пятница, 26 марта 2010 г.

Совместный реверсинг

Сегодня появилась интересная публикация в блоге компании Zynamics на тему коллективного реверсинга. Вообще идея коллективного подхода схожего с системой контроля версий для программистов, только для реверсеров использующих IDA, витает уже давно. К примеру на одном из последних Defcon'ов был доклад по схожей тематике и даже представлен плагин CollabREate для IDA.
Но в Zynamics задумали нечто более глобальное, они хотят реализовать нечто вроде открытой базы знаний для всех. Больше всего это походит на идеологию проекта github. Для начала использования этого сервиса вам нужно установить себе плагин BinCrowd для IDA и зарегистрироваться на bincrowd.zynamics.com .

четверг, 25 марта 2010 г.

РусКрипто'2010

На следующей недели состоится одно из не многих мероприятий в России посвященных ИБ, которое стоит посетить. Я уже не первый год принимаю активное участие в рамках конференции РусКрипто и за это время она эволюционировала из мероприятия для довольно узкого круга специалистов в серьезное мероприятие посвященное широкому спектру вопросов ИБ.

В этом году в рамках конференции пройдут соревнования CTF, в подготовке которых я принимал активное участие. Но на самом деле CTF состоится по большей части благодаря сотрудникам из Positive Technologies , которые довольно давно загорелись идеей проведения таких соревнований. Мне очень приятно, что отборочный тур успешно прошла команда из МИФИ, а точнее команда (Huge Ego Team) факультета "Б". На самом деле команд мифистов подавших заявку было достаточно много, но лучшими по мнению жюри оказались именно они.

В первый день конференции (не путать с днем заезда :)) я выступлю с докладом в рамках секции «Расследование инцидентов. Механизмы, технологии, проблемы, опыт». Мое выступление будет посвящено проблеме исследования вредоносных программ с точки зрения расследования инцидентов, приходите будет интересно.

Планирую пробыть там все три дня конференции, если хотите пообщаться со мной подходите не стесняйтесь ;)

четверг, 11 марта 2010 г.

Опять бага в IE на этот раз в модуле iepeers.dll

И вот снова очередная уязвимость в MSIE, правда на этот раз уязвимы только 6 и 7 версии этого браузера, которых до сих пор не так мало осталось. Итак, CVE-2010-0806 или Microsoft Security Advisory (981374) , на этот раз ошибка в модуле iepeers.dll и снова подвешенный указатель, который поваляет посредством heap spray выполнить злонамеренный код.
Эксплойт на Metasploit
Wild сплойт
Оба сплойта корректно работают на:
– Microsoft Internet Explorer 7, Windows Vista SP2
– Microsoft Internet Explorer 7, Windows XP SP3
– Microsoft Internet Explorer 6, Windows XP SP3

Internet Explorer 0-day Attack from Panda Security on Vimeo.


Internet Explorer iepeers.dll use-after-free - Demo from Chris John Riley on Vimeo.

вторник, 9 марта 2010 г.

Бэкдор в зарядниках Energizer DUO USB

В конце прошлой недели стало известно от US-CERT о том, что в софте распространяющимся с Energizer DUO USB присутствует бэкдор. А в пятницу Energizer заявила о том, что отзывает продажи этого устройства. Сейчас сэмпл бэкдора можно найти на Internet Archive, на сайте которого сохранена оригинальная страница, в том виде, когда с нее распространялся бэкдор. Судя по всему попал он туда не случайно, но сколько пользователей подвергло себя потенциальной угрозе можно только догадываться.
В состав Metasploit уже включен модуль energizer_duo_detect для использования этого бэкдора.
Сам бэкдор не представляет ничего нового или интересного, функционал довольно стандартный и в системе не пытается себя как-то скрывать. Видимо создатели надеялись на распространение в составе легальной программы, но случайно спалились. При старте бэкдора в системе создается мьютекс CreateMutexA(0, 0, "liuhong-061220"), например для того, чтобы другие вредоносные программы могли использовать этот модуль. Но большинство антивирусных продуктов уже добавили этот бэкдор в свои базы. Данные VirusTotal по детектам.

вторник, 2 марта 2010 г.

И снова уязвимость для IE

Относительно не давно (а точнее на 26 февраля) стала появляться информация о новом 0-day для IE, который эксплуатирует уязвимость в системе вызова HLP-файлов и позволяет удаленно выполнить злонамеренный код.
Суть уязвимости заключается в том, что при вызове из VBScript функции MsgBox() можно выполнить произвольный HLP-файл. Злоумышленник может на специально сформированной веб-странице подтолкнуть пользователя к нажатию клавиши "F1" во всплывающем MsgBox() и таким образом запустить на выполнение HLP-файл из внешней директории (HLP-файл - является исполняемым файлом).
Эта уязвимость работает для Internet Explorer 8,7,6 для Win 2000/2003/XP со всеми установленными последними обновлениями. Win7 и Vista не подвержены данной атаке.
Пример эксплуатации уязвимости:

Описание и концепт сплойта
Эксплойт в составе Metasploit