[recovery mode] RE Crypto Part#2
Наверное самое популярное действие, которое приходится выполнять для исследования криптографии сегодня это процедура анализа зловредного кода, который блокирует чьи-то данные с использованием кастомного или общепринятого алгоритма. Попробуем в этой статье рассмотреть зловред и понять какие...
[recovery mode] RE Crypto Part#1
Статья расскажет на примере алгоритма AES как можно найти конструкции алгоритма шифрования и доказать, что приложение действительно использует именно этот алгоритм для преобразования данных. Читать далее...
Выпустили пар: мошенники используют метод Browser-in-the-Browser для кражи аккаунтов у игроков на Steam
"Хочу рассказать историю, как я недавно лоханулся и потерял свой аккаунт Steam со 100+ играми и донатом на общую сумму больше 15 тыщ рублей". Или вот: "Несколько косарей в Стим вложено, и штук 20 игр, некоторые с дополнениями, на нем висит". Таких историй десятки, если не сотни. В июле специалисты...
99+ бесплатных инструментов для анализа зловредов
Знай своего врага ― одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код. Под катом мы собрали...
Получение доступа к защищённым данным во встроенной памяти
В компании «Криптонит» завершили интересное исследование, результатами которого мы спешим поделиться. Наша команда лаборатории информационной и сетевой безопасности провела реверс-инжиниринг ПЗУ промышленного устройства и получила доступ к данным, которые считаются защищёнными. Точно такие же...
Static Reverse engineering для web
Львиная доля всех статей, которые посвящены вопросу обратной разработки посвящены темам анализа низкоуровневого представления приложений и работы прошивок устройств. Только ли в этих областях можно применять подходы, которые использует обратная разработка? Попробуем разобраться на примере...
[Перевод] Blacksmith
Мы продемонстрировали, что сегодня в современных готовых системах несмотря на развернутые меры по снижению рисков, можно без особых усилий осуществить атаку Rowhammer с искажением битов на всех устройствах DRAM. Эта ситуация оказывает значительное влияние на безопасность системы, поскольку...
Решение нашего задания для YauzaCTF, или рассказ о том, что делать с орочьими нулями и единицами
С 27 по 29 августа 2021 года в онлайн-формате проходило соревнование YauzaCTF. Соревнование проводилось в формате Task-Based, принять участие могла любая команда, желающая попробовать свои силы. Участникам предстояло в течение 48 часов решить задания следующих категорий: web, reverse, PWN,...
[Перевод] Архитектура PlayStation 3, часть 4: Борьба с пиратством
Из предыдущих частей вы уже знаете, на что способна консоль PlayStation 3. Ожидали ли вы, что хакеры будут довольствоваться ограниченными возможностями OtherOS? Думаю, что Sony тоже не ожидала. Компания изо всех сил старалась защитить некоторые области, оставляя другие полузакрытыми, чем позже и...
Очень темные дела: BlackMatter и его жертвы
Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга...
О недавней уязвимости в банкоматах Diebold Nixdorf
На днях Positive Technologies опубликовала новость о том, что банкоматы производителя Diebold Nixdorf (ранее Wincor), а точнее модели диспенсеров RM3 и CMDv5, содержат уязвимость, благодаря которой можно производить выдачу наличных и заливать модифицированную (уязвимую) прошивку. И поскольку я и...
Flare-On 8 2021 CTF writeup'ы
Закончился очередной конкурс Flare-On от компании FireEye. Он привлекает любителей и профессионалов обратной разработки со всего мира. Ежегодно FireEye предлагает всем желающим 10-12 заданий нарастающей сложности. Участие в подобных конкурсах позволяет поддерживать свои инженерные навыки в тонусе и...
[Перевод] TA505 нацелилась на розничную торговлю в США с помощью персонализированных вложений
Обзор С 15 ноября 2018 года компания Proofpoint начала наблюдать за рассылками электронных писем от определенного агента, направленных на крупные розничные сети, сети ресторанов и продуктовых магазинов, а также другие организации, работающие в сфере производства продуктов питания и напитков. Эти...
LeetD3vM4st3R
В APK находится функционал по генерации сигнатуры для ассоциативного массива. Постарайтесь получить подпись для следующего набора данных: { "user" : "LeetD3vM4st3R", "password": "__s33cr$$tV4lu3__", "hash": "34765983265937875692356935636464" } и отправить результат @****** в Telegram....
Живее всех живых: анализируем первый сэмпл нового шифровальщика BlackMatter
Лето 2021 года выдалось жарким не только из-за погоды, но и новостей из мира Ransomware. В конце мая группа DoppelPaymer произвела, пользуясь маркетинговым термином, "ребрендинг", переименовав свои новые программы-вымогатели в Grief (Pay OR Grief). А в июне-июле группы DarkSide и REvil друг за...
Средства автоматизации анализа вредоносных программ
На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy. Демонстрируются их возможности по расшифровке конфигурационных данных, деобфускации строк и вызовов функций API для...
Анализ вредоносных программ. Интересные трюки
Решил сделать серию публикаций про интересные трюки и оригинальные идеи, выявленные при анализе вредоносных программ, а также и про подходы, которые использовались при анализе. Надеюсь, что публикации будет интересными, а возможности и желания хватит на большую серию, а там уже увидим… В качестве...
Взлом квантовой программы
Программы для квантового компьютера тоже могут содержать уязвимости. Эти уязвимости могут позволять удалённо выполнять какие-то вычисления. Как же написать шеллкод для программы, уязвимой к исполнению квантового кода? Узнать...