┌───────────────────────┐
▄▄▄▄▄ ▄▄▄▄▄ ▄▄▄▄▄ │
│ █ █ █ █ █ █ │
│ █ █ █ █ █▀▀▀▀ │
│ █ █ █ █ ▄ │
│ ▄▄▄▄▄ │
│ █ █ │
│ █ █ │
│ █▄▄▄█ │
│ ▄ ▄ │
│ █ █ │
│ █ █ │
│ █▄▄▄█ │
│ ▄▄▄▄▄ │
│ █ │
Interview: herm1t │ █ │
~ L'équipe de tmp.out └───────────────────█ ──┘
[ Traduit en français par @MorpheusH3x)from the ret2school team ]
t0:
Parlez-nous de l'évolution des vx Linux au fil des ans - comment était-ce à
l'époque où la documentation n'était pas aussi abondante qu'aujourd'hui,
quelles découvertes dans ce domaine vous ont inspiré, et où voyez-vous
l'avenir ?
herm1t:
Les articles de Silvio Cesare et de grugq m'ont beaucoup aidé, ainsi que la
liste de diffusion de Tracy Reed. Il y a aussi eu quelques rencontres avec
Bliss et d'autres anciens virus sur des systèmes de production sur lesquels je
travaillais. En ce qui concerne la documentation, je partage l'attitude des
premiers OSS "lis les sources, Luke", c'est le meilleur type de documentation.
Bien que la scène du piratage des années 90 et du début des années 2000 ait
capté mon imagination, j'étais timide et je pensais que personne ne
s'intéressait à mon petit hobby et je progressais lentement dans les détails
techniques jusqu'à ce que le contre-espionnage et la police frappent à ma
porte.
t0:
Étiez-vous dans l'undernet #vir / #virus à la fin des années 90 ?
herm1t:
J'ai essayé :-) Mais avec mes mauvaises connaissances linguistiques et mon
incapacité à expliquer pourquoi je suis ici, j'ai été rapidement banni des
chans, juste pour revenir et écouter tranquillement et être ennuyé par des
bavardages sans fin et sans rapport.
t0:
Parlez-nous de l'évolution de votre propre écriture ELF vx - quelles
techniques avez-vous utilisées en premier lieu, qu'avez-vous fait ensuite,
quelle a été la technique la plus difficile à réaliser ou celle dont vous êtes
le plus fier ?
herm1t:
La chose la plus importante que j'ai apprise est que vous n'avez pas besoin de
l'assemblage pour faire les choses correctement (mais vous devriez quand même
apprendre l'asm). En tant que real-coderz-use-asm, j'ai reproduit le truc du
segment de Silvio en asm et j'ai continué de la même manièr pendant des années
jusqu'à ce que je réalise que les trucs de bas niveau sont inutiles. On peut
facilement injecter le code sans fichier à partir de la mémoire, trouver les
imports et tous ces trucs sans même s'embêter avec la longueur des
instructions et autres, cela rend la vie bien meilleure :-)
t0:
Quelles méthodes d'infections préférez-vous, et quelles techniques
préférez-vous ? A votre avis, à quoi pouvons-nous nous attendre à l'avenir ?
herm1t:
Les virus classiques de fichiers sont morts depuis longtemps. Et il existe de
nombreux logiciels malveillants modernes qui exploitent deux failles de
sécurité flagrantes dans les systèmes Unix (LD_PRELOAD et ptrace). Cependant,
avec la restriction de ptrace et la possibilité que LD_PRELOAD soit également
fermé, les anciennes techniques d'infection pourraient être réutilisées, par
exemple en remplaçant libz.so dans sshd par une lib-boring-something ou en
ajoutant un extrait au binaire :-) C'est une honte que les backdors sshd
(comme dans "Darkside" d'ESET) ou quelque chose comme Darkleech doivent encore
être recompilés sur le système cible. Il semble que les blackhats aient raté
leurs cours et tentent de réinventer la roue.
t0:
Pensez-vous que l'écriture virale ELF a un avenir? Restons-nous dans le passé?
herm1t:
Avec Linux dans chaque téléphone, dans les IOT et les ordinateurs de bureau,
je suis sûr que les arts de l'infection ELF et les internes du système seront
de nouveau populaires.
t0:
Avez-vous vu la nouvelle protection CET / -fcf-protection qui est implémentée
sur 95% des binaires dans Ubuntu 20.04 ? Avez-vous des idées à ce sujet, ou
avez-vous déjà essayé de l'utiliser ?
herm1t:
Je ne connais pas encore le CET, mais il y a une histoire que je peux vous
raconter. Une fois, j'étais à la recherche d'un type et tout ce qui me
manquait (pour compléter le contrôle de sécurité) était son numéro de
téléphone. J'ai essayé de l'OSINT mais en vain. J'ai alors envoyé un e-mail à
partir d'un faux compte et j'ai écrit "envoyez-moi votre téléphone, dès que
possible" et que pensez-vous qu'il l'ait fait ? On ne peut pas garantir la
sécurité par des moyens purement techniques. Il y aura toujours une faille.
t0:
Que pensez-vous des logiciels malveillants modernes ?
herm1t:
La plupart du temps, c'est extrêmement ennuyeux (mais toujours efficace).
t0:
Pensez-vous que la scène VX a encore une chance ? Avec tout ce qui s'est passé
ces derniers temps, les logiciels malveillants axés sur la monétisation, etc.
Que s'est-il passé avec VXHeavens ? Des projets pour l'avenir ? De quelle
manière pensez-vous que l'écriture de logiciels malveillants a changé depuis
la dernière décennie ?
herm1t:
La scène telle que nous la connaissions est morte (j'en ai discuté avec
LovinGod récemment et il a qualifié VXH de "cercueil d'une scène"), mais il
pourrait y avoir une communauté plus large, puisque l'écriture de virus et le
piratage en général sont devenus plus actuels que jamais. En 2018, j'ai repéré
le webshell (installé par quelqu'un d'autre que moi) sur le ministère de la
justice de l'Ukraine et je me suis moqué d'eux sur facebook. La cyberpolice
l'a pris au sérieux et a décidé de faire un raid sur le messager. J'étais au
courant du raid à l'avance et j'ai dénoncé le site (car le partage de virus en
Ukraine est illégal sous toutes ses formes), je vais peut-être le restaurer
sous une forme ou une autre. Avec l'audience du tribunal sur l'affaire Greta
dans quatre jours, il m'est difficile de fixer une date :-)
En fait, avec tous ces trucs endbr64 dans les .plt et ailleurs, si vous
modifiez le binaire, cela "protégera" votre virus des rets "non autorisés" :-)
t0:
Parlez-nous de vos propres virus linux - Casher, Cavity, Pulpit, autre ?
herm1t:
La plupart de mes virus se concentraient sur des astuces avec le format ELF,
j'ouvrais juste un exécutable au hasard et regardais les sections avec
quelques questions en tête - pouvait-il être déplacé ou rétréci pour gagner
de l'espace ? pouvait-on en prendre le contrôle pour éviter de toucher le
point d'entrée ? C'est exactement ce que font les virus, "Coin" a obtenu plus
d'espace grâce aux exigences d'alignement des segments, "Caveat" a mis le
chargeur dans PHT, "Arches" a utilisé des fonctions de remplissage, "Hasher" a
joué avec .hash, "PiLoT" avec .plt; les plus récents concernent l'arrêt de
l'utilisation de l'assemblage, l'arrêt des schémas de type DOS d'utilisation
directe des syscalls et le passage aux importations de libc qui est toujours
présente en mémoire et l'approfondissement de l'auto-relocalisation (RELx) et
du métamorphisme (Lacrimae). Depuis, je suis toujours intéressé par les
aspects internes de la glibc/kernel car elle m'a beaucoup aidé dans la
programmation système et la sécurité (ce que je fais pour vivre).
t0:
Que pensez-vous du métamorphisme dans les langues de script ? Je pense à
"Metamorphism and Self-Compilation in JavaScript" écrit par SPTH.
herm1t:
Pour en revenir aux aspects techniques, vous savez probablement que je suis un
grand fan des compilateurs et que je suis absolument certain que les DSL et
les compilateurs sont la prochaine grande chose après le métamorphisme, qu'il
s'agisse de scripts (ce qui est moins compliqué) ou de code machine.
t0:
Comment avez-vous appris ces autres compétences - l'ingénierie sociale - cela
vous vient-il naturellement ou avez-vous étudié la psychologie, ou lu des
articles sur l'ingénierie sociale que d'autres ont fait ?
herm1t:
Toute grande bureaucratie a des faiblesses inhérentes, c'est le système et il
peut être piraté, si vous saviez à quoi ressemble une demande légitime vous
pourriez la falsifier, en utilisant la rivalité inter-agences vous pourriez ne
leur laisser aucun autre choix que de procéder. En ayant accès aux mails
piratés, vous pouvez virtuellement entrer dans la tête de la cible et la
manipuler pour qu'elle fasse ce que vous voulez. J'aime plus le processus, ce
moment précis où vous trouvez votre chemin autour de la sécurité. Mais la
phase de "message", lorsque vous mettez les informations en ligne et que vous
informez la presse, est la même. Vous devez délivrer votre message à la fois
aux cibles pour les rendre douloureuses et à un large public, pour convaincre
les gens que c'était la bonne chose à faire. Comme le piratage mais avec des
gens au lieu de machines.
t0:
Que pensez-vous des CTF et autres compétitions de hacking ?
herm1t:
Je n'aime pas les CTF car je déteste la pression du temps. Je sais comment
faire les choses rapidement et rester calme, mais ça m'énerve quand je vois
les horloges tourner.
t0:
Avez-vous endommagé votre propre système en testant un virus ? Si oui,
pouvez-vous nous parler un peu de ce cas ?
herm1t:
Étant donné qu'aucun de mes virus n'a de charge utile destructrice et qu'ils
sont généralement limités intentionnellement au répertoire courant, il n'y a
pas de risque à les tester. Ils peuvent s'échapper une ou deux fois, mais il
est facile de réinstaller les paquets concernés.
t0:
À quoi ressemblerait votre virii de rêve ?
herm1t:
Complexité, irrégularité. Plus c'est complexe, mieux c'est.
t0:
Dans quels autres endroits que la technologie cherchez-vous à vous inspirer ?
herm1t:
C'est difficile pour moi de trouver quelque chose en dehors de la technologie,
je fais sûrement les choses habituelles que tout le monde fait, mais mes
préférés sont les mathématiques, la cryptographie et la politique.
t0:
CPouvez-vous nous faire part de vos réflexions sur les rançongiciels ?
herm1t:
Les ransomwares sont aussi vieux que notre domaine. Le cheval de Troie SIDA a
été écrit en 1989 ! L'utilisation généralisée des crypto-monnaies et leur
nature moins traçable ont rendu la prolifération des ransomwares inévitable.
D'un point de vue technique, c'est ennuyeux (à l'exception des erreurs
hilarantes en cryptographie que certains auteurs ont commises, omme la
génération de la clé par un RNG dont la graine est time(NULL), et après
l'humiliation publique, le remplacement par quelque chose comme
md5(time(NULL)).
t0:
C'est ton espace libre, herm1t. Tu peux y laisser ce que tu veux : des
salutations ou des souhaits pour des amis ou quelqu'un d'autre, etc.
herm1t:
Salutations à tous les hackers et vxers du passé et du futur :)