KASLRfinder — утилита для поиска в памяти Windows 10

Автор: Ulf Frisk
URL: https://github.com/ufrisk/kaslrfinder
Система: Windows

KASLRfinder — это небольшая утилита, которая может быть использована для поиска в памяти Windows 10 ядра и загруженных драйверов, несмотря на базовые адреса, рандомизированные таким механизмом, как Kernel Address Space Layout Randomization (KASLR). Инструмент может запускаться как обычная программа и не требует привилегий администратора.

Инструмент работает на основе времени выполнения неудачных инструкций внутри Transactional Synchronization Extensions (TSX) блока. TSX был впервые введен в процессорах на базе Haswell, но был отключен из-за некоторых проблем. Инструкции TSX доступны на всех процессорах Skylake. Для получения более детальной информации советуем ознакомиться с записями Рафаля Войтчука (Rafal Wojtczuk) из Bromium Labs или презентацией c Black Hat.

KASLRfinder способен:

  • найти адрес ядра в пределах допустимой погрешности 1 Мбайт;
  • найти драйвер или адрес модуля точно, используя сигнатурный поиск;
  • создать новые сигнатуры.

Системные требования:

  • Skylake CPU или более новый (некоторые Haswells также могут работать);
  • Windows 10 64-bit.

Подробнее об инструменте можно узнать из поста Windows 10 KASLR Recovery with TSX.

 

Фреймворк с открытым исходным кодом для аудита WAF

Авторы: George Argyros, Ioannis Stais
URL: https://github.com/lightbulb-framework/lightbulb-framework
Система: Linux

LightBulb — это фреймворк на Python с открытым исходным кодом для аудита Web Application Firewalls (WAF, файрволов уровня веб-приложения). Фреймворк состоит из двух основных алгоритмов:

  • GOFA — алгоритм активного обучения, который позволяет анализировать программы удаленно, то есть запрашивать нужную программу и изучать вывод;
  • SFADiff — алгоритм дифференциального тестирования черного ящика на основе обучения символических конечных автоматов (SFA). Выявлять различия между программами с аналогичной функциональностью — одна из важных проблем безопасности: такие различия могут быть использованы для снятия цифрового отпечатка (fingerprinting) или обхода атак против ПО для безопасности, такого как WAFs, предназначенные для обнаружения вредоносных входных данных для веб-приложений.

Инструмент впервые был представлен на конференции Black Hat Europe 2016 в презентации Another Brick Off the Wall: Deconstructing Web Application Firewalls Using Automata Learning и whitepaper.

 

POC генератора архитектурно независимого VBA-кода

Автор: Vincent Yiu
URL: https://github.com/mwrlabs/wePWNise
Система: Linux, Windows

WePWNise — это proof-of-concept Python-скрипт, который генерирует архитектурно независимый VBA-код для использования в документах Office или шаблонах. Помогает автоматизировать обход механизмов контроля и предотвращения эксплуатации в программном обеспечении.

Инструмент перечисляет Software Restriction Policies (SRPs) и присутствие EMET и динамически идентифицирует наиболее подходящие бинарные файлы для инжекта payload. WePWNise интегрируется с фреймворками эксплуатации (например, Metasploit, Cobalt Strike), также он принимает любые пользовательские полезные нагрузки в raw-формате.

WePWNise понимает как 32-, так и 64-битный raw-формат полезных нагрузок для того, чтобы быть в рабочем состоянии, когда он попадает на заранее неизвестную цель (с точки зрения архитектуры). Однако если требуется только архитектура x86, то все равно должна быть некая заглушка для архитектуры x64.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Check Also

Облачный хостер iNSYNQ пострадал от атаки шифровальщика

Уже больше недели провайдер облачных услуг iNSYNQ не может вернуться к нормальной работе п…

2 комментария

  1. Аватар

    e6a3dec

    28.12.2016 at 15:30

    Сами то этот vlany rootkit тестили?)

  2. Аватар

    Khazhinov

    29.12.2016 at 16:05

    Не сказал бы, что софт за декабрь лучший, но довольно хорошая подборка.

Оставить мнение