Category Archives: Security

Digital Security, Computer Security, Cyber Security

Pixel (RGB) – game.rop.sh & I-SECURE CTF

Ref: https://twitter.com/sornram9254/status/770222358179278848

ไม่ใช่ Write-up ละเอียดๆเท่าไหร่นะครับ
เพราะผมเองก็เพิ่งเข้าใจเหมือนกัน
ตอนแรกก็งงว่าโจทย์อะไร มีแต่ตัวเลขเป็นหมื่นๆบรรทัด ถถถถ+

ต้นคลิปเกือบจะพูด game-rop-dot-org แล้ว ถถถ+

Images and Pixels
https://processing.org/tutorials/pixels/

Fanpage : http://fb.me/sornram9254Fan
Facebook : http://fb.me/sornram9254
https://blog.sornram9254.com

Answer:How do I find vulnerabilities in software?

Target

First you need to choose a platform and a piece of software to attack. To begin I would choose something that is open source. There are several advantages to this; the main one being that you can look at the source code. You then need to pick an aspect that you would like to attack. For example, maybe you want to attack the UDP implementation of the Linux networking stack.

Performing an analysis on a closed source piece of software means you’re disassembling the binary, rooting through instructions, and debugging the process. This is long and tedious. Better to get a grasp as to what breaks code with source code before you go looking for it in disassembly.

By being specific in your target allows you to systematically analyze a piece of software.

Analyze

With your target in mind begin your analysis of the portion of the software you want to find vulnerabilities.

  • Determine which source code files affect your target.
  • With open source you can insert debug messages to ensure you understand the code flow. This can be extremely important. Knowing what sections of code are called, and the variables that lead to that outcome is key in understanding what is going on.
  • Run code analysis tools over the project. Depending on the project this might be a moot point, but they can be handy and catch common programming errors.
  • Enable all of the compiler build flags. Your goal is to find programming errors. What better way than to have the compiler tell you where it thinks the code is bad.

These are just a few of the things you can do to analyze the software. Build a list of possible coding errors.

Triggering

Now with a list of possible coding flaws you need to determine if you can trigger them. Again, debug messages will help you. Go back to the source code and determine what exactly needs to happen for each coding flaw to break the software. You’re not looking for full exploitation, you just want the code to crash, or do something unexpected. You need to determine what could trigger a coding flaw. This could be anything from affecting a length variable, tricking a function to take a path to process data incorrectly, etc. Some coding flaws just aren’t triggerable, but that’s the nature of vulnerability analysis.

At this point you have a list of flaws, and a list of ideas for each flaw on what might trigger it to do something unexpected.

Fuzzing

Now you write code. Using pretty much whatever programming language is convenient for the software you’re attacking. You could write Python code to throw specific packets at network devices to attempt to take down the UDP implementation of a Linux based device.

The goal is to implement your triggers, and hope that the code works the way you think. Your debug messages will be helpful here.

  • They can tell you if the code path taken is abnormal.
  • They can show you variables that you’re attempting to manipulate
  • They ensure that your trigger is doing what you expect, and you can adjust it accordingly.

With any luck you’re able to cause something different to happen. Maybe that can lead to code execution, maybe not. That’s a horse of a different color.

Reality

Vulnerability analysis takes time. A lot of time. You’re not going to spend a day analyzing software and find 10 vulnerabilities. The unofficial average for vulnerability analysis is 1 vulnerability per 3 months of analysis. You can double that time if you’re analyzing a non-open source project.

via @RoraΖ : http://security.stackexchange.com/a/92003?stw=2

ป้องกัน Ransomware เบื้องต้น

อ้างอิงจาก : เล่าสู่กันฟัง แนวโน้ม เครื่องที่มีโอกาสโดน Virus เรียกค่าไถ่ cryptowall – Pantip

มาแนะนำเพิ่มเติมอีกนิดๆหน่อยๆนะครับ หลังเคยลองเล่นๆกับเจ้าตัวนี้ใน lab vm อยู่แป๊บนึง

การป้องกันก็อย่าง จขกท. ว่าเลยครับ
หลักๆก็คือ

– AV ลงไว้เถอะครับ ยิ่งเป็น Internet Security หรือพวก Total Security ยิ่งดี
– ยิ่งถ้ามีโปรแกรมเฉพาะทางเช่น Malwarebytes ลงไว้บ้างก็ดี
(แต่ลงแค่ AV กับพวกโปรแกรม anti เฉพาะทาง แค่ 2 ตัวนี้ก็พอแล้ว เดี๋ยวเต่าจะเรียกพี่ ฮ่าาา)
– หมั่น Update AV บ่อยๆ
“อย่า” คลิกลิงค์ หรือเปิดอะไรมั่วซั่ว
ติดตั้งโปรแกรมอะไร อ่านดีๆ อ่านเงื่อนไขมันให้ดีๆ
– เปิดให้โชว์ file extension ไว้บ้างก็ดี กันโดนหลอกนามสกุลไฟล์

ถ้าใครที่กลัว ไม่ชัวร์ว่าจะกันได้หรือไม่    “แนะนำ” ให้เปิดใช้งาน “previous versions”

แต่ก็ไม่ได้กันได้ชัวร์ๆนะครับ เท่าที่เคยอ่านคนที่เคยโดน มันแพร่ทาง Network ได้
ถ้าใครรู้ตัวว่าโดน ถ้าพิมพ์งานหรือทำงานอยู่ รีบ save (ถ้าจำเป็นจริงๆ)
แล้วรีบถอด external storage ออกให้หมดครับ ตัดการเชื่อมต่อ Network ให้หมด (ถ้า lan ถึงสายไปเลย)
เพราะมันสามารถแพร่กระจายไปยังเครื่องอื่นๆ ใน Network ของเราได้
ลักษณะการทำงานของมันคือ มันจะค่อยๆทำการ Search ไฟล์ในเครื่องแล้วก็สอยไฟล์เราไปเรื่อยๆ
ถ้า Save งานหรือถอด external storage ต่างๆหมดแล้ว force shutdown ไปเลยครับ
ที่ให้ force คือ ถ้า normal shutdown ไม่น่าจะทัน หรือบางทีอาจโดนฝังคำสั่งอะไรไว้ตอนปิดเครื่องก็ได้
แล้วก็เข้า safe mode ไปจัดการมันให้สิ้นซากครับ วิธีก็หาได้ตาม gg
ส่วนมากมันก็ไปฝังอยู่ตาม startup หรือฝังเป็น service เครื่อง บลาๆ

ไม่ใช่แค่เพื่อป้องกัน cryptowall อย่างเดียวนะครับ แต่ทุกตัวเลย
หัดทำไว้ให้ชิน เพื่อความปลอดภัยต่อเครื่องคอมพิวเตอร์และข้อมูลของท่านเอง ^___^
AV = Anti Virus ครับ ไม่ใช่ Adult Video T_______T

=================================================================

อ้างอิงเพิ่มเติมจาก : SL7205(InvCrt)

ransomware สมัยนี้เยอะมากครับ แล้วก็บอกด้วยนะครับว่าตอนนี้ cryptolocker ตายไปแล้วนะครับ ทางการสั่งระงับ server ทั้งหมดไปแล้วดังนั้นใครเจอ ransomware บอกว่าเป็น cryptolocker มันคือของก็อปนะครับ
คนที่โดน Cryptolocker สามารถลองหา key ที่เว็บนี้ได้ (เป็นรายการคีย์ที่ได้จากการยึด server) https://www.decryptcryptolocker.com/  (decommissioned)

พวกที่มีสิทธิเจออีกก็เช่น (ที่บอกคือชื่อมัลแวร์กับ encryption method ที่ใช้นะครับ ถ้ากู้ได้จะบอกกู้ได้)

CTB-locker/critoni ใช้ ECDH encryption ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .CTB .CTB2 หรือมั่วๆ 7 ตัว
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

CryptoDefense ใช้ RSA-2048 มีสิทธิกู้ได้ 50/50
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information

CoinLocker ใช้ Ceasar Cipher ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .encrypted กู้ได้
http://www.bleepingcomputer.com/forums/t/565557/coin-locker-a-ransomware-that-tips-its-hat-to-julius-caesar/

Cryptowall ใช้ RSA-2048
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

TorrentLocker ใช้ AES ไฟล์จะถูกเพิ่มนามสกุล .encrypted
http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information

CoinVault ใช้ AES
http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

BUYUNLOCKCODE (อันที่ติดผ่านเน็ต TOT ตอนนั้น) ใช้ RSA/AES ไฟล์จะถูกเพิ่มนามสกุล .encoded.รหัสประจำเครื่อง
http://www.bleepingcomputer.com/forums/t/561732/buyunlockcode-ransomware-detected-in-the-wild/

จริงๆมีอีกเยอะครับแต่ลองไปหาเอาเองนะครับ

 

========================================================================

Update 15 June 2017

ทางด้านคุณ Sophie Hunt ได้เมลมาแจ้งว่า โครงการบางตัวได้ล้มเลิกไปแล้ว

แต่ได้แนะนำช่องทางในการอัพเดทการแก้ปัญหาเมื่อโดน Ransomware มาให้

สามารถเข้าไปอ่านได้ที่นี่เลยครับ

       The Ransomware Removal Handbook: Dealing with common strains of ransomware
    https://www.comparitech.com/blog/information-security/ransomware-removal-handbook/