O tym co piszczy w Ghidra – zestaw linków na dobry początek

Niedawno opisywałem publiczne wydanie Ghidry – narzędzia od NSA do reverse engineeringu binarek. Przez ten czas pojawił się wysyp poradników oraz narzędzi (aczkolwiek dalej nie ma kodu w oficjalnym repozytorium 😉 ). Poniżej subiektywne zestawienie zasobów do jak najszybszego wystartowania oraz wykorzystania możliwości środowiska. Subreddit Ghidra – w trakcie “rozkręcania”, bardziej polecam r/ReverseEngineering Analiza keygena […]

Ghidra – alternatywa dla IDA Pro czy ładnie opakowany backdoor od NSA?

Jeżeli drogi Czytelniku przespałeś cały dzisiejszy dzień to śpieszę z informacją, że amerykańska agencja bezpieczeństwa (NSA) udostępniła, opracowane w swoich laboratoriach, narzędzie do inżynierii wstecznej binarek. Pakiet Ghidra funkcjonalnie prezentuje się bardzo bogato: obsługa najpopularniejszych architektur i nie tylko, wbudowany dekompilator, abstrakcja projektu, możliwość obsługi wielu binarek, praca grupowa i porównywanie plików. Jeden z moich […]

BinCAT – ciekawostka czy godny uwagi pomocnik reversera?

Każdego miesiąca (odnoszę wrażenie, że czasami zdarzają się nawet cykle dzienne) pojawiają się interesujące projekty mające na celu wspierać osoby zajmujące się analizą binarną lub bezpieczeństwem na stosunkowo “niskim” poziomie. W tym obszarze każdemu znany jest disassembler / dekompilator IDA Pro. Nie trzeba poświecać wiele wysiłku na szukanie – pierwsza z brzegu lista dostępnych wtyczek lub ilość […]

Ponce – Symbolic Execution dla “klikaczy”

Osobiście lubię “zwalać” pracę na mój procesor. Zwłaszcza nudne i powtarzalne czynności bo często w nich strzelam babole, które skutkują jeszcze większymi błędami na wyjściu. Fajnym dodatkiem do tego wszystkiego jest sensowna “klikalność” rozwiązania – sensowność rozumiem w ten sposób, że czynność mogę zautomatyzować za pomocą trzech kliklnięć a nie trzydziestu trzech. Wszystkie wymienione wyżej […]

Podatności od “drugiej” strony – Windows patch diffing

Deweloperzy systemu operacyjnego Windows w tym roku nie mają łatwego życia – sama “dziesiątka” od początku roku uzbierała ponad 150 CVE. Microsoft, swoim zwyczajem wydaje poprawki w drugi wtorek każdego miesiąca (słynne “patch tuesday”). Dzień ten wypadł akurat przedwczoraj – więc stąd wpis nieco odmienny od głównej tematyki bloga 😉 Biuletyny bezpieczeństwa często bardzo enigmatycznie […]

LatentBot – modularny i silnie zaciemniony bot

Zachęcam do zapoznania sie z moim wpisem na blogu CERT Polska, tym razem o ciekawym złośniku z aktywnego exploit-kita Rig – LatentBocie. Zajawka: LatentBot jest widoczny w sieci od 2013 roku, a na początku października rozpoczął swoją drugą młodość – dodany został jako payload do bardzo aktywnego exploit-kita Rig i jest serwowany zamiennie z takim […]

Powrót “Komornika sądowego” z ransomware Mischa i Petya

Zachęcam do zapoznania sie z moim wpisem na blogu CERT Polska, tym razem o narzędziach (Mischa & Petya) użytych przez powracającego aktora, doskonale znanego polskim użytkownikom jako “Komornik sądowy”. Zajawka (jest niewinna, w poście znajduje się dużo “mięska” 😉 ): W pierwszym tygodniu sierpnia trafiła do nas wiadomość podszywająca się pod zawiadomienie od komornika sądowego […]

Firmadyne – obiecujący framework do dynamicznej analizy firmware

Pod koniec lutego zrobiło się głośno o błędach w urządzeniach D-Linka (CVE-2016-1558 oraz CVE-2016-1559) znalezionych za pomocą tytułowego frameworku. Od początku ochoczo zabrałem się do testów, jednak nauczony doświadczeniem, że sporo projektów na GitHubie umiera po pierwszym commicie, postanowiłem wstrzymać się z jego opisaniem. Na szczęście projekt nie umarł i ma się całkiem dobrze (na […]

Nowe D-Linki, stare błędy

Testując frameworka Firmadyne (jego tematykę poruszę bardzo dokładnie w następnym poście – jeszcze w tym tygodniu 🙂 ) emulację oprogramowania D-Linka znalazłem nowe-stare błędy w urządzeniach DWR-921 rev. C (poprzedni opis dotyczył tylko rewizji A) oraz, routerze spoza rodziny DWR, DSL-2770L. Tym samym lista podatnych urządzeń urosła do dziewięciu modeli. Podatne wersje oprogramowania: DWR-921 rev. […]

Debugowanie aplikacji w architekturze MIPS #2 – Konfguracja IDA + GDB Server

Druga i ostatnia część poradnika budowy środowiska do zdalnego debugowania binarek. W tej części zaprezentuję sposób uruchomienia aplikacji na maszynie wirtualnej QEMU, uruchomienie GDB Servera oraz podłączenie się do niego IDA Pro. Po wykonaniu wszystkich kroków będziemy mogli np. debugować pliki wyciągnięte z firmware różnych urządzeń 🙂 Co będzie potrzebne? Środowisko z poprzedniego posta IDA […]