What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2013-08-27 17:26:05 | A-t-il exécuté? Did It Execute? (lien direct) |
Vous avez trouvé un exécutable malveillant!Maintenant, vous avez une question cruciale à répondre: le fichier a-t-il exécuté?Nous discuterons de quelques sources de preuves que vous pouvez utiliser pour répondre à cette question.Dans cet article, nous nous concentrerons sur la criminalistique statique ou "Driv Drive" sur les systèmes Windows.Nous couvrirons quatre principales sources de preuves: la pré-feste Windows, le registre, les fichiers journaux et les informations de fichier.
Préfet
La préfet de Windows est un bon endroit pour commencer à rechercher des preuves de l'exécution des fichiers.Microsoft a conçu la préfet de Windows pour permettre aux programmes couramment utilisés d'ouvrir plus rapidement.Par défaut, il stocke les informations pour le dernier
You found a malicious executable! Now you\'ve got a crucial question to answer: did the file execute? We\'ll discuss a few sources of evidence you can use to answer this question. In this post, we will focus on static or "dead drive" forensics on Windows systems. We will cover four main sources of evidence: Windows Prefetch, Registry, Log Files, and File Information. Prefetch Windows Prefetch is a good place to begin looking for evidence of file execution. Microsoft designed Windows Prefetch to allow commonly used programs to open faster. By default, it stores information for the last |
★★★★ | ||
|
2013-08-09 03:00:00 | Briser la coque Web de China Chopper - Partie II Breaking Down the China Chopper Web Shell - Part II (lien direct) |
Partie II dans une série en deux parties.Lire Partie I .
Introduction
dans Partie I De cette série, j'ai décrit l'interface facile à utiliser et les fonctionnalités avancées de China Chopper \\ - d'autant plus remarquables en considérant la petite taille de la coquille web \\: 73 octets pourLa version ASPX, 4 kilobytes sur le disque.Dans cet article, j'expliquerai la polyvalence de la plate-forme de China Hopper \\, les mécanismes de livraison, les modèles de trafic et la détection.J'espère que armé de ces informations, vous pouvez éradiquer ce ravageur de votre environnement.
plate-forme
Alors, sur quelle plateforme China Chopper peut-il fonctionner?Tout serveur Web capable d'exécuter JSP, ASP
Part II in a two-part series. Read Part I. Introduction In Part I of this series, I described China Chopper\'s easy-to-use interface and advanced features - all the more remarkable considering the Web shell\'s tiny size: 73 bytes for the aspx version, 4 kilobytes on disk. In this post, I\'ll explain China Chopper\'s platform versatility, delivery mechanisms, traffic patterns, and detection. My hope is that armed with this information, you can eradicate this pest from your environment. Platform So what platform can China Chopper run on? Any Web server that is capable of running JSP, ASP |
★★★★ | ||
|
2013-08-07 03:00:00 | Briser la coque Web de China Chopper - Partie I Breaking Down the China Chopper Web Shell - Part I (lien direct) |
Partie I dans une série en deux parties.
Chine Chine: le petit malware qui pourrait
China Chopper est un petit shell lisse qui ne reçoit pas suffisamment d'exposition et de crédit pour sa furtivité.À part un bon article de blog De la chercheuse en sécurité Keith Tyler, nous pourrions trouver peu d'informations utilesSur China Chopper lorsque nous l'avons rencontré lors d'un engagement de réponse aux incidents.Donc, pour contribuer quelque chose de nouveau à la base de connaissances publique - en particulier pour ceux qui trouvent la charge utile côté serveur China Chopper sur l'un de leurs serveurs Web - nous avons étudié les composants, les capacités, les attributs de charge utile
Part I in a two-part series. China Chopper: The Little Malware That Could China Chopper is a slick little web shell that does not get enough exposure and credit for its stealth. Other than a good blog post from security researcher Keith Tyler, we could find little useful information on China Chopper when we ran across it during an incident response engagement. So to contribute something new to the public knowledge base - especially for those who happen to find the China Chopper server-side payload on one of their Web servers - we studied the components, capabilities, payload attributes |
Malware | ★★★★ | |
|
2013-06-19 09:00:00 | Application des types de fonctions aux champs de structure en IDA Applying Function Types to Structure Fields in IDA (lien direct) |
IDA Pro est livré avec un tableau incroyablement utile d'informations de type recueillies à partir de divers compilateurs.Chaque fois qu'un utilisateur nomme un emplacement, IDA recherche ses bibliothèques de type actuellement chargées pour voir si ce nom est une fonction connue.Si la fonction est trouvée, IDA applique la déclaration de fonction à cet emplacement.Par exemple, la figure 1 montre un tableau de DWORD.Pendant l'ingénierie inverse, j'ai déterminé que ce sont des pointeurs de fonction vers les fonctions de l'API SDK MS.
Nommer l'emplacement avec le nom de la fonction correspondant fait qu'IDA applique automatiquement les informations de type.La figure 2 montre le résultat de
IDA Pro comes with an incredibly useful array of type information gathered from various compilers. Whenever a user names a location, IDA searches its currently loaded type libraries to see if that name is a known function. If the function is found, IDA applies the function declaration to that location. For example, Figure 1 shows an array of DWORDS. During reverse engineering, I determined that these are function pointers to MS SDK API functions. Naming the location with the corresponding function name causes IDA to automatically apply the type information. Figure 2 shows the result of |
★★★ | ||
|
2013-04-23 00:30:00 | Rappels de logiciels malveillants Malware Callbacks (lien direct) |
Aujourd'hui, nous avons publié notre premier Analyse des rappels de logiciels malveillants .
Fireeye a surveillé plus de 12 millions de communications de logiciels malveillants à la recherche d'instructions - ou des rappels - accessible à des centaines de milliers d'hôtes d'entreprise infectés, capturant les détails des attaques avancées ainsi que des variétés plus génériques au cours de 2012.Les intentions, les intérêts et l'emplacement géographique d'un attaquant.Les cyberattaques sont une activité mondiale répandue.Nous avons créé des cartes interactives qui mettent en évidence la présence de logiciels malveillants à l'échelle mondiale: http://www.fireeye.com/cyber-Attack-Landscape /
Today we released our first-ever analysis of malware callbacks. FireEye monitored more than 12 million malware communications seeking instructions-or callbacks-across hundreds of thousands of infected enterprise hosts, capturing details of advanced attacks as well as more generic varieties during the course of 2012. Callback activity reveals a great deal about an attacker\'s intentions, interests and geographic location. Cyber attacks are a widespread global activity. We\'ve built interactive maps that highlight the presence of malware globally: http://www.fireeye.com/cyber-attack-landscape/ |
Malware Technical | ★★★ | |
|
2013-02-19 07:00:45 | Mandiant expose APT1 & # 8211;L'une des unités de cyber-espionnage de Chine et libère 3 000 indicateurs Mandiant Exposes APT1 – One of China\\'s Cyber Espionage Units & Releases 3,000 Indicators (lien direct) |
Aujourd'hui, le Mandiant & Reg;Intelligence Center ™ a publié un rapport sans précédent Exposer la campagne d'espionnage informatique de l'APT1 \\ à l'échelle de l'entreprise.APT1 est l'une des dizaines de groupes de menaces, des pistes mandiantes du monde entier et nous le considérons comme l'un des plus prolifiques en termes de quantité d'informations qu'elle a volée.
Les faits saillants du rapport incluent:
Preuve liant APT1 au 2e Bureau de la Chine de la Chine du Département général de l'Armée de libération (PLA) \'s (GSD) 3e département (désignateur de couverture militaire 61398).
Une chronologie de l'espionnage économique de l'APT1 réalisée depuis 2006
Today, The Mandiant® Intelligence Center™ released an unprecedented report exposing APT1\'s multi-year, enterprise-scale computer espionage campaign. APT1 is one of dozens of threat groups Mandiant tracks around the world and we consider it to be one of the most prolific in terms of the sheer quantity of information it has stolen. Highlights of the report include: Evidence linking APT1 to China\'s 2nd Bureau of the People\'s Liberation Army (PLA) General Staff Department\'s (GSD) 3rd Department (Military Cover Designator 61398). A timeline of APT1 economic espionage conducted since 2006 |
Threat | APT 1 | ★★★★ |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ | |
|
2011-07-20 23:05:35 | Déchirant le registre de Windows avec un réglage de Python Tearing up the Windows Registry with python-registry (lien direct) |
Récemment, je voulais creuser profondément dans un artefact médico-légal résidant dans le registre de Windows.Pour rendre la tâche plus intéressante, je me suis mis au défi d'utiliser uniquement des outils natifs de mon système d'exploitation préféré: Linux.J'ai été rapidement déçu, cependant, car il y a peu d'outils ouverts et multiplateformes pour le registre de Windows Registry au-delà du registre Win32 :: de Perl \\.J'ai donc écrit un outil pour combler ce vide à l'aide de Python - mon langage de programmation préféré.Python-Registry est le résultat de cet effort et offre un accès pratique aux fichiers de registre Windows.Puisqu'il est pur python, il peut être utilisé sur tous les principaux
Recently, I wanted to dig deep into a forensic artifact resident in the Windows Registry. To make the task more interesting, I challenged myself to use only tools native to my favorite operating system: Linux. I was quickly disappointed, however, as there are few open and cross-platform tools for Windows Registry forensics beyond Perl\'s Win32::Registry. So, I wrote a tool to fill this void using Python - my favorite programming language. Python-registry is the result of this effort, and provides convenient access to Windows Registry files. Since it is pure Python, it can be used on all major |
Tool Technical | ★★★★ | |
|
2010-09-23 12:06:18 | Chasser les serveurs CNC - Faux positifs Chasing CnC Servers - False positives (lien direct) |
Dans mon dernier article, j'ai discuté à quel point il peut être difficile de suivre les botnets via leurs serveurs de commande et de contrôle (CNC).Mon dernier article était plus axé sur l'aspect faux négatifs (détections manquées) de cette approche.Aujourd'hui, je vais discuter en détail du problème de faux positifs (alertes / détections incorrectes).
Le suivi des botnets via les serveurs CNC nécessite quelques hypothèses.L'une de ces hypothèses est que "chaque CNC est une mauvaise ressource ou se distingue au moins des bonnes".Ce n'est pas complètement vrai.Cela semble étrange?Laissez-moi expliquer.
Il existe de nombreux cas possibles où un CNC
In my last article, I discussed how tricky it can be to track botnets through their command and control (CnC) servers. My last article was more focused on the false negatives (missed detections) aspect of this approach. Today, I will discuss the false positive (incorrect alerts/detections) issue in detail. Tracking botnets through the CnC servers requires a few assumptions. One such assumption is that "every CnC is a bad resource or is at least distinguishable from the good ones". That\'s not completely true. Sounds strange? Let me explain. There are many possible cases where a CnC |
★★★★ | ||
|
2010-08-16 10:16:00 | Inversion de la commande et du contrôle des logiciels malveillants: des sockets au com Reversing Malware Command and Control: From Sockets to COM (lien direct) |
Sur un hôte Windows, il existe plus d'une façon pour qu'un programme communique sur Internet.Lors de l'ingénierie inverse d'un malware, il est d'une importance cruciale de comprendre quelle API est utilisée et comment elle fonctionne afin que vous puissiez comprendre les données envoyées et reçues ainsi que la structure de commande et le protocole interne le cas échéant.Le choix de l'API de réseautage affecte également la façon dont vous élaborez vos indicateurs (plus à ce sujet plus tard).Je brise les communications de commande et de contrôle des logiciels malveillants Windows en quatre catégories d'API: sockets, wininet, urlmon et com.L'objectif principal de ce
On a Windows host there is more than one way for a program to communicate across the internet. When reverse engineering a piece of malware it is of critical importance to understand what API is being used and how it works so that you may gain an understanding of the data sent and received as well as command structure and internal protocol if applicable. The choice of networking API also effects how you craft your indicators (more on this later). I break Windows Malware Command and Control communications into four API categories: Sockets, WinInet, URLMon and COM. The primary focus of this |
Malware | ★★★ | |
|
2010-07-15 16:13:00 | Persistance des logiciels malveillants sans le registre Windows Malware Persistence without the Windows Registry (lien direct) |
Pour qu'un attaquant maintienne un pied dans votre réseau, il installera généralement un malware de mal de porte dérobée sur au moins un de vos systèmes.Le malware doit être installé de manière persistante, ce qui signifie qu'elle restera active en cas de redémarrage.La plupart des techniques de persistance sur une plate-forme Microsoft Windows impliquent l'utilisation du registre.Les exceptions notables incluent le dossier de démarrage et les binaires du système de trojanisation.L'examen des emplacements de persistance des logiciels malveillants dans le registre Windows et les emplacements de démarrage est une technique courante utilisée par les enquêteurs médico-légaux pour identifier les logiciels malveillants sur un
For an attacker to maintain a foothold inside your network they will typically install a piece of backdoor malware on at least one of your systems. The malware needs to be installed persistently, meaning that it will remain active in the event of a reboot. Most persistence techniques on a Microsoft Windows platform involve the use of the Registry. Notable exceptions include the Startup Folder and trojanizing system binaries. Examining malware persistence locations in the Windows Registry and startup locations is a common technique employed by forensic investigators to identify malware on a |
Malware | ★★★★ | |
|
2010-06-16 12:35:03 | Historien du Web: rechargé Web Historian: Reloaded (lien direct) |
Nous avons été occupés ici sur l'agent d'équipe de Mandiant.Dans l'esprit de notre soutien de longue date des logiciels libres dans la communauté des réponses aux incidents, nous sommes heureux d'annoncer la sortie de Historian 2.0 .Cette version est une réécriture et une refonte complètes de notre outil d'extraction d'historique Web très populaire.Cette version de l'historien Web est livrée avec des fonctionnalités et prend en charge les versions Firefox 2/3 +, Chrome 3+ et Internet Explorer 5 à 8. Voici un rapide délabrement de certaines des nouvelles fonctionnalités:
Collecte l'histoire du Web, l'historique des cookies, l'historique de téléchargement de fichiers et l'historique des formulaires dans les ensembles de données
Simple
We\'ve been busy here on team agent at MANDIANT. In the spirit of our long-standing support of free software in the Incident Response community, we are happy to announce the release of Web Historian 2.0. This release is a complete rewrite and revamp of our very popular web history extraction tool. This version of Web Historian comes packed with features and supports Firefox 2/3+, Chrome 3+, and Internet Explorer versions 5 through 8. Here is a quick run-down of some of the new features: Collects web history, cookie history, file download history, and form history into data sets Simple |
General Information | ★★ |
To see everything:
Our RSS (filtrered)
