WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malwarekompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihren Dienst kostenlos ausprobieren unter:
Schritte zur Installation von Frida auf einem gejailbreakten Gerät:
Öffnen Sie die Cydia/Sileo-App.
Navigieren Sie zu Verwalten -> Quellen -> Bearbeiten -> Hinzufügen.
Geben Sie "https://build.frida.re" als URL ein.
Gehen Sie zur neu hinzugefügten Frida-Quelle.
Installieren Sie das Frida-Paket.
Wenn Sie Corellium verwenden, müssen Sie die Frida-Version von https://github.com/frida/frida/releases herunterladen (frida-gadget-[IhreVersion]-ios-universal.dylib.gz) und entpacken und an den von Frida angeforderten dylib-Speicherort kopieren, z. B.: /Users/[IhrBenutzer]/.cache/frida/gadget-ios.dylib
Nach der Installation können Sie auf Ihrem PC den Befehl frida-ls-devices verwenden und überprüfen, ob das Gerät angezeigt wird (Ihr PC muss darauf zugreifen können).
Führen Sie auch frida-ps -Uia aus, um die laufenden Prozesse des Telefons zu überprüfen.
Frida ohne gejailbreaktes Gerät & ohne Patchen der App
Mit dem installierten Frida-Server und dem laufenden und verbundenen Gerät, überprüfen Sie, ob der Client funktioniert:
frida-ls-devices# List devicesfrida-ps-Uia# Get running processes
Frida Trace
# Functions## Trace all functions with the word "log" in their namefrida-trace-U<program>-i"*log*"frida-trace-U<program>-i"*log*"|swiftdemangle# Demangle names# Objective-C## Trace all methods of all classesfrida-trace-U<program>-m"*[* *]"## Trace all methods with the word "authentication" from classes that start with "NE"frida-trace-U<program>-m"*[NE* *authentication*]"# Plug-In## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binaryfrida-trace-U-W<if-plugin-bin>-m'*[* *]'
Alle Klassen und Methoden abrufen
Autovervollständigung: Führen Sie einfach frida -U <Programm> aus
Erhalten Sie alle verfügbaren Klassen (nach Zeichenfolge filtern)
Erhalte alleMethoden einer Klasse (filtere nach String)
/tmp/script.js
// frida -U <program> -l /tmp/script.jsvar specificClass ="YourClassName";var filterMethod ="filtermethod";if (ObjC.available) {if (ObjC.classes.hasOwnProperty(specificClass)) {var methods =ObjC.classes[specificClass].$ownMethods;for (var i =0; i <methods.length; i++) {if (!filterMethod || methods[i].includes(filterClass)) {console.log(specificClass +': '+ methods[i]);}}} else {console.log("Class not found.");}} else {console.log("Objective-C runtime is not available.");}
Rufen Sie eine Funktion auf
// Find the address of the function to callconstfunc_addr=Module.findExportByName("<Prog Name>","<Func Name>");// Declare the function to callconstfunc=newNativeFunction(func_addr,"void", ["pointer","pointer","pointer"], {});var arg0 =null;// In this case to call this function we need to intercept a call to it to copy arg0Interceptor.attach(wg_log_addr, {onEnter:function(args) {arg0 =newNativePointer(args[0]);}});// Wait untill a call to the func occurswhile (! arg0) {Thread.sleep(1);console.log("waiting for ptr");}var arg1 =Memory.allocUtf8String('arg1');var txt =Memory.allocUtf8String('Some text for arg2');wg_log(arg0, arg1, txt);console.log("loaded");
Frida Fuzzing
Frida Stalker
Aus der Dokumentation: Stalker ist Fridas Code Tracing-Engine. Es ermöglicht Threads zu verfolgen, jede Funktion zu erfassen, jeden Block und sogar jede Anweisung, die ausgeführt wird.
Dies ist ein weiteres Beispiel, um Frida Stalker jedes Mal anzuhängen, wenn eine Funktion aufgerufen wird:
console.log("loading");constwg_log_addr=Module.findExportByName("<Program>","<function_name>");constwg_log=newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});Interceptor.attach(wg_log_addr, {onEnter:function(args) {console.log(`logging the following message: ${args[2].readCString()}`);Stalker.follow({events: {// only collect coverage for newly encountered blockscompile:true,},onReceive:function (events) {constbbs=Stalker.parse(events, {stringify:false,annotate:false});console.log("Stalker trace of write_msg_to_log: \n"+bbs.flat().map(DebugSymbol.fromAddress).join('\n'));}});},onLeave:function(retval) {Stalker.unfollow();Stalker.flush(); // this is important to get all events}});
Dies ist interessant für Debugging-Zwecke, aber für Fuzzing ist es sehr ineffizient, ständig .follow() und .unfollow() zu verwenden.
fpicker ist eine Frida-basierte Fuzzing-Suite, die eine Vielzahl von Fuzzing-Modi für das Fuzzing im Prozess bietet, wie z.B. einen AFL++-Modus oder einen passiven Tracing-Modus. Es sollte auf allen Plattformen laufen, die von Frida unterstützt werden.
# Get fpickergitclonehttps://github.com/ttdennis/fpickercdfpicker# Get Frida core devkit and prepare fpickerwget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xztar-xf./*tar.xzcplibfrida-core.alibfrida-core-[yourOS].a#libfrida-core-macos.a# Install fpickermakefpicker-[yourOS]# fpicker-macos# This generates ./fpicker# Install radamsa (fuzzer generator)brewinstallradamsa
Bereiten Sie das Dateisystem vor:
# From inside fpicker clonemkdir-pexamples/wg-log# Where the fuzzing script will bemkdir-pexamples/wg-log/out# For code coverage and crashesmkdir-pexamples/wg-log/in# For starting inputs# Create at least 1 input for the fuzzerechoHelloWorld>examples/wg-log/in/0
Fuzzer-Skript (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base classimport { Fuzzer } from"../../harness/fuzzer.js";classWGLogFuzzerextendsFuzzer {constructor() {console.log("WGLogFuzzer constructor called")// Get and declare the function we are going to fuzzvar wg_log_addr =Module.findExportByName("<Program name>","<func name to fuzz>");var wg_log_func =newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});// Initialize the objectsuper("<Program nane>", wg_log_addr, wg_log_func);this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"console.log("WGLogFuzzer in the middle");// Prepare the second argument to pass to the fuzz functionthis.tag =Memory.allocUtf8String("arg2");// Get the first argument we need to pass from a call to the functino we want to fuzzvar wg_log_global_ptr =null;console.log(this.wg_log_addr);Interceptor.attach(this.wg_log_addr, {onEnter:function(args) {console.log("Entering in the function to get the first argument");wg_log_global_ptr =newNativePointer(args[0]);}});while (! wg_log_global_ptr) {Thread.sleep(1)}this.wg_log_global_ptr = wg_log_global_ptr;console.log("WGLogFuzzer prepare ended")}// This function is called by the fuzzer with the first argument being a pointer into memory// where the payload is stored and the second the length of the input.fuzz(payload, len) {// Get a pointer to payload being a valid C string (with a null byte at the end)var payload_cstring =payload.readCString(len);this.payload =Memory.allocUtf8String(payload_cstring);// Debug and fuzzthis.debug_log(this.payload, len);// Pass the 2 first arguments we know the function needs and finally the payload to fuzzthis.target_function(this.wg_log_global_ptr,this.tag,this.payload);}}constf=newWGLogFuzzer();rpc.exports.fuzzer = f;
Kompilieren des Fuzzers:
# From inside fpicker clone## Compile from "myfuzzer.js" to "harness.js"frida-compileexamples/wg-log/myfuzzer.js-oharness.js
Rufen Sie den Fuzzer fpicker mit radamsa auf:
# Indicate fpicker to fuzz a program with the harness.js script and which folders to usefpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/
In diesem Fall starten wir die App nicht neu oder stellen den Zustand wieder her nach jedem Payload. Wenn Frida also einen Absturz findet, könnten die nächsten Eingaben nach diesem Payload auch dazu führen, dass die App abstürzt (weil die App in einem instabilen Zustand ist), selbst wenn die Eingabe die App nicht zum Absturz bringen sollte.
Darüber hinaus wird Frida in die Ausnahmesignale von iOS eingreifen, sodass, wenn Frida einen Absturz findet, wahrscheinlich keine iOS-Absturzberichte generiert werden.
Um dies zu verhindern, könnten wir beispielsweise die App nach jedem Frida-Absturz neu starten.
Protokolle & Abstürze
Sie können die macOS-Konsole oder den log-Befehl verwenden, um macOS-Protokolle zu überprüfen.
Sie können auch die Protokolle von iOS mit idevicesyslog überprüfen.
Einige Protokolle werden Informationen auslassen und <private> hinzufügen. Um alle Informationen anzuzeigen, müssen Sie ein bestimmtes Profil von https://developer.apple.com/bug-reporting/profiles-and-logs/ installieren, um diese privaten Informationen zu aktivieren.
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malwarekompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Du kannst ihre Website besuchen und ihren Dienst kostenlos ausprobieren unter: