понедельник, 30 ноября 2009 г.

Обновился VirtualTotal Uploader до версии 2.0

Сегодня обнаружил обновление VirtualTotal Uploader до версии 2.0. Вещь в хозяйстве полезная, а еще теперь и быстрее работать стала. Поправили несколько глюков с обращением к сервису, когда он перегружен. К примеру у прошлой версии этой утилиты приключался полный коллапс в эти моменты. Обновленная тулза теперь выглядит так:

Теперь стало возможным просматривать список запущенных процессов и выбрав из него интересующий вас, прямиком делать сабмит на VT. Еще интересным нововведением стала возможность указать URL (к примеру: auctiondirectory.org/1258736060.exe (Trojan:Win32/Alureon.CT)) и сделать сразу сабмит находящегося по нему файла или сплойта на VT.

Кстати до сих пор не пойму, почему граждане разрабатывающие VT не сделают нормальный REST API интерфейс, чтобы можно было автоматизировать все под себя. На данный момент из официальных способов обработки сэмплов, только отправка им на мыло и использование VirtualTotal Uploader. Но таки нашлись умельцы не поленившиеся поковырять протокол взаимодействия и выложившие в открытый доступ свои изыскания в виде скрипта на Perl. Скриптик у них довольно увесистый получился, что-то около 800 строчек перлового кода. Умеет он тоже не мало всего интересного:
Options:
-n --no-distrib The sample is not distributed to AV vendors
-h --help Displays this help
-v --verbose Output detailed information about the progress
-b --bb-code Output the result as BBCode
-c --csv Output the result as CSV
-t --tab Output the result as tab delimited file
-m --html Output the result as HTML
-s --ssl Use SSL
-e --timeout=[t] Timeout the scanning process after a number of seconds.
The timeout is per file
-l --log=[file] Save the output (the result of the scans) to the specified
file
-i --site=[site] Use a site other than the default (VirusTotal) for scanning
Available sites:
Умеет проверять не только на сайте VT, но еще поддерживает:
http://virusscan.jotti.org
http://scanner.virus.org
http://www.viruschief.com
http://www.filterbit.com
http://www.virscan.org
http://scanner.novirusthanks.org
Здесь собраны все публично доступные мультисканеры и автор постоянно актуализирует их список.
Очень полезный в хозяйстве скриптик, что тут еще сказать. При должном усердии позволит вам заточить VT, как наиболее мощный из публичных мультисканеров, под свои собственные нужны.

среда, 18 ноября 2009 г.

Обновился проект Metasploit до версии 3.3

Вчера вечером по московскому времени обновился горячо мной почитаемый проект Metasploit до версии 3.3. Это минорный релиз, но тем не менее в него вошло не мало интересного.
Итак, на что я обратил внимание:
- Увеличилось количество эксплойтов(445) и вспомогательных модулей(216), против 320 и 99 в предыдущей версии;
- При использовании arbitrary code execution для винды (x32/x64), теперь можно можно передовать в качестве полезной нагрузки любые исполняемые файлы 'msfencode -a x64 -e x64/xor -t exe -o MYNEWFILE.exe;
- Добавлена возможность генерации полезной нагрузки для систем под управление Win7, Win x64 и с учетом NX, DEP, IPv6;
- Добавлено simple fuzzer API с уже готовыми модулями HTTP, SMB, TDS, DCERPC, WiFi, and SSH;
- Meterpreter теперь умеет работать по HTTPS, снимать скриншоты, сниффать трафик, регистрировать нажатия на клавиш на атакованной системе;
- Добавлены новые модули для полезных нагрузок на JSP для эксплуатации Java-based application engines, таких как Bea или Tomcat;
- Еще добавлены новые модули для эксплуатации БД, через протокол TDS(MSSQL/Sybase) и включена поддержка Oracle.

В целом было замечено возросшая скорость работы, видимо сказался переход на Ruby 1.9.1. Выше я уже упоминал о возможности захвата трафика на атакованной системе, здесь меня заинтересовал один нюанс, касающийся использованной библиотеки для этого. Как оказалось там используется MicroOLAP Packet Sniffing SDK , а ведь библиотечка эта является платной и прямо сказать не из дешевых. Хотя именно она позволила реализовать модули захвата трафика на целевой системе.

суббота, 14 ноября 2009 г.

Windows Internals, 5th edition


Собственно сабж наконец попал ко мне в руки в электронном виде и я спешу с вами им поделиться. Авторы обещают нам, что по объему книга увеличилась на 25% и в них они включили информацию о технологиях: PatchGuard, Hyper-V support, Kernel Transaction Manager, I/O priorities, SuperFetch, ReadyBoot, ReadyBoost, BitLocker, UAC ...
В общем только из-за этих 25% стоило приобрести это книгу, но на озоне она стоит просто каких-то нереальных денег, в размере 6074 рублей. Поэтому для всех желающих все же ознакомиться с этой замечательной книгой ниже привожу линк на ее электронную версию.
http://rapidshare.com/files/307008812/WindowsInternals_Server2008Vista.pdf.html
http://depositfiles.com/files/7ulj7rhhl
MD5: 919C6D896B0D9574C8FB8180124B1F13

среда, 11 ноября 2009 г.

Win32k.SYS system call table

Обнаружил интересную публикацию на тему Win32k.SYS system call table. Неплохим дополнением к таблице SSDT на Metasplot Project послужит информация из блога одного польского реверсера я обнаружил там информацию по Win32k.SYS system call table заполненную аж до семерки (NT/2000/XP/2003/Vista/2008/7). Ну не буду томить собственно вот оно счастье.

Win7/Server 2008R2 Remote Kernel Crash

Сегодня независимый исследователь безопасности Laurent Gaffie опубликовал (full disclosure) описание интересной уязвимости для операционных систем MS Windows 7 и Windowns Server 2008R2. Переполнение происходит в функции KeAccumulateTicks(), из-за некорректной обработки SMB пакетов.
Ниже приведен PROOF OF CONCEPT Exploit на Python и эксплуатация при помощи MSF:

вторник, 10 ноября 2009 г.

Google Developer Day'09

Был сегодня на мероприятии Google Developer Day'09, не спрашивайте каким боком я туда попал :). Приехал я туда около 11, думал как раз все особо страждущие уже пройдут и я спокойненько пройду регистрацию и пойду приобщаться к гугловым технологиям. А вот нефига, добравшись до места и войдя в помещение я увидел нешуточную давку у столов регистрации, можно подумать там бейджей на всех не хватит. Встав с наименее агрессивного края я потихоньку приближался к цели и уже протянув распечатанный инвайт девушки, как она мне сказала "А я раздаю другие буквы алфавита". Я оказался в полном недоумении, во-первых я вроде как отстоял очередь, а во-вторых по периметру нигде не было замечено алфавитной разметки, как оказалась она была снизу стола регистрации и из-за скопившейся толпы ее просто не было видно.
Ну а теперь по содержанию, доклады в основном были какие то сухие, мало информативные и не особо увлекательные. Хотя возможность пообщаться с инженерами гугла и так сказать узнать информацию из первых рук, само по себе ценно. Но хочу особо отметить доклад "Инструменты для разработчиков под Google Chrome (101) Павел Фельдман, Anders Sandholm", который мне понравился. А понравился он мне тем, что там рассказали о всех прелестях отладчика встроенного в сборку хрома для разработчиков (http://code.google.com/intl/ru/chromium/). Как оказалось отладчик у них умеет делать Heap snapshot, что возможно будет полезно при отладке эксплойтов осуществляющих heap spray. Так что и для себя я извлек возможно, что то полезное из этого мероприятия.
Кстати на ноутбуках с виндой у гугловых инженеров был везде замечен антивирус от Sophos, правда таких было не особо много, так как большая их часть адепты яблочного культа.