Afbeelding: NSA
Bij de RSA security conference vandaag, de National Security Agency, uitgebracht Ghidra, een gratis software reverse engineering tool die het agentschap had met behulp van intern voor meer dan een decennium.
De tool is ideaal voor software engineers, maar zal vooral nuttig zijn voor malware-analisten in de eerste plaats.
De NSA ‘ s algemene plan was om een release Ghidra dus beveiligingsonderzoekers kunnen wennen aan het werken met het voor een sollicitatie naar een functie bij de NSA-of andere door de overheid inlichtingendiensten die de NSA heeft eerder gedeelde Ghidra in privé.
Ghidra is momenteel beschikbaar voor downloaden via de officiële website, maar de NSA ook plannen om de broncode onder een open source licentie op GitHub in de komende toekomst.
Nieuws dat de NSA was gaan los Ghidra eerste brak aan het begin van het jaar, en de tool is iedereen aan dacht voor de afgelopen twee maanden.
De reden is dat Ghidra is een gratis alternatief te zijn voor IDA Pro, een gelijksoortige reverse engineering tool, die alleen beschikbaar is onder een zeer dure commerciële licentie, geprijsd in het bereik van duizenden dollars per jaar.
Wordt gratis aangeboden, de meeste deskundigen verwachten dat Ghidra om snap een groot gedeelte van de reverse engineering tools marktaandeel binnen enkele weken, vooral sinds het begin van de ervaringen en zijn bijna allemaal geheel positief.
Afbeelding: ZDNet
Afbeelding: ZDNet
Als voor de technische functies, Ghidra is geprogrammeerd in Java, heeft een grafische user interface (GUI), en werkt op Windows, Mac, en Linux.
Volgens Rob Joyce, Senior Adviseur bij de National Security Agency en de NSA ambtenaar die aangekondigd de hulpprogramma ‘ s release vandaag op de RSA conference, Ghidra kunnen analyseren binaire bestanden die zijn geschreven voor een breed scala van architecturen, en kan gemakkelijk worden uitgebreid met nog meer, als dat ooit nodig is.
Ghidra processor modules: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Anderen+ varianten. Power-users kunnen uitbreiden door het definiëren van nieuwe
— Rob Joyce (@RGB_Lights) 5 Maart 2019
Wij sluiten aan bij Rob Joyce aan te kondigen dat #Ghidra leeft! Het downloaden van uw exemplaar: https://t.co/h7hOPQIChJ en terugkeren! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
— De NSA/CSS (@NSAGov) 6 Maart 2019
Het installeren van Ghidra is zo eenvoudig als het uitpakken van een ZIP-archief. De enige vereiste is een versie van de Java Development Kit 11 of later die nodig zijn voor het uitvoeren van de app van de GUI. Meer op de programma-installatie routine van de hulpprogramma ‘ s van officiële documenten:
Ghidra maakt geen gebruik van een traditionele installatie programma. In plaats daarvan, de Ghidra distributie bestand gewoon gewonnen in-plaats op het bestandssysteem. Deze benadering heeft voordelen en nadelen. Aan de andere kant, administratieve bevoegdheden is niet vereist voor het installeren van Ghidra voor persoonlijk gebruik. Ook, omdat het installeren van Ghidra niet bijgewerkt OS-configuraties zoals het register van Windows te verwijderen Ghidra zo eenvoudig is het verwijderen van de Ghidra installatie directory.
Naast een installatie handleiding, Ghidra de documenten komen ook met lessen en oefeningen voor beginners, gevorderden en gevorderden die u zullen helpen gebruikers wennen aan de tool-GUI, dat is heel anders dan van een vergelijkbare tools.
U bent van IDA Pro power user? Geen probleem, er is een gids voor.
lol – Ghidra heeft tools voor het converteren gebruikers van IDA: pic.twitter.com/A649uIHmtj
— Silas Cutler (@silascutler) 6 Maart 2019
Moet een sneltoets cheatsheet? Geen probleem, er is een gehoste online, hier.
Hou niet zo van de felle GUI? Geen probleem, er is een donkere modus opgenomen in Ghidra de sectie instellingen.
Afbeelding: ZDNet
Op het moment van dit artikel, een uur na de tool-release– de reactie van de infosec (information security) gemeenschap is bijna geheel positief, met gloeiende reviews van enkele van de grootste namen in de cyber-security-industrie.
Ghidra buiten en we hebben van die ARM proc modules, de knop ONGEDAAN maken, en de mogelijkheid om samen te werken op een analyse…GRATIS! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
— Maddie Steen (@maddiestone) 6 Maart 2019
De goede dingen:
– De decompiler is fucking awesome.
– De decompiler ondersteunt alles wat die u kunt demonteren.
– Alles is volledig geïntegreerd.
– Multi-binaire bestanden van projecten met versie controle.
– Ongedaan maken!— Joxean Koret (@matalaz) 6 Maart 2019
Ja, ik ben van plan te gaan gebruiken voor alle nieuwe projecten. Tot zo ver lijkt het alsof het vervangen genoeg van mijn workflow in IDA-dat kan ik schakelen, phew!
— Tavis Ormandy (@taviso) 6 Maart 2019
Ghidra misschien niet de IDA Pro killer meeste deskundigen verwacht, omdat IDA Pro biedt nog steeds een debugger component niet aanwezig in Ghidra, maar de dingen zijn.
Omdat Ghidra de code van open-source, dit betekent ook dat het zal worden geopend om de communautaire bijdragen, en velen verwachten dat het ontvangen van een debugger in de komende toekomst en laat malware-analisten schip springen en stop met het betalen een fortuin voor IDA licenties.
En de infosec gemeenschap heeft al begonnen bijdragen terug te Ghidra, zelfs als de hulpprogramma ‘ s source code nog niet is gepubliceerd op GitHub gewoon nog niet.
Slechts enkele minuten na de hulpprogramma ‘s release, Matthew Hickey, mede-oprichter en directeur van UK-based cyber-security bedrijf Hacker Huis, meldde de eerste security probleem in het NSA-tool, die apprently loopt een server component die luistert naar commando’ s die hij ontvangt van het internet. De vaststelling van het moet een één-lijn wijzigen, hoewel, volgens Hickey.
Ghidra opent JDWP in debug-modus te luisteren op poort 18001, kunt u deze gebruiken om het uitvoeren van code op afstand 🤦♂️.. op te lossen veranderen lijn 150 van support/launch.sh van * tot 127.0.0.1 https://t.co/J3E8q5edC7
— Hacker Fantastische (@hackerfantastic) 6 Maart 2019
“Door open-sourcing GHIDRA, de NSA zal profiteren van een divers klantenbestand waarvan de feedback zal de tool nog effectiever,” Patrick Miller, security-onderzoeker bij Raytheon Intelligence, Informatie en Diensten vertelde ZDNet via e-mail.
“Voor kansarme cyber teams worstelen met een gebrek aan personeel of middelen, de gratis tool is voor een game changer voor het verlichten van de belemmering van de toegang tot de cyber werknemers en het verhogen van de deskundigheid van deze teams. Als een gebruiker van deze tool voor de jaren, ik kan niet wachten om te zien hoe het verbetert in de handen van mijn collega ‘ s,” zegt Miller.
ZDNet lezers op zoek voor meer informatie over het programma, raadpleegt u de officiële website, GitHub repo, of de bijgeleverde documentatie.
Het nieuws van de NSA, open-sourcing één van haar interne tools, mag geen verrassing meer zijn. De NSA heeft een open-source allerlei tools in de afgelopen paar jaar, met de meest succesvolle van hen wordt Apache NiFi, een project voor het automatiseren van grote hoeveelheden gegevens overbrengen tussen web apps, en die is uitgegroeid tot een favoriet op de cloud computing-scene.
In totaal heeft de NSA heeft een open-source 32 projecten als onderdeel van de Overdracht van Technologie Programma (TTP) zo ver en heeft onlangs zelfs een officiële GitHub account.
Hieronder is een video van security-onderzoeker Marcus “MalwareTech” Hutchins het nemen van een eerste blik op Ghidra en haar functies. Ook binnen een uur na de release, Ghidra al is beschikbaar als pakket voor Arch Linux, een besturingssysteem de voorkeur van de meeste witte, grijze, en black-hat hackers.
Verwante cyber-security dekking:
Ransomware aanvallen op Israëlische gebruikers mislukt jammerlijk gevolg van de codering errorGoogle de Project Zero onthult zero-day macOS de kwetsbaarheid van de publicJapanese politie-opladen 13-jarige voor het delen van ‘niet-popup’ grap onlineWordPress goed voor 90 procent van alle gehackte CMS sites in 2018Researchers ontdekken ring van GitHub accounts bevordering van 300+ backdoored appsVulnerability bloot locatie van duizenden malware C&C-servers
Malware kan nu het ontwijken van cloud security tools TechRepublicCryptomining malware ontdekt, vermomd als Flash-updates CNET
Verwante Onderwerpen:
De overheid ONS
Beveiliging TV
Data Management
CXO
Datacenters