Согласен насчет VHD, но та ссылка была приведена для того, чтобы наглядно показать принцип работы менеджера загрузки(Bootmgr), которая мало чем отличается(кроме функциональных расширений) от оригинального менеджера загрузки винды по логической составляющей. В любом случае было бы полезным привести ту ссылку в самом начале статьи хотя бы для тех людей, которые ничего не мыслят в механизации процесса загрузки. К тому же название статьи «Изучаем Bootmgr» намекает на то, что контекст работы бут менеджера будет освещен хоть каким то образом. За статью в целом плюс.
jok40 причем тут результат с Virustotal? Там обычно используется скантайм проверка(сигнатурный анализ, редко эмуляция->эвристика), а тут детект в динамике. PDM — это проактивка(рантайм детект). Из ваших последних постов становится очевидным, что вы не очень шарите в той теме, которую разбирали.
DjOnline там на скриншоте отчетливо видно, что сигнатура KSN добавлена на бинарь run.exe, а не на jscript лоадер. Имея достаточный опыт в разборе малвари(в том числе и скриптового треша), мне достаточно было посмотреть на код чтобы сказать какой там может быть детект. Я бы на вашем месте не стал спорить с мнением эксперта, который разбирает подобные сэмплы как семечки ;D
P.S: Этот лоадер нагло скомунижен с легитимного jscript фреймворка двух(/трех) летней давности (http://forum.script-coding.com/viewtopic.php?id=8865), об этом мне в telegram сообщил автор данного фреймворка. Впрочем сложно было ожидать от школоты чего то стоящего.
Почему это не сработала? Исходя из моего опыта в области вирусологии, мне даже на глаз был виден шаблон PDM. Если вы опираетесь на слова ТС, то я хз какой у него стоял авер от ЛК. Я вот не поленился и для наглядности потестал сей сэмпол на вм с KIS: http://i.imgur.com/f3gJlBT.png
Причем шаблон для PDM («ADODB.Stream»):
Open()
Write (oXMLHTTP.responseBody);
SaveToFile(FileDest, 2);
весьма старый. ЕМНИП этот шаблон с июля прошлого года внедрен в продукты ЛК.
Можно я немного Вас покритикую?
1) Непонятно зачем вы разбирали все это вручную, когда подобные трешевые задачи — забота автоматических анализаторов типа cuckoo sandbox. в данном случае мы видим аналогичный результат, который мог быть дать автоматический анализатор, причем без лишних телодвижений и траты времени.
2) Сложно назвать это поделие «современным троянским конем». «Легетимный» RMS софт, трешевая обфускация, примитивный лоадер на jscript — это больше похоже на поделие школьников, которые решили срубить немного баблеца на неопытных пользователях, но никак не на «современный троянский конь» :)
P.S: jscript лоадер будет палиться проактивками по типу PDM :)
CodeRush спасибо. действительно хорошая статья для начинающих.
у меня возник вопрос по вашей статье, он касается метода сохранения изображения на доступной файловой системе.
выше вы пишете:
Чаще всего единственные известные ФС — семейство FAT12/16/32 (иногда только FAT32), которые по стандарту UEFI могут использоваться для ESP.
получается что на NTFS/Ext3/HFS писать ничего не получится? есть ли какие нибудь возможные варианты для решения сего вопроса?
заранее благодарю за ответ.
// upd.: посмотрел решение записи файлов в vector-edk от h-team. там используется модуль NtfsPkg, т.е вопрос с NTFS в данном случае решен. остается вопрос только с юниксовыми фс.
не согласен, мои аргументы:
1) Все хакинг тимовское ПО требует спец. оборудования с весьма высокими характеристиками (смотрите доки по софту которые утекли в 400 Гб архиве).
2) В Palantir релиализовывали качественную инспецию трафика при довольно низких затратах. Как показала практика алгоритмы используемые софтом не менее важны, чем железо на котором оно выполняется.
3) Спец. службам не обязательно контролировать всех подряд и снифать весь объем трафика проходящий через провайдера, обычно слушают траффик только у тех, кто мог попасть под подозрение, впервую очередь в IRL а не в сети. Наличие установленного сертификата гарантирует прослушку трафика не только в одноклассничках и мейл.ру, но и на защищенных сайтах например gmail или facebook. К тому же для прослушки трафика конкретного человека нужна санкция, без нее вас прослушивать никто не будет.
4) Экспорт врочем как и все правовые/нормативные акты и законы устанавливает само государство. Как показала практика в случае хакинг тим многие гос-ва делали исключения для «обеспечения безопасности собственной страны».
имя этого гнусного вендера hacking team :) они уже ранее поставляли эту гадость казахским (с. службам) провайдерам: https://github.com/hackedteam/vector-ipa
пруф:https://wikileaks.org/hackingteam/emails/emailid/436130
Yes, the TNI is a module of the RCS suite that embeds hardware and software. When connected to a LAN (both WIFI and Ethernet/cabled), the TNI can automatically deliver the RCS Agent to a windows pc connected to the same network by sniffing and on-the-fly modifying its HTTP traffic.
I hope this can help
Giancarlo
и еще очень много интересного тут: https://wikileaks.org/hackingteam/emails/?q=Kazakhstan+sniffing&mfrom=&mto=&title=¬itle=&date=&nofrom=¬o=&count=50&sort=0#searchresult
есть два варика:
1) фантазии и опыта хакинг тим больше ничего хватило как на унылый и наглый mitm.
2) они разорвали контракт с хакинг тим(что маловероятно) и решили заюзать свои средства, эдакий казахский DPI с патчером (https://github.com/secretsquirrel/BDFProxy) на python :)
Вероятно обходом будет самостоятельная имплементация fork если низкоуровневые апи не режутся MAC(Mandatory Access Control). Как вариант думаю еще можно заюзать posix_spawn(https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man2/posix_spawn.2.html). оно вроде не лочится никак. решение тоже очень простое:
Я лучше xcode для разработки софта под osx/ios ничего не видел. У вас руки не из того места растут, вот и объяснение всех ваших бед. (простите не удержался).
выходил на них по почте с pgp, проблем со связью не должно было быть. возможно просто заигнорили по причине того, что сплоет был не полноценный, т.е без LPE это не совсем удаленный джейлбрейк.
Надо понимать что удаленный джейлбрейк сам по себе это не один эксплоит. Там по любому должна быть связка из RCE и LPE. Иногда еще нужен обход IL. Я им предлагал по почте и twitter: RCE для Safari(уязвимость в браузерном движке Webkit) без LPE, но они не ответили на мои сообщения(приношу извенения, картинку почему то не получается разместить, хз что я делаю не так):
https://habrastorage.org/files/b84/be9/533/b84be9533168422bb2bd6cbd1ab66ad3.png
Есть предположение, что это была просто PR акция с их стороны, для того чтобы привлечь внимание — компания молодая и нужно было как то превлечь внимание, вот и устроили это представление. Ожидания оправдали все надежды, новость хорошо была подхвачена журналистами и все завертелось… Даже если у них сейчас на руках имеется связка для удаленного джейлбрейка, я думаю, что она была у них на руках была намного раньше до публикации новости о покупке зеродея. Ведь это же Vupen, а там весьма головастые ребята, которые каждый год на всяких хакерских конфах загребают по несколько тысяч этих самых франклинов :)
ну так унификация типов же.
и ведь let f = fopen(«x.txt», «r») намного лучше выглядит чем FILE* f = fopen(«x.txt», «r»);
алсо никто не мешает определять типы вручную:
let f:UnsafeMutablePointer<FILE> = fopen("x.txt", "r");
А вот это вы зря! Только что поставил и погонял Beta релиз Xcode 7.1 (Build: 7B91b) с поддержкой Swift 2.1.
В версии 2.1 добавили возможность использования си кода без всяких бриджей (наконец то избавились от костылей что юзали раньше) :)
func xyz() throws {
let f = fopen("x.txt", "r")
defer { fclose(f) }
try foo(f) // f is closed if an error is propagated.
let f2 = fopen("y.txt", "r")
defer { fclose(f2) }
try bar(f, f2) // f2 is closed, then f is closed if an error is propagated.
} // f2 is closed, then f is closed on a normal path
Более подробно можно почитать тут: https://developer.apple.com/library/prerelease/ios/releasenotes/DeveloperTools/RN-Xcode/Chapters/xc7_release_notes.html
Apple делает правильные шаги для того, чтобы заменить Objective C на более перспективный и мощный язык программирования; и как мне кажется делает это весьма успешно ;)
silvansky сразу несколько замечаний:
1) ПО подписанное сертом работает не только iOS 9 версии, но и на более старых версия. я лично тестировал с 8.4, 8.3, 8.1. Информация не нова, триальные подписи стали доступны еще в начале этого года с появлением беты Xcode 7.
2) профили не обязательно искать вручную посредством терминала, или того скрипта что вы тут разместили, все делается намного проще:
https://i.imgur.com/ts1TvrF.png
3) если вы не в курсе, выданная подпись триальна и максимальный срок работы серта около полугода, обычно дают до 2-3 месяцев на тесты:
https://i.imgur.com/kn8j64d.png
очевидно вам проще репостить, все что наброло критический уровень без разбора полетов примерно как тут?
http://habrahabr.ru/company/eset/blog/268101/
«И это пишет security-компания»? ;)
ниже мой ответ вам: http://habrahabr.ru/company/eset/blog/268101/#comment_8599435
Уязвимость в libstagefright слишком сложно эксплуатировать — поэтому считаю, что паника смысла не имеет: много шума — воза мало. Журналюги и аверы как обычно слишком преувеличивают. В соседнем треде был эпик с винраром, а тут вот уже со Stagefright #2. Если ESET опубликовали это не ради PR, то я даже хз что и думать. Замечание для esetnod32: было бы куда лучше если бы ваши специалисты хоть немного разбирали материал перед публикациями. Мне куда приятней видеть аналитику от ваших специалистов, а не голый репост(рерайт) с новостных лент твиттера.
Я много эксперементировал с самым успешным эксплоитом из этой серии — CVE-2015-1538(#1). Об универсальном векторе атаки и речи быть не может. На Samsung Galaxy Alpha5 с Android 4.4.4 эксплуатировать уже практически не реально, в первую очередь, ввиду иной имплементации ASLR. Эксплоит опубликованный Джошуа Дрейком(тут с моим фиксом: https://github.com/egyp7/cve-2015-1538-1) имеет слишком много завязок на конкретное устройство: rop pivoting с фикс. адресом(да здраствует хардкор!), ограниченная версия ASLR на Android 4.0.4. Вообщем код оставляет желать лучшего. Вот тут опубликованна более лучшая реализация сплойта https://code.google.com/p/google-security-research/issues/detail?id=502 на базе которой, мне удалось написать RCE эксп для Samsung Galaxy S3 с Android 4.1.2. Замечу что эксп. получился крайне нестабильным и работает также только на ограниченном колличестве устройств,
т.е это не миллионы устройств как утверждают в Zimperium.
Автору треда: lukasafonov очевидно матерые хакеры из DefconRu не смогли разобраться в том, что это не эксплоит а рипнутый скрипт кидисами bullshit.
Во-первых, это не уязвимость, а возможности винрара встраивать произвольный HTML код. Во-вторых, данный «эксплоит» это ремейк CVE-2014-6332/MS14-064(декодируем код полезной нагрузки из base64). Proof №1: github.com/rapid7/metasploit-framework/blob/3347b90db7e6ebc143aa9b4a46ac0da10240db17/modules/exploits/windows/browser/ms14_064_ole_code_execution.rb.
Вот тут очередной скрипткидис R-73eN заявляет что он и есть настоящий автор этого крутого «эксплоита»: www.darknet.org.uk/2015/10/winrar-vulnerability-is-complete-bullshit/#comment-164931
На самом деле настоящий автор данного вектора — китайский исследователь yuange. Этот RCE для Microsoft Internet Explorer Windows OLE Automation Array он наресерчил еще в 2009 году. Proof №2: twitter.com/yuange75/status/532407606644457472.
Для тех кто еще не понял в чем суть, попытаюсь объяснить на пальцах:
1) Проблема вовсе не связанна с WinRAR напрямую — это баг OLE компонента MSIE.
2) Уязвимость CVE 2014-6332 работает только на не пропатченных тачках.
3) С таким же успехом можно запилить тонны фуфловых эксплоитов для большинства программ, которые юзают стандартный компонент Web браузера (ПО написанное с использование таких сред как Delphi, Visual C++ Builder и т.п). LTR;DR.
антивирусные продукты ESET обнаруживают вредоносное ПО XcodeGhost как iOS/XcodeGhost (F-Secure: Backdoor:iPhoneOS/XCodeGhost.A, Sophos: iPh/XcdGhost-A, Symantec: OSX.Codgost).
esetnod32 все это так, но вот антивируса вашего под iOS ведь не существует. Под iOS я вообще не видел не одного авера. Замечу также, что пользователь будет ставить вредоносное ПО прямиком из App Store, а не с компа с вашим AV. P.S.: Тут вот сорсы для более наглядного изучения выложили: github.com/XcodeGhostSource/XcodeGhost
DjOnline там на скриншоте отчетливо видно, что сигнатура KSN добавлена на бинарь run.exe, а не на jscript лоадер. Имея достаточный опыт в разборе малвари(в том числе и скриптового треша), мне достаточно было посмотреть на код чтобы сказать какой там может быть детект. Я бы на вашем месте не стал спорить с мнением эксперта, который разбирает подобные сэмплы как семечки ;D
P.S: Этот лоадер нагло скомунижен с легитимного jscript фреймворка двух(/трех) летней давности (http://forum.script-coding.com/viewtopic.php?id=8865), об этом мне в telegram сообщил автор данного фреймворка. Впрочем сложно было ожидать от школоты чего то стоящего.
Причем шаблон для PDM («ADODB.Stream»):
Open()
Write (oXMLHTTP.responseBody);
SaveToFile(FileDest, 2);
весьма старый. ЕМНИП этот шаблон с июля прошлого года внедрен в продукты ЛК.
1) Непонятно зачем вы разбирали все это вручную, когда подобные трешевые задачи — забота автоматических анализаторов типа cuckoo sandbox. в данном случае мы видим аналогичный результат, который мог быть дать автоматический анализатор, причем без лишних телодвижений и траты времени.
2) Сложно назвать это поделие «современным троянским конем». «Легетимный» RMS софт, трешевая обфускация, примитивный лоадер на jscript — это больше похоже на поделие школьников, которые решили срубить немного баблеца на неопытных пользователях, но никак не на «современный троянский конь» :)
P.S: jscript лоадер будет палиться проактивками по типу PDM :)
у меня возник вопрос по вашей статье, он касается метода сохранения изображения на доступной файловой системе.
выше вы пишете:
получается что на NTFS/Ext3/HFS писать ничего не получится? есть ли какие нибудь возможные варианты для решения сего вопроса?
заранее благодарю за ответ.
// upd.: посмотрел решение записи файлов в vector-edk от h-team. там используется модуль NtfsPkg, т.е вопрос с NTFS в данном случае решен. остается вопрос только с юниксовыми фс.
1) Все хакинг тимовское ПО требует спец. оборудования с весьма высокими характеристиками (смотрите доки по софту которые утекли в 400 Гб архиве).
2) В Palantir релиализовывали качественную инспецию трафика при довольно низких затратах. Как показала практика алгоритмы используемые софтом не менее важны, чем железо на котором оно выполняется.
3) Спец. службам не обязательно контролировать всех подряд и снифать весь объем трафика проходящий через провайдера, обычно слушают траффик только у тех, кто мог попасть под подозрение, впервую очередь в IRL а не в сети. Наличие установленного сертификата гарантирует прослушку трафика не только в одноклассничках и мейл.ру, но и на защищенных сайтах например gmail или facebook. К тому же для прослушки трафика конкретного человека нужна санкция, без нее вас прослушивать никто не будет.
4) Экспорт врочем как и все правовые/нормативные акты и законы устанавливает само государство. Как показала практика в случае хакинг тим многие гос-ва делали исключения для «обеспечения безопасности собственной страны».
пруф:https://wikileaks.org/hackingteam/emails/emailid/436130
и еще очень много интересного тут: https://wikileaks.org/hackingteam/emails/?q=Kazakhstan+sniffing&mfrom=&mto=&title=¬itle=&date=&nofrom=¬o=&count=50&sort=0#searchresult
есть два варика:
1) фантазии и опыта хакинг тим больше ничего хватило как на унылый и наглый mitm.
2) они разорвали контракт с хакинг тим(что маловероятно) и решили заюзать свои средства, эдакий казахский DPI с патчером (https://github.com/secretsquirrel/BDFProxy) на python :)
ps.: я бы мог еще кое что интересное описать, но как вижу малвар кодеров(даже тех кто пишет концепты) тут не жалуют, поэтому воздержусь.
https://habrastorage.org/files/b84/be9/533/b84be9533168422bb2bd6cbd1ab66ad3.png
Есть предположение, что это была просто PR акция с их стороны, для того чтобы привлечь внимание — компания молодая и нужно было как то превлечь внимание, вот и устроили это представление. Ожидания оправдали все надежды, новость хорошо была подхвачена журналистами и все завертелось… Даже если у них сейчас на руках имеется связка для удаленного джейлбрейка, я думаю, что она была у них на руках была намного раньше до публикации новости о покупке зеродея. Ведь это же Vupen, а там весьма головастые ребята, которые каждый год на всяких хакерских конфах загребают по несколько тысяч этих самых франклинов :)
и ведь let f = fopen(«x.txt», «r») намного лучше выглядит чем FILE* f = fopen(«x.txt», «r»);
алсо никто не мешает определять типы вручную:
В версии 2.1 добавили возможность использования си кода без всяких бриджей (наконец то избавились от костылей что юзали раньше) :)
Более подробно можно почитать тут: https://developer.apple.com/library/prerelease/ios/releasenotes/DeveloperTools/RN-Xcode/Chapters/xc7_release_notes.html
Apple делает правильные шаги для того, чтобы заменить Objective C на более перспективный и мощный язык программирования; и как мне кажется делает это весьма успешно ;)
1) ПО подписанное сертом работает не только iOS 9 версии, но и на более старых версия. я лично тестировал с 8.4, 8.3, 8.1. Информация не нова, триальные подписи стали доступны еще в начале этого года с появлением беты Xcode 7.
2) профили не обязательно искать вручную посредством терминала, или того скрипта что вы тут разместили, все делается намного проще:
https://i.imgur.com/ts1TvrF.png
3) если вы не в курсе, выданная подпись триальна и максимальный срок работы серта около полугода, обычно дают до 2-3 месяцев на тесты:
https://i.imgur.com/kn8j64d.png
http://habrahabr.ru/company/eset/blog/268101/
«И это пишет security-компания»? ;)
ниже мой ответ вам: http://habrahabr.ru/company/eset/blog/268101/#comment_8599435
Я много эксперементировал с самым успешным эксплоитом из этой серии — CVE-2015-1538(#1). Об универсальном векторе атаки и речи быть не может. На Samsung Galaxy Alpha5 с Android 4.4.4 эксплуатировать уже практически не реально, в первую очередь, ввиду иной имплементации ASLR. Эксплоит опубликованный Джошуа Дрейком(тут с моим фиксом: https://github.com/egyp7/cve-2015-1538-1) имеет слишком много завязок на конкретное устройство: rop pivoting с фикс. адресом(да здраствует хардкор!), ограниченная версия ASLR на Android 4.0.4. Вообщем код оставляет желать лучшего. Вот тут опубликованна более лучшая реализация сплойта https://code.google.com/p/google-security-research/issues/detail?id=502 на базе которой, мне удалось написать RCE эксп для Samsung Galaxy S3 с Android 4.1.2. Замечу что эксп. получился крайне нестабильным и работает также только на ограниченном колличестве устройств,
т.е это не миллионы устройств как утверждают в Zimperium.
Во-первых, это не уязвимость, а возможности винрара встраивать произвольный HTML код. Во-вторых, данный «эксплоит» это ремейк CVE-2014-6332/MS14-064(декодируем код полезной нагрузки из base64). Proof №1:
github.com/rapid7/metasploit-framework/blob/3347b90db7e6ebc143aa9b4a46ac0da10240db17/modules/exploits/windows/browser/ms14_064_ole_code_execution.rb.
Вот тут очередной
скрипткидисR-73eN заявляет что он и есть настоящий автор этого крутого «эксплоита»: www.darknet.org.uk/2015/10/winrar-vulnerability-is-complete-bullshit/#comment-164931На самом деле настоящий автор данного вектора — китайский исследователь yuange. Этот RCE для Microsoft Internet Explorer Windows OLE Automation Array он наресерчил еще в 2009 году. Proof №2:
twitter.com/yuange75/status/532407606644457472.
Для тех кто еще не понял в чем суть, попытаюсь объяснить на пальцах:
1) Проблема вовсе не связанна с WinRAR напрямую — это баг OLE компонента MSIE.
2) Уязвимость CVE 2014-6332 работает только на не пропатченных тачках.
3) С таким же успехом можно запилить тонны фуфловых эксплоитов для большинства программ, которые юзают стандартный компонент Web браузера (ПО написанное с использование таких сред как Delphi, Visual C++ Builder и т.п).
LTR;DR.
esetnod32 все это так, но вот антивируса вашего под iOS ведь не существует. Под iOS я вообще не видел не одного авера. Замечу также, что пользователь будет ставить вредоносное ПО прямиком из App Store, а не с компа с вашим AV.
P.S.: Тут вот сорсы для более наглядного изучения выложили: github.com/XcodeGhostSource/XcodeGhost