Archives du mot-clé Reverse Engineering / Coding

maybe : surveiller les actions d’un programme sous Linux

Maybe est un outil basé sur la librairie python-ptrace.

Il intercepte les syscalls liés aux accès fichiers pour déterminer l’activité du programme et les annule en même temps (les actions n’ont pas réellement lieu mais la valeur de retour est modifiée pour faire croire au programme que ça fonctionne).

Evidemment il convient malgré tout de faire tourner maybe et le programme analysé (s’il est potentiellement malveillant) dans une machine virtuelle.

Analyse des attaques NTP de BlackEnergy

L’utilisation de la commande MONLIST de NTP pour lancer des attaques DDoS est connue depuis quelques temps mais peu de malwares Windows l’avaient implémenté avec succès jusqu’à présent.

Il faut dire que Windows ne facilite pas le travail quand il s’agit de forger des paquets pour spoofer une adresse…

Dans un rapport PDF, ARBOR s’est penché sur un plugin du bot BlackEnergy qui parvient à ses fins en utilisant WinPCap ainsi que l’API IPHelper de Windows.

Le malware Derusbi bypass le système de signatures de drivers Windows

Un article intéressant de Sekoia.fr explique comment un rootkit baptisé Derusbi parvient à mettre en échec le système de vérification des signatures cryptographiques des drivers sous Windows.

Le malware commence par installer des drivers légitimes mais vulnérables qu’il exploite afin d’accéder à la mémoire kernel du système pour y modifier un flag gardant l’état de la vérification de ces signatures.
Une fois le flag modifié il installe alors son driver malicieux sans être inquiété par la vérification des signatures.

HDRoot : le bootkit de l’équipe APT Winnti

Via SecureList, Kaspersky a publié deux articles sur un bootkit Windows utilisé par une équipe d’attaquants chinois baptisée Winnti connus pour l’intérêt qu’ils portent aux entreprise de Corée du Sud.

Le premier article décrit le fonctionnement de HDRoot, l’utilitaire d’infection de MBR et de persistance sur le système. Le second article se concentre sur les exécutables liés à ce bootkit (droppers utilisant le bootkit, etc).
Ces articles très intéressants donnent une bonne idée de ce qui peut se faire en la matière.

PackerAttacker : un outil d’unpacking automatique de malware

Présenté à la DerbyCon par des chercheurs de chez Bromium, PackerAttacker est un outil open-source qui fait de l’unpacking générique de malwares.

D’après l’extrait du talk :

(…) all packers have a common goal: to write code to memory and execute it.
We’ve created a tool named The Packer Attacker, which exploits this common feature that exists in all packers.

From an injected DLL, The Packer Attacker uses memory and API hooks to monitor when a sample writes to its PE sections, allocates new memory, or executes within heap memory that has been given executable privileges. When any of these events culminate in a way that resembles expected packer behavior, the targeted memory page(s) are dumped to disk, accompanied by detailed logs of what caused the dump. For it’s memory hooks, The Packer Attacker limits access rights to tracked pages and uses a Vectored Exception Handler to catch ACCESS_VIOLATION exceptions when the memory is written to or executed. For it’s API hooks, the tool uses Microsoft Research’s Detours library. The injected DLL also will also propagate itself into new processes and track when code is unpacked to remote processes.

In our tests, The Packer Attacker has been able to pull full PE executables from actives samples of many high-profile malware families. In blind tests against an unknown variety of malware from a large malware repository, The Packer Attacker showed ~90% efficiency, defeating both known and unknown packers.

Vidéo du talk sur IronGeek.