Recently I have been testing out Microsoft’s “Enhanced Mitigation Experience Toolkit” (EMET) tool for exploit mitigation. This is a free tool and is designed to harden or secure applications without having to recode them. One exploit I used to test was Adobe Flash’s “Action script type confusion” vulnerability (CVE-2010-3654). This vulnerability affects version 10.1.53.64 and below. I used the exp
コンピュータウイルスの解析などに欠かせないリバースエンジニアリング技術ですが、何だか難しそうだな、という印象を抱いている人も多いのではないでしょうか。この連載では、「シェルコード」を例に、実践形式でその基礎を紹介していきます。(編集部) オリジナルコードを頭からガブリ! 第3回ではシェルコードの中身の解析に入りました。シェルコードのデコーダ部分のコードを実際に解析し、IDCによりオリジナルのアセンブリコードを復元してみました。 続く今回は、デコーダによる処理が終わった後のオリジナルコードの先頭から解析を行っていきたいと思います。 実行プロセスからAPIが呼ばれるまで さて、アセンブリコードの解析に入る前に、まずAPI(Application Programming Interface)の話をします。 第1回で“シェルコードの役割は「ファイルをダウンロードする」「ダウンロードしたファイルを実
Exploit writing tutorial part 10 : Chaining DEP with ROP – the Rubik’s[TM] Cube Table of Contents Introduction Hardware DEP in the Win32 world Bypassing DEP – Building blocks What are our options ? The gadget Windows function calls to bypass DEP Choose your weapon Function parameters & usage tips ROP Exploit transportability From EIP to ROP Direct RET SEH based Before we begin Direct RET – The ROP
Beat SMEP on Linux with Return-Oriented ProgrammingIntroduction In this post, I will show you how easy it is to use Return-Oriented Programming in the Linux kernel and how it can bypass protections such as SMEP, available in the next generation of Intel processor. Linux buggy module In order to simplify exploitation I have decided to develop a buggy driver containing a stack overflow. Here is the
Title: Bypassing IDS with Return Oriented Programming Date: 2011-10-02 Author: Jonathan Salwan | twiter: @JonathanSalwan Small reminder of the polymorphism ================================== Polymorphism is used in the shellcode to hide attacks on a network. It is true that today the IDSs (Intrusion Detection System) recognizes most shellcode structures. (example: push /bin/sh, etc). But polymorph
1. 国内防衛産業を狙った標的型攻撃とは 2011年9月、三菱重工業など日本の防衛産業メーカーに対し、標的型攻撃と思われるマルウエア感染が発生したと報道されています。標的型攻撃は一般的に、実在する組織名やメールアドレスを詐称している事があり、一見するとマルウエアと判別できない件名や本文が記載されています。報道によると、本攻撃は悪意のあるPDFファイルをメール添付ファイルとして送信し、Adobe FlashとAdobe Readerの脆弱性を利用してバックドアを対象に設置するという手法が取られていたとされています。標的型攻撃の被害に遭うと、機密文書や機密メールの漏えいなど、致命的な情報流出に発展する可能性があります。 弊社では、本攻撃に用いられた脆弱性攻撃「CVE-2011-0611」の解析を行いました。今回解析した脆弱性攻撃は、Metasploitにて再現を行いました。 2. 悪用さ
To help the attendees of my Brucon White Hat Shellcode workshop, I wrote a new program to generate simple shellcode. I’m releasing it now. People regularly ask me for malware so they can test their security setup. First, that’s a bad idea, and second, you can do without. Why is using malware a bad idea? It’s dangerous and not reliable. Say you use a trojan to test your sandbox. You notice that you
Windows 8 introduced a number of exploit mitigation features, including hardening of both the userland and kernel heaps, mitigation against kernel-mode NULL pointer dereferences, and protection against abuse of virtual function pointer tables. One feature that stood out to me appears to be designed to help mitigate exploits leveraging return-oriented programming (ROP). Return-Oriented Programming
sendp(Ether()/IP(ttl=32, dst='255.255.255.255')/Fun(\x77\x30\x30\x74\x21)); 1. Introduction This article aims to provide you with the different steps needed to develop shellcode obfuscation techniques, and their respective deobfuscator assembly stubs. This should help you to learn a bit more about IDS and Anti-Virus evasion techniques, and more than that, to give you a useful template to create mo
リバースエンジニアリングのスタンダード「IDA Pro」 リバースエンジニアリングには、逆アセンブラである「IDA Pro」がよく用いられます。IDA Proは逆アセンブラのデファクトスタンダートといっても過言ではありません。正規版はHex-Rays社から販売されていますが、非商用の利用に限っては、旧バージョン(Ver.5.0)を無償版として利用することができます。 最新版(Ver.6.1)と比べ、無償版では対応しているファイルフォーマットやCPUアーキテクチャが少なかったり、組み込まれているプラグインやデバッガの数が少なかったりと、いくつか機能的に劣っている部分があります。とはいえ、シェルコード解析やマルウェア解析をこれから始めてみよう、という方であれば問題ないかと思います。解析をバリバリ行えるようになり、無償版では物足りないと思ったときに最新版の購入を検討するとよいでしょう。 IDA
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く