Re: [Hackmeeting] BDFProxy, ovvero: patchare/infettare eseg…

Borrar esta mensaxe

Responder a esta mensaxe
Autor: Anathema
Data:  
Para: hackmeeting
Asunto: Re: [Hackmeeting] BDFProxy, ovvero: patchare/infettare eseguibili on-the-fly
On 27/01/2015 08:08, GiPOCO wrote:
> Non sono sicuro che sia un motivo sufficiente per NON tenere il talk,
> maragi a qualcuno che non è a conoscenza della cosa interessa saperlo e
> capire che cosa di interessante hai da aggiungere tu.
>

Eh, non saprei poi cosa aggiungere al momento. Devo testarlo e capire se
ci sono zone 'inesplorate' che vale poi la pena presentare.

> Molto probabile; solo su OSX lo vedo leggermente più macchinoso se stiamo
> parlando delle Apps e non del classico "eseguibile" da shell a la Unix, ma
> alla fine è come patchare al volo un exe dentro ad un archivio compresso.
>

Si`, supporta anche il patching di file all'interno di archivi compressi
(li unzippa e patcha tutti gli exe/dll che ci sono dentro :)

Per Mac OS X ha il supporto a mach-o, quindi vince (non ricordo se lo fa
vedere in quel video, ma nella doc su github c'e` scritto che funziona)

> ...vero, ma niente che un briciolo di sana - vecchia - paranoia non possa
> evitare (e non ho detto che non funzionarebbe nel 95% dei casi).
>

Ovvio, ma come dice anche il tizio, l'unico 'segno' della compromissione
e` che, se l'eseguibile e` firmato, dopo la patch non lo e` piu`.

Se sai che un binario e` firmato, allora puoi fare il check a mano e
via. Ma se non sai se e` firmato? Non puoi fare nessun controllo.
Poi li` lui usa una shell meterpreter che e` abbastanza facile da
scovare, ma se ci volessi mettere qualcosa di piu` stealth, allora il
gioco si fa duro, molto duro.


--
Anathema

+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/  |
|Fingerprint: 80CE EC23 2D16 143F 6B25  6776 1960 F6B4 CFF9 4F0A     |
|                                     |
|http://www.msack.org                             |
+--------------------------------------------------------------------+