Análisis preliminar de Ghidra, el framework de reversing de la NSA

En la noche de ayer (del 5 al 6 de marzo) fue liberado el nuevo framework de ingeniería inversa de la NSA denominado “Ghidra”. Hoy os contamos nuestras primeras impresiones tras haber realizado algunas pruebas.

URL de descarga: https://www.ghidra-sre.org/

Instalación:

Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior.
Si aún así tenéis alguna duda, en la web proporcionada hay un pequeño vídeo explicativo.

Primeras impresiones:

Lo primero que podemos ver al abrirla es que se trata de la versión 9.0 del programa, por lo que puede inferirse que lleva muchos años siendo utilizada y que ha pasado por numerosas etapas para la mejora de su código, lo que, en principio, nos lleva a pensar que estamos ante una herramienta madura y a prueba de errores.

Al crear un nuevo proyecto, nos muestra un baúl de herramientas con dos opciones: “CodeBrowser” y “Version Tracking”. Analizaremos en esta ocasión la herramienta “CodeBrowser”.
Si abrimos un binario, la herramienta nos lo analiza y nos muestra el desensamblaje del código en una interfaz que nos parece bastante amigable, en comparación con otros frameworks similares.

Aunque los tiempos de carga son casi mínimos, la optimización del consumo de recursos no es su punto fuerte, ya que consume bastante más que otras herramientas que tienen el mismo objetivo.
Como punto a favor de su usabilidad, existe una cheatsheet oficial con los shortcuts más importantes del programa. Puede accederse a la plantilla a través de este enlace.

Fallos reconocidos en las primeras 12 horas:

Apenas unas horas después de la salida del producto, varios expertos en ciberseguridad se han hecho eco de un fallo en la apertura del puerto JDWP (18001) en el modo debugque se pone a la escucha en todas las interfaces y permite ejecución de código remoto. A continuación vemos un ejemplo del fallo que describimos: https://twitter.com/hackerfantastic/status/1103109539589632000/photo/1?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1103109539589632000&ref_url=https%3A%2F%2Funaaldia.hispasec.com%2F2019%2F03%2Fanalisis-preliminar-de-ghidra-el-framework-de-reversing-de-la-nsa.html

Usando un motor de búsqueda de dispositivos conectados a internet como shodan.io podemos ver ya algunos equipos que ahora mismo podrían ser vulnerados.
La solución más simple sería modificar el código que hace referencia a la interfaz y ponerlo solo a la escucha en localhost.

 Fuente: Hispasec

Comentarios

Publicar un comentario

Entradas populares de este blog

Cloudfare hace pública la causa que provocó la interrupción de servicio de cientos de webs durante el día de ayer: no fue un ciberataque

Imagen
 La compañía tenía previsto un mantenimiento en el que un cambio de permisos en los sistemas de su base de datos provocó la modificación de un fichero clave. En menos de 24 horas Cloudfare ha detectado y subsanado la causa de la incidencia Cloudfare   Fueron muchos los usuarios que en el día de ayer notaron que algo no funcionaba bien, que había algún problema en la red, ya que En torno al mediodía se acentuó una situación que   impedía acceder a sitios tan populares   como   la red social ‘X’, la plataforma de pago Paypal, o el asistente de inteligencia artificial ChatGPT , entre muchos otros servicios A buen seguro a muchos la mente les llevó a un   problema en materia de seguridad en línea , tal vez a una acción coordinada. Algo plausible si tenemos en cuenta que se trata del   tercer país más afectado por ciberataques , si bien el paso de las horas ha sido el encargado de esclarecer la cuestión al tiempo que la propia compañía afectada ha arrojado ...
Leer más

Redefiniendo el Riesgo Inherente: Un Enfoque Coherente para la Gestión de Riesgos y Cumplimiento

Imagen
En el libro Diez errores filosóficos, Mortimer Adler analiza errores que en su momento pasaron desapercibidos y que luego tuvieron vastas implicaciones. El concepto de riesgo inherente, tal como se aplica actualmente en la gestión de riesgos, creo que es uno de esos errores conceptuales que podríamos haber evitado y que aún podemos reorientar. Este artículo propone su reemplazo por un concepto coherente con temas largamente estudiados en el pensamiento contemporáneo, y la incorporación de un vocabulario más moderno y apropiado que facilite la convergencia entre la gestión de riesgos y de cumplimiento para optimizar recursos, mejorar la comunicación y permitir una evaluación más precisa de los riesgos organizacionales. I. Empecemos por el principio: ¿En qué consiste la esencia de la manzana? En artículos anteriores he explorado el concepto de riesgo en varios contextos y el más relevante para el tema de hoy, “¿Que queremos decir realmente cuando hablamos de Riesgo?” lo puedes encon...
Leer más

The Hackers Labs: ¡120 retos de hacking GRATIS y en ESPAÑOL!

Imagen
    Todos hablan de   Hack The Box ,   Try Hack Me   o   PortSwigger Academy … Pero no todo el mundo sabe que existe una plataforma española con más de 120 retos prácticos y 300 desafíos:   The Hackers Labs La plataforma líder en entrenamiento de ciberseguridad, soluciones empresariales y desafíos prácticos de hacking diseñados por expertos de la industria. Y lo mejor de todo: ¡Todo es completamente gratis!¡Ponte a prueba, aprende y compite con la comunidad hacker! 7 certificaciones mapeadas, 15 técnicas de ataque y defensa. Detrás de The Hackers Labs está   Manuel Martínez   ( Curiosidades De Hackers ), su fundador, investigador, Pentester, bug bounty hunter y creador de herramientas ofensivas, hoy comparte todo ese conocimiento gratis con la comunidad. Laboratorios diseñados para aprender de forma práctica Escenarios variados: Web, AD, Pivoting, OSINT, Android, Reversing e IA Casos realistas: phishing, Docker, Jenkins, EternalBlue, Grafana ...
Leer más