Author Archives: thanatos

Invoke comme dans Masm pour Yasm & Nasm :)

Posted on April 17, 2013 by thanatos

Oui je sais, le titre va en faire fuir plus d’un, d’autres vont encore me dire que j’ai définitivement sombré… Mais regardez ma belle macro : %macro invoke 2-* extern %1 %rotate %0-1 %rep %0-1 push %1 %rotate -1 %endrep … Continue reading

Posted in Coding | Tagged , , , , , | Leave a comment

Virtual Machine, ou Real Machine

Posted on April 16, 2013 by thanatos

Détection d’une VM Comment en 2013 détecter si nous sommes dans une machine virtuelle ? Avant pour Vmware, Xen, Kvm et Virtual PC c’était assez la foire, de sombres in/out dans les backdoors systèmes, des instructions non documentées ou longues comme le … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment

FareIT, Chronique d’un droppeur

Posted on April 4, 2013 by thanatos

Voyons aujourd’hui comment dépaqueter et analyser ce FareIT Depacking Le packer est suffisant pour un newbies comme moi, il m’a, comme il se doit, bien paummé. Une fois de plus je n’ai pas trouvé un saut propre du style JMP EAX et … Continue reading

Posted in Malware, Reverse | Tagged , , , , , | Leave a comment

HSBC.Zip Alias FareIT

Posted on April 2, 2013 by thanatos

Et voila qui est fait, notre malware funky est FareIT (Sample 3b9b00d63b8bda442cca5c37f171d2a3). C’est donc bien un droppeur voleur de mots de passe sans aucunes autres velléités. Je l’ai désossé de bout en bout (482 Fonctions) et je doit dire qu’il a su … Continue reading

Posted in Malware, Reverse | Tagged , , | Leave a comment

Mon mail HSBC, Hoo encore un Malware

Posted on March 26, 2013 by thanatos

Evidemment dans le mail que j’ai reçu il y avait un ZIP ;) dans ce ZIP, un Executable PE avec look and feel de PDF Russe. Et bien en fait c’est pas un vrai PDF figurez vous .. si si … Bon je … Continue reading

Posted in Malware, Reverse | Tagged , , , | Leave a comment

Mon Facture.exe est un Zeus

Posted on March 23, 2013 by thanatos

Bon c’est officiel, il semblerait que mon Facture.exe laborieusement dépacké dans un précédent article (Hash 17832c9a78b36c8a3133e2c2e24ebc3b9896763a chez Malware.lu, version dépackée hash 13d0f11c18170923fa88005309a9ec16 ) Soit en fait un bon vieux malware Zeus. Et voici pourquoi ; Quand on le regarde un peu sous … Continue reading

Posted in Malware, Reverse | Tagged , , , , | 2 Comments

Le Packing (for newbies) Part 2

Posted on March 21, 2013 by thanatos

Rappelons nous le dernier post. On était arrivé à la conclusion que notre exécutable était packé (On a d’ailleur a cette occasion appris ce que c’était), mais on patinait dans la choucroute pour le dépacker de façons automatique. On va donc devoir sortir tout l’attirail pour tenter de … Continue reading

Posted in Reverse | Tagged , , , | Leave a comment

[Invisible/150] Appel au boycott.

Posted on March 18, 2013 by thanatos

Ce weekend j’ai encore tenté d’aider maigrement l’équipe de Big-Daddy au CTF Forbidden Bits. Ce n’est pas facile de résoudre un chall sans qu’une des brutes de l’équipe ne le finisse avant vous. Heureusement je suis tombé sur le chall … Continue reading

Posted in Challenge | Tagged , | Leave a comment

Le Packing (For Newbies) Part 1

Posted on February 25, 2013 by thanatos

Il y a quelques temps j’ai reçu un mail m’indiquant un soucis de facturation quelconque  Ce mail contenait, hooo joie, un executable nommé facture.exe tout simplement attaché au mail. Je me suis empressé de regarder la bête : Vous pouvez retrouver cette bête sur malware.lu sous le … Continue reading

Posted in Reverse | Tagged , , , | Leave a comment

Mosaique bien, Floutage pas bien !

Posted on February 22, 2013 by thanatos

Week-end dernier, gentiment invité par l’équipe Big-Daddy, j’ai participé (très légèrement) à Ghost in the Shellcode, le CTF de la ShmooCon, une convention de sécurité américaine. Un des chall m’a scié. Il fallait trouver où on allait.. et une photo était … Continue reading

Posted in Challenge | Tagged , , | 1 Comment