d3k4z

жалко че не я довърших тая тема. В крайна сметка вируса се оказа RAT за windows 7, но беше packed. Та да дам малко акъл и аз. Когато се пише malware се използват различни техники за да се предпази гадината от reverse engineering и anti virus software, като идеята е да се скрие зловредния код. Аз познвам 3 вида такива (може и да са повече): Packers, Crypterrs и Protectors. 1. Пакерите се софтуер който динамично се разархивира(unpack) в паметта след стартиране. 2. Криптерите са следващото ниво. Кода е криптиран и това прави static binary analysis невъзможен, отново трябва да се разархивира в runtime за да се стигне до същноста на операцийте на този вирус. 3. Протекторите обикновено са комбинации от 1 и 2, за да те затруднят още повече при reverse engineering-a. Като в последно време чух че има и някакви който използват custom техники на виртуализация и така си обфускират дори сета от инструкции които използват, изправяйки анализатора пред още проблеми. трябва да си разчетеш, из нета има доста материал по темата. A ако обичаш да четеш: Practical Malware Analysis съсдърша много полезна информация за reverse engineering и malware разработки.

за апликейшън ниво ти трябва web app firewall WAF, nginx работи много добре с naxsi. Но както каза @tatul, добре е да сложиш един fail2ban. Оттдам нататък може да сложиш някакъв cloudflare ако не ти пука за клиентите и т.н.

не го намирам това като термин. Може би говориш за https://hstspreload.org/ което пак си става през HSTS header, само че браузъра си го слага автоматично и не чака на уеб сървъра да му го предложи. Evilginx не работи така... той не използва *.facebook.com като домейн. Трябва ти регистриран домейн, например: ctf.bg, evilginx че регистрира api.facebook-loginportal.fb-passport.auth-server.facebook.cluster1.oid.eu-west1-germany.fwrule.ctf.bg, ще пусне уеб сървър, ще му сложи LetsEncrypt. Идеята на софтуера е да прави клонинги на целта(примерно facebook.com), и да служи за прокси на заявките. За да може накрая да вземе - username, password + session cookie.

Добре дошъл в 2019г. sslstrip, mitmproxy, bettercap, bettercap2 няма да работят ако апликаците/браузъри/протоколи правят SSL verification. Това означава че се прави валидация на сертификата: кой го е издал/подписал? валиден ли е? trusted ли е? etc. Ако уеб сървъра, например на фб изпраща 'Strict-Transport-Security' --> https://lmgtfy.com/?q=hsts ~ $ curl -I https://facebook.com HTTP/2 301 location: https://www.facebook.com/ strict-transport-security: max-age=15552000; preload content-type: text/html; charset="utf-8" x-fb-debug: 7OgezS7+3VKFfDqw55PgiqSoJbOhYW4nG90dDQu9+le+waXTVGtPXzCAKrcFyGISwATw2PWz1eHd34XqftOXuQ== content-length: 0 date: Wed, 07 Aug 2019 12:43:53 GMT това ще можеш да го заобиколиш само ако жертвата има инсталиран сертификата който използва sslstrip, което е малко вероятно. Допълнително, мобилни приложения и новите стрийминг протоколи (например MQTT) правят Certificate Pinning по default. Което верифицира сървъра към който се свързват Ако искаш да събираш фб пароли и сесии трябва да бъдеш малко по креативен. Например като използваш bettercap2 + cloud сървър с evilginx2 (https://lmgtfy.com/?q=evilginx2) и да пренасочваш домейните към този сървър (не към локален уеб сървър), на който му трябва external ip за да си вземе LetsEncrypt. Един прЕател ми каза!

OSEE на offsec може да се в вземе само в шатите. По време на BlackHat. В европа може да се запишеш за обучение от Corelan https://www.corelan.be/ . Това е най-близкото до този сертификат.

Тази седмица е бележитa - IDA току що беше пенсионирана със специалното участие на NSA. За тези който незнаят, IDA е най-пълния туул за reverse engineering, и най-скъпия съответно. Като една от най-важните му функции беше ASSEMBLY към pseudo C decompilation -XRay модула. Днес NSA рилийзнаха техния туул open source- ghidra ['идра] https://ghidra-sre.org/. Не съм му направил пълен анализ но на пръв прочит, виждам няколко неща: - Промяна в един от прозорците, афектира веднага всички различни view-та на програмата; - Модула на за декомпилация се чете (според мен) с една идея по добре от този на IDA; Днес ще опитам да видя как се получава динамичния анализ и да мина през документацията . !!! В гит-а се намира development версия на програмата. Тряба да едитнете конфигурационните файлове за да изключите JVM debug mode. Иначе сте уязвими на RCE. Нищо ново, джавата така си работи.

Тежка е короната на модераторите

Съжалявам, но аз не го намирам за смешно избощо. Естествено че би било превъзходно всички термини от технологиите да имат аналог и всички да пишем на български, но това не винаги е така. Аз на български пиша почти и само в този форум, в професионалната ми кариера нямам нито един доклад писан на български, тъй че не смятам че използването на чуждици е голям проблем - толкова си мога, и смятам че е пропуск че в България все още се преподават технологии на български език а не на англиийски. Та, да си пишем кой както иска

Тоя VB много грозен. На мен ми се наложи нещо такова да правя и използвах https://openpyxl.readthedocs.io/en/stable/ python библиотека. Ако си пренапишеш на python това което ти трябва и пак имаш проблем, сигурно ще може да ти се помогне.

Nessus, Burp Pro, FF observatory

поканата си я вземаш сам. това е първия чалиндж.

https://github.com/berzerk0/Probable-Wordlists ето едно интересно репо.

hackthebox.eu <--- това е hype в момента.

hmm, you know what you did there....