Hacking Archives - Security News

Steganography Online Codec

18 maja 2025 przez bartek

Mój darmowy tool Steganography Online Codec dostał małą aktualizację, pozwalającą na automatyczną konwersję obrazów wykorzystujących ograniczoną paletę barw (np. 256) do formatu RGB, tak żeby można było upchać ukryte bity w składowych kolorów pixeli.

Co to jest steganografia?

Dla nieobeznanych, co to jest? Narzędzie do ukrywania zaszyfrowanych wiadomości w obrazkach i zdjęciach w składowych kolorów RGB pixeli z obrazka (w ich najmniej znaczących bitch tzw. LSB least significant bits), tak, że jest to niewidoczne dla oka w porównaniu z oryginalnym obrazkiem.

Steganography Online Codec — Źródło: Steganography and Cybercriminals: Hidden in Plain Sight

Jeszcze nie doczekałem się żadnego praktycznego ataku na moje metody kodowania w tym narzędziu, a było użyte (jako jeden ze stage’ów) w crypto-puzzle, gdzie nagroda wynosiła 20.000 USD.

Dla kogo jest steganografia?

Jeśli chcesz przemycić jakieś dane na froncie wojennym, jesteś reporterem i chcesz ukryć dane w niepozornym obrazku z wakacji lub po prostu interesujesz się steganografią – zajrzyj, to nic nie kosztuje.

Licznik użyć wskazuje na dzień dzisiejszy całkowitą ilość kodowań i dekodowań na 66478, całkiem sporo osób mu zaufało.

PS. W trakcie prac jest wersja okienkowa, konsolowa i WebAPI.

Steganografia w tekście UNICODE

29 stycznia 2025 przez bartek

Tego jeszcze nie widziałem, steganografia wykorzystująca kodowanie UNICODE, pozwalająca ukryć wiadomość w znakach o zerowej szerokości. Ciężko to opisać, lepiej zobaczyć w akcji:

https://stegcloak.surge.sh

Przykładowa zakodowana wiadomość

Ha ‍‍⁡‌⁤‍⁤⁡‍‍⁢⁡⁣⁢‌⁢⁡‌⁢‌‍⁢⁡‌⁤⁢⁡⁣‍‌‍⁢‍⁡‌‍⁣⁡⁢‍⁢⁤‌‍‍‍‌⁤‌⁡⁢⁤⁢‌⁡⁢‌‍‍⁢‌⁡⁢⁢⁡‍⁡‍⁢‌‍⁤⁢‍‍⁢⁡‌⁡‍⁢‌‍⁡⁣⁢‌‍‌‍⁡⁢⁤‌⁢⁢⁢⁤‍‌⁢⁢⁡⁢⁡⁣⁢⁢‍⁡⁢‌⁤⁡⁢⁣⁢‍⁣‌⁡‍⁡⁣‍‌⁢⁡⁢⁢‍⁡‍‌‍‍‌⁢⁣‌‍⁤‍‍‌⁢⁡‍⁢⁤⁡‍⁣⁣⁡‌⁡⁣‍‍‌⁡⁢⁡‌⁢⁡‌⁢‍⁣⁡‌⁤‌⁤⁣‍⁡‍⁢⁢⁢‌‍⁡‌⁡⁢⁡‍‍⁢‍⁡⁢⁡‌⁡⁢‍‌⁢‍‍⁤⁢‍⁢⁡⁣‍⁢‍⁢‍ha!

Hasło:

secnews.pl

Dla zrozumienia co znajduje się w zakodowanej wiadomości, można wrzucić tekst po zakodowaniu do:

https://onlinetools.com/unicode/convert-unicode-to-hex

Zobaczymy wtedy, że w środku nie znajduje się „Ha ‍‍⁡‌⁤‍⁤⁡‍‍⁢⁡⁣⁢‌⁢⁡‌⁢‌‍⁢⁡‌⁤⁢⁡⁣‍‌‍⁢‍⁡‌‍⁣⁡⁢‍⁢⁤‌‍‍‍‌⁤‌⁡⁢⁤⁢‌⁡⁢‌‍‍⁢‌⁡⁢⁢⁡‍⁡‍⁢‌‍⁤⁢‍‍⁢⁡‌⁡‍⁢‌‍⁡⁣⁢‌‍‌‍⁡⁢⁤‌⁢⁢⁢⁤‍‌⁢⁢⁡⁢⁡⁣⁢⁢‍⁡⁢‌⁤⁡⁢⁣⁢‍⁣‌⁡‍⁡⁣‍‌⁢⁡⁢⁢‍⁡‍‌‍‍‌⁢⁣‌‍⁤‍‍‌⁢⁡‍⁢⁤⁡‍⁣⁣⁡‌⁡⁣‍‍‌⁡⁢⁡‌⁢⁡‌⁢‍⁣⁡‌⁤‌⁤⁣‍⁡‍⁢⁢⁢‌‍⁡‌⁡⁢⁡‍‍⁢‍⁡⁢⁡‌⁡⁢‍‌⁢‍‍⁤⁢‍⁢⁡⁣‍⁢‍⁢‍ha!” tylko cały zakodowany fragment:

Naprawdę ciekawe i innowacyjne narzędzie w dodatku z pełnymi kodami źródłowymi, polecam:

https://github.com/KuroLabs/stegcloak

Jak LinkedIn wykrywa boty?

19 sierpnia 2024 przez bartek

Ciekawa techniczna analiza, w jaki sposób LinkedIn wykrywa tzw. click-boty oraz rozszerzenia przeglądarek automatyzujące aktywność na LinkedIn.

BAMF Expert Guest Post: LinkedIn Automation Safety (Insights from the Developer of an Automation Tool That Was Detected)

Anti-debugging, anti-VM, anti-sanbox i anti-CPU emulator

11 lutego 2024 przez bartek

Wydałem kilka dni temu ulepszoną wersję mojego obufscatora dla języka autoit, czyli AutoIt Obfuscator. Dodane zostało wstrzykiwanie kodu do detekcji wielu narzędzi służących do reversingu i analizy zabezpieczonych skryptów.

Wykrywaj debuggery, wirtualne maszyny, piaskownice (tzw. sandbox) i emulatory CPU w skryptach AutoIt.

Wstrzykiwany kod jest automatycznie wykonywany zaraz na początku działania skryptów i w razie pozytywnej detekcji jakiegokolwiek narzędzia – cicho kończy działanie skryptu, bez żadnego komunikatu o błędzie.

Dodane detekcje to m.in.

Antydebugging

Wykrywanie debuggerów dołączonych do do procesu aplikacji

Wykrywanie wirtualnych maszyn (anty-VM)

VMware (procesy, pliki, sterowniki, WMI, BIOS, GFX)
Oracle Virtual Box (procesy, pliki, sterowniki, BIOS, GFX)
Parallels Virtual Machine (procesy, pliki)
KVM (sterowniki)

Wykrywanie piaskownic tzw. sandboxów

Sprawdzaj podejrzanie małą liczbę rdzeni procesora (wyjdź jeśli jest ich mniej niż 3)
Sandboxie (biblioteki DLL)
Joe Sandbox (procesy)

Wykrywanie emulatorów CPU

WINE (niekonsystencje w funkcjach API, biblioteki DLL, specjalne funkcje API)
Bochs (WMI BIOS)
QEMU (procesy, WMI BIOS)
XEN (procesy)

Trochę mi zajęło skompletowanie tych metod, dlatego są one dostępne jedynie w płatnej wersji obfuscatora, ale wiem, że was na to stać i możecie sobie to przetestować online na

https://www.pelock.com/autoit-obfuscator/

PS. Pozdrawiam Fabka za podsunięcie metod detekcji i w sumie naprowadzenie mnie na możliwość dołączenia tej funkcjonalności do mojego obfuscatora.

PS2. Jeśli znacie jakieś fajne metody detekcji, dopiszcie do komentarzy kod albo linki, ograniczeniem AutoIt jest w teorii brak dostępu do PEB czy TEB legitnymi metodami, więc interesują mnie jedynie rozwiązania oparte o legitne sposoby przez WinAPI i pokrewne funkcje.

Magazyn VX – tmp.0ut #003

22 listopada 2023 przez bartek

Nie wiem czemu mnie to ominęło, ale pięknie wykonany i bogaty w techniczne teksty i bardzo zaawansowane techniki magazyn o wirusach tmp.0ut #003

Jeśli jesteś fanem

EPO i nie chodzi o erytropoetynę
polimorfizmu
metamorfizmu
GPT tworzącej wirusy

Zachęcam do zapoznania https://tmpout.sh/3/

Deobfuskacja bytecodu Pythona 2.7

16 listopada 2023 przez bartek

Jeden z bardziej ciekawych, obszernych i bogatych w techniczne detale artykułów o deobfuskacji bytecodu Pythona 2.7 z gry World of Warships.

https://landaire.net/world-of-warships-deobfuscation/

Polecam jeśli kogoś interesują takie tematy, czyli strzelam 0.00000001% czytających ten post i 0.0000000000000000% pozostałych ludzi 😀