Podatności od “drugiej” strony – Windows patch diffing

Deweloperzy systemu operacyjnego Windows w tym roku nie mają łatwego życia – sama “dziesiątka” od początku roku uzbierała ponad 150 CVE. Microsoft, swoim zwyczajem wydaje poprawki w drugi wtorek każdego miesiąca (słynne “patch tuesday”). Dzień ten wypadł akurat przedwczoraj – więc stąd wpis nieco odmienny od głównej tematyki bloga 😉 Biuletyny bezpieczeństwa często bardzo enigmatycznie […]

LatentBot – modularny i silnie zaciemniony bot

Zachęcam do zapoznania sie z moim wpisem na blogu CERT Polska, tym razem o ciekawym złośniku z aktywnego exploit-kita Rig – LatentBocie. Zajawka: LatentBot jest widoczny w sieci od 2013 roku, a na początku października rozpoczął swoją drugą młodość – dodany został jako payload do bardzo aktywnego exploit-kita Rig i jest serwowany zamiennie z takim […]

Powrót “Komornika sądowego” z ransomware Mischa i Petya

Zachęcam do zapoznania sie z moim wpisem na blogu CERT Polska, tym razem o narzędziach (Mischa & Petya) użytych przez powracającego aktora, doskonale znanego polskim użytkownikom jako “Komornik sądowy”. Zajawka (jest niewinna, w poście znajduje się dużo “mięska” 😉 ): W pierwszym tygodniu sierpnia trafiła do nas wiadomość podszywająca się pod zawiadomienie od komornika sądowego […]

Firmadyne – obiecujący framework do dynamicznej analizy firmware

Pod koniec lutego zrobiło się głośno o błędach w urządzeniach D-Linka (CVE-2016-1558 oraz CVE-2016-1559) znalezionych za pomocą tytułowego frameworku. Od początku ochoczo zabrałem się do testów, jednak nauczony doświadczeniem, że sporo projektów na GitHubie umiera po pierwszym commicie, postanowiłem wstrzymać się z jego opisaniem. Na szczęście projekt nie umarł i ma się całkiem dobrze (na […]

Nowe D-Linki, stare błędy

Testując frameworka Firmadyne (jego tematykę poruszę bardzo dokładnie w następnym poście – jeszcze w tym tygodniu 🙂 ) emulację oprogramowania D-Linka znalazłem nowe-stare błędy w urządzeniach DWR-921 rev. C (poprzedni opis dotyczył tylko rewizji A) oraz, routerze spoza rodziny DWR, DSL-2770L. Tym samym lista podatnych urządzeń urosła do dziewięciu modeli. Podatne wersje oprogramowania: DWR-921 rev. […]

Debugowanie aplikacji w architekturze MIPS #2 – Konfguracja IDA + GDB Server

Druga i ostatnia część poradnika budowy środowiska do zdalnego debugowania binarek. W tej części zaprezentuję sposób uruchomienia aplikacji na maszynie wirtualnej QEMU, uruchomienie GDB Servera oraz podłączenie się do niego IDA Pro. Po wykonaniu wszystkich kroków będziemy mogli np. debugować pliki wyciągnięte z firmware różnych urządzeń 🙂 Co będzie potrzebne? Środowisko z poprzedniego posta IDA […]

Debugowanie aplikacji w architekturze MIPS #1 – Środowisko

Ten post powstał jako uaktualnienie procesu opisanego tutaj, przez Zacharego Cutlipa. Po ponad dwóch latach od napisania tamtego tutoriala pewne rzeczy nieco się zdezaktualizowały lub zostały pominięte w opisie, skutkiem czego przyspożyły mi żmudnej pracy, której Tobie chciałbym oszczędzić 🙂 Co będzie potrzebne? Wymagania nie powinny stanowić żadnego problemu: QEMU (wersja 2.0.0+) Ubuntu Linux (wersje […]

IDA Pro – Tworzenie sygnatur FLIRT dla niestandardowych bibliotek

W pewnych sytuacjach mechanizmy rozpoznawania bibliotek w IDA Pro nie umieją sobie poradzić z bibliotekami z których korzysta dana binarka. Efekt widoczny na screenie poniżej: W oknie Functions widzimy, że wszystkie funkcje są rozpoznane jako pochodzące z zewnętrznych bibliotek (extern), a na pasku znajdującym się na górze zwizualizowany został spory fragment pamięci określony jako Unexplored […]

Jak załatano backdoora w routerach D-Link DWR?

Korzystając z chwili wolnego czasu chciałbym przedstawić nieco inne spojrzenie na badanie firmware’u. Tym razem nie będę szukał podatności 😉 W tym poście skupię się na analizie zmian dokonanych w kodzie oprogramowania serwera htttpd w serii routerów D-Link DWR celem zablokowania możliwości administracji urządzeniem poprzez tylną furtkę. Krótkie przypomnienie Jeżeli pamietasz czego dotyczyła opisywana przeze […]

Backdoor i parę “ciekawostek” w serii routerów D-Link DWR – Reverse Engineering tylnej furtki

Z racji tego, że nie wszyscy mogą być zainteresowani procesem analizy tylnej furki, postanowiłem wydzielić tą część i przedstawić w osobnym poście. Opis reszty podatności routerów z serii DWR znajdziesz tutaj. Dla formalności jeszcze raz: Podatne urządzenia wraz z wersjami oprogramowania DWR-113 – Rev B. 2.03b DWR-116 – 1.05b DWR-118 – 1.00b02 DWR-512 – Rev […]