Black Hat начался с традиционного интро от Jeff Moss об эволюции конференции. И конечно кейнота, в этом году отжигал Dinо Dai Zovi. Доклад был каким то уж совсем отдаленным от того, что мне интересно и в целом не оправдал мои ожидания 🤪
"Trends and challenges in vulnerability mitigation" от Matt Miller MSRC
https://github.com/microsoft/MSRC-Security-Research/blob/master/presentations/2019_08_WOOT/WOOT19%20-%20Trends%20and%20challenges%20in%20vulnerability%20mitigation.pdf
https://github.com/microsoft/MSRC-Security-Research/blob/master/presentations/2019_08_WOOT/WOOT19%20-%20Trends%20and%20challenges%20in%20vulnerability%20mitigation.pdf
GitHub
MSRC-Security-Research/presentations/2019_08_WOOT/WOOT19 - Trends and challenges in vulnerability mitigation.pdf at master · microsoft/MSRC…
Security Research from the Microsoft Security Response Center (MSRC) - microsoft/MSRC-Security-Research
DEF CON 27 все материалы конференции уже доступны https://media.defcon.org/DEF%20CON%2027/
media.defcon.org
All DEF CON video presentations, music, documentaries, pictures, villages, and Capture The Flag data that can be found.
Автор capstone анонсировал новый проект Qiling https://github.com/qilingframework/qiling Это фреймворк на базе Unicorn для эмуляции в изолированной среде исполняемых файлов популярных форматов: PE, MachO, ELF. Помимо этого заявлена поддержка следующих архитектур: X86, X86_64, Arm, Arm64, Mips. В комплекте к фреймворку идет утилита qltool, которую можно использовать для эмуляции тех же шеллкодов.
GitHub
GitHub - qilingframework/qiling: A True Instrumentable Binary Emulation Framework
A True Instrumentable Binary Emulation Framework. Contribute to qilingframework/qiling development by creating an account on GitHub.
ZeroNights CFP открыта! Количество мест ограничено 😈
https://01x.cfp.zeronights.ru/zn2019/
https://01x.cfp.zeronights.ru/zn2019/
01x.cfp.zeronights.ru
ZeroNights 2019
Schedule, talks and talk submissions for ZeroNights 2019
серия публикаций от google P0 о различных цепочках эскплоитов для iOS обнаруженные in-the-wild
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-2.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-3.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-4.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-5.html
https://googleprojectzero.blogspot.com/2019/08/jsc-exploits.html
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-1.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-2.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-3.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-4.html
https://googleprojectzero.blogspot.com/2019/08/in-wild-ios-exploit-chain-5.html
https://googleprojectzero.blogspot.com/2019/08/jsc-exploits.html
Blogspot
A very deep dive into iOS Exploit chains found in the wild
Posted by Ian Beer, Project Zero Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report se...
и заключительная часть: полезная нагрузка (implant который устанавливался на устройство после эксплуатации)
https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html
https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html
Blogspot
Implant Teardown
Posted by Ian Beer, Project Zero In the earlier posts we examined how the attackers gained unsandboxed code execution as root on iPhone...
Кто бы что не говорил, но релиз Ghidra "встряхнул" тихую заводь программ для reverse engineering. Различные долгожданные фичи (здравствуй python3!) стали появляться в том или ином инструменте. На данный момент чаще Ghidra используют ради декомпилятора, который реализован в виде отдельной программы, к тому же написанной на плюсах, и использующий промежуточный код, что позволяет реверсеру самому добавить поддержку декомпилятора для нужной ему архитектуры, описав ее на Sleigh. Такой подход не нов, к примеру различные PoC, использующие, LLVM IR или проект radeco от разработчиков фреймворка radare2, но такие декомпиляторы пока не готовы для искушенного клавишей F5 пользователя. Поэтому не мудрено, что, считай одновременно, было опубликовано несколько решений, добавляющих поддержку декомпилятора от Ghidra в популярное ревереское ПО:
- Команда Cisco Talos представила два инструмента: GhIDA и Ghidraaas.
GhIDA - IDApython плагин для IDA Pro. Для работы требуется локально установленная Ghidra (а соотвественно и Java) или запущенный сервис Ghidraaas.
Ghidraaas - небольшой веб-сервер, который проводит анализ присланного семпла и выдает список функций с декомпилированным кодом по средством REST API. Обернут в docker.
- Разработчики фреймворка Radare2 в рамках конференции R2con 2019 (о которой мы расскажем чуть позже) представили плагин r2ghidra-dec, который нацелен именно на работу с декомпилятором и не требует установленной Ghidra, что значительно ускоряет анализ. Особенно это пригодится, когда требуется быстро посмотреть отдельные функции или вы просто фанат консоли. Помимо этого, теперь GUI для radare2 - Cutter, начиная с 1.9 версии, поставляется сразу с поддержкой этого декомпилятора и данный функционал можно попробовать уже буквально в пару кликов.
- Команда Cisco Talos представила два инструмента: GhIDA и Ghidraaas.
GhIDA - IDApython плагин для IDA Pro. Для работы требуется локально установленная Ghidra (а соотвественно и Java) или запущенный сервис Ghidraaas.
Ghidraaas - небольшой веб-сервер, который проводит анализ присланного семпла и выдает список функций с декомпилированным кодом по средством REST API. Обернут в docker.
- Разработчики фреймворка Radare2 в рамках конференции R2con 2019 (о которой мы расскажем чуть позже) представили плагин r2ghidra-dec, который нацелен именно на работу с декомпилятором и не требует установленной Ghidra, что значительно ускоряет анализ. Особенно это пригодится, когда требуется быстро посмотреть отдельные функции или вы просто фанат консоли. Помимо этого, теперь GUI для radare2 - Cutter, начиная с 1.9 версии, поставляется сразу с поддержкой этого декомпилятора и данный функционал можно попробовать уже буквально в пару кликов.
GitHub
GitHub - radareorg/radeco: radare2-based decompiler and symbol executor
radare2-based decompiler and symbol executor. Contribute to radareorg/radeco development by creating an account on GitHub.
Сводная таблица сентябрьских патчей от Microsoft + Adobe
https://www.zerodayinitiative.com/blog/2019/9/10/the-september-2019-security-update-review
https://www.zerodayinitiative.com/blog/2019/9/10/the-september-2019-security-update-review
Zero Day Initiative
Zero Day Initiative — The September 2019 Security Update Review
September is upon us and with it brings the latest security patches from Microsoft and Adobe. Take a break from your regularly scheduled activities and join us as we review the details for security patches for this month. Adobe Patches for September 2019…
Noise Security Bit
Сводная таблица сентябрьских патчей от Microsoft + Adobe https://www.zerodayinitiative.com/blog/2019/9/10/the-september-2019-security-update-review
стоит отметить что две уязвимости класса LPE (покрывающие всю линейку Windows) использовались в таргетированных атаках (по информации от ZDI) (пока детальных подробностей нет к сожалению):
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1214
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1215
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1214
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1215
После быстрого/поверхностного diff анализа CVE-2019-1215 - выглядит как double-free
Forwarded from Дмитрий Евдокимов
Всем, привет!
Напоминаем, что в самом разгаре сейчас идет CFP ZeroNights 2019 (https://01x.cfp.zeronights.ru/zn2019/). Заявки принимаются до 10 октября, но не тяните до этой даты ;) Конференция как и в том году пройдет в Санкт-Петербурге, клубе A2 12-13 ноября.
Мы уже объявили двух ключевых спикеров конференции это :
1) Alex Matrosov с темой "Hardware Security is Hard: how hardware boundaries define platform security"
2) Matt Suiche с темой "From Memory Forensics to Cloud Memory Analysis"
Совсем скоро мы уже начнем объявлять первые отобранные доклады. Для тех кто еще пока не определился стоит ли брать билет или нет - мы делаем небольшой анонс о чем будут уже отобранные доклады:
- эксплотация уязвимостей в аппаратном межсетевом экране
- hardware exploits
- исследование популярной системы удалённого доступа к рабочему столу
- новый путь борьбы с DOM XSS
- исследование реестра Windows в атакующих целях
- эксплотация Adobe Reader
- проблемы криптографии в 2k19
- взлом IoT
- эксплотация Firefox
- безопасность Electron
- атака на механизмы Java
- ...
Также планируются WebVillage, HardwareZone, DefensiveTrack и множество различных конкурсов и активностей!
Билеты уже в продаже https://zeronights.ru/#tickets
P.S. 6 октября стартанет традиционный ZeroNights HackQuest (https://hackquest.zeronights.org/) и это прекрасная возможность выиграть проходку на конференцию и отлично провести время ;)
Напоминаем, что в самом разгаре сейчас идет CFP ZeroNights 2019 (https://01x.cfp.zeronights.ru/zn2019/). Заявки принимаются до 10 октября, но не тяните до этой даты ;) Конференция как и в том году пройдет в Санкт-Петербурге, клубе A2 12-13 ноября.
Мы уже объявили двух ключевых спикеров конференции это :
1) Alex Matrosov с темой "Hardware Security is Hard: how hardware boundaries define platform security"
2) Matt Suiche с темой "From Memory Forensics to Cloud Memory Analysis"
Совсем скоро мы уже начнем объявлять первые отобранные доклады. Для тех кто еще пока не определился стоит ли брать билет или нет - мы делаем небольшой анонс о чем будут уже отобранные доклады:
- эксплотация уязвимостей в аппаратном межсетевом экране
- hardware exploits
- исследование популярной системы удалённого доступа к рабочему столу
- новый путь борьбы с DOM XSS
- исследование реестра Windows в атакующих целях
- эксплотация Adobe Reader
- проблемы криптографии в 2k19
- взлом IoT
- эксплотация Firefox
- безопасность Electron
- атака на механизмы Java
- ...
Также планируются WebVillage, HardwareZone, DefensiveTrack и множество различных конкурсов и активностей!
Билеты уже в продаже https://zeronights.ru/#tickets
P.S. 6 октября стартанет традиционный ZeroNights HackQuest (https://hackquest.zeronights.org/) и это прекрасная возможность выиграть проходку на конференцию и отлично провести время ;)
01x.cfp.zeronights.ru
ZeroNights 2019
Schedule, talks and talk submissions for ZeroNights 2019
Интересный отчет от CitezenLab в котором очень подробно рассматриваются таргетированные атаки на тибетских активистов с использованием недавно обнародованного iOS импланта
https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/
https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/
The Citizen Lab
Missing Link
This is the first documented case of one-click mobile exploits used to target Tibetan groups, and reflects an escalation in the sophistication of digital espionage threats targeting the community.
кстати, если кто-то хочет поковырять сэмпл этого импланта, то он уже был замечен на VirusTotal
https://www.virustotal.com/gui/file/0d2ee9ade24163613772fdda201af985d852ab506e3d3e7f07fb3fa8b0853560/detection
https://www.virustotal.com/gui/file/0d2ee9ade24163613772fdda201af985d852ab506e3d3e7f07fb3fa8b0853560/detection
Отличный проект для автоматизации и прототипирования разного интересного 😈 https://www.crowdsupply.com/f-secure/usb-armory-mk-ii
Crowd Supply
USB armory Mk II
A tiny, open source USB computer for security applications
Ekoparty одна из старейших и наверное самых больших конференции для исследователей в области информационной безопасности в латинской америке. Мне довелось выступить с кейнотом на открытии юбилейного 15-го по счету эвента.