Black Hat | PE Tree:BlackBerry 发布PE文件开源逆向工具

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

BlackBerry 在今年举办的美国黑帽大会上为网络安全社区发布了一款新工具:PE Tree

PE Tree 是一款适用于 LinuxMac Windows 系统的基于 Python 的一款应用,可供逆向工程师分析可移植可执行文件 (PE) 文件的内部结构。PE 文件是恶意软件作者常用于隐藏恶意 payload 的常见文件。

上周,PE Tree 已在 GitHub 上开源,不过正式发布是在今天。

Blackberry 在新闻稿中表示,“对恶意软件进行逆向工程是一件极其耗费时间和精力的过程,可能涉及数小时的反汇编过程,有时候需要解构软件程序。BlackBerry 研究和情报团队最初开发了这款开源工具供内部使用,现在向恶意软件逆向社区开放。”

BlackBerry 指出,PE Tree 的好处包括:

  • 以易于导航的树状图形式列出 PE 文件内容

  • 集成 IDA Pro 反编译器(PE 结构易于导航、转储内存中的PE文件、执行导入重构)

  • 集成 VirusTotal 搜索

  • 可向 CyberChef 发送数据

  • 可以独立应用或以 IDAPython 插件的方式运行

  • 开源许可允许社区做出贡献

PE Tree PE-bear 的可替代选择,后者是由 Malwarebytes公司恶意软件分析师 Aleksandra HasherezadeDoniec 开发的。


网络安全公司拥抱开源

PE Tree 也标志着另外一款有用的网络安全工具进入开源空间。这是网络安全公司做出的一个重大改变,此前网络安全公司一般都仅在内部使用这类工具,或者闭源开发且受昂贵的商用许可保护。

两年来,我们已经看到网络安全公司开源的多款工具:

  • FireEye 发布 CommandoVM:一款基于 Windows 的虚拟机,专为恶意软件研究构建,是社区最爱操作系统 Kali Linux 的替代选项。https://github.com/fireeye/commando-vm

  • FireEye 发布 Flashmingo:一款用于自动搜索Flash漏洞的app。https://github.com/fireeye/flashmingo

  • FireEye 发布 Cresendo:一款用于 macOS 的实时事件查看器。https://github.com/SuprHackerSteve/Crescendo

  • FireEye 发布 StringSifter:一款机器学习工具,可自动基于和恶意软件分析的相关性对字符串进行排序。

https://github.com/fireeye/stringsifter

  • FireEye 发布 SharPersist:一款红队工具,用于通过多种不同技术在 Windows 建立可持久性。

https://github.com/fireeye/SharPersist

  • FireEye 发布 Capa:一款可分析恶意软件并检测恶意能力的工具。

https://github.com/fireeye/capa

  • Firefox 发布 SilkETW:一款用于收集并搜索Windows事件追踪 (ETW) 日志的工具。

https://github.com/fireeye/SilkETW

  • 波兰CERT发布 DRAKVUF:一款自动的管理程序级别的恶意软件分析系统/沙箱。

https://github.com/CERT-Polska/drakvuf-sandbox

  • CyberArk 发布 SkyWrapper:可扫描 AWS 基础设施且可检测黑客是否已经滥用自我复制令牌维持对受陷系统的访问权限。

https://github.com/cyberark/SkyWrapper

  • CyberArk 发布 SkyArk:用于检测AWS Azure 环境中影子管理员账户的工具。

https://github.com/cyberark/SkyArk

  • F-Secure 发布 TamaGo:用于裸机片上系统 (SoC) 组件的一款基于 Go 语言的固件。

https://github.com/f-secure-foundry/tamago

  • F-Secure 发布Jandroid:用于识别安卓潜在逻辑 bug 利用链的工具。

https://github.com/FSecureLABS/Jandroid

  • F-Secure 发布 C3:用于构建自定义命令和控制服务器的开源工具。

https://github.com/FSecureLABS/C3

  • SEC Consult 发布 SEC Xtractor:用于硬件利用和固件提取的工具。

https://github.com/sec-consult

  • NCC Group 发布 Sniffle:全球首个开源的 Bluetooth 5 嗅探器。

https://github.com/nccgroup/sniffle

  • NCC Group 发布 Phantom Tap(Phantap):用于静默拦截网络流量的工具。

https://github.com/nccgroup/phantap

  • NCC Group 发布 WStalker:用于支持 web API 调用测试的代理。

https://github.com/nccgroup/wstalker

  • 谷歌发布“海啸(Tsunami)”:专为大型企业设计的漏洞扫描器。

https://github.com/google/tsunami-security-scanner

  • 谷歌发布 UKIP:用于阻止 Linux 系统上 USB 击键注入攻击的工具。

https://github.com/google/ukip#installation-prerequisites

  • 谷歌发布 Sandboxed APILinux C/C++ 库沙箱项目。

https://github.com/google/sandboxed-api

  • Cloudflare 发布 Flan Scan:一款网络漏洞扫描器。

https://github.com/cloudflare/flan

  • Red Canary 发布 Chain Reactor:用于在 Linux 系统上模拟竞争对手的工具。

https://github.com/redcanaryco/chain-reactor

  • SpecterOps 发布 Satellite:用于红队的payload 和代理服务。

https://github.com/t94j0/satellite

  • Trustwave 发布 SCShell:依赖于 Service Manager 的无文件横向移动工具。

https://github.com/SpiderLabs/SCShell

  • Trustwave 发布 CrackQ:用于管理消息队列系统中 hashcat 密码破解任务的工具。

https://github.com/f0cker/crackq

  • 法国ANSSI网络安全局发布 DFIR ORC:专用于 Windows 系统工件收集的开源取证工具。

https://github.com/dfir-orc/dfir-orc

  • Sophos 发布 Sandboxie:用户友好的 app,使用户能够在自身受陷的容器中沙箱(隔离)危险 app

https://github.com/sandboxie/sandboxie

  • NSA 发布 Ghidra:完善的软件逆向工具集。

https://github.com/NationalSecurityAgency/ghidra

  • Intel 发布 HBFA:用于固件安全测试的 app

https://github.com/tianocore/edk2-staging/tree/HBFA

推荐阅读

GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

谷歌开源漏洞扫描器“海啸”,专为大型企业服务

原文链接

https://www.zdnet.com/article/blackberry-releases-new-security-tool-for-reverse-engineering-pe-files/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 

你可能感兴趣的:(安全,github,git,微软,docker)