поиск 0day

Тема в разделе "WASM.RESEARCH", создана пользователем zerodawn, 19 июл 2018.

  1. jeer0

    jeer0 Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    35
    Для поиска уязвимостей неплохо бы сначала установить с какой целью они ищутся. Нужно оценить и сопоставить рынок сбыта/область применения с собствеными возможностями. Чем глубже у тебя знание какого-то продукта, тем проще найти уязвимость.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    jeer0,

    Не правда, я кучу времени провёл в дизасме win32k.sys большую его часть прошёл вручную и бестолку. Нужно искать где то крэш, анализить ошибку. Теоретически можно проанализировать какой то код и найти ошибки, но это столь сложная задача, что одному её поднять невозможно в приемлемое время(годы), да и группой это слишком сложно сделать, видимо поэтому решения и нет. Иначе бы сам вендор это сделал.
     
  3. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.076
    один из самых лёгких способов обрушить целевую прогу == это заставить её работать в "тесной" комнате, то бишь урежь озу / сделай медленный хдд. И начнут вылезать самые стрёмные стрёмности :)
     
  4. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
  5. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Это сделать элементарно, любой ядерный вызов, на который нет ограничений на число вызовов. Память будет исчерпана, ось начнёт глючить и поведение её станет не предсказуемо, отвалится всё при крэшах приложений, которые используют критические для системы ресурсы, ядро будет до конца пытаться использовать своп, оно не упадёт(будут урезаться рабочие наборы, сервисы возвращать в юзер ошибки и апп отваливаться).
     
    Последнее редактирование: 21 июл 2018
  6. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.076
    в том-то и весь бонус такого теста: он мб автоматизирован чрез вм-ки.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Только зачем это нужно не понятно.
     
  8. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.076
    1. ошибки синхронизации в многопоточных приложениях вполне отлавливаются == блокировка расшаренных ресурсов не всегда прописана правильно.
    2. течи озу начинают себя показывать во всей красе.
    3. выделение ресурсов опять же не всегда идёт с должной проверкой и прожка отваливается с сегфолт.
    ===
    много чего выскакивать может.
     
  9. jeer0

    jeer0 Member

    Публикаций:
    0
    Регистрация:
    31 июл 2017
    Сообщения:
    35
    Потому что сложно представить более заезженную attack surface, чем win32k.
    Defender кто-нибудь смотрел?

     
    _edge нравится это.
  10. superakira

    superakira Guest

    Публикаций:
    0
    jeer0, забавно. все думал о таком.. но руки так и не дошли. вообще это все уже давно говорилось. лет с 10 назад все ударно реверсилил дрова каспера и дрвеба на предмет дыр. про дефендер как-то не обращал внимания, но про боевое ничего не слышал на базе такого, но я не показатель =)

    ТС ты на счет автоматики разузнал? апну тему.
     
  11. zerodawn

    zerodawn Member

    Публикаций:
    0
    Регистрация:
    16 янв 2018
    Сообщения:
    94
    вообще ниче не разузнал. Я так понял это либо в глубоких приватах, либо правда анализируют тупо дампы. Я так понимаю trendmicro zero initiative просто собирает краш дампы приложений при помощи своего антивируса и шлет в лабу, где это крутят.

    Насчет гугла -хз...
     
  12. zerodawn

    zerodawn Member

    Публикаций:
    0
    Регистрация:
    16 янв 2018
    Сообщения:
    94
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    zerodawn,

    Да, это DBI который мы обсуждаем в теме рядом про анклавы.

    Это не пригодно для обнаружения уязвимостей. Точнее в принципе теоретически можно выполнить проверку валидности DFG. Но пока нет решений, это весьма сложная алгоритмическая задача. Это не более чем инструменты уровня POC, смысл которых не ясен и они все анстаб. Это даже не используется для распаковки - слишком кривые и толстые(не нэйтив) реализации.
     
  14. YARD

    YARD New Member

    Публикаций:
    0
    Регистрация:
    19 окт 2018
    Сообщения:
    5
    По теме ответ, под ядро линукс гугл прожект зеро использует syzkaller + гугл клауд платформу + свои доработки.
     
  15. superakira

    superakira Guest

    Публикаций:
    0
    YARD, это не совсем ответ. фаззер апи слабо коррелирует с поиском сплоитов в 2018 году. не все так просто может быть. для чего гугл клауд? что за свои наработки?

    вангую на дби для юм. хз что там про км, возможно с виртуализацией смотрел бы что-то.

    по сути ты ничего не ответил =)

    хотя не мой профиль, долбить сплоиты - что может быть унылее =)))
    имхо
     
  16. superakira

    superakira Guest

    Публикаций:
    0
    апну тему

    а смотрел ли кто в таком направлении - перегнать апп в llvm ir и дальше уже работатать с ним?
    сузить поиск на этом этапе и потом уже в "динамике" через dbi (реализация не важна) смотреть прицельно.