ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

88 Взлом ХАКЕР 04 /171/ 2013УСТАНОВКА/НАСТРОЙКАНа официальном сайте (а также на нашем диске) доступны версиидля Windows и *nix. Установка Dradis под виндой вызвать затрудненийне должна — все необходимое включено в инсталляпользователисервиса, тут можно создать группу, которую указыватьзатем при загрузке аннотаций.На этом, собственно, вся установка закончена. Можно переходитьк использованию. Рассмотрим процесс работы с CrowdREна примере двух аналитиков.АНАЛИТИК НОМЕР РАЗИтак, первый аналитик запускает IDA, загружает зловред и начинаетанализ. Первой на глаза ему попадается функция, которая пишеткакие-то данные в ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows. Он анализирует локальныепеременные, дает им читабельные названия и переименовываетфункцию из sub_XXXXX в RegisterASEP().В дальнейшем его внимание привлекает константа, участвующаяв генерации таблиц для AES-шифрования. Копая код дальше, обнаруживаем,что малварь использует реализацию Gladman’а алгоритмашифрования AES с фиксированным 128-битным ключом. Аналитикснова приводит код в читабельный вид и загружает все измененияв облако CrowdRE. Для этого нажимает , в результате чегопоявляется диалоговое окно, в котором предлагается выбрать функциидля экспорта. Отмечает нужные функции и нажимает «Uploadannotations».АНАЛИТИК НОМЕР ДВАВ то же самое время над этим же бинарником трудится второй аналитик.В процессе анализа он натыкается на функцию, загружающуюфайл с инета, вызывает функцию sub_404814 для расшифровки/деобфускациифайла и сохраняет его на диск. Переходит в эту функциюsub_404814 и нажимает для вызова плагина CrowdRE, чтобыпосмотреть, доступны ли для данной функции аннотации. В появившемсяокне становится видно, что первый аналитик уже разобралэту функцию и даже дважды успел «закоммитить» информациюпо ней. Второй аналитик выбирает более поздний коммит, нажимает«Import annotation...» и в появившемся окне может выбрать, какиепараметры импортировать из CrowdRE-облака: имя функции и прототип,комментарии, имена и типы локальных переменных. Стоитотметить, что даже определенные первым аналитиком типы переменныхбудут доступны в облаке и подгрузятся второму аналитику.Как только первый аналитик начинает загружать аннотации в облако,CrowdRE-плагин устанавливает, что пользователем была определенановая структура GAesKey, и автоматически загружает в облакоопределение этой структуры. На самом деле плагин работает такимобразом, что автоматически подгружает в облако все зависимостидля каждой переменной, используемой в экспортируемой функции.Как только второй аналитик выбрал необходимые параметры и нажалкнопку «Import», изменения применяются к его idb-файлу.Загружать аннотации вручную к каждой функции не совсем удобно.Вместо этого аналитик может нажать на кнопку «Batch importannotations...», чтобы посмотреть все доступные варианты из облакаCrowdRE. В результате чего откроется диалоговое окно, в которомбудет представлен весь перечень функций, для которых доступны аннотации.Выбрав нужные и нажав на «Import annotations», можно загрузитьсведения о них в свою локальную idb-базу. Вот в общем видеи весь процесс реверсинга с использованием сервиса CrowdRE.Пакетный импорт аннотаций из облака CrowdREИмпортируем результат работы различных инструментов: Nmap,Nessus, Nikto, etc.Создаем новую заметкуDRADISНу что ж, с коллективным реверс-инжинирингом приложениймы разобрались. Теперь пришло время выяснить, как обстоятдела у их собратьев по цеху — пентестеров. Как и в случаеисследования сложной малвари, безопасность крупного объектав одиночку не проверишь. Командная работа снимает этупроблему, но ставит другую — действия команды надо как-токоординировать, а результат работы хранить. Иначе при тестированиибезопасности какой-либо сети может получиться,что половина тестирует один хост, вторая другой, а остальныеобъекты остаются обделенными вниманием. Кроме этого,внутри команды может быть разделение обязанностей и каждыйчлен команды может иметь свою специализацию: кто-тогуру в сканировании сети и с легкостью управляется с Nmapдаже с закрытыми глазами, кто-то съел собаку на SQLинъекциях,кто-то щелкает веб-приложения как орешки.Но при всем при этом им надо как-то делиться информациейо найденных уязвимостях со своими коллегами. Ведь найденнаяскуля может быть тем недостающим звеном, которогоне хватает другому члену команды для получения доступак внутренней сети исследуемого объекта. Собирая воединовсе сказанное, можно обобщить, что пентестерам нужен инструмент,позволяющий координировать работу и делитьсяинформацией. Обладает всеми необходимыми возможностямии способен удовлетворить основные потребности тестировщиковфреймворк Dradis (dradisframework.org), с которыммы познакомимся чуть поближе.