Bild: NSA
På RSA security conference idag, National Security Agency, som släpptes Ghidra, en gratis programvara reverse engineering verktyg som byrån hade varit att använda internt i över ett decennium.
Verktyget är idealiskt för programvara ingenjörer, men kommer att vara särskilt användbart för malware analytiker först och främst.
NSA: s allmänna planen var att släppa Ghidra säkerhet så att forskarna kan få vana att arbeta med det innan du ansöker om positioner på NSA eller andra statliga underrättelsetjänster som NSA har tidigare delat Ghidra privat.
Ghidra är för närvarande tillgänglig för nedladdning endast via sin officiella hemsida, men NSA också planer på att släppa källkoden under open source-licens på GitHub i den kommande framtiden.
Nyheter att NSA skulle släppa Ghidra första gick sönder i början av året, och verktyget har varit på allas sinne för de senaste två månaderna.
Anledningen är att Ghidra är ett gratis alternativ till IDA Pro, en liknande reverse engineering verktyg som endast finns tillgänglig under en väldigt dyr kommersiell licens, ett pris i intervallet tusentals US-dollar per år.
Som erbjuds gratis, de flesta experter räknar med Ghidra att knäppa upp en stor del av reverse engineering tools marknadsandel inom några veckor, särskilt sedan början av användaren recensioner är nästan alla helt positivt.
Bild: ZDNet
Bild: ZDNet
Som för dess tekniska egenskaper, Ghidra är kodat i Java, har ett grafiskt användargränssnitt (GUI), och fungerar på Windows, Mac, och Linux.
Enligt Rob Joyce, Senior Advisor på National Security Agency och NSA tjänsteman som meddelade verktyget släpptes idag på RSA-konferensen, Ghidra kan analysera binärer skriven för en mängd olika arkitekturer, och kan enkelt byggas ut med mer, om någonsin behövs.
Ghidra processor moduler: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64,micro, 68xxx, Java / DEX-bytekod, PA-RISC, PIC 12/16/17/18/24, Sparc-32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, Andra+ varianter också. Avancerade användare kan expandera genom att definiera nya
— Rob Joyce (@RGB_Lights) 5 Mars, 2019
Vi gå med Rob Joyce meddela att #Ghidra är vid liv! Ladda ner ditt exemplar: https://t.co/h7hOPQIChJ och börjar vända! #RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
— NSA/CSS (@NSAGov) 6 Mars, 2019
Installera Ghidra är så enkelt som att packa upp en ZIP-arkiv. Det enda kravet är en version av Java Development Kit 11 eller senare som krävs för att köra appen GUI. Mer på verktyg för installation rutin från verktygets officiella dokument:
Ghidra inte använda en traditionell installationsprogrammet. Istället Ghidra distribution filen är helt enkelt extraheras på plats i filsystemet. Denna metod har fördelar och nackdelar. På sidan upp, administrativ behörighet krävs inte för installation av Ghidra för personligt bruk. Också, eftersom att installera Ghidra inte uppdatera OS-konfigurationer, såsom registret i Windows, ta bort Ghidra är så enkelt som att ta bort Ghidra installationskatalogen.
Förutom en installationsguide, Ghidra s dokument kommer också med lektioner och övningar för nybörjare, intermediär och avancerad nivå som kommer att hjälpa användare att vänja sig av GUI, som skiljer sig mycket från andra liknande verktyg.
Du är en IDA Pro power-användare? Inga problem, det finns en guide för detta.
lol – Ghidra har verktyg för att konvertera användare från IDA: pic.twitter.com/A649uIHmtj
— Silas Cutler (@silascutler) 6 Mars, 2019
Behöver ett kortkommando cheatsheet? Inga problem, det är en värd på nätet, här.
Inte gillar den ljusa GUI? Inga problem, det är ett mörkt läge som ingår i Ghidra finns i avsnittet inställningar.
Bild: ZDNet
Vid tidpunkten för denna artikel –en timme efter det att verktyget släpptes– reaktionen från infosec (informationssäkerhet) gemenskapen har varit nästan helt positivt, med lysande recensioner från några av de största namnen i it-säkerhetsbranschen.
Ghidra ut och vi har fått de ARM proc moduler, ÅNGRA-knapp, och förmågan att samarbeta på analys…GRATIS! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
— Maddie Sten (@maddiestone) 6 Mars, 2019
Bra saker:
– Decompiler är fucking awesome.
– Decompiler stöder något som du kan plocka isär.
– Allt är helt integrerad.
– Multi-binärer projekt med versionshantering.
– Att ångra!— Joxean Koret (@matalaz) 6 Mars, 2019
Ja, jag kommer att börja använda det för alla nya projekt. Så långt, det ser ut som det kan ersätta nog av mitt arbetsflöde i IDA att jag kan byta, phew!
— Tavis Ormandy (@taviso) 6 Mars, 2019
Ghidra kan inte vara IDA Pro killer de flesta experter är förväntat, eftersom IDA Pro erbjuder fortfarande en debugger komponent som inte finns i Ghidra, men saker och ting ser upp.
Eftersom Ghidra kod kommer att vara öppen källkod-detta innebär också att det kommer att vara öppen för bidrag från gemenskapen, och många förväntar sig att få en debugger i den kommande framtiden och låta malware analytiker att hoppa ombord och sluta betala en förmögenhet för IDA licenser.
Och infosec gemenskapen har redan börjat bidra tillbaka till Ghidra, även om verktyget source code har inte varit publicerade på GitHub ännu.
Bara några minuter efter att verktyget släpptes, Matthew Hickey, grundare och chef för UK-baserade it-säkerhetsföretaget Hacker Hus, rapporterade den första säkerhetsproblem i NSA: s verktyg, som apprently kör en server-komponent som lyssnar på kommandon tas emot från internet. Att fastställa det bör vara en one-line förändring, men, enligt Hickey.
Ghidra öppnar upp JDWP i debug-läge lyssnar på port 18001, du kan använda den för att exekvera kod på distans 🤦♂️.. för att fixa byta linje 150 support/launch.sh från * till 127.0.0.1 https://t.co/J3E8q5edC7
— Hacker Fantastiska (@hackerfantastic) 6 Mars, 2019
“Genom att öppna-sourcing GHIDRA, NSA kommer att gynnas av ett varierat användarbas vars feedback kommer att göra verktyget ännu mer effektiv,” Patrick Miller, säkerhet forskare vid Raytheon Intelligens, Information och Tjänster som berättade ZDNet via e-post.
“För utsatta cyber lag brottas med brist på personal eller resurser, gratis verktyg som är en spelet växlare för att minska de hinder för inträde på it-arbetskraft och att höja kompetensen hos dessa grupper. Som användare av detta verktyg för år, jag kan inte vänta för att se hur det förbättrar i händerna på mina kamrater”, sa Miller.
ZDNet läsare ser för ytterligare information om verktyget, se sin officiella webbplats, GitHub repo, eller den medföljande dokumentationen.
Nyheten om NSA öppna-sourcing en av sina interna verktyg bör inte vara en överraskning längre. NSA har öppen källkod-alla typer av verktyg under de senaste åren, med den mest framgångsrika av dem är Apache NiFi, ett projekt för att automatisera stora dataöverföringar mellan web apps, och som har blivit en favorit på cloud computing-scenen.
Totalt, NSA har öppen källkod-32 projekt som en del av sin Teknik för Överföring av Program (TTP) så här långt och har nyligen även öppnat en officiell GitHub-konto.
Nedan är en video av säkerhet forskaren Marcus “MalwareTech” Hutchins att ta en första titt på Ghidra och dess funktioner. Också, inom en timme efter det släpptes, Ghidra har redan gjorts tillgänglig som ett paket för Arch Linux, är ett operativsystem som föredras av de flesta vita, grå, och svart hatt hackare.
Relaterade it-säkerhet täckning:
Ransomware attack mot Israeliska användare misslyckas kapitalt på grund av kodning errorGoogle s Project Zero avslöjar zero-day macOS sårbarhet för publicJapanese polisen ansvarar 13 år gammal för att dela ‘unclosable popup” upptåg onlineWordPress stod för 90 procent av alla hackade CMS platser i 2018Researchers avslöja ring av GitHub konton främja 300+ backdoored appsVulnerability exponerar plats för tusentals skadliga C&C-servrar
Malware kan nu undgå cloud security verktyg TechRepublicCryptomining malware upptäckt maskerad som Flash uppdateringar CNET
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter