Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - descrates

Halaman: [1] 2 3 4
1
Teknologi Antivirus / LoadPE
« pada: November 06, 2019, 12:53:58 PM »
LoadPE ini lebih kuno daripada RunPE
tapi mirip-miriplah (beda dikit)
cuman dulu namanya MemExe
istilah LoadPE muncul belakangan

RunPE = hollowing
LoadPE = mapping aka changing

www.delphibasics.info/home/delphibasicssnippets/memexe-replacecurrentprocesswithcustompe


2
Teknologi Antivirus / Virus with Beep
« pada: Agustus 03, 2019, 01:35:23 PM »
sebenarnya ini virus jaman 90-an
pas itu kodenya bikin orang panik
karena bunyinya terasosiasi ke system error
exploit pada speaker internal & C/C++
intinya menggunakan perintah Beep() atau _beep()

Beep(Hz, durasi milisecond)

awalnya ini ada di game mario (portingan)
dari situ dibikinlah semacam "musik"

#include <iostream.h>
#include <windows.h>
#include<stdlib.h>
int main()
{
Beep (330,100);Sleep(100);
system ("pause");
return 0;
}

3
Teknologi Antivirus / Speculative Side-Channel Attack Techniques
« pada: Januari 05, 2018, 09:03:42 PM »
gw perbaiki narasinya, ini sebuah exploit oldskool
kalau tidak salah sudah dari jaman orang tahun 90-an
saat itu dibilang mustahil karena "terlalu slow speed buat internet read"
jadi tidak masalah yang penting high speed secara offline

dulu dikenal sebagai "bug FDIV Intel" atau "bug procie Intel"
sejarahnya ada FDIV bug terus dipatch
patch ini tidak menghilangkan bug tapi mengubahnya
dan lebih suka bilang ini fitur hack
kemudian ditemukanlah Takehiro IEEE magic float hack dan malah dibilang

TAKEHIRO_IEEE754_HACK not good when targeting floating
point architecture SSE2 (it's more a x87 thing)

karena jaman itu procie Intel memang bisa "hack" buat jadi ngacir
ingat kesaktian "GenuineIntel" daripada "AuthenticAMD"
dan ini juga dimanfaatkan AV
jadi jangan heran AV jalan di procie Intel selalu maknyus


oke lanjut ke jaman sekarang yang "speed internet menjadi gokil"
serangan ini macam-macam dari Fogh, GPZ, Spectre, Meltdown
dan anehnya sukses besar hanya di procie Intel (karena memanfaatkan bug)
"effectively every processor since 1995"
yang tidak kena pastinya intel itanium + atom (bukan atom yang baru-baru)
meskipun AMD juga sedikit kena tapi nggak tembus (ada tembus tapi gagal baca/susah baca)
sementara ARM-Android sedikit kena juga

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf

While speculative operations do not affect the architectural state of the processor, they can affect the
microarchitectural state, such as information stored in TLBs and caches. The side channel methods
described in this white paper take advantage of the fact that the content of caches can be affected by
speculative execution.

cara mengatasi ini juga agak ribet
bisa dibayangkanlah kalau super komputer procie Intel semua
terus tiba-tiba harus ganti procie Intel dengan yang lain adalah mustahil
dan saat ini ada solusinya
misalnya Kernel page-table isolation
tapi itu harus dibayar dengan penurunan performance (30% loss in performance)



4
Teknologi Antivirus / malware tanpa bentuk
« pada: Desember 06, 2017, 02:12:38 PM »
judulnya gitu, tapi tetap aja ada bentuknya, dan biasanya hybrid

1. fileless, ini bisa script atau apa, jalan di RAM
2. remote, ini kayak kita kena hack jarak jauh
3. jebakan betmen, misalnya perintah del *.* atau rm -rf * kalo di linux, lolz


5
Teknologi Antivirus / Virus berupa driver kernel ring 0 di Windows 10
« pada: Oktober 02, 2017, 06:55:21 AM »
ada tiga cara dasar

1. lewat signature
2. lewat hooking
3. lewat heuristic

pertama lewat signature, sebenarnya ini paling susah
karena vendor AV harus dapat file-nya dulu
kedua lewat hooking, nah kalo ini sebenarnya mudah
ketiga lewat heuristic, nah kalo ini mayan mumet

btw kadang bikin gw makin penasaran (karena ada yang tanyain)
serius "masalahnya" kalo kernel ring 0, driver only (with dropper), win10 & digitally signed
kebanyakan yang digitally signed diskip apalagi win10 rada beda (katanya)
kalo hooking API heuristic yang inside di ntoskrnl? apa masih bisa?

misalnya lagi, virus detek ketikan kita ketika mau diinterupsi
kita mau ngetik ini = sc stop virusdriver
tapi karena tahu, maka virus nambahin jadi gini = sc stop virusdriberrrr

LOL

6
Bug, Kritik, Saran / [Ask] File Reputation
« pada: Agustus 05, 2017, 10:22:24 AM »
btw tanya nih mumpung ada waktu, gegara kemaren SAP punya salah satu BUMN meleduk
(ya gw nggak kena dampak, cuman kasian yang ngelembur maintenis)

pas fitur file reputation, pas gw nyobain openoffice kok no user ya?
ya emang sih versi lawas yang ngga ada sertifikatnya
berarti kalo cuman sporadis dipakainya kan mungkin gw aja yang pakai

secara 1000 user = 90% terus yang 100 user = 80%



7
Konsultasi Virus / Vaksin NotPetya
« pada: Juli 04, 2017, 07:13:36 AM »
berawal dari email, dan maaf baru bisa buka email pagi ini
nah salah satu teman tanya tentang NotPetya
jujur gw nggak ngerti detil tapi inti cara ini ngeblocking "callingan process" gitu
terus gw bikin installer-nya, pake NSIS biar gampang

1. jalankan
2. instal
3. selesai

apa smadav bisa pake cara ini? ya bisalah 100% (kan cuman dropper)

nb: thx udah ngemail gw, hahaha

karena belum menyebar (katanya) jadi tidak perlu panik

^^

8
Teknologi Antivirus / RunPE
« pada: Juni 23, 2017, 06:52:52 AM »
apa itu RunPE? gampangnya: run PE via PE, drop to RAM without drop to disk
soalnya ada malware yang pake teknik ginian, lumayan kerenlah
kelemahannya nggak working kalo pake jenis yang sekali jalan, contohnya UPX
penjelasan panjang lebarnya ada juga kok, tapi malesin
http://www.adlice.com/runpe-hide-code-behind-legit-process/
nah, beberapa tahun yang lalu ini menjadi viral, terus ada anti-RunPE
https://github.com/gubed/RunPE-Shield
tapi karena gw nggak interest ya sudahlah, toh sudah didetect sama AV interlokal
terus back to several month ago, untuk lebih jelasnya ke sini
https://github.com/hasherezade/demos



tapi paling males kalo harus compile

9
Teknologi Antivirus / List software buat analisa malware
« pada: Mei 26, 2017, 10:33:30 AM »
berikut daftar tool buat analisa malware dari komunitas

silakan pull request kalau mau menambahi, hehehe
meskipun dalam praktek rada "susah" buat pakai tools-nya
misalnya pada spidermonkey

https://github.com/rshipp/awesome-malware-analysis





10
Teknologi Antivirus / Sinkhole-ing
« pada: Mei 18, 2017, 06:56:42 AM »
Apakah itu? mungkin baru ngeh pas muncul wannacry?
intinya kita menenggelamkan semua DNS yang terkait dengan worm/virus
seberapa penting? kurang tahu juga, tergantung C&C-nya (server komando & kontrol)

===============================================

buat sinkhole-ing, worm/virus awalnya dimasukan ke VM terus dibedah, diteliti
dicari menyebarnya ke mana saja, konek ke server mana, etc
server indukan di mana, server anakan di mana
outputnya ada 3 jenis

1. hijack/kill DNS-nya (database DNS ada di amerika sana), DDoS server-nya
2. block di "hostfile" pada local computer (biasanya kalau mau kilat)
3. interupt via program (non-permanent)

dengan begitu "harapannya" penyebarannya akan melambat, tapi tidak selalu
dari situ ada istilah kill switch aka memutus saklar aka memutus koneksi
dibandingkan wannacry sebenernya yang gw cemas kalo 3 jenis malware gabung
gameover zeus + ctb-locker + sality = ancur nggak ancur deh

1. file dokumen terkunci
2. PC jadi zombie dan ikut nyebarin
3. file exe jadi rusak semua

Halaman: [1] 2 3 4