fbpx

Categoria: Pentest

TIMESTOMPING (antiforensics) – Manipulando data/hora de arquivos

Manipular data/hora de arquivos é uma técnica anti-forense comum, que pode ser executada por Pentesters os quais são profissionais especialistas em segurança ofensiva que somente testam a segurança após firmado um contrato com a empresa. Entretanto esta técnica também é utilizada por crackers, os quais por motivos não tão nobres, fazem uso da técnica para dificultar a identificação dos danos gerados por eles.

Embora não seja uma solução definitiva, já que existem outros artefatos que não são modificados, a técnica sendo utilizada, pode aumentar significativamente o tempo/custo de uma investigação.

De acordo como MITER ATT & CK, “os adversários podem modificar os atributos de hora do arquivo para ocultar novas ou alterações em arquivos existentes. Timestomping é uma técnica que modifica os carimbos de data/hora de um arquivo (os horários de modificação, acesso, criação e alteração), geralmente para imitar os arquivos que estão na mesma pasta. Isso é feito, por exemplo, em arquivos que foram modificados ou criados pelo adversário para que não pareçam visíveis aos investigadores forenses ou ferramentas de análise de arquivos. O timestomping pode ser usado junto com o nome do arquivo Masquerading para ocultar malware e ferramentas.”

consulte Mais informação

Dez técnicas de injeção de processo (Process Injection)

A injeção de processos é uma técnica de evasão de defesa ampla empregada muitas vezes dentro de malware e tradecraft adversário sem arquivos, e implica executar código personalizado dentro do espaço de endereço de outro processo. A injeção de processos melhora a discrição, e algumas técnicas também alcançam persistência.

consulte Mais informação

Obtendo execução de código usando um banco de dados SQLite malicioso

O SQLite é um dos softwares mais implantados no mundo. No entanto, do ponto de vista da segurança, ele só foi examinado através da lente do WebSQL e da exploração do navegador. Acreditamos que esta é apenas a ponta do iceberg.

Em nossa pesquisa de longo prazo, experimentamos a exploração de problemas de corrupção de memória no SQLite sem depender de nenhum ambiente além da linguagem SQL. Usando nossas técnicas inovadoras de Query Hijacking e Query Oriented Programming, provamos que é possível explorar com segurança problemas de corrupção de memória no mecanismo SQLite. Demonstramos essas técnicas em alguns cenários do mundo real: criar um servidor de ladrão de senhas e obter persistência do iOS com privilégios mais altos.

Esperamos que, ao divulgar nossa pesquisa e metodologia, a comunidade de pesquisa de segurança seja inspirada a continuar examinando o SQLite nos inúmeros cenários em que está disponível. Dado o fato de o SQLite estar praticamente embutido em todos os principais sistemas operacionais, computadores ou dispositivos móveis, o cenário e as oportunidades são infinitas. Além disso, muitas das primitivas apresentadas aqui não são exclusivas do SQLite e podem ser portadas para outros mecanismos SQL. Bem-vindo ao admirável mundo novo do uso da familiar Structured Query Language para primitivas de exploração.

consulte Mais informação

Falhas críticas da Cisco, PoC e explicação técnica

Artigo traduzido:
“TL; DR
Neste post, compartilho três (3) cadeias completas de exploração e várias primitivas que podem ser usadas para comprometer diferentes instalações e configurações do produto Cisco DCNM para obter a execução remota não autenticada de código como SYSTEM / root. Na terceira cadeia, eu (ab) uso a classe java.lang.InheritableThreadLocal para executar uma cópia superficial para obter acesso a uma sessão válida.”

consulte Mais informação

Explorando a vulnerabilidade do Windows CryptoAPI – PoC

Em um nível alto, essa vulnerabilidade tira proveito do fato de que o Crypt32.dll falha ao verificar corretamente se os parâmetros da curva elíptica especificados em um certificado raiz fornecido correspondem aos conhecidos pela Microsoft. Curiosamente, a vulnerabilidade não explora propriedades matemáticas exclusivas das curvas elípticas – o mesmo bug exato poderia ter se manifestado em uma biblioteca de verificação de assinatura DSA normal. Portanto, para evitar entrar no mato da criptografia de curva elíptica, primeiro vamos examinar como esse bug teria funcionado se o Crypto32.dll usasse o DSA normal.

consulte Mais informação
Carregando