ ʴ ŵ ŵ ĺ ŵ ŵ
	ɭɬɮɫŜŜ
	Мне было быстрее найденные hex-значения загрузить			ОСНОВНАЯ ПРИЧИНА
ные арифметические операции, и при желании можно сделать				ОСНОВНАЯ ПРИЧИНА
в 010-Editor и расшифровать, но radare2 поддерживает различ-
	XOR для каждого символа:			НЕБОЛЬШОЙ ПОПУЛЯРНОСТИ
	[0x08048080]> ? ɬɨɋɩɨ			НЕБОЛЬШОЙ ПОПУЛЯРНОСТИ
	[0x08048080]> ? ɬɨɋɩɨ			RADARE2 — ОТСУТСТВИЕ
ɨɨɩŜɥ 0.000000				RADARE2 — ОТСУТСТВИЕ
	ɨɨɩ ɥ ɮɥ ɥɨɭɥ ɨɨɩŜɥ 0000:ɥɥɮɥ ɨɨɩ "p" 01110000

	лучаем строку pucybut. Это и есть наш пароль.
	лучаем строку pucybut. Это и есть наш пароль.			ГРАФИЧЕСКОГО ИНТЕРФЕЙСА
	Или написать небольшой плагин :). Но в итоге все равно по-
	На будущее советую тебе сразу искать необычные XOR-
	На будущее советую тебе сразу искать необычные XOR-
	команды.
	[0x08048080Ƅʴ Ŷxor					Раз мы коснулись визуализации, то рассмотрим существу-
	[0x08048080Ƅʴ Ŷxor					ющие возможности.
	\|ɥ ɥɯɥɫɯɥ ɪ	ɪɨ xorř
	\| \| ɥ ɥɯɥɫɯɥ ɮ ɪɫɩɨ		xorřɥ ɩɨ			GUI
	\| \|\|\|\| 0x08048149 ɩ ɪɪɪɯ xorř ƃ ś Ƅ					Единственная причина, на мой взгляд, почему radare2 до сих
	[0x08048080]>				пор пробивается в массы не такими быстрыми шагами, —

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 09 /188/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

На radare как на ладони

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			91
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

		который более-менее помогает
		в работе. Воспользоваться им мож-
		но с помощью команды следующе-
		го вида:
		ɒ śɌŵ ɤ
		ɩ Ş ʰ ɨ
		Помимо		встроенных		интер-
		фейсов,	существует		разработка
		от команды		энтузиастов		Inguma
		под названием Bokken (bit.
		ly/1kvz4F Y). Это опенсорсный про-
		ект, с недавних пор поддерживает
		патчи как из GitHub, так и присы-
		лаемые	с Bitbucket. Написан с ис-
		пользованием PyGTK для работы
		с radare2 и pyew. С ним также ра-
		ботают ребята из CTF-команды
		Dragon Sector.
		OUTRO
		Полностью описать работу с каж-
		дым модулем я не			смогу, так
		как ограничен размером статьи.
		Но надеюсь, тех небольших знаний,
		которые ты получил из статьи, тебе
		хватит. Также советую просмотреть
		материалы по указанным ссылкам.
		Некоторые примеры тебя приятно
		удивят. В случае если возникнут
		проблемы с освоением, найдешь
	9	возможную ошибку в фреймвор-
	9	ке или, может, захочешь помочь
		с программированием — милости
		просим на IRC-канал #radare в сети
это потому, что отсутствует нормальный GUI-интерфейс. Во	Рис. 9. Веб-интерфейс для radare2	irc.freenode.net. Причем в отличие
времена обилия как карманных, так и настольных устройств		от ряда каналов, на которых я тоже
с touch-экранами это уже считается минимумом. На данный		присутствую, на этом ежедневно
момент существует несколько встроенных утилит:	Рис. 10. Анализ crackme на телефоне Android	ведется обсуждение как проекта,
• визуальный интерфейс в консольном окне, который за-	при портретном режиме экрана	так и других тем связанных с ди-
пускается с помощью команды VV;	Рис. 11. Анализ crackme на телефоне Android при аль-	зассемблированием			и анализом
• встроенный веб-интерфейс (в отличие от IDA и Hopper),	бомном режиме экрана	кода.

Для сравнения я открыл этот же crackme на своем Android-устройстве.

Как видишь, вполне читабельно и удобно. Для этого примера я запустил фреймворк через консоль, но можно воспользоваться веб-интерфейсом, который работает и в мобильной версии. Так что теперь в поездках можешь попытаться порешать небольшие crackme или даже поучаствовать в различных CTF-мероприятиях со своего смартфона.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 92						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Взлом

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 09 /188/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

WARNING

Внимание! Информация представлена исключительно с целью ознакомления! Ни авторы, ни редак-

ция за твои действия ответственности не несут!

Дмитрий «D1g1» Евдокимов

Digital Security

X-TOOLS @evdokimovds

СОФТ ДЛЯ ВЗЛОМА И АНАЛИЗА БЕЗОПАСНОСТИ


Автор: NETRESEC	Авторы: много	Автор: Geohot
Автор: NETRESEC	Авторы: много	Автор: Geohot
Система: Windows	крутых ребят	Система: Linux
URL: www.netresec.	Система: Windows/	URL: https://code.
сom/?page=	Linux/Mac	google.com/p/qira/
CapLoader	URL: www.
	libimobiledevice.org

CAPLOADER	РАЗГОВАРИВАЕМСIOS					QIRA
CapLoader — это инструмент, предназначенный	Libimobiledevice — это кросс-платформенная					QIRA — это интерактивный runtime-анализатор,
для обработки больших объемов захваченно-	библиотека,		предоставляющая возможность			базирующийся на QEMU, от известного хакера
го сетевого трафика. CapLoader производит	общаться на протоколах, понятных iPhone, iPod					Geohot. По слухам, данный инструмент — один
индексирование PCAP/PcapNG-файлов и ви-	Touch, iPad и Apple TV устройствам. В отличие					из тех, что помогают ему выигрывать CTF-
зуализирует их содержимое как список TCP-	от других похожих проектов, данный не зависит					соревнования в одного. Инструмент стоит рас-
и UDP-потоков. Пользователь же может выбрать	ни от каких проприетарных библиотек и для сво-					сматривать как конкурент strace и gdb.
интересующий его поток и быстро отфильтро-	ей работы не требует джейлбрейка устройства.					QIRA имеет веб-интерфейс, к которому по-
вать соответствующие пакеты из данного PCAP-	Библиотека позволяет другому программному					сле запуска можно обратиться по адресу http://
файла. Для анализа выбранного потока или се-	обеспечению легко и просто:					localhost:3002/.
тевых пакетов в анализаторе типа Wireshark или	• получать доступ к файловой системе					QIRA записывает всю трассу выполнения
NetworkMiner достаточно пары кликов мыши.	устройств;					программы и позволяет отображать состояние
Как ты, надеюсь, понял, CapLoader — это иде-	• получать информацию об устройстве и его					памяти на момент выполнения любой инструк-
альный инструмент для обработки гигантских	внутренностях;					ции и, что самое замечательное, изменять зна-
PCAP-файлов, размер которых более гигабайта.	• делать и восстанавливать бэкап;					чение данных в памяти и прямо оттуда переза-
А дальнейшая обработка осуществляется уже	• управлять иконками SpringBoard;					пускать программы (делается fork) с данными
всеми нами любимыми Wireshark и NetworkMiner.	• управлять установленными приложениями;					изменениями. Так что в любой момент достаточ-
Из особенностей можно выделить:	• получать данные из адресной книги / кален-					но удобно видно, что делала программа и с ка-
• идентификация протокола основывается	даря / заметок;					кими данными.
на наборе признаков, а не на номере порта.	• синхронизировать музыку с видео на устрой-					Сейчас присутствует поддержка архитектуры
Это очень полезно, если сервис работает	стве.					x86 и идет доработка x64 и ARM. А для удобного
на нестандартном порте. Сейчас присутству-						перемещения по коду есть специальный пла-
ет поддержка около 100 протоколов, среди	Библиотека разрабатывается с августа 2007					гин для IDA Pro. Для более близкого знакомства
которых Skype, IRC, FTP, SSH, MS-RPC, P2P	года, и ее первоначальной целью было созда-					с данным инструментом рекомендую обратиться
и CardSharing;	ние поддержки i-устройств на Linux. Сейчас же					к writeup (goo.gl/fGQRL8) с PlaidCTF 2014, где за-
• сбор сетевых пакетов: инструмент способен	эту библиотеку активно используют различные					дание с heap overflow решается как раз с помо-
достать их из любого файла и сохранить	инструменты для извлечения данных с устройств					щью QIRA.
в PcapNG-формате. Например, из дампа	компании Apple. Также библиотека часто при-					Ограничения:
памяти, что полезно при расследовании	гождается при получении так нами любимых					• трассировка более чем 10 000 000 работает
инцидентов.	джейлбрейков.					не очень хорошо;
	Под Linux пакеты доступны для дистрибути-					• поддержка архитектуры x86-64 до сих пор
	вов openSUSE, Fedora, Mandriva, Ubuntu Debian.					экспериментальная;
	Работа		библиотеки	протестирована		• веб-форки работают только на архитектуре
	на устройствах iPod Touch 1G/2G/3G/4G/5G,					i386.
	iPhone	1G/2G/3G/3GS/4/4S/5/5C/5S,			iPad
	1/2/3/4/Mini/Air и Apple TV 2G/3G с прошивкой
	вплоть до 7.1.1 под Linux, OS X и Windows.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 09 /188/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

7 утилит для взлома и анализа безопасности

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			93
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

PWNTOOLS

Автор: Gallopsled

Система: Linux

URL: https://github.com/Gallopsled/pwntools

Для успешного участия в CTF важно не только иметь хороший набор знаний и быстро соображать, нужен и заранее подобранный, готовый к бою инструментарий, так как время играет очень важную роль.

Pwntools — это набор инструментов от команды Gallopsled, победителя квалификации на последний DEF CON — 22-й по счету.

Для установки достаточно ввести одну коман-

ду:

# pip install pwntools

Pwntools содержит в себе набор очень полезных заготовок, которые упрощают процесс решения заданий, связанных с написанием эксплойтов. В состав входят такие подмодули:

•pwnlib.asm — для работы с ассемблером;

•pwnlib.gdb — для работы с GDB;

•pwnlib.shellcraft — для генерации шелл-кодов;

•pwnlib.util.net — для работы с сетью;

•pwnlib.util.proc — для работы с /proc;

•и много других полезных.

После знакомства со всеми классами процесс выполнения и автоматизации ряда задач ускоряется и упрощается в разы. У этого CTF toolkit даже есть своя хорошо проработанная до-

кументация (pwntools.readthedocs.org)!

Автор: byt3bl33d3r

Система: Linux

URL: https://github. com/byt3bl33d3r/ MITMf

MITMF

MITMf — это фреймворк для man-in-the-middle

атак. Инструмент базируется на утилите sergioproxy, которая в настоящее время уже не развивается. В основном вся работа с MITMf крутится вокруг плагинов, которые можно писать и использовать для различных задач. По умолчанию программа работает в режиме sslstrip. Поговорим о самых основных и наиболее интересных плагинах:

•можно выделить плагин JSkeylogger, который позволяет внедрять на страничку в браузер keylogger и смотреть все, что туда вводит жертва;

•также интересен плагин JavaPwn, который

всвязке с Metasploit (через msgrpc server)

вавтоматическом режиме определяет версию Java и подсовывает нужный эксплойт;

•следующий замечательный плагин FilePwn позволяет на лету инфицировать исполняемые файлы (ELF и PE) и ZIP-архивы, на основе the-backdoor-factory;

•мощный и многоцелевой плагин Spoof — под-

держка ICMP Redirects, ARP Spoofing, DNS Spoofing и DHCP Spoofing;

•есть также достаточно стандартный, но очень полезный Inject, который позволяет вставлять произвольное содержимое в HTML-страницу.

Естественно, можно одновременно запускать не один плагин, а несколько. Обучалки и примеры использования можно найти в блоге проекта

(sign0f4.blogspot.it).

Автор: arisada

Система: Linux

URL: https:// github.com/arisada/ midgetpack

ELFPACKER

Если упаковщиками для PE-файлов никого

внаше время уже не удивить, то упаковщики для ELF-файлов представляют собой достаточно диковинное ПО.

Midgetpack — это упаковщик для ELF-файлов,

впринципе такой же, как и burneye или upx. Задача данных инструментов — защитить свои активы (инструменты, эксплойты) при использовании их на ненадежных системах (например, на системах, находящихся под наблюдением заказчика во время пентеста).

Midgetpack имеет два режима работы:

•Password (PBKCS2, AES-128-cbc, HMAC- SHA-256);

•Curve25519 (Curve25519 kex, AES-128-cbc, HMAC-SHA-256).

Режим с паролем — это классический режим, когда при старте исполняемого файла запрашивается пароль. В данном случае защита исполняемого файла держится на сложности заданного тобой пароля.

А вот режим с Curve25519 — это настоящая особенность данного инструмента. Вместо ввода какого-либо пароля или ключа ключевой файл генерируется автоматически во время упаковки. И для запуска файла надо будет лишь указать данный ключевой файл. Он будет использоваться каждый раз, когда ты захочешь запустить защищенный исполняемый файл. Ключевой файл защищен асимметричной криптосистемой Curve25519, основанной на эллиптических кривых, с применением алгоритмов AES-128 и HMAC- SHA-256 для исключения атак man-in-the-middle.

Программа с успехом поддерживает несколько архитектур процессора: x86-32, x86-64, ARM. Для установки потребуются: CMake, GCC.

Авторы: Georges Bossert, Dimitri Kirchner

Система: Linux

URL: https://github. com/AndroidHooker/ hooker

ANDROIDHOOKER

Hooker — это проект с открытым исходным кодом для динамического анализа Androidприложений. Данный проект предоставляет различные инструменты и приложения для автоматического перехвата и модификации APIвызовов, сделанных исследуемым приложением. Для этого инструмент использует Android Substrate Framework и полученную информацию сохраняет в elasticsearch базу данных.

Hooker состоит из нескольких модулей:

•APK-instrumenter — это Android-приложение,

которое должно быть установлено на анализируемое устройство или эмулятор;

•hooker_xp — Python-скрипт, который может быть использован для управления Androidустройством и может выполнять установку приложения на него;

•hooker_analysis — Python-скрипт, который мо-

жет быть использован для сбора результатов;

•tools/APK-contactGenerator — Android-

приложение, которое создает фейковые контакты на устройстве;

•tools/apk_retriever — Python-скрипт, который может автоматически скачивать APK из различных публичных Android-магазинов;

•tools/emulatorCreator — скрипт для подготов-

ки работы эмулятора.

Так что теперь можно без особых проблем в домашних условиях активно пройтись по огромному количеству Android-приложений и насобирать там баги.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 94						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Malware

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 09 /188/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

#TorontoPhotos, #NaturePhotos@fickr.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 09 /188/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

hang

NOW!

BUY

Apache-бэкдоры, которые касаются каждого

w Click

-x cha

ApAche

ŗųŠŚŤŦű,

ŠŤŨŤŦűś

ŠŖŧŖŴŨŧŵ Ирина Чернова irairache@gmail.com

ŠŖŜŚŤřŤ

WARNING

					Не устанавливай модули
					для Apache из непро-
					для Apache из непро-
					веренных источников.
					Рекомендуем юзать
РАЗБИРАЕМ					https://modules.apache.
					org.

CHAPRO (DARKLEECH),

SSHDOOR, CDORKED.A,

JAVA.TOMDEP И SNAKSO.A

Непросвещенному человеку кажется, что проблемы индейцев-апачей не волнуют шерифов, то есть рядовых пользователей интернета.

А касаются они исключительно владельцев сайтов на базе Apache. На самом деле вся эта малварь с удовольствием натягивает обычных посетителей сайтов, заливая им трояны, которые затем воруют их денежки и пароли. Считаю, что такого врага нужно узнать в лицо, ведь примерно каждый третий сайт, который ты посещаешь, работает как раз на Apache.

$3$&+( ŢŤŚũšŞ

Главное в Apache — его модульность, дающая возможность подключать поддержку языков программирования, добавлять новый функционал, усиливать безопасность или устранять уязвимости. Всего насчитывается несколько сотен дополнительных модулей

Apache (некоторые из них: mod_rewrite, mod_ssl, mod_pop3, mod_ python).

Между прочим, на Apache можно исполнять код, написанный на любом языке программирования, с помощью интерфейса CGI (Common Gateway Interface).

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						Malware
					BUY
w Click				to 96						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

/,18; &+$352 '$5./((&+

Самый популярный в мире Apachе-бэкдор. Появился в середине 2012 года. Обнаружить его деятельность на сервере затруднительно, так как он не оставляет следов на жестком диске (работает с shared memory) и в логах сервера (имеет систему скрытия HTTP-запросов).

Бинарный файл зашифрован с помощью стандартного XOR-алгоритма. Пересылаются похищенные данные POST-запросом по HTTP-протоколу. Передаваемая информация шифруется дважды: с использованием

1024-битного ключа RSA и Base64.

Также в Linux/Chapro есть система сверки IP жертв с базой адресов уже обработанных компьютеров. Страница с вредоносным iframe показывается отдельному пользователю только один раз.

Также вирус умеет подавлять свою деятельность в старых версиях браузеров, в которых iframe-инъекция может сильно бросаться в глаза.

Распространение

	Распространяется под видом Apache-модуля
	Darkleech. Также может быть внедрен с помощью	WWW
	трояна Gootkit (эксплуатируя уязвимость CVE-2012-	WWW
	1823 в PHP-CGI).	Уязвимости последней
	Вредоноснаядеятельность	Уязвимости последней
	Вредоноснаядеятельность	версии Apache:
	После заражения сервера вирус внедряет iframe,	https://httpd.
	перенаправляющий на ресурс с Blackhole Exploit	apache.org/security/
	Kit, в код страниц сайта. При наличии у пользова-	vulnerabilities_24.html
	теля уязвимостей в браузере или плагинах к нему
	происходит следующее:
	• Загружается программа Pony Loader, предна-
	значенная для хищения конфиденциальных
	данных пользователя. Последние версии этой
	малвари могут украсть даже информацию
	о логинах и паролях для кошельков с криптова-
	лютами.
	• Устанавливается троян из семейства Sirefef,
	который может блокировать брандмауэры, за-
	гружать из интернета обновления вирусов, пере-
	направлять трафик, подделывать поисковую	INFO
	выдачу и многое другое. Конкретный функцио-	INFO
	нал зависит от модификации вируса.
	• Запускается троян Nymaim, и компьютер блоки-	Apache Tomcat — кон-
	руется, требуя заплатить штраф суммой в три	тейнер сервлетов
	сотни баксов.	(классов, расширяющих
		функционал сервера),
	Некоторые модификации Linux/Chapro заража-	написанных на Java.
	ют пользователей трояном Zeus (через эксплойт	Может использоваться
	Sweet Orange), который ворует данные для входа	в качестве отдельного
	в онлайн-банкинги и другие платежные системы	веб-сервера или серве-
	(аналогично поступает бэкдор Linux/Snasko).	ра контента.

%/$&.+2/( (;3/2,7 .,7

Набор drive-by эксплойтов, эксплуатирующих уязвимости в Java Virtual Machine и других браузерных дополнениях. Некоторое время (2010–2011 годы) был одним из самых коммерчески успешных хакерских проектов, пока его исходный код не утек в открытый доступ. Включает в себя бесчисленное множество компонентов, среди которых:

•TDS (traffic direction script) — скрипт для перенаправления трафика;

•Carberp — троян, в частности собирающий данные о зараженной системе;

•stopav.plug — система противодействия антивирусам;

•passw.plug — система мониторинга посещенных страниц и вво-

димых логинов/паролей.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 09 /188/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ŢśŦű ŝŖůŞŨű Śšŵ ŘšŖŚśšŲŬśŘ $3$&+( ŧŖşŨŤŘ

•Регулярно просматривать TNS-логи, Apache-логи и логи файрвола на предмет подозрительных явлений. Прежде всего стоит обратить внимание на long-running HTTPсоединения.

•Исследовать код страниц сайта (это делается в браузере — выбираем соответствующий пункт контекстного меню) с целью поиска обфусцированных участков непонятного происхождения.

•Везде ставить надежные пароли. Как минимум — сменить в настройках все default-value.

•Проверять наличие изменений в модулях Apache c помощью утилиты debsums, которая проводит контроль MD5-сумм установленных дополнений.

•Делать дампы shared memory.

$3$&+( 96 1*,1;

В конце мая этого года в мире произошло эпохальное событие — nginx обогнал Apache по доле сайтов, работающих на его основе (40% против 39%).

ŤŗŪũŧŠŖŬŞŵ +773 ŝŖťŦŤŧŤŘ

Эта фича может быть полезна не только вирусописателям, но и добропорядочным владельцам сайтов для повышения уровня безопасности их ресурса. Обфускацию HTTP-запросов можно делать с помощью jcryption.js. Пример:

ŵŵ ǱȢțȘȔșȠ ȞȟȲȫ Ȗ

śɌɛ Ş ɏɨɥɩɫɏ Ŝ ɨɥɩɫ

ŵŵ ǯȢȘȞȟȲȫȔșȠ ȨȧȡȞȪȜȲ Ȟ ȨȢȤȠș

$( ()

{

$(ɑɤ ɑƀŜ ſƀŚ

}

ŵŵ ǮȦȣȤȔȖȞȔ țȔȬȜȨȤȢȖȔȡȡȯȩ ȘȔȡȡȯȩ ȨȢȤȠȯ

śŵŵ Ŝ Ŝ ŵ Ŝ ţ

ʰ ɩ ɨɯ ɯ ɯ ŵ

ɰ ɪ ɥ ɮ ɨ ɫɫɬ ɫ

ɩ ɪʫ ɫ ɬɩɪ ɩɮɯ

ŵŵ Ǡ ȥșȤȖșȤ ȣȢȟȧȫȔșȦ

ɑ ʰ ʩɫɥ Ŝ ĺ ʰ

ĺ ʰ ɑ

Подробнее: www.jcryption.org.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY						Apache-бэкдоры, которые касаются каждого
w Click				to ХАКЕР 09 /188/ 2014							Apache-бэкдоры, которые касаются каждого
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

/,18; 66+'225 $

Дополнение для Linux/Chapro, предназначенное для хищения данных SSHавторизаций.

Распространение

Распространяется аналогичным способом — через фальшивый Apacheмодуль Darkleech (что вполне закономерно).

Вредоноснаядеятельность

Основная цель этой малвари — хищение данных для SSH-доступа и получение удаленного доступа к системе. В фоновом режиме ожидает, когда пользователь захочет войти на сервер через SSH, и в нужный момент считывает авторизационные данные, которые отправляет на сервер злоумыш-

ленников. Фрагмент бинарного кода Linux/SSHdoor

hang

NOW!

BUY

w Click

-x cha

řšŖŘţŖŵ ŬśšŲ šŴŗŤřŤ $3$&+( ŗųŠŚŤŦŖ ťśŦśţŖťŦŖŘŞŨŲ ťŤšŲŝŤŘŖŨśšŵ ţŖ ŧŖşŨ ŧ ŘŦśŚŤţŤŧţűŢ ųŠŧťšŤşŨŤŢ ųŠŧťšũŖŨŞŦũŵ ũŵŝŘŞŢŤŧŨŞ Ř śřŤ ŗŦŖũŝśŦś

/,18; &'25.(' $

Появился весной 2013 года. Заражает исключительно Apache-серверы, оснащенные cPanel. Компактный 70-строчный бинарный код исполняемого файла зашифрован алгоритмом XOR со статическим 4-битным ключом, расшифровать который совсем несложно. Идеален для исследования. Обнаружить активность Cdorked.A несколько затруднительно, так как:

•он не оставляет следов своей деятельности на жестком диске, работая с shared memory (задействуется примерно 6 Мб);

•его активность не отображается в логах сервера благодаря хитрой схеме обфускации HTTP-запросов;

•он умеет идентифицировать заходы администратора на сайт и не вставлять в таком случае вредоносный код на страницы. Делает он это довольно нехитрым способом: в cookies и URL загружаемых страниц ищет подстроки adm, submit, webmaster, stat, webmin, cpanel и подобные.

Эти три свойства обеспечивают ему первое место в рейтинге самых хитрых Apache-бэкдоров среди известных вирусным аналитикам (Chapro практически догоняет его по этому показателю). Наверняка есть представители этого типа малвари и поизворотливее, но их пока не обнаружили :).

Распространение

Заражение происходит посредством прямой интеграции в httpd (основной исполняемый файл Apache). Способ, которым вирусописатели получают root-права для доступа к этому файлу, окончательно не установлен.

Вредоноснаядеятельность

Когда пользователь заходит на сайт, содержащий iframe-инъекции, сгенерированные Cdorked, его перенаправляют на Blackhole Exploit Kit, который берет дело в свои руки и сканирует браузер пользователя на предмет различных уязвимостей. Также в этот момент юзеру заливаются cookies, исключающие возможность повторного перенаправления пользователя.

Итак, какие неприятности происходят с компьютером, в браузере которого удалось обнаружить уязвимости:

•обработка cookies с целью сбора информации;

•получение прав на управление любыми процессами в системе;

•выполнение команд, посылаемых удаленным сервером злоумышленников.

Также стоит отметить, что Linux/Cdorked.A не имеет механизмов самораспространения. То есть автоматическое заражение происходит исключительно от сервера к клиенту.

Фрагмент бинарного кода Linux/Cdorked

<<< < Предыдущая 1 2 3 4 5 6 7 8 910 / 1510 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202428.5 Mб12183_Optimized.pdf
#
20.04.202422.1 Mб12184_Optimized.pdf
#
20.04.202423.69 Mб12185_Optimized.pdf
#
20.04.202425.1 Mб12186_Optimized.pdf
#
19.04.202429.32 Mб13187_Optimized.pdf
#
20.04.202419.96 Mб12188_Optimized.pdf
#
20.04.202432.08 Mб12189_Optimized.pdf
#
20.04.202430.24 Mб12190_Optimized.pdf
#
20.04.202427.6 Mб12191_Optimized.pdf
#
19.04.202425.3 Mб12192_Optimized.pdf
#
19.04.202433.24 Mб12193_Optimized.pdf