Archives du mot-clé coding

Un shellcode en base64

Lors de l’exploitation d’un buffer overflow on peut être restreint sur les octets que l’on peut passer à l’application.
Si le cas classique est d’éviter l’octet nul, la limitation peut être plus sévère.

Pour les besoins d’un challenge, SkullSecurity a eu à écrire un shellcode qui soit aussi valide en base64.
Dans son article il explique les différentes astuces auquelles il a du avoir recours pour parvenir à ses fins.

Malwares résidents en mémoire: les différentes techniques existantes

Les articles sur les injection de code dans un process et compagnie on le vent en poupe. La plupart de ces techniques ne sont pourtant pas de la dernière fraîcheur mais on ne fera pas la fine bouche sur un bon article sur le sujet.

C’est le cas de l’article Hunting in memory de Endgame qui passe en revue les méthodes utilisées par différents malwares Windows bien connus.

RubyGems DNS redirection

Apparemment la plateforme RubyGems était vulnérable à des attaques de type DNS redirection. Malgré l’utilisation du protocole HTTPS, la résolution DNS utilisant la méthode SRV sans vérification sur l’origine entraîne la possibilité de rediriger le trafic vers un serveur tiers. Le cas est intéressant car il affecte des milliers d’utilisateurs, d’où le danger des services centralisés comme npm, gems, windows update, etc… Revérifiez vos modules tiers Ruby, du code malveillant peut y être caché.

source : The Register

peCloak.py : rendre un exécutable indétectable aux yeux des antivirus

On trouve différents articles sur le sujet sur le web mais celui-ci a l’avantage d’être simple peut être grâce à l’utilisation du langage Python.

Dans l’article l’auteur explique les différentes étapes qu’il a réalisé en Python (recherche d’une section d’un exe où placer un décodeur, encodage de la section .text, génération d’instructions inutiles destinées à passer le temps d’analyse en sandbox, etc.) pour rendre des binaires backdoorés (contenant par exemple des shellcodes Metasploit) en exécutables qui passent les défenses de la majorité des antivirus.

A lire sans modération 🙂