Заметка

Root на Asus Zenfone 2 в macOS (OS X)

Доброго дня.

Так вышло, что мне было необходимо получить root права на Zenfone 2 без использования Windows.

И, как оказалось, это не очень распространенная тема. Почти везде в качестве рекомендации озвучивается использование все таки Windows.

Но так неинтересно)

Continue reading

2FA небезопасен?

Недавно NIST опубликовала черновик новых рекомендаций.

И в этом черновике двух-факторная аутентификация (2FA) уже считается не очень безопасной и рекомендуется в будущем даже полностью от нее отказаться.

Мысли ниже — мое личное мнение.

В документе NIST указана причина таких рекомендаций. В основном это то, что оператор сотовой связи не может по номеру телефона понять реальный ли это пользователь сотовой связи (получивший номер легально) или же кто-то использующий VOIP.

Continue reading

Заметка

Macbook Pro без аккумулятора

Так случилось что на днях OSX сообщила мне что жизнь моего аккумулятора подходит к концу.

Не сильно придав этому значения — хотя он и правда прожил уже долгую жизнь — я работал дальше.

Зная что всегда могу работать от сети вообще без аккумулятора.

Собственно, заказать его просто — на aliexpress тонны предложений.

Но есть одно но :)

Continue reading

Разбор Zeus с помощью Volatility Framework

В этом посте мы разберем образец всем известного Zeus с помощью Volatility Framework.

Задача не очень сложная, многие это уже проходили, но думаю найдутся те у кого туго с английским и этот пост им будет читать понятнее.

Начнем с того что образов с зараженными машинами в интернете полно.

Можно взять даже с того же сайта самого Volatility Framework’а

Continue reading

Сигнатурные методы детектирования в IDS

В данной статье мы рассмотрим методы детектирования, использующие предопределенные правила, в которых содержатся сигнатуры — признаки определенного события. Сигнатурный подход к детектированию берет начало с самых ранних реализаций систем обнаружения вторжений и используется до сих пор.

Во-первых, попробуем решить эту задачу «с нуля». Как понять что происходит что-то не то? Видимо, для начала надо определить то, что мы можем детектировать как «не то». Первое что приходит в голову — если мы знаем как выглядят атаки, их поведение и действия в сети — будем просматривать трафик на предмет такой активности.

Но как быть если у атаки несколько шагов? Что искать в трафике? И как?

Continue reading

Как работают системы обнаружения вторжений?

В идеальном мире, в Вашу сеть заходят только те кто нужно — коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №6

Артефакт 6: Хуки API

«Функции, перехваченные в Ntdll.dll :

* ZwMapViewOfSection
* ZwCreateSection
* ZwOpenFile
* ZwCloseFile
* ZwQueryAttributesFile
* ZwQuerySection»

Исходя из этого, можно использовать плагин apihooks чтобы подтвердить утверждения Symantec.

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №5

Артефакт №5. Скрытые DLL

 

«Stuxnet вызывает LoadLibrary со специально составленным именем файла, который не существует на диске и в незараженной системе это вызвало было ошибку. Но W32.Stuxnet перехватывает в Ntdll.dll запросы LoadLibrary именно с такими именами. Эти имена файлов замаплены в другое место, которые указывает W32.Stuxnet. Обычно это область памяти где до этого был расшифрован и записан .dll файл. Имена файлов имеют следующий паттерн KERNEL32.DLL.ASLR.[HEXADECIMAL]…»

Для обнаружения этого в своих форензик-исследованих можно использовать dlllist. Даже при том что файла реально нет на диске и stuxnet перехватывает API загрузки DLL, имя файла все равно будет в PEB списках.

 

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №4

Артефакт №4: Инъектированный код

 

«Ни одна ‘non-Microsoft’ библиотека DLL не загружена в Services.exe, Lsass.exe или  Explorer.exe, поэтому скорее всего инъектированный код содержится в самих этих процессах [….] Достоверно извествно, что легитимный Lsass не имеет выполняемых регионов, но оба новые Lsass процессы имеют регионы с Execute и Write разрешениями в своих адресных пространствах в одних и тех же позициях и одного и того же размера.» [1]

Основываясь на этом утверждении можно попробовать применить malfind чтобы автоматически найти и извлечь инъектированный исполняемый код.

 

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №3

"…кроме того что два подозрительных процесса являются дочерними от Services.exe, подозрительным является то что эти процессы имеют очень мало подгруженных DLL…"

Исходя из этого утверждения, можно использовать dlllist с параметром -p чтобы получить данные только по конкретным процессам. В нашем случае нам интересны процессы pid 860 (легитимный), pid 868 (подозрительный), pid 1928 (подозрительный).

 

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №2

Артефакт 2 : Приоритеты процессов

"…некоторые системные процессы Windows (такие как Session Manager, Service Controller, и Local Security Authentication Server) имеют базовый приоритет выше чем приоритет Normal для обычных процессов" — Windows Internals 5th Edition pg. 395

 

Другими словами, легитимный local security authentication server (lsass.exe) будет иметь приоритет выше чем обычные процессы, включая те которые создает Stuxnet.

Базовый приоритет хранится в EPROCESS.Pcb.BasePriority. В Volatility Framework есть возможность получить доступ к этой информации, в отличие от многих GUI утилит которые показывают не все, а только некоторые поля этой структуры.

 

Continue reading

Исследование образца Stuxnet в Volatility Framework. Артефакт №1

Образец был выбран по нескольким причинам.

Во-первых, Stuxnet модифицирует зараженную систему таким образом, что на этом примере можно прекрасно продемонстрировать и показать новые функции Volatility Framework доступные уже начиная с версии 2.0. При этом, конечно, в этом примере будут использованы не все доступные функции, собственно, потому, что они предназначены для работы с областями которые Stuxnet не затрагивает.

Во-вторых, многие люди понимают технические описания ‘malware’, но немногие знают как транслировать артефакты, о которых они читают, в команды Volatility. И, соответственно, не совсем понимают как их правильно найти и идентифицировать в системе.

Continue reading