Extraction de String / Episode A

Bon… des fois, la fonction d’obfuscation de string d’un malware est chiante et illisible (bref comme il faudrait que ce soit) Et en plus décousue, je veux dire par là que le malware va la picorer et ne deobfusque pas toutes les strings d’un coup. Bref dans ce cas la… on va lancer cette petite fonction avec toutes les strings offusquée pour tout clarifier.

Donc j’ai pondu un dégeulasse petit prog qui remappe l’exe en mémoire et appelle la dite fonction pour arracher les strings. Il prend ses commandes depuis un fichier texte.

Petit exemple, On ferme les yeux, devant vous un superbe malware qui obfusque ses strings, (voir https://github.com/Th4nat0s/Chall_Tools/blob/master/C/usefonc/hello.cpp)

Bref un petit prog typique d’obfuscation de string a deux balles. Normalement il faut prendre IDA pour savoir ce qu’il appelle et comment, là il est sympas il file les offsets :) . Ensuite on remplis le fichier texte.

Le premier paramètre c’est l’offset de la fonction de décryptage, le second c’est la string obfusquée et le 3eme c’est la clef d’encryption (Si il y a besoin).

A coté de cela, parce que défois, les appel de fonctions ne sont pas standard C (merci Delphi), pour remapper le call comme on veut rapidement,  j’ai fait un petit bout en asm intermédiaire. C’est plus simple. (voir https://github.com/Th4nat0s/Chall_Tools/blob/master/C/usefonc/usefonc.asm)

Et pof on lance…

Bingo…

Et si c’était a refaire, je ferais plus comme cela, je partirais sur un start suspended et je loaderai une DLL qui hookerai le process et qui ferait tout le taf, et en plus les lib seraient tous loadées.

Là j’ai des soucis, défois le Malloc de l’espace 0x40000 est pas forcément possible et il faut relancer deux trois fois le bignou.

Next step, le python qui pond automatiquement le fichier de commande sous IDA. En attendant, si cela sert a quelqu’un, le source est là :

https://github.com/Th4nat0s/Chall_Tools/tree/master/C/usefonc

a+

Posted in Asm, Reverse | Tagged , , | Leave a comment

Quand ca merde, il faut aussi le dire…

Aujourd’hui M. Le MacBook Air a décidé de me peiner, j’ai eu droit a écran noir, et au power off forcé / power on le traditionnel “tadaaaa” mais toujours écran noir. Pas moyen de s’en sortir..

Heureusement la KB m’a sauvé, RESET de la NVRAM, encore un combo de touche inédit

https://support.apple.com/en-us/HT204063

 

Posted in BlaBla | Tagged | Leave a comment

Merde le jouet a spam a tout laché…

Des programmes qui foirent c’est défois drôle, voici un «Spam» trouvé sur mon WordPress qui laisse entrevoir la difficulté de filtrer un spam sur une simple phrase.

Screen Shot 2015-04-13 at 23.09.11

 

Posted in BlaBla | Leave a comment

DecrottePE compatible chinese style.

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté).

Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais ce qu’il y a trouver est pas non plus joli-joli !

Exemple , j’encrypte à la chinoise un PE avec un xor shifté et la clef 0x42 (évidemment la fameuse solution universelle).

Je cache mon PE xoré au millieu d’un champ de random.

Bon… c’est le plus chiant qu’il soit possible d’extraire avec ce truc, lançons le décrotteur et allons lire un livre.

Bingo… et le fichier est en état.

Amis du XOR, merci de passer a RC4…

 

Posted in Crypto, Malware, Reverse | Tagged , , | 1 Comment

La formidable librairie PEFILE

Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits.

J’ai pondu deux minis scripts python avec cette librairie, le premier est un update d’un script déja vu ici, qui montre les sections et leur entropie nommé «peentro.py». Un peu à la virus total, mais chez soi et qui couine sur les trucs «chelous».

Le script est ici

Le second est un script de feignants nommé «decrottePE.py». Il extrait les executables PE depuis un dump. C’est toujours utile pour carver un executable depuis un dump mémoire volé dans un droppeur sans avoir a se fatiguer. L’executable est sauve à sa taille “normale” les overlay potentiels au cul de l’exe sont shootés.

le script est ici

Cette lib est décidément un bel objet.

 

Posted in Reverse | Tagged , , | 1 Comment

1er jour des soldes, -25% sur Charlie Hebdo

Non… Moi je trouve décidément ca très drôle leur petit dessins.

 

Mahomet

 

http://www.charliehebdo.fr/20150107171028368.pdf

Il ne fait décidément pas bon d’être copain avec Dorothée ces temps ci..

Posted in BlaBla | Leave a comment

Quick Tip… un clean desktop sur OSX

Marre de votre osx avec 58953 documents sur le bureau du mac… ?

C’était le conseil psycho-rigide de noel.

Posted in BlaBla | Tagged | 2 Comments

Le cap a été franchis…

Ca y est le premier exploit avec du bypass de EMET a été débusqué

http://researchcenter.paloaltonetworks.com/2014/11/addressing-cve-2014-6332-swf-exploit/

Ca reste du emet 4.1, ca bypass pas toutes les protections… Mais c’est partis ! :)

Posted in Malware, Reverse | Tagged , , | Leave a comment

CISCO goes ASLR !!

Whow… Cisco sur certain routeur tournerai “déja” de l’asrl !! Well done.

http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html#_Toc385320754

Posted in Asm, Network | Tagged , | Leave a comment

Dumper les creds en mémoire discrètement.

Comment dumper les crédentials windows en mémoire sans faire couiner aucun antivirus. prérequis évidemment, admin local.

 

Etape 1, uploader procdump de m. Russinovich. Procdump est FUD car signé par microsoft :)

Etape 2, dumper le process lsass.exe

 étape 3, cleanup

 étape 4, Sur un tout autre ordinateur que vous contrôlez, sous windows et sans AV qui fait suer.

Attention de respecter la même archi ou tournera le mimikatz; séparez 32 et 64 Bits… et séparez 2K XP 2K3 de Vista, 7, 8 et2K8.

Note: Merci au Gentilkiwi pour sa relecture attentive :)

Posted in Pentest, Windows | Tagged , | 4 Comments