📌介紹 了解這個手法前先來聊聊背景，在蘋果的 macOS 嚴格限制行程間是不能互相存取記憶體內容，除非有特殊的 entitlement。而本篇想探討的就是嘗試用硬體內的行為繞過軟體防護機制透過 cache 來竊取其程式的記憶體內容。 針對 cache 的攻擊曾出過像是 Meltdown 和 Spectre，而這次的漏洞處在 Apple 晶片的 DMP(Data Memory-Depe...

Introduction The malware existed on VirusTotal, and as Objective-See community blog conducted more research on this malware, its detection rate on VT gradually increased. In this article, I aim ...

Intro. ESET 安全團隊在今年 5/4 時發布了推特，說明在 virustotal 上發現了疑似 lazarus 的惡意程式，並且使用的是針對 MacOS 用戶的 mach-O 格式，並且擁有 x64/arm64 的雙架構。主要會被認為是 lazarus 的原因在於程式丟出來的 PDF 檔與其他樣本極為相似。本篇 blog，將會對這隻惡意程式進行分析。 Dropper 一開始先分析...

Intro. ShadowPad 是我在實習公司分析的惡意程式，這隻惡意程式已被許多分析人員推測是中國駭客集團常用的入侵工具，最具代表的就是 Winnti group (APT41)[1]，因此基本上各大安全廠商都有公布他們針對 ShadowPad 的分析文章，其最具特色的地方在於幾乎所有程式碼都是由 shellcode 堆砌而成，在分析上有相當的複雜度，本篇文章主要想利用這隻程式來記錄自己...

前言 一直以來都覺得被 UPX 壓縮的執行檔可以利用官方的 UPX utility 來脫殼，但今天碰到了一隻有趣的惡意程式，其作者對傳統 UPX 殼做了一些手腳，導致無法直接使用 UPX Utility 來做，因此這次就將自己動態脫殼的步驟給記錄一下 Tools & Env. 不像 Windows 有 x64dbg 這類超方便脫殼的工具，在 Linux 上我比較習慣： IDA...

這次記錄的是在 2020 10 月 Windows 所修補的 Ping of death(POD) 漏洞攻擊，POD 是一種透過發送惡意 ICMP 封包來攻擊目標電腦的手法，輕微可以造成目標電腦 DOS ，精細一點甚至可以構造成 RCE 攻擊。 微軟發布的漏洞公告原文 A remote code execution vulnerability exists when the Win...

整場比賽看的題目不多，主要都卡在 Tarmain 的數學式，於是就把這兩題自己有看的題目寫成比較詳細的題解 Reverse1: Reversing iS Amazing 程式碼如下，簡單來說程式中保存了兩段空間，一段存放 private key 一段存放密文，程式執行時會要你輸入明文，經過程式用 private key 加密後如果與密文一致後會印出 correct 依據自己在使...

TL;DR 由於這個漏洞已經被 Mirai 成功利用，因此就來了解一下，我會分別介紹如何 Extract zyxel firmware 跟 reverse 有問題的 cgi Report https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9054 Malware 利用 https://thehackernews.com/20...

Motivate 會想寫這篇是因為目前在做惡意程式分析時，我們發現很多惡意程式會為了隱蔽自己而更改 ELF 的header 或是其他地方，增加研究人員分析的困難度。 Foreword 在 Linux 作業系統中，可執行的程式檔或是編譯出得目的檔都會是 ELF (Executable and Linkable Format) 格式的，當然也有其他的格式，像是 windows 所使用的 PE ...

摘要 在動態分析 malware 時，malware 可能會因為環境的不同而造成行為不一樣，像是 malware 可能會檢查網路有沒有通，或是能不能連上自己的 C&C Server，假如失敗的話就會關閉程式，導致無法觀察到 malware 的行為，因此這邊介紹一個專門的工具 Inetsim，這項工具提供了相當多的service，只要將他安裝好後，就可以在本機端 (host) 開啟fa...