Blog ESEC Lab

vendredi 8 août 2008

Analyse de sality.aa - Première partie

Par Damien, vendredi 8 août 2008 à 18:05 :: Général

À la suite d'une attaque virale, nous avons récupéré un portable infecté. Le but premier était de fournir suffisamment d'informations à la victime pour mettre en place des contre-mesures.

Cependant au fur et à mesure de l'analyse, nous avons trouvé que ce virus est assez caractéristique des malwares professionnels que l'on trouve de nos jours. Il s'agit d'une souche d'un virus appelé Sality.aa (Kaspersky: Virus.Win32.Sality.aa) apparue en Juillet 2008.

L'analyse étant assez longue, nous l'avons scindé en plusieurs parties. La première partie présente l'infecteur, c'est-à-dire l'exécutable responsable du lancement de la charge malveillante.

aucun commentaire :: aucun trackback

jeudi 19 juin 2008

Déprotection semi-automique : les scripts Metasm

Par Alex, jeudi 19 juin 2008 à 18:12 :: Reverse engineering

Ce billet fait suite à la présentation que Yoann et moi avons réalisée à SSTIC cette année, orientée vers l'analyse statique et la déprotection semi-automatique de binaire.

2 commentaires :: aucun trackback

Patch Netscreen pour John the Ripper

Par jb, jeudi 19 juin 2008 à 16:05 :: Général

Plusieurs personnes ont demandé récemment le patch pour John the Ripper permettant de casser les mots de passe NetScreen. Il est maintenant disponible ici sous licence WTFPL. Il a été développé il y a quelques temps, peut-être que le code est un peu sale. Le plugin n'est pas vraiment optimisé. Si quelqu'un l'améliorait j'en serais ravi, et s'il pouvait m'envoyer ses modifs ça serait encore mieux.

Il fonctionne peut-être avec d'autres produits Juniper. A tester ...

Le format à entrer est le suivant :

netscreen:netscreen!nKVUM2rwMUzPcrkG5sWIHdCtqkAibn

Sur un Core 2 Duo, la vitesse devrait être de plusieurs millions de mots de passe par seconde.

aucun commentaire :: aucun trackback

lundi 9 juin 2008

Compte-rendu SSTIC 2008 - journée du vendredi

Par Alex, lundi 9 juin 2008 à 18:08 :: Général

La journée du vendredi, c'est le lendemain du social event, et c'est la dernière journée ... heureusement ! Et les conférences continuent ....

aucun commentaire :: aucun trackback

vendredi 6 juin 2008

Compte-rendu SSTIC 2008 - journée du jeudi

Par Loïc Cornet, vendredi 6 juin 2008 à 16:19 :: Général

Le SSTIC continue avec une journée très hétérogène : du debugging aux aspects juridiques de la sécurité des systèmes d'information, on parle de tout dans ces conférences pour le plus grand bonheur de tous ;-)

aucun commentaire :: aucun trackback

jeudi 5 juin 2008

Compte-rendu SSTIC 2008 - journée du mercredi

Par Alex, jeudi 5 juin 2008 à 11:31 :: Général

SSTIC s'est ouvert ce mercredi 4 juin, avec une journée déjà très chargée, vous pouvez retrouvez ici nos impressions et ressentis sur les conférences.

aucun commentaire :: aucun trackback

vendredi 23 mai 2008

Conférence EICAR 2008

Par Alex, vendredi 23 mai 2008 à 16:23 :: Général

Feedback sur la conférence EICAR 2008, qui s'est tenue à Laval, les 4. 5 et 6 mai.

aucun commentaire :: aucun trackback

mardi 22 avril 2008

Dump d'un processus avec Metasm

Par Alex, mardi 22 avril 2008 à 16:31 :: Général

Nous allons prendre l'excuse de vouloir coder un petit unpacker dynamique pour UPX afin de voir comment implémenter très facilement le coeur d'un débugger à l'aide de Metasm.

un commentaire :: aucun trackback

lundi 31 mars 2008

Sécurisation d'Exchange 2007

Par Jeremy Renard, lundi 31 mars 2008 à 16:57 :: Général

Exchange 2007 est la nouvelle solution de messagerie proposée par Microsoft. En comparaison avec la dernière version, datant de 2003, de nombreuses fonctionnalités ont été apportées, notamment en termes de sécurité. Ce post fournit les six étapes à prendre en compte pour sécuriser son système de messagerie Exchange : sécuriser l'architecture, sécuriser les serveurs de messagerie, sécuriser les clients, sécuriser les communications, renforcer le niveau de sécurité et enfin, maintenir le niveau de sécurité.

aucun commentaire :: aucun trackback

jeudi 13 mars 2008

VoIP: Asterisk et la sécurité

Par Loïc Cornet, jeudi 13 mars 2008 à 20:09 :: Général

Introduction

Cet article sur Asterisk et la sécurité présente les résultats de l’analyse du protocole IAX2, avec pour objectif la vérification de « l’implémentation » des mécanismes de sécurité annoncés par le draft de l’IETF. Pour réaliser cette étude, les codes sources contenus dans deux fichiers du répertoire "channels" ont étés examinés en détail :

- chan_iax2.c

- iax2.h

Les objectifs étant fixés, entrons dans le vif du sujet. Notons que l’étude porte plus particulièrement sur le chiffrement, sans détailler l’authentification.

aucun commentaire :: aucun trackback

mercredi 6 février 2008

Désérialization d'objets java à la volée

Par Yoann Guillot, mercredi 6 février 2008 à 17:48 :: Outils

Récemment lors d'un audit nous avons été confronté au besoin d'interpréter et de modifier des objets java sérializés. Ça a été l'occasion de développer une librairie à cet effet. Librairie écrite bien entendu en Ruby.

aucun commentaire :: aucun trackback

mercredi 16 janvier 2008

loadmap.py : importer un fichier map depuis IDA vers Immunity Debugger

Par jb, mercredi 16 janvier 2008 à 15:13 :: Reverse engineering

J'ai souvent l'habitude de travailler sur IDA, puis de charger Immunity Debugger après que l'analyse a été un peu dégrossie. L'analyse d'ImmDbg est bonne, mais ne vaut pas celle d'IDA. Les noms de variables et de fonctions détectées par IDA, ajoutés par l'utilisateur ou retrouvés depuis un fichier de symboles ou une signature peuvent être exportées dans un fichier MAP. MapConv, un plugin C pour OllyDbg, charge ces fichiers et modifie le nom des fonctions détectées dans OllyDbg. Il est facilement recompilable pour Immunity Debugger, mais ne fonctionne qu'avec l'exécutable debuggé (pas les modules chargés) et ne charge que les noms trouvés dans la première section du programme (la section de code, en général).

J'ai donc développé un nouveau plugin ajoutant aussi les noms trouvés dans les autres sections, en exploitant l'interface en Python, plus souple, d'Immunity Debugger.

2 commentaires :: aucun trackback

jeudi 3 janvier 2008

Chiffrement des mots de passe Netscreen (3/3) - Analyse de la fonction de chiffrement et cassage des mots de passe

Par jb, jeudi 3 janvier 2008 à 16:00 :: Reverse engineering

On sait ce qu'on cherche, mais le programme est relativement gros : par où commencer? On trouve facilement plusieurs fonctions de hachage, et même plusieurs MD5, qui doivent provenir de différentes bibliothèques. En outre il n'est pas certain que la fonction de hachage utilisée soit un MD5.

aucun commentaire :: aucun trackback

Chiffrement des mots de passe Netscreen (2/3) - Désassemblage de la ROM

Par jb, jeudi 3 janvier 2008 à 15:58 :: Reverse engineering

Le boîtier NetScreen contient un processeur Intel IXP425 cadencé à 400MHz. C'est un processeur utilisé pour l'embarqué, et il est optimisé pour les applications réseau. Il est équipé notamment d'un co-processeur accélérant les procédures de chiffrement. C'est un processeur XScale (architecture ARM), reconnu par IDA. Le système d'exploitation est un système propriétaire, ScreenOS, développé par Juniper. Il est stocké sur une mémoire Flash de 32Mo. Il n'y a pas de documentation technique disponible, la seule source d'information étant le manuel d'utilisation.

aucun commentaire :: aucun trackback

Chiffrement des mots de passe Netscreen (1/3) - Un peu d'observation

Par jb, jeudi 3 janvier 2008 à 15:56 :: Reverse engineering

Ce document présente la méthodologie qui nous a permis d'analyser le format de stockage des mots de passe des utilisateurs de NetScreen, solution de gestion unifiée des menaces développée par Juniper Networks. Une étude préliminaire a été faite par observation du format des mots de passe. Elle n'a pas permis de comprendre en totalité les algorithmes utilisés pour encoder le mot de passe. Une autre phase a été nécessaire : la ROM du boîtier a été désassemblée. Cela a permis finalement d'écrire un programme permettant de casser les mots de passe utilisés. -

aucun commentaire :: aucun trackback

Calendrier

« août 2008
lun	mar	mer	jeu	ven	sam	dim
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Syndication

Avertissement: Ce blog est la propriété exclusive de l'ESEC. Il reflète les travaux scientifiques de recherche et d'analyse de l'ESEC et en particulier de son équipe Recherche et Développement (R&D). Les articles ici exposés traitent d'une problématique de sécurité informatique et ne sont présentés qu'à titre informatif. Veuillez consulter les conditions d'utilisation du service en cliquant sur le lien suivant Charte d'utilisation du blog.

Blog ESEC Lab

Analyse de sality.aa - Première partie

Déprotection semi-automique : les scripts Metasm

Patch Netscreen pour John the Ripper

Compte-rendu SSTIC 2008 - journée du vendredi

Compte-rendu SSTIC 2008 - journée du jeudi

Compte-rendu SSTIC 2008 - journée du mercredi

Conférence EICAR 2008

Dump d'un processus avec Metasm

Sécurisation d'Exchange 2007

VoIP: Asterisk et la sécurité

Désérialization d'objets java à la volée

loadmap.py : importer un fichier map depuis IDA vers Immunity Debugger

Chiffrement des mots de passe Netscreen (3/3) - Analyse de la fonction de chiffrement et cassage des mots de passe

Chiffrement des mots de passe Netscreen (2/3) - Désassemblage de la ROM

Chiffrement des mots de passe Netscreen (1/3) - Un peu d'observation

Calendrier

Rechercher

Catégories

Archives

Syndication