NSA phát hành GHIDRA 9.0 - Công cụ Reverse Engineering mạnh mẽ, miễn phí

Cơ quan An ninh Quốc gia Mỹ (NSA) ngày 6/3/2019 đã chính thức phát hành công cụ GHIDRA v9.0 miễn phí, một công cụ Reverse Engineering do các chuyên gia tại NSA phát triển và sử dụng nội bộ trong hơn 1 thập kỷ qua để săn lùng các lỗ hổng bảo mật trong phần mềm ứng dụng.

NSA phát hành GHIDRA 9.0 - Công cụ Reverse Engineering mạnh mẽ, miễn phí - CyberSec365.org

Cụ thể, GHIDRA là một bộ công cụ dịch ngược dựa trên Java có giao diện người dùng đồ họa (GUI) và được thiết kế để chạy trên nhiều nền tảng bao gồm Windows, MacOS và Linux.

Kỹ thuật dịch ngược một chương trình hoặc phần mềm liên quan đến việc phân tách, tức là chuyển đổi các chuỗi nhị phân thành mã assembly khi mã nguồn của nó không có sẵn, giúp các kỹ sư phần mềm, đặc biệt là các nhà phân tích phần mềm độc hại, hiểu chức năng của mã nguồn và thông tin thiết kế và triển khai thực tế.

Sự tồn tại của GHIDRA lần đầu tiên được WikiLeaks tiết lộ trong vụ rò rỉ CIA Vault 7, nhưng NSA hôm nay đã công khai công cụ miễn phí tại hội nghị RSA, biến nó thành một công cụ thay thế tuyệt vời cho các công cụ kỹ thuật đảo ngược thương mại đắt tiền như IDA-Pro, Radare, Capstone và Hopper.

"It [GHIDRA] helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems," NSA official website says while describing GHIDRA.

Hướng dẫn tải xuống GHIDRA - Công cụ dịch ngược phần mềm.

Github — source code

Download GHIDRA 9.0 — Phần mềm, slide hướng dẫn và bài thực hành (Link trực tiếp trang chủ)

Installation Guide — tài liệu sử dụng cơ bản

Cheat Sheet — Phím tắt

Issue Tracker — báo cáo lỗi

Phát biểu tại Hội nghị RSA, Robert Joyce - Cố vấn cấp cao của NSA, đảm bảo GHIDRA không có cửa hậu. "Đây là cộng đồng cuối cùng bạn muốn phát hành một cái gì đó với một cửa hậu được cài đặt, cho những người săn lùng thứ này."

Joyce cũng cho biết GHIDRA bao gồm tất cả các tính năng được mong đợi trong các công cụ thương mại cao cấp, với chức năng mới và mở rộng NSA được phát triển độc đáo và hỗ trợ nhiều bộ hướng dẫn bộ xử lý, định dạng thực thi và có thể chạy ở cả chế độ tương tác và tự động của người dùng.

"GHIDRA processor modules: X86 16/32/64, ARM/AARCH64, PowerPC 32/64, VLE, MIPS 16/32/64, micro, 68xxx, Java / DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8, AVR32, other variants as well," Joyce tweeted.

Lỗi đầu tiên được báo cáo trong Công cụ dịch ngược GHIDRA

 GHIDRA đã nhận được sự chào đón nồng nhiệt của cộng đồng infosec, các nhà nghiên cứu và nhà phát triển đã bắt đầu đóng góp cho dự án bằng cách báo cáo các lỗi và lỗ hổng bảo mật trên trình theo dõi vấn đề Github của nó.

Matthew Hickey, người có biệt danh "HackerFantastic", là người đầu tiên báo cáo vấn đề bảo mật trong GHIDRA.

Hickey nhận thấy rằng bộ đồ công cụ dịch ngược mở cổng gỡ lỗi 18001 cho tất cả các interfaces khi người dùng khởi chạy GHIDRA ở chế độ gỡ lỗi, cho phép mọi người trong mạng thực thi mã tùy ý từ xa trên hệ thống của các nhà phân tích.

Mặc dù chế độ gỡ lỗi không được kích hoạt theo mặc định, phần mềm chỉ nên lắng nghe các kết nối gỡ lỗi từ localhost, chứ không phải bất kỳ máy nào trong mạng.

Vấn đề có thể được khắc phục bằng cách chỉ thay đổi một dòng mã trong phần mềm, theo Hickey.

Nguồn The Hacker News