Содержание статьи
- Техники фаззинга и динамического анализа ПО
- Фаззим ClamAV семплами малвари
- Как заработать фаззингом 200 тысяч долларов за выходные
- SFUZZ — высокопроизводительный фаззер на основе кастомного JIT-движка
- Использование символьного выполнения для выявления вредоносного кода
- Новые техники вредоносного ПО
- Symbiote в подробностях: анализ новой угрозы для Linux, которую почти невозможно обнаружить
- Agenda — новая рансомварь на Go, меняющая тактики
- Омерзительная восьмерка: техники, тактики и процедуры (TTPs) группировок шифровальщиков
Техники фаззинга и динамического анализа ПО
Здесь я собрал исследования в направлении динамического анализа ПО и, в частности, фаззинга, которому мы в прошлом посвятили отдельный выпуск.
Фаззим ClamAV семплами малвари
Fuzzing ClamAV with real malware samples
Интересный подход к поиску багов в антивирусном движке с использованием реальных семплов зловредов в качестве корпуса для фаззинга. Фаззить антивирус вредоносами — это как проверять работоспособность системы противовоздушной обороны реальными ракетами.
Автор выбрал опенсорсный движок ClamAV, который также используется в коммерческих решениях. В качестве первоначального набора тест‑кейсов (корпуса) используется база семплов vx-underground.
В материале автор проходит полный цикл фаззинга: от подготовки цели до анализа результатов. Тем, кто хочет перейти от теории к практике, достаточно повторить описанные этапы.
Как заработать фаззингом 200 тысяч долларов за выходные
Earn $200K by fuzzing for a weekend: Part 1
За круглой суммой в заголовке прячется еще одно подтверждение того, что memory-safe не означает отсутствие уязвимостей. На примере виртуальной машины, написанной на Rust, автор продемонстрировал эффективность поиска багов Rust-приложений, применив известные техники фаззинга к известному таргету.
В материале уделено внимание подготовке тестовых оракулов (test oracles) — механизмов определения ожидаемого и аномального поведений таргета в процессе тестирования.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»