Archives du mot-clé Reverse Engineering / Coding

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

FLOSS : trouver des chaines de caractères cachées dans un exécutable

Pour trouver des chaines de caractères cachées dans un exécutable (obfusquées) on peut espérer que les auteurs du binaire ont utilisé un simple XOR et compter sur les outils XORsearch / XORstrings de Didier Stevens.

Mais pour des stackstrings (chaines écrites octet par octet en mémoire) ou des astuces encore plus farfelues il n’y avait pas de solution miracle jusqu’à l’arrivée de FireEye Labs Obfuscated String Solver (FLOSS).

Cet outil pousse le bouchon plus loin (n’est-ce pas Maurice!) en désassemblant et émulant le programme.
C’est écrit en Python mais un exe Windows existe pour les feignasses et le tout est dispo sur Github.

Analyse d’un skimmer

Les plus paranos d’entre nous ont pris l’habitude de secouer un peu les plastiques du lecteur de carte ou du bloc situé au dessus du clavier sur les distributeurs de billets.

Matt South de Trust Foundry a aussi pris cette habitude et alors qu’il était en voyage à Bali (Indonésie), un bloc qui aurait du être solidaire du distributeur lui est resté dans les mains.

Ce bloc était étrangement connecté pour ce qui devait être un simple cache en plastique. Il s’agissait en fait d’un skimmer.

Avec une bonne dose de patience il a pu récupérer les vidéos enregistrées par le skimmer et extraire le matériel utilisé.