HashDB is a free community-sourced library of hashing algorithms used in malware, with an IDA plugin!
API
https://hashdb.openanalysis.net/
IDA Plugin
https://github.com/OALabs/hashdb-ida
Add Custom Algorithms
https://github.com/OALabs/hashdb
@reverseengine
API
https://hashdb.openanalysis.net/
IDA Plugin
https://github.com/OALabs/hashdb-ida
Add Custom Algorithms
https://github.com/OALabs/hashdb
@reverseengine
GitHub
GitHub - OALabs/hashdb-ida: HashDB API hash lookup plugin for IDA Pro
HashDB API hash lookup plugin for IDA Pro. Contribute to OALabs/hashdb-ida development by creating an account on GitHub.
❤4
❤4
Forwarded from Fuzzing ZONE (0x0F1)
Analysis of Encryption Structure of Yurei Ransomware Go-based Builder
https://asec.ahnlab.com/en/90975/
@FUZZ0x
https://asec.ahnlab.com/en/90975/
@FUZZ0x
ASEC
Analysis of Encryption Structure of Yurei Ransomware Go-based Builder - ASEC
Analysis of Encryption Structure of Yurei Ransomware Go-based Builder ASEC
❤4
File Tunnel
https://github.com/fiddyschmitt/File-Tunnel
Bypassing a firewall:
Tunnel TCP through RDP:
@reverseengine
https://github.com/fiddyschmitt/File-Tunnel
Bypassing a firewall:
# Host A
ft.exe -L 5000:127.0.0.1:3389 --write "\\server\share\1.dat" --read "\\server\share\2.dat"
# Host B
ft.exe --read "\\server\share\1.dat" --write "\\server\share\2.dat"Tunnel TCP through RDP:
# Host A
ft.exe -L 5000:192.168.1.50:8888 --write "C:\Temp\1.dat" --read "C:\Temp\2.dat"
# Host B
ft.exe --read "\\tsclient\c\Temp\1.dat" --write "\\tsclient\c\Temp\2.dat"@reverseengine
GitHub
GitHub - fiddyschmitt/File-Tunnel: Tunnel TCP connections through a file
Tunnel TCP connections through a file. Contribute to fiddyschmitt/File-Tunnel development by creating an account on GitHub.
❤4
FlexibleFreet: macOS Malware Deploys in Fake Job Scams
https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/
@reverseengine
https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/
@reverseengine
Jamf
FlexibleFerret: macOS Malware Deploys in Fake Job Scams
Jamf Threat Labs analyzes the FlexibleFerret macOS malware, a threat that uses fake recruitment lures and social engineering to infect systems and steal credentials.
❤4
Locals متغیرهای محلی
هر متغیر محلی داخل استک فریم قرار میگیره
مثلا در C:
کامپایلر ممکنه این فریم رو بسازه:
|--------------------------|
| return address |
| previous RBP |
|--------------------------|
| a (4 bytes) |
| b (4 bytes) |
| padding (align) |
| c[10] (40 bytes) |
|--------------------------|
Saved Registers رجیسترهایی که باید ذخیره بشن
طبق ABI سه نوع register داریم:
نوعنیاز به ذخیره توسط callee
مثال
caller-savedنهRAX, RCX, RDX
callee-savedبلهRBX, RBP, R12-R15
specialبسته به شرایطRSP
پس اگر تابعی مثل این باشه:
کامپایلر باید RBX رو هم داخل فریم ذخیره کنه چون callee-saved هست
Spill slots وقتی رجیستر کم میاد
اگر تعداد متغیرها زیاد بشه رجیستر کم میاد و کامپایلر مجبور میشه بعضی مقدار ها رو داخل استک بریزه
مثلا:
برای اینا رجیستر کم میاد
میرن spill slot روی استک
Temporary space فضاهای موقت
کامپایلر برای کارهایی مثل call هایی که پارامتر زیاد دارن حافظه موقت روی استک میسازه
مثال:
ممکنه کامپایلر موقت همه رو داخل استک بچینه
Locals
Every local variable is placed in a stack frame
For example, in C:
The compiler may create this frame:
|--------------------------|
| return address |
| previous RBP |
|---------------------|
| a (4 bytes) |
| b (4 bytes) |
| padding (align) |
| c[10] (40 bytes) |
|---------------------|
Saved Registers Registers that need to be saved
According to the ABI, we have three types of registers:
Types that need to be saved by the callee
Example
caller-saved No RAX, RCX, RDX
callee-saved Yes RBX, RBP, R12-R15
special Depending on the RSP conditions
So if a function is like this:
The compiler must also store RBX in the frame because it is callee-saved
Spill slots when the register runs out
If the number of variables increases, the register runs out and the compiler is forced to push some values onto the stack
For example:
For this, the register runs out
They go to the spill slot on the stack
Temporary space Temporary spaces
The compiler creates temporary memory on the stack for tasks such as calls that have many parameters
For example:
The compiler may temporarily push everything onto the stack
@reverseengine
هر متغیر محلی داخل استک فریم قرار میگیره
مثلا در C:
void f() {
int a;
int b;
int c[10];
}
کامپایلر ممکنه این فریم رو بسازه:
|--------------------------|
| return address |
| previous RBP |
|--------------------------|
| a (4 bytes) |
| b (4 bytes) |
| padding (align) |
| c[10] (40 bytes) |
|--------------------------|
Saved Registers رجیسترهایی که باید ذخیره بشن
طبق ABI سه نوع register داریم:
نوعنیاز به ذخیره توسط callee
مثال
caller-savedنهRAX, RCX, RDX
callee-savedبلهRBX, RBP, R12-R15
specialبسته به شرایطRSP
پس اگر تابعی مثل این باشه:
void foo() {
int a;
int b;
// uses RBX
}
کامپایلر باید RBX رو هم داخل فریم ذخیره کنه چون callee-saved هست
Spill slots وقتی رجیستر کم میاد
اگر تعداد متغیرها زیاد بشه رجیستر کم میاد و کامپایلر مجبور میشه بعضی مقدار ها رو داخل استک بریزه
مثلا:
void f(int a, int b, int c, int d, int e, int f) {
....
}
برای اینا رجیستر کم میاد
میرن spill slot روی استک
Temporary space فضاهای موقت
کامپایلر برای کارهایی مثل call هایی که پارامتر زیاد دارن حافظه موقت روی استک میسازه
مثال:
printf("%d %d %d %d", a, b, c, d);
ممکنه کامپایلر موقت همه رو داخل استک بچینه
Locals
Every local variable is placed in a stack frame
For example, in C:
void f() {
int a;
int b;
int c[10];
}
The compiler may create this frame:
|--------------------------|
| return address |
| previous RBP |
|---------------------|
| a (4 bytes) |
| b (4 bytes) |
| padding (align) |
| c[10] (40 bytes) |
|---------------------|
Saved Registers Registers that need to be saved
According to the ABI, we have three types of registers:
Types that need to be saved by the callee
Example
caller-saved No RAX, RCX, RDX
callee-saved Yes RBX, RBP, R12-R15
special Depending on the RSP conditions
So if a function is like this:
void foo() {
int a;
int b;
// uses RBX
}
The compiler must also store RBX in the frame because it is callee-saved
Spill slots when the register runs out
If the number of variables increases, the register runs out and the compiler is forced to push some values onto the stack
For example:
void f(int a, int b, int c, int d, int e, int f) {
....
}
For this, the register runs out
They go to the spill slot on the stack
Temporary space Temporary spaces
The compiler creates temporary memory on the stack for tasks such as calls that have many parameters
For example:
printf("%d %d %d %d", a, b, c, d);
The compiler may temporarily push everything onto the stack
@reverseengine
❤4👍1
Red zone
فقط روی System V لینوکس/مک نه ویندوز
یک فضای 128 بایتی پایین تر از RSP که تابع بدون تغییر دادن RSP میتونه از اون استفاده کنه
ویندوز red zone نداره
همیشه فریم ساخته میشه؟
نه
مواردی که Stack Frame ساخته نمیشه:
تابع خیلی ساده باشد Leaf Function
اگر تابع هیچ تابع دیگری رو call نکنه
و رجیسترهای callee-saved رو استفاده نکنه
و متغیر محلی هم نداشته باشه
کامپایلر Frame رو حذف میکنه
مثال:
اسم این تکنیک:
Frame Omission Optimization
Red zone
Only on System V Linux/Mac, not Windows
A space 128 bytes below the RSP that a function can use without changing the RSP
Windows does not have a red zone
Is a frame always created?
No
Cases where a Stack Frame is not created:
The function is very simple Leaf Function
If the function does not call any other function
And does not use callee-saved registers
And does not have any local variables
The compiler will omit the Frame
Example:
Name of this technique:
Frame Omission Optimization
@reverseengine
فقط روی System V لینوکس/مک نه ویندوز
یک فضای 128 بایتی پایین تر از RSP که تابع بدون تغییر دادن RSP میتونه از اون استفاده کنه
ویندوز red zone نداره
همیشه فریم ساخته میشه؟
نه
مواردی که Stack Frame ساخته نمیشه:
تابع خیلی ساده باشد Leaf Function
اگر تابع هیچ تابع دیگری رو call نکنه
و رجیسترهای callee-saved رو استفاده نکنه
و متغیر محلی هم نداشته باشه
کامپایلر Frame رو حذف میکنه
مثال:
int add(int a, int b) {
return a + b;
}
اسم این تکنیک:
Frame Omission Optimization
Red zone
Only on System V Linux/Mac, not Windows
A space 128 bytes below the RSP that a function can use without changing the RSP
Windows does not have a red zone
Is a frame always created?
No
Cases where a Stack Frame is not created:
The function is very simple Leaf Function
If the function does not call any other function
And does not use callee-saved registers
And does not have any local variables
The compiler will omit the Frame
Example:
int add(int a, int b) {
return a + b;
}
Name of this technique:
Frame Omission Optimization
@reverseengine
❤4
پاک کردن واقعی True Deletion
پاک کردن واقعی تو ردزون یعنی چی
تو ردزون فقط این مهم نیست که چی میریزید رو هارد مهم ترش اینه که چی باید از بین بره که هیچ اثری ازش نمونه پاک کردن واقعی همون چیزیه که باعث میشه ریورس کاز حرفهای با فرق از آماتور شناخته بشه
چی باید حذف بشه
اهداف میانی ابزارهای مصرفی
اینها همون چیزایی ان که تو مسیر عملیات درست میشن:
فایلهای خروجی ابزارها
اسکریپتهای موقتی
DLL
های تزریقی
config
های تست
فایلهایی که فقط برای یک مرحله استفاده شدن
اینها اگه بمونن = هم لو رفتن عملیات هم باگ امنیتی
مشکل اصلی اینجاست: Windows پاک نمیکنه فقط unlink میکنه
وقتی یه فایل Delete میکنید فقط از جدول فایلها حذف میشه اما بیشتر حجم اطلاعات تو دیسک میمونه یعنی با Forensics راحت قابل ریکاوریه
پاک کردن واقعی یعنی:
پاک کردن Metadata
پاک کردن محتوا Overwriting
پاک کردن اثرهای Cached
پاک کردن Prefetch + EventLogs بعضی سناریو ها
روشهای پاک سازی
Overwrite امن
یعنی داده قدیمی با صفر/رندوم باز نویسی بشه تا برنگرده
خیلیا فکر میکنن 7-pass یا 35-pass لازمه نه!
روی SSD یک پاس رندوم هم معمولا کافیه
حذف log های بی اثر غیرسیستمی
مثلا لاگهای لوکال ابزارهایی که خودتون اجرا کردید نه سیستم
اینکار برای پاک کردن کار های خودتون طبیعی و امنه
Memory Cleanup
خیلیا حواسشون نیست ولی artifact های زیر توی RAM میمونن:
کلیدهای crypto مصرفی
بایت کد ابزار
Buffer
های network
دادههای حساس
پاک کردن حافظه یعنی:
بستن پروسه ها
پاک کردن Handle ها
Zero
کردن buffer های حساس
چیا معمولا جا میمونه؟
و باعث لو رفتن ابزار میشه
Artifact
های PowerShell History
Temp folderها
فایلهای Extract شده از Zip
Jump Listها Recent Items
Prefetch
Crash dumpها
registry keys مرتبط با ابزار یا اجرا
اینها 90٪ مواقع باعث لو رفتن میشن
True Deletion
What does true deletion mean in Redzone
In Redzone, it's not just about what you put on the hard drive, it's more important that what needs to be removed so that no trace of it remains. True deletion is what makes a professional reverse engineer different from an amateur.
What needs to be deleted
Intermediate goals of consumer tools
These are the things that are created along the way:
Tool output files
Temporary noscripts
Injected DLLs
Test configs
Files that are only used for one step
If these remain = both the operation and the security bug
The main problem here is: Windows does not delete, it only unlinks
When you delete a file, it is only deleted from the file table, but most of the information remains on the disk, which means it can be easily recovered with Forensics
True deletion means:
Erasing Metadata
Erasing content Overwriting
Clearing Cached traces
Clearing Prefetch + EventLogs Some scenarios
Clearing methods
Safe overwrite
That means overwriting old data with zero/random so that it doesn't come back
Many people think that 7-pass or 35-pass is not necessary!
On SSD, a random pass is usually enough
Delete ineffective non-system logs
For example, local logs of tools that you run yourself, not the system
This is normal and safe for clearing your own work
Memory Cleanup
Many people don't pay attention, but the following artifacts remain in RAM:
Used crypto keys
Tool bytecode
Network buffers
Sensitive data
Clearing memory means:
Closing processes
Clearing handles
Zeroing sensitive buffers
What usually remains?
And it causes tool leaks
Artifacts
PowerShell History
Temp folders
Files extracted from Zip
Jump Lists
Recent Items
Prefetch
Crash dumps
Registry keys related to the tool or execution
These cause leaks 90% of the time
@reverseengine
پاک کردن واقعی تو ردزون یعنی چی
تو ردزون فقط این مهم نیست که چی میریزید رو هارد مهم ترش اینه که چی باید از بین بره که هیچ اثری ازش نمونه پاک کردن واقعی همون چیزیه که باعث میشه ریورس کاز حرفهای با فرق از آماتور شناخته بشه
چی باید حذف بشه
اهداف میانی ابزارهای مصرفی
اینها همون چیزایی ان که تو مسیر عملیات درست میشن:
فایلهای خروجی ابزارها
اسکریپتهای موقتی
DLL
های تزریقی
config
های تست
فایلهایی که فقط برای یک مرحله استفاده شدن
اینها اگه بمونن = هم لو رفتن عملیات هم باگ امنیتی
مشکل اصلی اینجاست: Windows پاک نمیکنه فقط unlink میکنه
وقتی یه فایل Delete میکنید فقط از جدول فایلها حذف میشه اما بیشتر حجم اطلاعات تو دیسک میمونه یعنی با Forensics راحت قابل ریکاوریه
پاک کردن واقعی یعنی:
پاک کردن Metadata
پاک کردن محتوا Overwriting
پاک کردن اثرهای Cached
پاک کردن Prefetch + EventLogs بعضی سناریو ها
روشهای پاک سازی
Overwrite امن
یعنی داده قدیمی با صفر/رندوم باز نویسی بشه تا برنگرده
خیلیا فکر میکنن 7-pass یا 35-pass لازمه نه!
روی SSD یک پاس رندوم هم معمولا کافیه
حذف log های بی اثر غیرسیستمی
مثلا لاگهای لوکال ابزارهایی که خودتون اجرا کردید نه سیستم
اینکار برای پاک کردن کار های خودتون طبیعی و امنه
Memory Cleanup
خیلیا حواسشون نیست ولی artifact های زیر توی RAM میمونن:
کلیدهای crypto مصرفی
بایت کد ابزار
Buffer
های network
دادههای حساس
پاک کردن حافظه یعنی:
بستن پروسه ها
پاک کردن Handle ها
Zero
کردن buffer های حساس
چیا معمولا جا میمونه؟
و باعث لو رفتن ابزار میشه
Artifact
های PowerShell History
Temp folderها
فایلهای Extract شده از Zip
Jump Listها Recent Items
Prefetch
Crash dumpها
registry keys مرتبط با ابزار یا اجرا
اینها 90٪ مواقع باعث لو رفتن میشن
True Deletion
What does true deletion mean in Redzone
In Redzone, it's not just about what you put on the hard drive, it's more important that what needs to be removed so that no trace of it remains. True deletion is what makes a professional reverse engineer different from an amateur.
What needs to be deleted
Intermediate goals of consumer tools
These are the things that are created along the way:
Tool output files
Temporary noscripts
Injected DLLs
Test configs
Files that are only used for one step
If these remain = both the operation and the security bug
The main problem here is: Windows does not delete, it only unlinks
When you delete a file, it is only deleted from the file table, but most of the information remains on the disk, which means it can be easily recovered with Forensics
True deletion means:
Erasing Metadata
Erasing content Overwriting
Clearing Cached traces
Clearing Prefetch + EventLogs Some scenarios
Clearing methods
Safe overwrite
That means overwriting old data with zero/random so that it doesn't come back
Many people think that 7-pass or 35-pass is not necessary!
On SSD, a random pass is usually enough
Delete ineffective non-system logs
For example, local logs of tools that you run yourself, not the system
This is normal and safe for clearing your own work
Memory Cleanup
Many people don't pay attention, but the following artifacts remain in RAM:
Used crypto keys
Tool bytecode
Network buffers
Sensitive data
Clearing memory means:
Closing processes
Clearing handles
Zeroing sensitive buffers
What usually remains?
And it causes tool leaks
Artifacts
PowerShell History
Temp folders
Files extracted from Zip
Jump Lists
Recent Items
Prefetch
Crash dumps
Registry keys related to the tool or execution
These cause leaks 90% of the time
@reverseengine
❤4👍1
Richkware a framework for building Windows malware, written in C++
https://forum.reverse4you.org/t/richkware-a-framework-for-building-windows-malware-written-in-c/17103
@reverseengine
https://forum.reverse4you.org/t/richkware-a-framework-for-building-windows-malware-written-in-c/17103
@reverseengine
R0 CREW
Richkware a framework for building Windows malware, written in C++
Denoscription Richkware is a library of network and OS functions, that you can use to create malware. The composition of these functions permits the application to assume behaviors referable to the following types of malware: Virus Worms Bot Spyware Keylogger…
❤4👍1
IDA Pattern Search is a plugin that adds a capability of finding functions according to bit-patterns into the well-known IDA Pro
https://forum.reverse4you.org/t/idapatternsearch-adds-a-capability-of-finding-functions-according-to-bit-patterns/17209
@reverseengine
https://forum.reverse4you.org/t/idapatternsearch-adds-a-capability-of-finding-functions-according-to-bit-patterns/17209
@reverseengine
R0 CREW
IDAPatternSearch adds a capability of finding functions according to bit-patterns
IDA Pattern Search is a plugin that adds a capability of finding functions according to bit-patterns into the well-known IDA Pro disassembler based on Ghidra’s function patterns format. Using this plugin, it is possible to define new patterns according to…
❤4👍1
Tickling VMProtect with LLVM
https://forum.reverse4you.org/t/tickling-vmprotect-with-llvm/16980
@reverseengine
https://forum.reverse4you.org/t/tickling-vmprotect-with-llvm/16980
@reverseengine
R0 CREW
Tickling VMProtect with LLVM
This series of posts delves into a collection of experiments I (fvrmatteo) did in the past while playing around with LLVM and VMProtect. I recently decided to dust off the code, organize it a bit better and attempt to share some knowledge in such a way that…
❤4👍1
Nim implementation of Process Hollowing using syscalls
https://github.com/snovvcrash/NimHollow
@reverseengine
https://github.com/snovvcrash/NimHollow
@reverseengine
❤1
iOS Tweak Development
Part1 https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
Part2 https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
Part3 https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
Part4 https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html
@reverseengine
Part1 https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
Part2 https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
Part3 https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
Part4 https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html
@reverseengine
❤1
Powerful automated tool for reverse engineering Unity IL2CPP binaries
https://github.com/djkaty/Il2CppInspector
@reverseengine
https://github.com/djkaty/Il2CppInspector
@reverseengine
GitHub
GitHub - djkaty/Il2CppInspector: Powerful automated tool for reverse engineering Unity IL2CPP binaries
Powerful automated tool for reverse engineering Unity IL2CPP binaries - djkaty/Il2CppInspector
❤5
بخش یازدهم بافر اورفلو
تست کنترل کامل RIP/EIP
میخوایم به برنامه بگیم که میتونیم RIP/EIP رو کنترل کنیم
یعنی کاری کنیم که مقدار ریجستر بشه 0x42424242 یا 4222222 هگز معادل BBBB
اگه این مرحله موفق بشه یعنی:
ما وارد مغز برنامه شدیم
از اینجا به بعد میتونیم مسیر اجرای برنامه رو خودمون تعیین کنیم
ساختن ورودی تست کنترل
الان باید یه ورودی بسازیم که:
112 کاراکتر اول هرچی مثلا “A”
جای RIP 4 تا کاراکتر “B”
چون “B” در ASCII میشه 0x42 پس RIP باید بشه 0x42424242
برای مثال پایتونی ساده:
from pwn import *
offset = 112
payload = b"A" * offset
payload += b"B" * 8
برای 64bit معمولا 8 بایت برای 32bit چهار بایت
print(payload)
اجرای برنامه با پیلود کنترل
برنامه رو اجرا میکنیم:
./vuln $(python3 exploit.py)
یا اگر ورودی از stdin میخواد:
python3 exploit.py | ./vuln
چک کردن اینکه RIP کنترل شده
داخل gdb:
(gdb) run < <(python3 exploit.py)
(gdb) info registers
اگر همه چی درست باشه باید ببینید:
RIP: 0x4242424242424242
یا تو نسخه 32bit:
EIP: 0x42424242
Part 11 Buffer Overflow
Full RIP/EIP Control Test
We want to tell the program that we can control RIP/EIP
That is, we make the register value 0x42424242 or 4222222 hex equivalent to BBBB
If this step is successful, it means:
We have entered the brain of the program
From here on, we can determine the path of the program execution ourselves
Creating a control test input
Now we need to create an input that:
The first 112 characters of anything, for example “A”
Instead of RIP, 4 characters “B”
Since “B” is 0x42 in ASCII, then RIP should be 0x42424242
For a simple Python example:
from pwn import *
offset = 112
payload = b"A" * offset
payload += b"B" * 8
For 64bit, usually 8 bytes, for 32bit, four Byte
print(payload)
Running the program with the control payload
We run the program:
./vuln $(python3 exploit.py)
Or if it asks for input from stdin:
python3 exploit.py | ./vuln
Checking that RIP is controlled
Inside gdb:
(gdb) run < <(python3 exploit.py)
(gdb) info registers
If everything is correct you should see:
RIP: 0x4242424242424242
Or in 32bit version:
EIP: 0x42424242
@reverseengine
❤5
Malware analysis of Sepsis ransomware:
Analysis of malware attacked bank X customers:
Unpacking UPX manually:
Analysis of simple obfuscated office malware:
@reverseengine
https://www.reddit.com/r/MalwareAnalysis/comments/bgf71t/malware_analysis_of_sepsis_ransomware/
Analysis of malware attacked bank X customers:
https://www.reddit.com/r/MalwareAnalysis/comments/bgqz7m/analysis_of_malware_attacked_bank_x_customers/
Unpacking UPX manually:
https://www.reddit.com/user/Thatskriptkid/comments/c3csyd/unpacking_upx_manually/
Analysis of simple obfuscated office malware:
https://www.reddit.com/r/MalwareAnalysis/comments/bxvw1j/analysis_of_simple_obfuscated_office_malware/
@reverseengine
Reddit
From the MalwareAnalysis community on Reddit: Malware analysis of Sepsis ransomware
Explore this post and more from the MalwareAnalysis community
❤5
Introducing Lumen Server Protocol
A private Lumina server for IDA Pro
Investigating IDA Lumina Feature
Local server for IDA Lumina feature
@reverseengine
https://abda.nl/posts/introducing-lumen/
A private Lumina server for IDA Pro
https://github.com/naim94a/lumen
Investigating IDA Lumina Feature
https://www.synacktiv.com/en/publications/investigating-ida-lumina-feature.html
Local server for IDA Lumina feature
https://github.com/synacktiv/lumina_server
@reverseengine
abda.nl
Introducing Lumen
Lumen - A private Lumina server for IDA Pro
❤5
Forwarded from GO-TO CVE
CVE-2025-32433-week-79.pdf
219.4 KB
🎯 Week 79 — CVE‑2025‑32433 — Erlang/OTP SSH — Pre‑Auth RCE
🔹 CVE: CVE‑2025‑32433
🔹 Type: Remote Code Execution (pre‑authentication flaw in Erlang/OTP SSH server)
🔹 Impact: Full system compromise via crafted SSH messages — no credentials required
🔹 Fixed in: OTP‑27.3.3 / OTP‑26.2.5.11 / OTP‑25.3.2.20
🔹 Action: Patch immediately or disable SSH / restrict access by firewall
Exploit
#week_79
🔹 CVE: CVE‑2025‑32433
🔹 Type: Remote Code Execution (pre‑authentication flaw in Erlang/OTP SSH server)
🔹 Impact: Full system compromise via crafted SSH messages — no credentials required
🔹 Fixed in: OTP‑27.3.3 / OTP‑26.2.5.11 / OTP‑25.3.2.20
🔹 Action: Patch immediately or disable SSH / restrict access by firewall
Exploit
#week_79
❤5