Artykuł podesłany przez Fabka (thnx). Przykład jak urządzenia smart i firmy za nimi stojące nie są zainteresowane działaniem sprzętu, a jedynie zbieraniem informacji i co potrafią zrobić jeśli im się tego zabroni.
Rzadko czytam artykuły od A do Z, ale tym razem było bardzo ciekawie, polecam każdemu:
https://codetiger.github.io/blog/the-day-my-smart-vacuum-turned-against-me
Mój darmowy tool Steganography Online Codec dostał małą aktualizację, pozwalającą na automatyczną konwersję obrazów wykorzystujących ograniczoną paletę barw (np. 256) do formatu RGB, tak żeby można było upchać ukryte bity w składowych kolorów pixeli.
Dla nieobeznanych, co to jest? Narzędzie do ukrywania zaszyfrowanych wiadomości w obrazkach i zdjęciach w składowych kolorów RGB pixeli z obrazka (w ich najmniej znaczących bitch tzw. LSB least significant bits), tak, że jest to niewidoczne dla oka w porównaniu z oryginalnym obrazkiem.
Jeszcze nie doczekałem się żadnego praktycznego ataku na moje metody kodowania w tym narzędziu, a było użyte (jako jeden ze stage’ów) w crypto-puzzle, gdzie nagroda wynosiła 20.000 USD.
Jeśli chcesz przemycić jakieś dane na froncie wojennym, jesteś reporterem i chcesz ukryć dane w niepozornym obrazku z wakacji lub po prostu interesujesz się steganografią – zajrzyj, to nic nie kosztuje.
Licznik użyć wskazuje na dzień dzisiejszy całkowitą ilość kodowań i dekodowań na 66478, całkiem sporo osób mu zaufało.
PS. W trakcie prac jest wersja okienkowa, konsolowa i WebAPI.
Tego jeszcze nie widziałem, steganografia wykorzystująca kodowanie UNICODE, pozwalająca ukryć wiadomość w znakach o zerowej szerokości. Ciężko to opisać, lepiej zobaczyć w akcji:
Przykładowa zakodowana wiadomość
Ha ha!Hasło:
secnews.plDla zrozumienia co znajduje się w zakodowanej wiadomości, można wrzucić tekst po zakodowaniu do:
https://onlinetools.com/unicode/convert-unicode-to-hex
Zobaczymy wtedy, że w środku nie znajduje się „Ha ha!” tylko cały zakodowany fragment:
Naprawdę ciekawe i innowacyjne narzędzie w dodatku z pełnymi kodami źródłowymi, polecam:
Ciekawa techniczna analiza, w jaki sposób LinkedIn wykrywa tzw. click-boty oraz rozszerzenia przeglądarek automatyzujące aktywność na LinkedIn.
Wydałem kilka dni temu ulepszoną wersję mojego obufscatora dla języka autoit, czyli AutoIt Obfuscator. Dodane zostało wstrzykiwanie kodu do detekcji wielu narzędzi służących do reversingu i analizy zabezpieczonych skryptów.
Wstrzykiwany kod jest automatycznie wykonywany zaraz na początku działania skryptów i w razie pozytywnej detekcji jakiegokolwiek narzędzia – cicho kończy działanie skryptu, bez żadnego komunikatu o błędzie.
Dodane detekcje to m.in.
Antydebugging
Wykrywanie wirtualnych maszyn (anty-VM)
Wykrywanie piaskownic tzw. sandboxów
Wykrywanie emulatorów CPU
Trochę mi zajęło skompletowanie tych metod, dlatego są one dostępne jedynie w płatnej wersji obfuscatora, ale wiem, że was na to stać i możecie sobie to przetestować online na
https://www.pelock.com/autoit-obfuscator/
PS. Pozdrawiam Fabka za podsunięcie metod detekcji i w sumie naprowadzenie mnie na możliwość dołączenia tej funkcjonalności do mojego obfuscatora.
PS2. Jeśli znacie jakieś fajne metody detekcji, dopiszcie do komentarzy kod albo linki, ograniczeniem AutoIt jest w teorii brak dostępu do PEB czy TEB legitnymi metodami, więc interesują mnie jedynie rozwiązania oparte o legitne sposoby przez WinAPI i pokrewne funkcje.
Nie wiem czemu mnie to ominęło, ale pięknie wykonany i bogaty w techniczne teksty i bardzo zaawansowane techniki magazyn o wirusach tmp.0ut #003
Jeśli jesteś fanem
Zachęcam do zapoznania https://tmpout.sh/3/
