聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
BlackBerry 在今年举办的美国黑帽大会上为网络安全社区发布了一款新工具:PE Tree。
PE Tree 是一款适用于 Linux、Mac 和 Windows 系统的基于 Python 的一款应用,可供逆向工程师分析可移植可执行文件 (PE) 文件的内部结构。PE 文件是恶意软件作者常用于隐藏恶意 payload 的常见文件。
上周,PE Tree 已在 GitHub 上开源,不过正式发布是在今天。
Blackberry 在新闻稿中表示,“对恶意软件进行逆向工程是一件极其耗费时间和精力的过程,可能涉及数小时的反汇编过程,有时候需要解构软件程序。BlackBerry 研究和情报团队最初开发了这款开源工具供内部使用,现在向恶意软件逆向社区开放。”
BlackBerry 指出,PE Tree 的好处包括:
以易于导航的树状图形式列出 PE 文件内容
集成 IDA Pro 反编译器(PE 结构易于导航、转储内存中的PE文件、执行导入重构)
集成 VirusTotal 搜索
可向 CyberChef 发送数据
可以独立应用或以 IDAPython 插件的方式运行
开源许可允许社区做出贡献
PE Tree 是 PE-bear 的可替代选择,后者是由 Malwarebytes公司恶意软件分析师 Aleksandra “Hasherezade”Doniec 开发的。
网络安全公司拥抱开源
PE Tree 也标志着另外一款有用的网络安全工具进入开源空间。这是网络安全公司做出的一个重大改变,此前网络安全公司一般都仅在内部使用这类工具,或者闭源开发且受昂贵的商用许可保护。
两年来,我们已经看到网络安全公司开源的多款工具:
FireEye 发布 CommandoVM:一款基于 Windows 的虚拟机,专为恶意软件研究构建,是社区最爱操作系统 Kali Linux 的替代选项。https://github.com/fireeye/commando-vm
FireEye 发布 Flashmingo:一款用于自动搜索Flash漏洞的app。https://github.com/fireeye/flashmingo
FireEye 发布 Cresendo:一款用于 macOS 的实时事件查看器。https://github.com/SuprHackerSteve/Crescendo
FireEye 发布 StringSifter:一款机器学习工具,可自动基于和恶意软件分析的相关性对字符串进行排序。
https://github.com/fireeye/stringsifter
FireEye 发布 SharPersist:一款红队工具,用于通过多种不同技术在 Windows 建立可持久性。
https://github.com/fireeye/SharPersist
FireEye 发布 Capa:一款可分析恶意软件并检测恶意能力的工具。
https://github.com/fireeye/capa
Firefox 发布 SilkETW:一款用于收集并搜索Windows事件追踪 (ETW) 日志的工具。
https://github.com/fireeye/SilkETW
波兰CERT发布 DRAKVUF:一款自动的管理程序级别的恶意软件分析系统/沙箱。
https://github.com/CERT-Polska/drakvuf-sandbox
CyberArk 发布 SkyWrapper:可扫描 AWS 基础设施且可检测黑客是否已经滥用自我复制令牌维持对受陷系统的访问权限。
https://github.com/cyberark/SkyWrapper
CyberArk 发布 SkyArk:用于检测AWS 和 Azure 环境中影子管理员账户的工具。
https://github.com/cyberark/SkyArk
F-Secure 发布 TamaGo:用于裸机片上系统 (SoC) 组件的一款基于 Go 语言的固件。
https://github.com/f-secure-foundry/tamago
F-Secure 发布Jandroid:用于识别安卓潜在逻辑 bug 利用链的工具。
https://github.com/FSecureLABS/Jandroid
F-Secure 发布 C3:用于构建自定义命令和控制服务器的开源工具。
https://github.com/FSecureLABS/C3
SEC Consult 发布 SEC Xtractor:用于硬件利用和固件提取的工具。
https://github.com/sec-consult
NCC Group 发布 Sniffle:全球首个开源的 Bluetooth 5 嗅探器。
https://github.com/nccgroup/sniffle
NCC Group 发布 Phantom Tap(Phantap):用于静默拦截网络流量的工具。
https://github.com/nccgroup/phantap
NCC Group 发布 WStalker:用于支持 web API 调用测试的代理。
https://github.com/nccgroup/wstalker
谷歌发布“海啸(Tsunami)”:专为大型企业设计的漏洞扫描器。
https://github.com/google/tsunami-security-scanner
谷歌发布 UKIP:用于阻止 Linux 系统上 USB 击键注入攻击的工具。
https://github.com/google/ukip#installation-prerequisites
谷歌发布 Sandboxed API:Linux C/C++ 库沙箱项目。
https://github.com/google/sandboxed-api
Cloudflare 发布 Flan Scan:一款网络漏洞扫描器。
https://github.com/cloudflare/flan
Red Canary 发布 Chain Reactor:用于在 Linux 系统上模拟竞争对手的工具。
https://github.com/redcanaryco/chain-reactor
SpecterOps 发布 Satellite:用于红队的payload 和代理服务。
https://github.com/t94j0/satellite
Trustwave 发布 SCShell:依赖于 Service Manager 的无文件横向移动工具。
https://github.com/SpiderLabs/SCShell
Trustwave 发布 CrackQ:用于管理消息队列系统中 hashcat 密码破解任务的工具。
https://github.com/f0cker/crackq
法国ANSSI网络安全局发布 DFIR ORC:专用于 Windows 系统工件收集的开源取证工具。
https://github.com/dfir-orc/dfir-orc
Sophos 发布 Sandboxie:用户友好的 app,使用户能够在自身受陷的容器中沙箱(隔离)危险 app。
https://github.com/sandboxie/sandboxie
NSA 发布 Ghidra:完善的软件逆向工具集。
https://github.com/NationalSecurityAgency/ghidra
Intel 发布 HBFA:用于固件安全测试的 app。
https://github.com/tianocore/edk2-staging/tree/HBFA
推荐阅读
GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
谷歌开源漏洞扫描器“海啸”,专为大型企业服务
原文链接
https://www.zdnet.com/article/blackberry-releases-new-security-tool-for-reverse-engineering-pe-files/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看”