记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析

一、概述OceanLotus恶意组织(又名APT32、CobaltKitty)正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析,发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新,目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本,其中前三个在2016年开发完成,第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5:516ad28f8fa161f086be7ca122351ed
发布时间:2019-07-08 12:25 | 阅读:39570 | 评论:0 | 标签:逆向破解 木马

如何安全地逆向分析macOS恶意软件

Part 1当前,用于介绍Windows平台和PE文件的恶意软件分析和逆向工程的学习资源汗牛充栋,但相比之下,介绍macOS恶意软件逆向分析以及macOS恶意软件分析技术方面的文献或教程,则少得可怜。鉴于此,在本系列文章中,我们将通过一个样本文件,向读者详细介绍如何使用本机工具和相关技术来深入考察该样本,并构建用于检测恶意软件的IoC列表。由于本文的涉及面很广,所以,本教程将分为3个部分。其中,在第1部分中,我们将介绍如何设置安全环境来检测macOS上的恶意软件。同时,我们将为读者介绍如何安装所需的所有工具(全部都是免费的!),以及从哪里获取macOS恶意软件样本。然后,我们将为读者介绍如何考察应用程序包(applic
发布时间:2019-06-28 12:25 | 阅读:33595 | 评论:0 | 标签:逆向破解 macOS

Nuki智能锁安全性分析

Nuki智能锁,可以将手机变成智能钥匙。Nuki只要接入网络之后,在任何时间、任何地点都可以通过远程控制的方式打开大门。比如可以在家里没人的情况下,为快递员开门,让它将包裹放到家里之后再离开,还可以随时了解家人孩子回家的动态。同时还可以设置临时开锁密码,为客人提供临时访问权限。由于Nuki智能锁是把设备中Nuki Lock通过桥接装置(Bridge)集成到智能模块中的,所以这款智能门锁主要是通过蓝牙和无接WIF进行远程操作的。为此在本文中,我们将把Nuki Lock (version 1) 和Bridge (version 4)分开进行介绍,深入研究这两个设备内部的功能。Nuki Lock在2018年11月,Nuki发
发布时间:2019-05-19 12:25 | 阅读:35846 | 评论:0 | 标签:逆向破解 Nuki智能锁

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(三)

前两篇文章(1和2),我们已经对CARBANAK的源代码本身进行了详细的分析,现在就让我们分析一下CARBANAK源代码的构建工具吧。构建工具让我们先来看看我们对CARBANAK构建工具的初始猜想和推断:该工具会允许攻击者配置诸如C2地址、C2加密密钥和活动代码等详细信息,这个构建工具使用每个构建的新密钥加密二进制文件的字符串。之所以会有以上的推论,是因为:大多数CARBANAK的字符串都经过加密,以便使分析更加困难。我们注意到,对于我们遇到的每个示例,所有加密字符串的密钥和密文都会发生变化,即使在具有相同编译时间的示例中也是如此。另外,我们还观察到用于HTTP协议的RC2密钥在具有相同编译时间的示例之间发生变化。这些
发布时间:2019-05-06 12:25 | 阅读:35762 | 评论:0 | 标签:逆向破解 Carbanak

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(二)

在上一篇文章中,我们讨论了如何在CARBANAK中使用字符串哈希来管理整个代码库中的Windows API解析。但同时,CARBANAK的开发者在另一些任务中也使用了相同的字符串哈希算法。本文,我们将讨论CARBANAK是如何应对杀毒软件的检测并逃避它们的。应对杀毒软件使用源代码无疑会加快对字符串哈希的分析进程,例如,AV.cpp中的函数AVDetect通过进程名称哈希迭代进程来检测杀毒软件,如图1所示。通过进程名称哈希检测杀毒软件CARBANAK如何处理这些信息呢?它根据安装的内容来选择逃避杀毒软件的方法。图2显示了开发者通过注释禁用的AVG逃避的代码。2017年11月,CARBANAK还学会了逃避流程注入检测。这种
发布时间:2019-05-02 12:25 | 阅读:45055 | 评论:0 | 标签:逆向破解 Carbanak

扒一扒CARBANAK的源代码,看它们是如何巧妙构思并运行的?(一)

FLARE(FireEye Labs Advanced Reverse Engineering 的缩写)通常会分析一些被大量使用的、且危害极大的恶意软件的源代码,然后对其进行分析,比如通过逆向工程、事件响应、取证调查和渗透测试。FIN7(也被称为Anunak或银行大盗Carbanak)是目前为止组织最为严密的复杂网络犯罪组织,自2013年起就开始活跃。以下为该团伙犯罪时间线:2013 年-2014 年 – 开发和使用 Anunak 恶意软件,主要针对金融机构和 ATM 网络;2014 年-2016 年 – 开发并使用 Carbanak 恶意软件,相当于 Anunak 更新更复杂的版本;2016 年-2017 年 – 使
发布时间:2019-04-26 12:25 | 阅读:88193 | 评论:0 | 标签:逆向破解 Carbanak

利用GHIDRA逆向Tytera MD380的固件

背景知识介绍2019年1月,美国国家安全局(NSA)宣布,它将免费向公众开放其逆向工程工具GHIDRA,源码已经于今年3月登陆代码托管平台GitHub 。NSA指出,GHIDRA框架的本质,是一款适用于 Windows、Mac 和 Linux平台的反汇编程序。它能够将可执行文件分解为汇编代码,以进行分析。对于希望深入了解恶意软件,以查看其工作原理的安全研究人员来说,反汇编工具是相当实用的。实际上,NSA早已向其它政府机构分享过该工具。2017年的时候,维基解密在Vault 7中首次曝光了GHIDRA,消息来自于中央情报局(CIA)的内部文件。用过Tytera MD380对讲机的朋友很多,其较高的性价比让大家轻松无压力的
发布时间:2019-04-22 12:25 | 阅读:45768 | 评论:0 | 标签:逆向破解

程序员就是这么皮,逆向Google maps snake游戏

为了庆祝愚人节,Google在Google Maps应用安卓版和IOS版本中加入了snake游戏。Check Point研究人员对该应用进行了逆向破解……你不知道的是逆向竟然使用的是远程调试的方法。本文详细介绍远程调试进行逆向的全过程。首先用Genymotion在虚拟设备中启动Google maps应用,然后进入snake游戏。看起来该应用是基于WebView的,因此研究人员打开了chrome开发者攻击远程调试,如下图所示:研究人员发现网站中sources tab中只有一个有趣的JS文件v18.js。进一步分析该文件研究人员发现了一些函数。函数fa()的作用是开始一个面积为20×20的面板:this.height&nb
发布时间:2019-04-09 12:25 | 阅读:50449 | 评论:0 | 标签:技术 逆向破解

逆向分析ISFB银行木马的第一阶段的加载程序(下)

(接上文)看一下该函数,arg_0(XOR密钥)用于Rotate Left指令。下图中,可以看到BL被移动到CL中,它增加1并用于将XOR密钥向左旋转1,这会产生用于解密BSS字符串的最终XOR密钥。一旦执行了这些计算,就会得出这个密钥:0x249d730c。虽然可以从调试程序获取字符串并将其复制到IDA示例,但我更喜欢使用Python复制自定义例程。简单地说,该算法混合使用了XOR和rotate right (ROR)指令来解密DWORD中的数据。首先,我要复制BSS部分中的数据。在十六进制编辑程序模式下查看它,选择整个部分(有数据的地方),然后点击编辑 – >导出数据。接下来,我需要解析这些数据,
发布时间:2019-03-28 12:20 | 阅读:51942 | 评论:0 | 标签:逆向破解 逆向分析

对小米Mi Band 2的破解

Mi Band 2(小米手环2)是小米公司在2016年6月2日正式发布的一款运动追踪产品,它支持运动计步、睡眠监测、久坐提醒、心率监测(可实时监测)、来电提醒、屏幕解锁(Android系统)、振动闹钟和免密支付等功能。要想让你的MiBand 2和手机绑定,具体过程有以下5步:1.首先在手机的应用商店里下载小米运动APP,并打开手机蓝牙。2.用手机号注册登录小米帐号,或直接登录小米账号,并进入手环的绑定页面里。3.开始搜索手环,蓝牙搜索需要时间,需耐心等待片刻。4.出现“请点击手环”的提示后,在手环上点击触摸按键。5.绑定完成会出现√,这样手环就绑定完成啦!破解MiBand2设备前的准备本文所讲的破解,正是利用了以上与手
发布时间:2019-03-14 12:20 | 阅读:62605 | 评论:0 | 标签:逆向破解 小米Mi Band 2

恶意软件通信方式大揭秘:对COM的分析

前言如果各位读者在Twitter上关注我(@0verfl0w_),那么你们可能已经注意到,我最近正在分析Ursnif/Gozi/ISFB的样本,并且困惑于恶意软件如何能在不进行DLL注入和进程Hollowing的情况下,通过一个单独的进程与C&C服务器进行通信。为解决这一问题,我阅读了Mandiant在2010年发表的一篇很棒的文章,其中说明了如何使用COM来控制某个进程(例如:Internet Explorer)执行某些操作。在本文中,我将探讨最新版本的ISFB所使用的COM机制,从而揭秘该恶意软件是如何暗中与命令和控制服务器进行通信的。后续,我还会发表一篇较长的分析文章,详细分析这一ISFB变种,以及在最后
发布时间:2019-01-30 12:20 | 阅读:86251 | 评论:0 | 标签:逆向破解 恶意软件

一种新型恶意软件混淆技术的逆向分析

常见的逆向工程工具往往都是针对基本假设而开发的,例如:二进制文件通常符合编译器生成的标准模式、指令不会跳转到其他指令、一些情况下符号是可用的等等。逆向工程师可能都知道,如果这些假设不符合实际,那么逆向的工作量将会大大增加。这将造成逆向工具出现问题,甚至完全不可用。本文主要讲述了这样的一个场景,并提出了一个效率较高的解决方案。我正在分析的二进制文件,特别是其中的一个函数,没有使用常见的恶意软件伪装技术,这种技术违反了关于函数大小的常规假设。并且,恶意软件的作者经常会以动态方式构建他们需要的数据(最常见的就是字符串),以便使用诸如“字符串”或十六进制编辑器之类的工具来模糊分析的数据。其实,恶意软件通常也会以某种方式对其字符
发布时间:2019-01-28 12:20 | 阅读:55668 | 评论:0 | 标签:逆向破解 逆向分析

针对动态逆向工程攻击的Android应用保护方案(下)

对root权限进行检测本节会介绍对root权限进行检测的技术思路,这些思路我们都在上文中介绍过。就是基于这些方法,研究人员制作了一个具有root权限属性的检测表,并设计了几个函数(如上所示)来检测它们。在检测表中,研究人员将上文所讲过的第二种检测方法(检测已安装文件)细化为两项检测:检测su二进制文件和检测来自busybox的命令。研究人员并没有将上文所讲过的第七中检测方法(使用shell命令检测root权限)包含在检测表中,因为该方法可以很容易被其他方法替代。研究人员使用的是开源软件实现的这些检测功能,检测表和函数的具体运行过程如下所示:· detectTestKeys()会检测自定义镜像闪烁,它会reads /sy
发布时间:2019-01-02 12:21 | 阅读:117636 | 评论:0 | 标签:逆向破解 态逆向工程 Android

针对动态逆向工程攻击的Android应用保护方案(上)

前言之所以Android应用程序的逆向工程很简单,是因为它是用高级但简单的字节码语言编写的。字节码(Byte-code)是一种包含执行程序,由一序列op代码或数据对组成的二进制文件,是一种中间码。由于恶意逆向工程攻击,许多Android应用被篡改和重新包装成恶意应用。为了保护Android应用程序不受逆向工程的影响,研究人员已经研究出了诸如混淆、打包(打包可执行文件)、加密和反调试等反逆向工程技术。不过混淆、打包和加密是针对静态逆向工程的防御技术,并不能防止内存转储和运行时调试(runtime debugging)等动态逆向工程。而现有的针对动态逆向工程的防御技术,通常只会通过确定应用程序是否在基于仿真的分析环境中执行
发布时间:2018-12-29 12:20 | 阅读:123166 | 评论:0 | 标签:逆向破解 Android

FLARE脚本系列:使用idawasm IDA Pro插件逆向WebAssembly(Wasm)模块

前言以前,我曾介绍过高级逆向工程(FLARE)脚本系列,这篇文章我会继续接着介绍idawasm,它是一个IDA Pro插件,为WebAssembly模块提供加载器和处理器模块。idawasm适用于IDA Pro支持的所有操作系统,可以从idawasm GitHub中下载得到。参加了今年的FireEye FLARE-On挑战比赛的朋友们,会在比赛中发现一种新的文件格式:WebAssembly (“wasm”)模块。如果要继续挑战,就必须对基于WebAssembly堆栈的虚拟机的二进制文件中包含的密钥检查逻辑进行逆向工程。但首先,你必须对WebAssembly(Wasm)有所了解。WebAssembly(Wasm)及其相关
发布时间:2018-11-02 12:20 | 阅读:108210 | 评论:0 | 标签:逆向破解 FLARE脚本

看我如何逆向分析韩国常见的HWP恶意文件

前情提要 当今最受网络犯罪分子欢迎的交付恶意软件的方式之一是大量的传播带有恶意附件的钓鱼邮件。这些附件通常包括一些基于脚本的下载器(如WSF、JS或HTA),或者更普遍的是在微软Office文件中嵌入恶意的宏函数。 使用钓鱼邮件分发恶意软件常常会用到社会工程学的技巧,常见的攻击流程概述如下: 1)精心设计邮件内容,获得受害者对发送方和附件的信任; 2)诱使潜在的受害者打开文件; 3)使受害者启用宏函数,默认情况下是禁用的,但这一点对攻击能否顺利进行至关重要。 可以看出,在上边所描述的流程中,对攻击者而言存在一个问题:如果用户拒绝启用宏,攻击将停止。那怎么办? 为了解决这个问题,网络犯罪分子经常利用一些专门的漏洞(尤其喜欢利用文档漏洞),这样做就可以在不需要用户交互(除了打开附件)的情况下完成对受害目标的感染操
发布时间:2017-09-28 13:55 | 阅读:115269 | 评论:0 | 标签:逆向破解 HWP shellcode 文件漏洞利用 逆向分析 韩国

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云