7 mar 2019

NSA udostępniła narzędzie do inżynierii wstecznej GHIDRA

0


Stworzone przez amerykańską NSA opensourcowe narzędzie GHIDRA zostało właśnie udostępnione publicznie.


Pod względem technicznym jest to dissasembler, oprogramowanie, które rozkłada pliki wykonywalne na kod, który może być analizowany przez ludzi. GHIDRA została napisana w Javie, ma graficzny interfejs użytkownika (GUI) i działa na systemach Windows, Mac i Linux. 



GHIDRA może analizować pliki binarne dla wszystkich głównych systemów operacyjnych, takich jak Windows, Mac, Linux, Android i iOS, a modułowa architektura obecnej wersji umożliwia użytkownikom dodawanie pakietów na wypadek, gdyby potrzebowali dodatkowych funkcji, takich jak kryptoanaliza, interakcja z OllyDbg, czy Ghidra Debugger. 

Przykładowa analiza za pomocą narzędzia GHIDRA

Informacja o tym, że NSA udostępnia swoje wewnętrzne narzędzia nie powinna już dziwić. W ciągu ostatnich kilku lat NSA opublikowała narzędzia open-source, z których największym sukcesem jest Apache NiFi, projekt do automatyzacji dużych transferów danych między aplikacjami internetowymi, który z kolei stał się jednym z ulubionych narzędzi z obszaru cloud computingu. Łącznie NSA ma 32 projekty open-source w ramach programu transferu technologii (TTP), a ostatnio otworzyła nawet... oficjalne konto GitHub.

Narzędzie można pobrać tutaj: https://ghidra-sre.org/

Czytaj więcej...

1 mar 2019

Reprezentanci resortu obrony narodowej zwycięzcami międzynarodowego Hackathonu

0

Zespoły ArchiTechs, DataScienceCadets i FRONT reprezentujące Wojskową Akademię Techniczną i Inspektorat Informatyki MON zostały zwycięzcami tegorocznej edycji TIDE Hackathon 2019.

Organizatorem konkursu najlepszych informatyków z NATO i krajów współpracujących było Dowództwo Sił Sojuszniczych NATO ds. Transformacji (ACT) oraz Inspektorat Informatyki.

TIDE Hackaton organizowany jest od 2016 roku. Biorą w nim udział międzynarodowe zespoły projektantów i programistów z instytucji wojskowych, środowisk akademickich oraz firm komercyjnych. Rywalizacja odbywa się w trzech kategoriach: modelowania (ang. modeling challenge), programowania  (ang. coding challange) oraz połączenia tych dwóch obszarów.

Tegoroczna edycja konkursu projektowo-programistycznego odbyła się w Warszawie. Po kilku dniach zmagań wyłoniono zwycięzców. Po raz kolejny czołowe miejsca w konkursie zajęły polskie zespoły składające się z podchorążych, żołnierzy oraz pracowników resortu obrony narodowej.

Tuż przed gala finałową wszystkie uczestniczące zespoły zaprezentowały swoje rozwiązania w trzech kategoriach: modelowania (ang. Modeling Challenge – Modeling the Mine Action Space), programowania  (ang. Coding Challange – Prioritization of enabling activities for de-mining) oraz wizualizacji (ang. Visualisation – Visualization of Effects in the Information Environment).

Ocena poprzedzona została analizą dzienników pracy poszczególnych zespołów przez zespół sędziowski, złożony z przedstawicieli Inspektoratu Informatyki, Dowództwa Sił Sojuszniczych NATO ds. Transformacji (ACT - Allied Command Transformation) oraz Agencji ds. Łączności i Informatyki NATO (NCIA - NATO Communications and Information Agency).

Zwycięzcy TIDE Hackathon 2019:

Kategoria Modeling Challenge:
1. Zespół ArchiTechs z Polski (WAT oraz CPI)
2. Zespół Msg@TNO z Holandii

Kategoria Coding Challenge:
1. Zespół DataScienceCadets z Polski (WAT)
2. Zespół MITI Hedgehogs z Ukrainy


Kategoria Visualisation Challenge:
1. Zespół TNO-JIVC z Holandii
2. Zespół FRONT z Polski (CPI)


Nagrodzone rozwiązania zostaną zaprezentowane i rozwinięte podczas Konferencji TIDE Sprint 2019 Spring i ćwiczeń Coalition Warrior Interoperability eXercise (CWIX) 2019 (realizowanych w Polsce). Wymienione działania tworzą program Interoperability Continuum, który  ukierunkowany jest na badanie nowych technologii, testowanie i weryfikację stosowanych rozwiązań w celu zapewnienia interoperacyjności systemów teleinformatycznych w ramach całego NATO.

Ideą przewodnią tegorocznej edycji konkursu było połączenie dwóch zagadnień: ochrona ludności cywilnej i Data Science. Wyzwania zakładały wsparcie militarne organizacji cywilnych w celu  scalenia wysiłków kilku zaangażowanych stron w proces rozminowywania Iraku (scenariusze i przypadki wykorzystania danych będące tematami tegorocznych zadań zostały uzgodnione podczas Konferencji TIDE Sprint 2018 Fall). Tematykę zadań omówili przedstawiciele Sojuszniczego Dowództwa ds. Transformacji (ACT) oraz Geneva International Centre for Humanitarian Demining (GICHD).
 
Serdecznie gratulujemy!
 
Źródło:
cyber.mil.pl

Czytaj więcej...

11 lut 2019

15. rocznica śmierci Ryszarda Kuklińskiego

2

W dniu dzisiejszym mija piętnasta rocznica śmierci Ryszarda Kuklińskiego - oficera, który pod pseudonimami "Jack Strong" oraz "Mewa" dostarczał Amerykanom informacje o strategicznych planach Związku Sowieckiego i Układu Warszawskiego. Uprzedził ich m.in. o planowanym wprowadzeniu w Polsce stanu wojennego. Był Zastępcą Szefa Zarządu Operacyjnego Sztabu Generalnego WP oraz agentem wywiadu amerykańskiej Centralnej Agencji Wywiadowczej (CIA).

Czytaj więcej...

5 lut 2019

Wojska Obrony Cyberprzestrzeni zwiększeniem zdolności resortu obrony narodowej w zakresie cyberbezpieczeństwa

0



W dniu dzisiejszym o godz. 13.00 w  Wojskowej Akademii Technicznej w Warszawie podczas konferencji pt. „Cyber.mil.pl - Integracja i rozwój systemu cyberbezpieczeństwa resortu obrony narodowej” Mariusz Błaszczak, minister obrony narodowej przedstawił koncepcję budowy Wojsk Obrony Cyberprzestrzeni oraz pakiet działań związanych z rozwojem zdolności resortu obrony narodowej w zakresie cyberbezpieczeństwa.



Zapraszamy do obejrzenia transmisji na kanale YouTube Ministerstwa Obrony Narodowej. Można obejrzeć m. in. debatę ekspertów na temat systemu cyberbezpieczeństwa resortu obrony narodowej oraz na temat cyberprzestrzeni jako V domenie operacyjnej.



Możesz dołączyć do Wojsk Obrony Cyberprzestrzeni na stronie


na której utworzono dział poświęcony rekrutacji, z interesującymi tematami:





Źródło:
www.mon.gov.pl

Czytaj więcej...

20 sty 2019

Jak cyberprzestępcy używają memów do komunikacji z malware

0


Metoda ukrywania złośliwego kodu w obrazkach w celu ominięcia zabezpieczeń i wykonania złośliwego kodu, jest już od dawna wykorzystywana przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania i wykonywania złośliwych operacji. O interesujących możliwościach wykorzystywania tego mechanizmu steganografii pisaliśmy m.in. w artykule dotyczącym stegosploitów z maja 2015 roku (LINK).

 

Firma Trend Micro pod koniec roku 2018 opublikowała na swoim blogu artykuł opisujący wykorzystanie unikalnej techniki w... memach na Twitterze. Twórcy malware zamieścili dwa tweety zawierające "złośliwe memy" w dniach 25 i 26 października 2018 roku na koncie Twitter utworzonym w 2017 r. Memy zawierały wbudowane polecenie, które przeanalizowane przez szkodliwe oprogramowanie po pobraniu z zainfekowanego konta Twittera (bomber) na komputer ofiary, działało jak usługa C&C dla zainstalowanego już złośliwego oprogramowania.

Konto Twitter wykorzystane przez cyberprzestępców, z widocznym złośliwym memem zawierającym szkodliwy kod
źródło: https://blog.trendmicro.com

Należy zauważyć, że malware nie zostało pobrane z Twittera, a Trend Micro nie zaobserwowała, jaki konkretny mechanizm został użyty do dostarczenia szkodliwego oprogramowania swoim ofiarom. Szkodliwe oprogramowanie powiązane ze złośliwymi memami zostało zablokowane przez technologię uczenia maszynowego i behawioralną technologię wykrywania Trend Micro w momencie jej wykrycia.

To nowe zagrożenie (wykryte jako TROJAN.MSIL.BERBOMTHUM.AA) jest godne uwagi, ponieważ komendy szkodliwego oprogramowania są odbierane za pośrednictwem platformy społecznościowej, używają niewinnie wyglądających, ale złośliwych memów, i nie można ich usunąć, chyba że złośliwe konto na Twitterze zostanie całkowicie wyłączone. Twitter po otrzymanym zgłoszeniu przejął konto i od 13 grudnia 2018 r. przełączył je w tryb offline.

Badacze bezpieczeństwa z Trend Micro odkryli we wspomnianych memach m.in. ukryte polecenie "/print", które umożliwia złośliwemu oprogramowaniu wykonanie zrzutów ekranu zainfekowanej maszyny. Następnie malware otrzymuje informacje o serwerze kontroli od Pastebin i wysyła zebrane dane do atakującego, przesyłając je pod określony adres URL.

Wydobyty złośliwy kod z adresem URL odsyłającym do pastebin.com
źródło: https://blog.trendmicro.com
Złośliwe oprogramowanie analizuje zawartość konta cyberprzestępców na Twitterze i zaczyna szukać pliku obrazu na tym koncie, używając wzoru:
 



Podczas przeprowadzanej przez Trend Micro analizy, dwa memy (pliki: DqVe1PxWoAIQ44B.jpg oraz DqfU9sZWoAAlnFh.jpg) zawierały polecenie "/print". Gdy złośliwe oprogramowanie pobierze już obrazek, próbuje wydobyć polecenie zaczynające się od znaku "/".


Fragment wydobytego kodu służącego do zlokalizowania poleceń
źródło: https://blog.trendmicro.com

Lista poleceń wydobytych z obrazków, obsługiwanych przez złośliwe oprogramowanie:
  1. /print - wykonanie zrzutu ekranu;
  2. /processos - pobranie listy uruchomionych procesów;
  3. /clip - przechwycenie danych ze schowka;
  4. /username - pobranie nazwy uzytkownika z zainfekowanego komputera;
  5. /docs - pobranie nazwy plików z określonej ścieżki (np.desktop, %appdata%, etc.).


Złosliwy kod służący do wykonania zrzutu ekranu
źródło: https://blog.trendmicro.com
Zagrożenie jest realne a złośliwe konto Twittera to tylko przykład, ponieważ równie dobrze tego typu mechanizmy powiązane ze steganografią mogą zostać użyte w każdym innym serwisie społecznościowym lub stronie internetowej (złośliwej lub przejętej).

Indicators of Compromise (SHA-256):
  • 003673cf045faf0141b0bd00eff13542a3a62125937ac27b80c9ffd27bb5c722
  • 3579d609cf4d0c8b469682eb7ff6c65ec634942fa56d47b666db7aa99a2ee3ef
  • 88b06e005ecfab28cfdbcab98381821d7cc82bb140894b7fdc5445a125ce1a8c
  • 8cdb574ba6fcaea32717c36b47fec0309fcd5c6d7b0f9a58fc546b74fc42cacd

Źródło:
https://blog.trendmicro.com

Czytaj więcej...

12 sty 2019

Pierwszy zdalny atak typu side-channel na pamięć podręczną stron

0

Zespół ośmiu ekspertów z Uniwersytetu Technicznego w Grazu, Uniwersytetu w Bostonie, NetApp, CrowdStrike i Intel opublikował 4 stycznia 2019 roku wyniki dotyczące ataków na pamięć podręczną stron. W przeciwieństwie do podatności Spectre i Meltdown, ten atak jest pierwszym, stabilnym i sprzętowo niezależnym atakiem typu side-channel, który może zdalnie atakować systemy operacyjne i skutecznie pozyskiwać dane, pomijając zabezpieczenia.


Celem pamięci podręcznej jest utrzymywanie jak największej ilości przydatnych danych w taki sposób, żeby błędy braku strony były obsługiwane szybko. Większość pamięci procesu użytkownika znajduje się w pamięci podręcznej stron lub pliku wymiany (ang. swap cache). Pamięć podręczna jest "warstwą" systemu znajdującą się pomiędzy jądrem i kodem obsługującym dyskowe operacje wejścia wyjścia. Strony wymiatane z pamięci procesu nie są natychmiast zapisywane na dysk, ale dodawane właśnie do pamięci podręcznej.

Atak side-channel opisany przez zespół badawczy działa poprzez mechanizmy zawarte w systemach operacyjnych Windows i Linux, które pozwalają programistom lub aplikacjom sprawdzić, czy strona pamięci jest obecna w pamięci podręcznej strony systemu operacyjnego. Te dwa mechanizmy to wywołanie systemowe "mincore" dla systemu Linux i wywołanie systemowe "QueryWorkingSetEx" dla systemu Windows.

Następnie naukowcy wykorzystali złośliwy proces uruchomiony w systemie w celu utworzenia stanów eksmisji pamięci podręcznej stron, które zwalniają stare strony pamięci z pamięci podręcznej strony. Ponieważ system pamięci podręcznej stron systemu operacyjnego zapisuje eksmitowane dane na dysku, uruchamia różne błędy lub ładuje nowe strony do pamięci podręcznej stron, naukowcy twierdzą, że mogą wywnioskować, jakie dane są przetwarzane w pamięci podręcznej stron, nawet przez inne procesy lub aplikacje.
 
W wyjaśnieniu ataku autorzy napisali:
Nasz atak pozwala na nieuprawnione monitorowanie niektórych dostępów do pamięci innych procesów, z przestrzenną rozdzielczością 4KB i czasową rozdzielczością 2 mikrosekundy na Linuksie (ograniczone do 6,7 pomiarów na sekundę) i 466 nanosekund w systemie Windows (ograniczone do 223 pomiarów na sekundę); jest to mniej więcej ten sam rząd wielkości, co obecne ataki pamięci podręcznej typu "state-of-the-art".

Co to dokładnie oznacza? Wartości te pozwalają na przechwytywanie więcej niż 6 naciśnięć klawiszy na sekundę, więc jest to wystarczająca ilość do dokładnego przechwycenia wprowadzanych informacji, np. haseł. 

Wartości zwracane przez atak na pamięć podręczną strony podczas wprowadzania hasła w systemie Linux (u góry) i podczas pisania w edytorze w systemie Windows (na dole). W Windowsie zaobserwowano zdarzenia zarówno przy naciśnięciu jak i puszczeniu klawisza klawiatury i osiągnięto wysoką częstotliwość ataku.
W obu przypadkach nie występują zakłócenia między naciśnięciami klawiszy.

Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Po wyszczególnieniu informacji podstawowych dotyczących pamięci podręcznych sprzętu, ataków pamięci podręcznej i pamięci podręcznych oprogramowania autorzy dostarczają model zagrożenia atakiem, w którym naukowcy zakładają, że "napastnik i ofiara mają dostęp do tej samej pamięci podręcznej strony systemu operacyjnego. W Linuksie zakładają również, że atakujący ma dostęp do odczytu strony docelowej, która może być dowolną stroną dowolnego pliku dostępnego dla atakujących w systemie".

Przegląd ataku
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Technika przedstawiona w dokumentacji ataku pozwala w 2,68 sekund eksmitować strony na Linuxie. W systemie Windows trwa to wolniej, ze średnim czasem wykonania 10,1 sekund.

Wszystkie wymienione powyżej ataki są możliwe do przeprowadzenia lokalnie, gdzie nieuprzywilejowany proces uruchamia złośliwy kod na docelowym komputerze ofiary (np. poprzez malware). Atak można jednak zmodyfikować tak, aby atakujący "bombardował" zdalnie komputer złośliwym kodem w celu pobrania danych z jego pamięci. Jednak zdalne ataki nie są aż tak skuteczne, ponieważ nie mogą ominąć np. piaskownic i wymagają precyzyjnego dostosowania w oparciu o sprzęt ofiary (nie są sprzętowo niezależne, jak lokalne ataki).

Opóźnienie podczas zdalnego ataku side-channel na pamięć podręczną stron
Źródło: Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)

Powyższy rysunek przedstawia histogram opóźnienia podczas przeprowadzanego zdalnego ataku side-channel na 100 kilobajtowy plik pamięci podręcznej stron (ok. 25 stron). Ponadto, opóźnienia zwiększają się wraz z ilością pozyskiwanych atakiem stron.

Mounir Hahad, szef Juniper Threat Labs w Juniper Networks stwierdził, że "ta klasa ataku prezentuje znacznie niższą barierę złożoności niż wcześniejsze ataki side-channel z wykorzystaniem sprzętu i może być łatwo stosowana zarówno przez pojedynczych hackerów jak i cyber-gangi".

Autorzy ataków ujawnili lukę firmie Microsoft a ta już naprawiła sposób, w jaki Windows radzi sobie z odczytami cache strony. Dyskusje o tym, jak radzić sobie z łatkami na Linuksa wciąż trwają.

Ponadto, jeden z naukowców pracujących nad atakiem stwierdził, że nie testowano ataku na MacOS, ale ponieważ system ten również wykorzystuje mechanizmy pamięci podręcznej stron, ataki tego typu są jak najbardziej możliwe do przeprowadzenia.

Więcej informacji w języku angielskim znajdziecie w dokumentacji ataku: 
https://arxiv.org/pdf/1901.01161.pdf


Źródło:
Daniel Gruss, Erik Kraft, Trishita Tiwari, Michael Schwarz, Ari Trachtenberg, Jason Hennessey, Alex Ionescu, Anders Fogh - Page Cache Attacks (https://arxiv.org/pdf/1901.01161.pdf)
zdnet.com

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift