106 shades of Marble

Magazine
Marque
MISC
Numéro
93
Mois de parution
septembre 2017
Domaines


Résumé
Le 31 mars 2017, Wikileaks a publié la suite de la série de leaks Vault7, en diffusant cette fois-ci Marble, un framework permettant l’obfuscation du code source des différents projets de la CIA. Malgré le grand nombre de personnes suivant ces diffusions, aucune étude poussée n’a été publiée sur ce framework. Nous proposons dans cet article de revenir sur le framework et d’en présenter les principales fonctionnalités.

1. Étude et présentation du framework

L’archive Marble.zip, téléchargeable sur le site de Wikileaks [MARBLE], contient plusieurs projets Visual Studio (à la vue des fichiers .vcxproj et .sln). Ceux-ci sont conçus pour être utilisés avec Visual Studio 2010, mais restent utilisables dans des versions plus récentes de l’IDE (Projet > Mise à jour des projets VC++…). Des commandes pouvant potentiellement être placées dans les propriétés des projets par leurs auteurs, leur chargement au sein de l’IDE et l’étude de Marble se sont effectués au sein d’une machine virtuelle coupée d’Internet.

Un total de 676 fichiers sont présents dans l’archive, mais seulement 297 sont uniques : les dossiers marbleextensionbuilds/Marble/Deobfuscatorsetmarbletester/propsont par exemple des doublons ailleurs dans l’arborescence.

Le cœur du framework se présente sous la forme de trois outils (mibster, mender et validator) ainsi que d’un ensemble de marbles (pouvant être...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Les difficultés du désassemblage sur ARM

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Cet article aborde les problèmes spécifiques à l’architecture ARM qui se posent lorsqu’on désassemble un exécutable, c’est-à-dire lorsqu’on l’analyse statiquement pour en produire une représentation en langage assembleur. En effet, les particularités de l’architecture ARM peuvent rendre le désassemblage – déjà habituellement compliqué – particulièrement ardu.