Forwarded from r0 Crew (Channel)
Исследователи заявляют, что первые в мире обошли AI based антивирус! Довольно интересный способ, исследователи разреверсили движок антивируса, нашли код, отвечающий за вынесение вердикта вредоносна ли программа, нашли подобие whitelist и на основе этого создали payload, который эвейдит антивирус Cylance.
https://skylightcyber.com/2019/07/18/cylance-i-kill-you/
https://skylightcyber.com/2019/07/18/cylance-i-kill-you/
Skylightcyber
Skylight Cyber | Cylance, I Kill You!
Read about our Journey of dissecting the brain of a leading AI based Endpoint Protection Product, culminating in the creation of a universal bypass
Продолжение темы реверса dex файлов.
Напомню, что dex файл содержит скомпилированные классы андроид приложения. В ранних версиях андроида, код в dex исполнялся на Dalvik. В современных версиях, вместо этого используется ART (https://source.android.com/devices/tech/dalvik). Эта рантайм система более совершенна, в отличии от JIT, ART добавляет фичу AOT. AOT (Ahead-Of-Time) - фича, которая прекомпилирует куски кода приложения, для дальнейшего исполнения. Делает это она, с помощью утилиты dex2oat. Эта утилита запускается, когда вы открываете приложение на телефоне. В этот момент, она прекомпилирует dex файл в oat файл. Данная утилита является простым бинарником и лежит в /system/xbin. Как это относится к теме модификации андроид приложений? Дело в том, что когда вы редактируете dex файлы, именно dex2oat производит первичную верификацию - берет из хэдера значения хэша, чексумы, длины, оффсеты и т.д. Чтобы быстрее проверить модифицированное приложение, раньше я полностью собирал apk, закидывал в эмулятор и смотрел logcat и изучал ошибки, связанные с верификацией dex. Теперь же, можно не париться со сборкой, подписанием apk, а напрямую использовать бинарник dex2oat, для проверки корректности изменений. Можно пойти еще дальше и открыть исходники это проверки (https://android.googlesource.com/platform/art/+/master/libdexfile/dex/dex_file_verifier.cc). Это сложнее, но надеюсь в ближайшем будущем взять данный исходник, переписать его на более удобный язык и создать тем самым первичный и очень небольшой верификатор (в сети не нашел). Такой верификатор dex файлов пригодился бы при фазинге важнейших систем андроида. Я это к чему, нашел вот такой классный доклад с Black Hat Europe (https://www.blackhat.com/docs/eu-15/materials/eu-15-Blanda-Fuzzing-Android-A-Recipe-For-Uncovering-Vulnerabilities-Inside-System-Components-In-Android-wp.pdf), прочитав который я понял, что такой мини верификатор очень бы пригодился, так как они фазили и смотрели логи на самом андроиде.
В качестве дополнения, хочу поделиться статьей о создании самого маленького андроид приложения, какого только можно. Чувак просто взял и начал выпиливать все лишнее и получилось очень интересно -https://fractalwrench.co.uk/posts/playing-apk-golf-how-low-can-an-android-app-go/
Напомню, что dex файл содержит скомпилированные классы андроид приложения. В ранних версиях андроида, код в dex исполнялся на Dalvik. В современных версиях, вместо этого используется ART (https://source.android.com/devices/tech/dalvik). Эта рантайм система более совершенна, в отличии от JIT, ART добавляет фичу AOT. AOT (Ahead-Of-Time) - фича, которая прекомпилирует куски кода приложения, для дальнейшего исполнения. Делает это она, с помощью утилиты dex2oat. Эта утилита запускается, когда вы открываете приложение на телефоне. В этот момент, она прекомпилирует dex файл в oat файл. Данная утилита является простым бинарником и лежит в /system/xbin. Как это относится к теме модификации андроид приложений? Дело в том, что когда вы редактируете dex файлы, именно dex2oat производит первичную верификацию - берет из хэдера значения хэша, чексумы, длины, оффсеты и т.д. Чтобы быстрее проверить модифицированное приложение, раньше я полностью собирал apk, закидывал в эмулятор и смотрел logcat и изучал ошибки, связанные с верификацией dex. Теперь же, можно не париться со сборкой, подписанием apk, а напрямую использовать бинарник dex2oat, для проверки корректности изменений. Можно пойти еще дальше и открыть исходники это проверки (https://android.googlesource.com/platform/art/+/master/libdexfile/dex/dex_file_verifier.cc). Это сложнее, но надеюсь в ближайшем будущем взять данный исходник, переписать его на более удобный язык и создать тем самым первичный и очень небольшой верификатор (в сети не нашел). Такой верификатор dex файлов пригодился бы при фазинге важнейших систем андроида. Я это к чему, нашел вот такой классный доклад с Black Hat Europe (https://www.blackhat.com/docs/eu-15/materials/eu-15-Blanda-Fuzzing-Android-A-Recipe-For-Uncovering-Vulnerabilities-Inside-System-Components-In-Android-wp.pdf), прочитав который я понял, что такой мини верификатор очень бы пригодился, так как они фазили и смотрели логи на самом андроиде.
В качестве дополнения, хочу поделиться статьей о создании самого маленького андроид приложения, какого только можно. Чувак просто взял и начал выпиливать все лишнее и получилось очень интересно -https://fractalwrench.co.uk/posts/playing-apk-golf-how-low-can-an-android-app-go/
Продолжение темы реверса dex файлов, часть 2
Спасибо анониму за помощь, направление, за все! Это полностью его исследование. Сделал заметку для себя, делюсь с вами)
https://github.com/thatskriptkid/OrderOfSixAngles/wiki/%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D1%82%D0%B5%D0%BC%D1%8B-%D1%80%D0%B5%D0%B2%D0%B5%D1%80%D1%81%D0%B0-dex-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2.-%D0%A7%D0%B0%D1%81%D1%82%D1%8C-2
Спасибо анониму за помощь, направление, за все! Это полностью его исследование. Сделал заметку для себя, делюсь с вами)
https://github.com/thatskriptkid/OrderOfSixAngles/wiki/%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D1%82%D0%B5%D0%BC%D1%8B-%D1%80%D0%B5%D0%B2%D0%B5%D1%80%D1%81%D0%B0-dex-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2.-%D0%A7%D0%B0%D1%81%D1%82%D1%8C-2
GitHub
Продолжение темы реверса dex файлов. Часть 2
OrderOfSixAngles Telegram channel repo. Contribute to thatskriptkid/OrderOfSixAngles development by creating an account on GitHub.
Хорошая статья с анализом самого сложного андроид трояна (правда в 2013-ом году). Факты, которые меня удивили - троян шифровал все строки, включая адреса С&C и расшифровывал их с помощью парсинга главной страницы facebook.com. Он брал элементы со страницы и использовал их для хэширования. Еще троян содержал два 0-day, один вызывал ошибку в DEX2JAR, популярном инструменте для анализа малвари, второй - эксплуатировал парсинг androidmanifest.xml.
Подробнее о нем тут: https://securelist.com/the-most-sophisticated-android-trojan/35929/
Пример анализа: https://securityintelligence.com/diy-android-malware-analysis-taking-apart-obad-part-1/
Подробнее о нем тут: https://securelist.com/the-most-sophisticated-android-trojan/35929/
Пример анализа: https://securityintelligence.com/diy-android-malware-analysis-taking-apart-obad-part-1/
Securelist
The most sophisticated Android Trojan
Recently, an Android application came to us for analysis. At a glance, we knew this one was special. All strings in the DEX file were encrypted, and the code was obfuscated.
Совершенно случайно наткнулся на очень годную конференцию TROOPERScon, удивлен, что никогда о ней не слышал. К счастью, все доклады есть на youtube!
Плейлист со всеми видосами:
https://www.youtube.com/channel/UCPY5aUREHmbDO4PtR6AYLfQ
Интересный, философский и главное короткий доклад, под названием "Ethics in Attacker Research"
https://www.youtube.com/watch?v=qylUdkjO4DM
Доклад про реверсинг С++ программ. Я мало что понял, но было интересно:
https://www.youtube.com/watch?v=Xk75TM7NmtA
Плейлист со всеми видосами:
https://www.youtube.com/channel/UCPY5aUREHmbDO4PtR6AYLfQ
Интересный, философский и главное короткий доклад, под названием "Ethics in Attacker Research"
https://www.youtube.com/watch?v=qylUdkjO4DM
Доклад про реверсинг С++ программ. Я мало что понял, но было интересно:
https://www.youtube.com/watch?v=Xk75TM7NmtA
YouTube
TROOPERS IT Security Conference
Welcome TROOPER,
on our channel you will find talks and impressions around the ITsecurity conference TROOPERS in Heidelberg, hosted by ERNW.
Enjoy the talks of the last years and exchange with the community, because WEareTROOPERS.
on our channel you will find talks and impressions around the ITsecurity conference TROOPERS in Heidelberg, hosted by ERNW.
Enjoy the talks of the last years and exchange with the community, because WEareTROOPERS.
Продолжение темы реверса dex файлов, часть 3
https://github.com/thatskriptkid/OrderOfSixAngles/wiki/%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D1%82%D0%B5%D0%BC%D1%8B-%D1%80%D0%B5%D0%B2%D0%B5%D1%80%D1%81%D0%B0-dex-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2.-%D0%A7%D0%B0%D1%81%D1%82%D1%8C-3
https://github.com/thatskriptkid/OrderOfSixAngles/wiki/%D0%9F%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5-%D1%82%D0%B5%D0%BC%D1%8B-%D1%80%D0%B5%D0%B2%D0%B5%D1%80%D1%81%D0%B0-dex-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2.-%D0%A7%D0%B0%D1%81%D1%82%D1%8C-3
GitHub
Продолжение темы реверса dex файлов. Часть 3
OrderOfSixAngles Telegram channel repo. Contribute to thatskriptkid/OrderOfSixAngles development by creating an account on GitHub.
https://www.youtube.com/watch?v=Xk75TM7NmtA
Даже если непонятно, это стоит услышать. Прослушал второй раз и не пожалел
Даже если непонятно, это стоит услышать. Прослушал второй раз и не пожалел
YouTube
TR18: When Virtual Hell Freezes Over
TROOPERS18: March 15, 2018 (at 10:30) in Track: Attack & Research
Full Title:
When Virtual Hell Freezes Over - Reversing C++ Code
Speaker:
Gal Zaban
link:
https://www.troopers.de/troopers18/agenda/9eljbn/
Full Title:
When Virtual Hell Freezes Over - Reversing C++ Code
Speaker:
Gal Zaban
link:
https://www.troopers.de/troopers18/agenda/9eljbn/
Unpatchable bug in millions of iOS
Famous уязвимость в iOS, которая затрагивает все модели с iPhone 4s - iPhone X.
Новость: https://arstechnica.com/information-technology/2019/09/unpatchable-bug-in-millions-of-ios-devices-exploited-developer-claims/
Суть такая - все айфоны, как и андроид устройства, имеют на своей плате чип, с прошитым на заводе загрузчиком. Эти загрузчики делятся на несколько уровней - LLB (https://www.theiphonewiki.com/wiki/LLB) и iBoot (https://www.theiphonewiki.com/wiki/IBoot_(Bootloader)). Эта область является read only и называется bootrom (Secureboot). Цель кода, расположенного там, загрузить основное ядро. Чувак разреверсил bootrom и нашел уязвимость, суть в - race condition. Почему эта уязвимость настолько серьезная? Она находится в прошитом чипе на заводе и исправить ее невозможно массово.
Writeup по предыдущему эксплоиту: https://github.com/axi0mX/alloc8
На большинства новостных сайтах ее почему-то окрестили как джейлбрейк, но нет. Уязвимость и эксплоит к ней, доступный нам, способен лишь на дамп bootrom'а. Но даже это является самым большим достижением, так как ресерчеры до этого времени, не имели доступа к rom'у, со времен 4s. Получив возможность изучить его, ресерчеры могут создать универсальный unpatchable джейлбрейк until iPhone X.
Видео с поверхностным объяснением:
https://www.youtube.com/watch?time_continue=252&v=Z9ZFbk4SM-o
Интервью с разработчиком эксплоита:
https://arstechnica.com/information-technology/2019/09/developer-of-checkm8-explains-why-idevice-jailbreak-exploit-is-a-game-changer/
Сам эксплоит:
https://github.com/axi0mX/ipwndfu
P.S. Напишите в личку, если где-то ошибся, в iOS новичек)
Famous уязвимость в iOS, которая затрагивает все модели с iPhone 4s - iPhone X.
Новость: https://arstechnica.com/information-technology/2019/09/unpatchable-bug-in-millions-of-ios-devices-exploited-developer-claims/
Суть такая - все айфоны, как и андроид устройства, имеют на своей плате чип, с прошитым на заводе загрузчиком. Эти загрузчики делятся на несколько уровней - LLB (https://www.theiphonewiki.com/wiki/LLB) и iBoot (https://www.theiphonewiki.com/wiki/IBoot_(Bootloader)). Эта область является read only и называется bootrom (Secureboot). Цель кода, расположенного там, загрузить основное ядро. Чувак разреверсил bootrom и нашел уязвимость, суть в - race condition. Почему эта уязвимость настолько серьезная? Она находится в прошитом чипе на заводе и исправить ее невозможно массово.
Writeup по предыдущему эксплоиту: https://github.com/axi0mX/alloc8
На большинства новостных сайтах ее почему-то окрестили как джейлбрейк, но нет. Уязвимость и эксплоит к ней, доступный нам, способен лишь на дамп bootrom'а. Но даже это является самым большим достижением, так как ресерчеры до этого времени, не имели доступа к rom'у, со времен 4s. Получив возможность изучить его, ресерчеры могут создать универсальный unpatchable джейлбрейк until iPhone X.
Видео с поверхностным объяснением:
https://www.youtube.com/watch?time_continue=252&v=Z9ZFbk4SM-o
Интервью с разработчиком эксплоита:
https://arstechnica.com/information-technology/2019/09/developer-of-checkm8-explains-why-idevice-jailbreak-exploit-is-a-game-changer/
Сам эксплоит:
https://github.com/axi0mX/ipwndfu
P.S. Напишите в личку, если где-то ошибся, в iOS новичек)
Ars Technica
Unpatchable bug in millions of iOS devices exploited, developer claims
"Checkm8" exploit works on devices from iPhone 4s to iPhone X, developer claims.
Следом идет, так называемый 0-day в Android. Что мы имеем на деле?
Имеем новость:
https://xakep.ru/2019/10/17/qu1ckr00t/
Была найдена уявзимость Use-After-Free (https://bugs.chromium.org/p/project-zero/issues/detail?id=1942), которая вела к privlege escalation. Тем самым она давала полный Read Write доступ к ядру и в принципе и всё. Далее чувак взял эту дичь, и так как он имеет полные права к kernel, нашел структуру task_struct в ядерной памяти, которая содержит параметры и указатели, отвечающие за SECCOMP, SELinux и т.д, и тупо поотключал всё. (https://hernan.de/blog/2019/10/15/tailoring-cve-2019-2215-to-achieve-root/).
То есть, самой уязвимости подвержены телефоны перечисленные в списке, а именно рутованию подвержен на данный момент только Pixel 2 и именно той сборки ядра, что в статье.
Так что, не такой уж и ценный эксплоит, без доработки *(
Имеем новость:
https://xakep.ru/2019/10/17/qu1ckr00t/
Была найдена уявзимость Use-After-Free (https://bugs.chromium.org/p/project-zero/issues/detail?id=1942), которая вела к privlege escalation. Тем самым она давала полный Read Write доступ к ядру и в принципе и всё. Далее чувак взял эту дичь, и так как он имеет полные права к kernel, нашел структуру task_struct в ядерной памяти, которая содержит параметры и указатели, отвечающие за SECCOMP, SELinux и т.д, и тупо поотключал всё. (https://hernan.de/blog/2019/10/15/tailoring-cve-2019-2215-to-achieve-root/).
То есть, самой уязвимости подвержены телефоны перечисленные в списке, а именно рутованию подвержен на данный момент только Pixel 2 и именно той сборки ядра, что в статье.
Так что, не такой уж и ценный эксплоит, без доработки *(
XAKEP
Опубликован эксплоит для свежей 0-day уязвимости в Android
Появился эксплоит для проблемы CVE-2019-2215, которая уже находится под атаками и позволяет злоумышленнику получить root-доступ к целевому устройству.
Forwarded from Sys-Admin InfoSec (Yevgeniy Goncharov)
Avast, AVG и Avira - уязвимости эскалации привилегий через dll + PoC
Avira
https://safebreach.com/Post/Avira-Antivirus-2019-4-Services-DLL-Preloading-and-Potential-Abuses-CVE-2019-17449
Про Avast + AVG
https://safebreach.com/Post/Avast-Antivirus-AVG-Antivirus-DLL-Preloading-into-PPL-and-Potential-Abuses
Avira
https://safebreach.com/Post/Avira-Antivirus-2019-4-Services-DLL-Preloading-and-Potential-Abuses-CVE-2019-17449
Про Avast + AVG
https://safebreach.com/Post/Avast-Antivirus-AVG-Antivirus-DLL-Preloading-into-PPL-and-Potential-Abuses
Старая статья, но на английском
I would like to express my gratitude to TSARKA (https://cybersec.kz/ru) for the opportunity to conduct research and @kot_tsarapkin for art
https://medium.com/@chocoboobocohc/how-to-steal-digital-signature-using-man-in-the-disk-5bacccd53c8c?sk=862bd1ac070a3f98d94a7832aa339e61
I would like to express my gratitude to TSARKA (https://cybersec.kz/ru) for the opportunity to conduct research and @kot_tsarapkin for art
https://medium.com/@chocoboobocohc/how-to-steal-digital-signature-using-man-in-the-disk-5bacccd53c8c?sk=862bd1ac070a3f98d94a7832aa339e61
Medium
How to steal digital signature using Man-In-The-Disk
Intro
EmbedOS - Embedded security testing operating system preloaded with firmware security testing tools. The virtual machine can be downloaded and imported as an OVF file into VirtualBox or VMWare.
https://github.com/scriptingxss/EmbedOS
https://github.com/scriptingxss/EmbedOS
GitHub
GitHub - scriptingxss/EmbedOS: EmbedOS - Embedded security testing virtual machine
EmbedOS - Embedded security testing virtual machine - scriptingxss/EmbedOS