Кажется, сейчас у каждого дома есть устройство с голосовым помощником, Bluetooth, WiFi, Ethernet и другими прелестями. Вы никогда не задумывались, не подслушивают ли вас ваши домашние «друзья»?

Автор статьи, реверс-инженер из команды BI.ZONE, решил заглянуть под капот саундбара Yamaha YAS-109. Из простого любопытства получилось довольно интересное исследование.

👉 Читать

#reverse #research

🔥Самые топовые инструменты в нашей подборке, остальные в статье ― в статье

📌Онлайн-сервисы для анализа малвари:

• VirusTotal ― бесплатный сервис для анализа подозрительных файлов и ссылок.
• Intezer ― детектор малвари, поддерживающий динамический и статический анализ.
• FileScan.IO — сервис анализа малвари с возможностью динамического анализа и функцией извлечения индикаторов компрометации (IOC).

📌Дистрибутивы для анализа малвари:

• REMnux — готовый дистрибутив для реверса и анализа вредоносных программ на основе Ubuntu.
• Tsurugi Linux ― Linux-дистрибутив, ориентированный на цифровую криминалистику, анализ малвари и OSINT.
• Flare-vm ― настраиваемый дистрибутив для анализа малвари на базе Windows.

📌Комбайны и тулкиты:

• Ghidra Software Reverse Engineering Framework ― продвинутый фреймворк для реверса ПО под Windows, macOS и Linux.
• FLARE VM ― настраиваемый дистрибутив для анализа малвари на базе Windows 10.
• Indetectables Toolkit ― набор из 75 приложений для реверса и анализа двоичных файлов и вредоносных программ.

📌Инструменты статического анализа и реверса:

• IDA ― дизассемблер и отладчик для Windows с бесплатной версией и возможностью расширения функционала при помощи open-source-плагинов.
• Binary ninja — популярная альтернатива IDA с бесплатной облачной версией и частично открытым исходным кодом.
• ret-sync ― набор плагинов, которые позволяют синхронизировать сеансы в дизассемблерах IDA, Ghidra и Binary Ninja.

📌Инструменты динамического анализа и песочницы:

• Cuckoo Sandbox — платформа для анализа малвари в виртуальных средах Windows, Linux, macOS и Android. Поддерживает Yara и анализ памяти зараженной виртуальной системы при помощи Volatility.
• CAPE ― песочница с функцией автоматической распаковки вредоносного ПО. Построена на базе Cuckoo и позволяет проводить классификацию на основе сигнатур Yara.
• Qubes OS ― защищенная ОС, основанная на концепции разграничения сред. Использует гипервизор Xen и состоит из набора отдельных виртуальных машин.

#tools #reverse #security #blueteam

🧰 Коллекция задач для изучения Frida на примере Android-приложений. Они не похожи на хардкорные таски из CTF, но помогут вам начать знакомство с Frida и ее API.

📌 Что внутри:
🔹Challenge 0x1 : Frida setup, Hooking a method
🔹Challenge 0x2 : Calling a static method
🔹Challenge 0x3 : Changing the value of a variable
🔹Challenge 0x4 : Creating a class instance
🔹Challenge 0x5 : Invoking methods on an existing instance
🔹Challenge 0x6 : Invoking a method with an object argument
🔹Challenge 0x7 : Hooking the constructor
🔹Challenge 0x8 : Introduction to native hooking
🔹Challenge 0x9 : Changing the return value of a native function
🔹Challenge 0xA : Calling a native function
🔹Challenge 0xB : Patching instructions using X86Writer and ARM64Writer

#reverse #practice

🤔 Как отлаживать сложный код без исходников?

Или даже так: «Как работать с закрытыми исходниками, как если бы у нас был доступ к исходному коду?».

Это достигается за счет использования инструментов декомпиляции, которые преобразуют скомпилированный код обратно в псевдокод.

В статье подробно рассматривается, как инструмент Ghidra Debugger интегрируется с Ghidra Code Browser, позволяя шаг за шагом пройти через псевдокод программы, которую вы отлаживаете.

Это позволяет лучше понять и анализировать поведение закрытых приложений, упрощая процесс отладки.

#reverse #tools

🧰 Process Memory Map: анонс инструмента для реверса, позволяющего отображать карты памяти процесса

📌 Отображает следующие данные:

• кучи процесса;
• данные по нитям, как то: стек, TEB, SEH фреймы и CallStack;
• информация по подгруженным PE файлам с разбивкой на секции, точки входа в каждый загруженный образ, их структуры;
• данные из PEB;
• данные из KUSER_SHARED_DATA;
• встроенный x86/x64 дизассемблер (на базе DiStorm).

📌 Предоставляет возможность:

• анализа памяти на предмет установленных перехватчиков в таблицах импорта/экспорта/отложенного импорта;
• анализа установленных перехватчиков в экспортируемых функциях, точках входа и TLS калбэках;
• анализа блоков памяти на основе их контрольных сумм (например отображение изменений во взломанном ПО);
• поиска в памяти процесса.

📌 Из дополнительных возможностей:

• выводит список экспортируемых функций;
• поддерживает отладочные MAP файлы. (влияет на список распознанных функций и выхлоп дизассемблера);
• отображает изменения в выделенных блоках памяти (alloc/realloc/free);
• быстрая подсказка по известным блокам памяти.

👉 Читать

#reverse #tools

🧰Расширенная шпаргалка по шорткатам IDA Pro: на заметку начинающему реверсёру

👉 Источник

#cheatsheet #reverse

🤦‍♂️🔐 1 февраля этого года компания Ivanti объявила о закрытии серьезных уязвимостей в своих продуктах Ivanti Connect Secure и Ivanti Policy Secure. Эти уязвимости, обнаруженные в декабре 2023 года, уже активно эксплуатировались злоумышленниками, представляя значительную угрозу для VPN-серверов. Сложности с разработкой патча привели к тому, что CISA потребовало отключить уязвимые решения за день до выпуска обновлений. Это уже второй серьезный инцидент с продуктами Ivanti, предыдущий произошел в августе 2023 года.

Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.

Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:

⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two

#pentest #reverse #CVE