Taggat med: reverse engineering

NSA släpper Reverse-Engineering verktyg

NSA släpper Reverse-Engineering verktyg

Uppdatering: Ghidra är nu släppt på https://ghidra-sre.org/

Amerikanska säkerhetsmyndigheten NSA avser att släppa verktyget GHIDRA som open-source under den årliga RSA-konferensen som går av stapeln i San Francisco under Mars månad.

Stöd mitt bloggande via Patreon 👊

GHIDRA är ett ramverk för att utföra Reverse-Engineering eller baklänges ingenjörskonst som det ibland kallas. Analysera binär kod exempelvis i syfte att undersöka skadlig kod eller ta sig in i system.

The GHIDRA platform includes all the features expected in high-end commercial tools, with new and expanded functionality NSA uniquely developed, and will be released for free public use at RSA.

Robert Joyce, NSA

Charlie Miller som tidigare jobbat på NSA kommenterade på Twitter att verktyget fanns för 13 år sedan då han jobbade på myndigheten:

Verktyget är skrivet i programspråket Java och påminner mycket om IDA Pro som är ett verktyg som jag spenderat en hel del tid med.

Information om GHIDRA har tidigare läckt via CIA Vault7-läckorna som återfinnes på Wikileaks.

Analys och förmildring av överbelastningsattacker (DDoS)

Att analysera och förmildra en DDoS-attack kan göras genom ett antal olika metoder. Även finns det DDoS-attacker där motverkansmedel kan användas och således göra attacken mindre effektiv. Givetvis kan filtrering genomföras på ISP-nivå också, men det är ett relativt trubbigt verktyg.

Först och främst måste trafikdata i form av PCAP-format eller liknande samlas in, detta kan visa på ledtrådar såsom vilket verktyg som används eller om det är förfalskade paket (spoofade). Även så kan loggar på servern analyseras för att avgöra exempelvis om det är en eller flera stora bilder som laddas om och om igen. Finns inte råa paket kan även netflow-data användas och analyseras med verktyg såsom Argus.

🔎 Reklam: Triop AB analyserar och kan ta fram motverkansmedel mot DDoS

När vi vet vem avsändaren är så måste denna analyseras närmare, rör det sig om klientdatorer eller servrar med hög kapacitet? Om det är klientdatorer så rör det sig troligtvis om ett bot-nät med infekterade privatpersoner, är fallet högprestanda-servrar så kan det vara hyrda servrar direkt av antagonisten eller som är vanligare: hackade servrar.

Finns även fall där klienter kan surfa in på en speciell sida så exekveras ett javascript som hämtar en eller flera tunga filer om och om igen, denna attack är implementerad i bl.a JS LOIC.

Wireshark är ett bra verktyg att visuellt analysera nätverkstrafik men fungerar ej väl med större datamängder. Nedan exempel visar hur det ser ut i Wireshark när LOIC används:

LOIC Wireshark

Skärmdump från webbsida som har JS LOIC:

JS LOIC

Skärmdump från JS LOIC storebror LOIC. LOIC står för Low Orbit Ion Cannon:

Low_Orbit_Ion_Cannon

Ovan två exempel använder dock enbart den egna kapaciteten. För att uppnå mer skada på slutmålet så kan även antagonisten använda sig av en förstärkt DDoS (amplification DDoS attack).

Genom att skicka en mindre mängd data till ett antal servrar och sedan får dessa att svara med flertalet gånger större mängd data till en annan server så kan större effekt uppnås:

DDoS amplification attack

Vanligtvis används UDP baserade protokoll såsom DNS och NTP (MON_GETLIST) men även så har vi sett attacker där WordPress pingback används för att rikta om svar. Dessa servrar har också oftast en relativt god kapacitet mot internet till skillnad från många hemanvändare och privatpersoner.

I vissa fall så måste även reverse-engineering utföras för att förstå hur attack-koden fungerar.

Skärmdump från klienten som användes mot SpamHaus. Reverse-engineering utförd med Ollydbg:

SpamHaus DDoS

Genom att analysera klientkoden som körs så kan man även i slutändan troligtvis identifiera puppetmastern, som styr klienterna. Vanligt förekommande kontrollkanaler (C&C) är IRC, HTTP osv. Men inte helt ovanligt heller så använder den som utför kommandon någon form av anonymiseringsverktyg såsom Tor.

Att just LOIC används som exempel ovan är för att denna programvara användes för att slå ut flertalet myndighetssajter år 2012.

Skype krypteringen knäckt

Eller rättare sagt så har en del av Skype-protokollet reverse-engineerats. Det är den del av Skype som använder RC4-algoritmer och varianter på denna. Följande framgår av källkoden:

|*| Skype Library RC4 v1.109 by Sean O’Neil.
|*| Copyright (c) 2004-2010 VEST Corporation.
|*| All rights reserved.
|*| Not for commercial use.
|*|
|*| We are reverse engineers.
|*| We can prove if you have used this code in your product.
|*| We will find you.
|*| We will prosecute for copyright infringement.
|*| This code is quite unique and is easily identifiable.
|*| Result may match Skype’s 100%, but this code is ours.
|*| The computation is significantly different from Skype’s.
|*|
|*| For academic research and educational purposes only.
|*| If you require Skype compatibility in your products,
|*| feel free to contact Sean O’Neil on www.enrupt.com
|*|
|*| Last changes: 09.07.2009 (a minor correction from 1.108 that does not affect its use in Skype-compatible projects)
|*| Published: 07.07.2010
|*| More will be published at 27C3, December 2010 (http://www.ccc.de/en/calendar)

Som hittas här: cryptolib.com/ciphers/skype/

Sean O’Neil har även skrivit ett antal förtydliganden på sin blogg där han bl.a. skriver att detta inte påverkar säkerheten i Skype eftersom tal, filöverföringar etc. är krypterade med AES 256-bit nycklar,  1024-bit RSA algoritm samt autentiserade med a 2048-bit RSA-nycklar. Källkoden som han har släppt hanterar enbart kommunikation mellan Skype-klienten och dess noder.

DRM vs. Reverse Engineering

Federico Biancuzzi intervjuar Nate Lawson som varit med och skrivit kopieringsskyddet till Blu-ray. Vi har även tidigare skrivit om DRM-attacker här.

Each time a new digital rights management (DRM) system is released, hackers are not far behind in cracking it. Reverse engineers have taken down the security protecting content encoded for Windows Media, iTunes, DVDs, and HD-DVDs.

Intervjun återfinns på SecurityFocus.com

Vill du vet mer om Reverse Engineering så titta in hos Triop AB.