Salut,
J'annonce que j'arrête d'entretenir ce blog (qui se fait bien vieux et sale) pour passer à tumblr, toujours sur les mêmes thèmes : sécurité, informatique et malware. Même si c'est pas forcément adapté pour ce genre de thème, je trouve le service extrêmement pratique et bien plus adapté aux billets que je voudrais faire partager.
L'adresse : http://s0obi.tumblr.com/
J'ai activé les commentaires pour que ça reste entre le blog conventionnel et le microblogging ;)
@+
Lire la suite...
mardi 17 mai 2011
mercredi 26 mai 2010
[Info] - Le challenge SSTIC, c'est bientôt fini !
Y0,
Cette année les organisateurs du célèbre évènement réunissant les acteurs de la sécurité informatique, nous proposaient un défi des plus original et passionnant :
Decortiquer le dump mémoire d'un téléphone Android stocké dans une archive 7z pour retrouver un mail; les pièges, les fausses pistes étaient de la partie et ce défi presque forensic a dû en occupé plus d'un !
Les actuels gagnants sont évidemment les grands m4nit0u de la sécurité, notamment Nicolas Ruff (aka news0ft) qui se voit classer 5ème (remarquons le fait que la majorité des gagnant taff chez EADS).
Les retardataires n'auront que jusqu'à ce soir 23h59 pour envoyer leurs réponses.
Prochain évènement, le concours crackme organisé par ESET; c'est à mon avis la rapidité qui va primer ! Lire la suite...
Cette année les organisateurs du célèbre évènement réunissant les acteurs de la sécurité informatique, nous proposaient un défi des plus original et passionnant :
Decortiquer le dump mémoire d'un téléphone Android stocké dans une archive 7z pour retrouver un mail; les pièges, les fausses pistes étaient de la partie et ce défi presque forensic a dû en occupé plus d'un !
Les actuels gagnants sont évidemment les grands m4nit0u de la sécurité, notamment Nicolas Ruff (aka news0ft) qui se voit classer 5ème (remarquons le fait que la majorité des gagnant taff chez EADS).
Les retardataires n'auront que jusqu'à ce soir 23h59 pour envoyer leurs réponses.
Prochain évènement, le concours crackme organisé par ESET; c'est à mon avis la rapidité qui va primer ! Lire la suite...
vendredi 26 mars 2010
[Study] - An ugly Rogue
Hep,
Que faire quand on a une après-midi de libre devant soi à cause d'une laryngite (c'fragile un geek), un PC et un rogue magnifique tout droit sorti de l'antiquité ? Reverse \o/
Merci à S!RI pour la découverte de ce joujou.
Le dropper a un détection correcte sur VT :
Fichier securityupdate.exe reçu le 2010.03.26 13:43:56 (UTC)
Résultat: 12/41 (29.27%)
Packed with UPX
Le dropper va tranquillement installer 2 modules :
SHR C:\WINDOWS\chnb8895.exe <= Modificateur de clef de registre
SHR C:\WINDOWS\000b09274b.exe <= Interface
Commençons par 000b09274b.exe c'est l'interface, écrit en VB, ça sent déjà l'originalité :]
L'interface est sobre et sans fioritures :
On se demande un peu comment l'infection est concrètement monétisée, mais on a vite la réponse, après avoir cliqué sur "Get a key" :
Le bonhomme veut simplement que vous lui envoyiez 5$ sur son mail
De toute manière quelque soit la clef entrée le programme n'est pas fait pour une quelconque "désinfection", comme le prouve cette routine :
Tout ce petit monde est simplement démarré à partir de deux clefs run :
O4 - HKCU\..\Run: [avguard3876] C:\Windows\000b09274b.exe
O4 - HKCU\..\Run: [avagent3974] C:\Windows\chnb8895.exe
Puisqu'on est lancé, on va un peu étudier ce que modifie chnb8895.exe, on fait vrombir le debbuger et on observe :
Ce comportement est observé pour les programmes suivants :
notepad.exe
iexplorer.exe
taskgmr.exe
rundll32.exe
mbam.exe
wordpad.exe
mspaint.exe (exemple)
freecell.exe
limewire.exe
itunes.exe
wmplayer.exe
L'ajout de ces clefs va avoir pour effet d'attacher c:\78gbc8r.exe lors de l'exécution de ces programmes, comme ci après :
Plutôt subtil pour un malware de cette envergure.
Remarque : Ce module vérifie aussi que les clefs run soit bien en place.
Voilà un des rares cas de "rogue" créer à priori par une seul personne, pas trop cupide (5$) mais pas vraiment talentueuse :=)
Lire la suite...
Que faire quand on a une après-midi de libre devant soi à cause d'une laryngite (c'fragile un geek), un PC et un rogue magnifique tout droit sorti de l'antiquité ? Reverse \o/
Merci à S!RI pour la découverte de ce joujou.
Le dropper a un détection correcte sur VT :
Fichier securityupdate.exe reçu le 2010.03.26 13:43:56 (UTC)
Résultat: 12/41 (29.27%)
Packed with UPX
Le dropper va tranquillement installer 2 modules :
SHR C:\WINDOWS\chnb8895.exe <= Modificateur de clef de registre
SHR C:\WINDOWS\000b09274b.exe <= Interface
Commençons par 000b09274b.exe c'est l'interface, écrit en VB, ça sent déjà l'originalité :]
L'interface est sobre et sans fioritures :
On se demande un peu comment l'infection est concrètement monétisée, mais on a vite la réponse, après avoir cliqué sur "Get a key" :
Le bonhomme veut simplement que vous lui envoyiez 5$ sur son mail
De toute manière quelque soit la clef entrée le programme n'est pas fait pour une quelconque "désinfection", comme le prouve cette routine :
Tout ce petit monde est simplement démarré à partir de deux clefs run :
O4 - HKCU\..\Run: [avguard3876] C:\Windows\000b09274b.exe
O4 - HKCU\..\Run: [avagent3974] C:\Windows\chnb8895.exe
Puisqu'on est lancé, on va un peu étudier ce que modifie chnb8895.exe, on fait vrombir le debbuger et on observe :
Ce comportement est observé pour les programmes suivants :
notepad.exe
iexplorer.exe
taskgmr.exe
rundll32.exe
mbam.exe
wordpad.exe
mspaint.exe (exemple)
freecell.exe
limewire.exe
itunes.exe
wmplayer.exe
L'ajout de ces clefs va avoir pour effet d'attacher c:\78gbc8r.exe lors de l'exécution de ces programmes, comme ci après :
Plutôt subtil pour un malware de cette envergure.
Remarque : Ce module vérifie aussi que les clefs run soit bien en place.
Voilà un des rares cas de "rogue" créer à priori par une seul personne, pas trop cupide (5$) mais pas vraiment talentueuse :=)
Lire la suite...
samedi 20 mars 2010
[Info] - FP BitDefender
y0,
Grosse vague de victimes de faux positif BitDefender (vers 19h) avec une détection Trojan.Fake alert.
L'antivirus détecte des fichiers système sains et les supprime/quarantine sur ordre de l'user.
Gof a signalé le problème sur le forum de BitDefender.
A suivre.
Edit [Suite & Fin] : Les fix ont été publié par l'éditeur pour restaurer la quarantaine; l'éditeur précise également qu'un geste commercial sera adressé aux victimes (1 an d'abonnement gratuit ?).
Précisons enfin, que comme à chaque évènement un peu médiatique, une campagne de SEO poisoning surf sur cet incident en proposant de faux fix.
Lire la suite...
Grosse vague de victimes de faux positif BitDefender (vers 19h) avec une détection Trojan.Fake alert.
L'antivirus détecte des fichiers système sains et les supprime/quarantine sur ordre de l'user.
Gof a signalé le problème sur le forum de BitDefender.
A suivre.
Edit [Suite & Fin] : Les fix ont été publié par l'éditeur pour restaurer la quarantaine; l'éditeur précise également qu'un geste commercial sera adressé aux victimes (1 an d'abonnement gratuit ?).
Précisons enfin, que comme à chaque évènement un peu médiatique, une campagne de SEO poisoning surf sur cet incident en proposant de faux fix.
Lire la suite...
mardi 26 janvier 2010
[UPDATE] - Study about GibMedia
Une étude sur le malware devenu courant sur les forums : Gibmedia.
Étude au format PDF :
Etude d'une infection : Gibmedia
Vous pouvez laisser un commentaire pour les éventuelles remarques/question/critiques, ou pas. Lire la suite...
Étude au format PDF :
Etude d'une infection : Gibmedia
Vous pouvez laisser un commentaire pour les éventuelles remarques/question/critiques, ou pas. Lire la suite...
samedi 9 janvier 2010
[UPDATE] - UploadMeThat
Salut à tous,
UploadMeThat est un utilitaire permettant de sélectionner un fichier (en tapant son path en dur, ou avec un script) et de le compresser au format .gz, l'archive se trouvera sur le Bureau.
Le programme ne peut actuellement compresser qu'un fichier à la fois, la version 1.2 prévoit de régler ce problème.
Téléchargement : UploadMeThat-1.1c.exe
Aperçu du menu :
TODO list :
# Création d'un VBScript pour donner la marche à suivre pour l'upload.
# Permettre la sélection multiple de fichiers et les regrouper grâce à TAR
# Une interface graphique (futur lointain) .
Lire la suite...
UploadMeThat est un utilitaire permettant de sélectionner un fichier (en tapant son path en dur, ou avec un script) et de le compresser au format .gz, l'archive se trouvera sur le Bureau.
Le programme ne peut actuellement compresser qu'un fichier à la fois, la version 1.2 prévoit de régler ce problème.
Téléchargement : UploadMeThat-1.1c.exe
Aperçu du menu :
TODO list :
# Création d'un VBScript pour donner la marche à suivre pour l'upload.
# Permettre la sélection multiple de fichiers et les regrouper grâce à TAR
# Une interface graphique (futur lointain) .
Lire la suite...
mercredi 6 janvier 2010
[S0FT] - PE Guard
Salut à tous,
PE-Guard est un système de protection préventif très léger et portable, en effet il n'est composé que d'un exécutable et d'un driver.
Ce programme de part son fonctionnement et de sa méthode de configuration n'est pas destiné au néophytes mais peut être intéressant dans le cas d'un utilisateur avancé (voir très avancé).
Figure-1 : First Run de Pe Guard
La configuration de Pe Guard est possible via le fichier pegconfig.ini, il suffit d'ajouter le path de l'exécutable à mettre en exclusion.
Figure-2 : Fichier de configuration pegconfig.ini
Figure-3 : Exemple d'alerte sur un exécutable en cours de décompression
Figure-4 : Menu déployé dans le systray de PE Guard
Test rapide avec une étude de cas :
Voyons maintenant le comportement de l'application dans le cas d'une infection.
1er alerte : IEXPLORE.EXE demande les droits pour accéder au fichier License.v.3.Setup.exe (Malware - dropper).
2eme alerte : L'application demande les droits d'écriture sur atapi.sys
Figure-5 : Echantillon du code injecté dans atapi.sys
(La section .reloc n'existe pas dans le atapi original)
Atapi patché :
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45
Si on n'autorise pas l'accès au driver, le processus du dropper s'arrête.
GMER indique :
Face à un dropper mal détecté par les AV, ce genre de protection est d'une utilité certaine, mais elles nécessite de très bonne connaissance du système.
Lire la suite...
PE-Guard est un système de protection préventif très léger et portable, en effet il n'est composé que d'un exécutable et d'un driver.
Ce programme de part son fonctionnement et de sa méthode de configuration n'est pas destiné au néophytes mais peut être intéressant dans le cas d'un utilisateur avancé (voir très avancé).
Figure-1 : First Run de Pe Guard
La configuration de Pe Guard est possible via le fichier pegconfig.ini, il suffit d'ajouter le path de l'exécutable à mettre en exclusion.
Figure-2 : Fichier de configuration pegconfig.ini
Figure-3 : Exemple d'alerte sur un exécutable en cours de décompression
Figure-4 : Menu déployé dans le systray de PE Guard
Test rapide avec une étude de cas :
Voyons maintenant le comportement de l'application dans le cas d'une infection.
1er alerte : IEXPLORE.EXE demande les droits pour accéder au fichier License.v.3.Setup.exe (Malware - dropper).
2eme alerte : L'application demande les droits d'écriture sur atapi.sys
Figure-5 : Echantillon du code injecté dans atapi.sys
(La section .reloc n'existe pas dans le atapi original)
Atapi patché :
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45
Si on n'autorise pas l'accès au driver, le processus du dropper s'arrête.
GMER indique :
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modificationLa charge infectieuse est détenue par un exécutable dans %system32% qui permettra les redirections pendant le surf.
Face à un dropper mal détecté par les AV, ce genre de protection est d'une utilité certaine, mais elles nécessite de très bonne connaissance du système.
Lire la suite...
Inscription à :
Messages (Atom)
