WhiteIntel es un motor de búsqueda alimentado por la dark web que ofrece funcionalidades gratuitas para verificar si una empresa o sus clientes han sido comprometidos por malwares de robo.
El objetivo principal de WhiteIntel es combatir los secuestros de cuentas y los ataques de ransomware resultantes de malwares que roban información.
Puedes visitar su sitio web y probar su motor de forma gratuita en:
Pasos para instalar Frida en un dispositivo con Jailbreak:
Abre la aplicación Cydia/Sileo.
Navega a Manage -> Sources -> Edit -> Add.
Ingresa "https://build.frida.re" como la URL.
Ve a la fuente de Frida recién agregada.
Instala el paquete de Frida.
Si estás utilizando Corellium necesitarás descargar la versión de Frida desde https://github.com/frida/frida/releases (frida-gadget-[tuversión]-ios-universal.dylib.gz) y descomprimir y copiar en la ubicación dylib que Frida solicita, por ejemplo: /Users/[tusuario]/.cache/frida/gadget-ios.dylib
Después de instalarlo, puedes usar en tu PC el comando frida-ls-devices y verificar que el dispositivo aparezca (tu PC necesita poder acceder a él).
Ejecuta también frida-ps -Uia para verificar los procesos en ejecución del teléfono.
Frida sin dispositivo con Jailbreak y sin parchear la aplicación
Con el servidor de Frida instalado y el dispositivo en funcionamiento y conectado, verifica si el cliente está funcionando:
frida-ls-devices# List devicesfrida-ps-Uia# Get running processes
Seguimiento con Frida
# Functions## Trace all functions with the word "log" in their namefrida-trace-U<program>-i"*log*"frida-trace-U<program>-i"*log*"|swiftdemangle# Demangle names# Objective-C## Trace all methods of all classesfrida-trace-U<program>-m"*[* *]"## Trace all methods with the word "authentication" from classes that start with "NE"frida-trace-U<program>-m"*[NE* *authentication*]"# Plug-In## To hook a plugin that is momentarely executed prepare Frida indicating the ID of the Plugin binaryfrida-trace-U-W<if-plugin-bin>-m'*[* *]'
Obtener todos los métodos de una clase (filtrar por cadena)
/tmp/script.js
// frida -U <program> -l /tmp/script.jsvar specificClass ="YourClassName";var filterMethod ="filtermethod";if (ObjC.available) {if (ObjC.classes.hasOwnProperty(specificClass)) {var methods =ObjC.classes[specificClass].$ownMethods;for (var i =0; i <methods.length; i++) {if (!filterMethod || methods[i].includes(filterClass)) {console.log(specificClass +': '+ methods[i]);}}} else {console.log("Class not found.");}} else {console.log("Objective-C runtime is not available.");}
Llamar a una función
// Find the address of the function to callconstfunc_addr=Module.findExportByName("<Prog Name>","<Func Name>");// Declare the function to callconstfunc=newNativeFunction(func_addr,"void", ["pointer","pointer","pointer"], {});var arg0 =null;// In this case to call this function we need to intercept a call to it to copy arg0Interceptor.attach(wg_log_addr, {onEnter:function(args) {arg0 =newNativePointer(args[0]);}});// Wait untill a call to the func occurswhile (! arg0) {Thread.sleep(1);console.log("waiting for ptr");}var arg1 =Memory.allocUtf8String('arg1');var txt =Memory.allocUtf8String('Some text for arg2');wg_log(arg0, arg1, txt);console.log("loaded");
Fuzzing con Frida
Stalker de Frida
Desde la documentación: Stalker es el motor de seguimiento de código de Frida. Permite seguir hilos, capturando cada función, cada bloque, e incluso cada instrucción que se ejecuta.
Este es otro ejemplo para adjuntar Frida Stalker cada vez que se llama a una función:
console.log("loading");constwg_log_addr=Module.findExportByName("<Program>","<function_name>");constwg_log=newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});Interceptor.attach(wg_log_addr, {onEnter:function(args) {console.log(`logging the following message: ${args[2].readCString()}`);Stalker.follow({events: {// only collect coverage for newly encountered blockscompile:true,},onReceive:function (events) {constbbs=Stalker.parse(events, {stringify:false,annotate:false});console.log("Stalker trace of write_msg_to_log: \n"+bbs.flat().map(DebugSymbol.fromAddress).join('\n'));}});},onLeave:function(retval) {Stalker.unfollow();Stalker.flush(); // this is important to get all events}});
Esto es interesante para fines de depuración, pero para el fuzzing, estar constantemente .follow() y .unfollow() es muy ineficiente.
fpicker es un conjunto de fuzzing basado en Frida que ofrece una variedad de modos de fuzzing para fuzzing en el proceso, como un modo AFL++ o un modo de trazado pasivo. Debería funcionar en todas las plataformas compatibles con Frida.
# Get fpickergitclonehttps://github.com/ttdennis/fpickercdfpicker# Get Frida core devkit and prepare fpickerwget https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-[yourOS]-[yourarchitecture].tar.xz
# e.g. https://github.com/frida/frida/releases/download/16.1.4/frida-core-devkit-16.1.4-macos-arm64.tar.xztar-xf./*tar.xzcplibfrida-core.alibfrida-core-[yourOS].a#libfrida-core-macos.a# Install fpickermakefpicker-[yourOS]# fpicker-macos# This generates ./fpicker# Install radamsa (fuzzer generator)brewinstallradamsa
Preparar el FS:
# From inside fpicker clonemkdir-pexamples/wg-log# Where the fuzzing script will bemkdir-pexamples/wg-log/out# For code coverage and crashesmkdir-pexamples/wg-log/in# For starting inputs# Create at least 1 input for the fuzzerechoHelloWorld>examples/wg-log/in/0
Script de Fuzzer (examples/wg-log/myfuzzer.js):
examples/wg-log/myfuzzer.js
// Import the fuzzer base classimport { Fuzzer } from"../../harness/fuzzer.js";classWGLogFuzzerextendsFuzzer {constructor() {console.log("WGLogFuzzer constructor called")// Get and declare the function we are going to fuzzvar wg_log_addr =Module.findExportByName("<Program name>","<func name to fuzz>");var wg_log_func =newNativeFunction(wg_log_addr,"void", ["pointer","pointer","pointer"], {});// Initialize the objectsuper("<Program nane>", wg_log_addr, wg_log_func);this.wg_log_addr = wg_log_addr; // We cannot use "this" before calling "super"console.log("WGLogFuzzer in the middle");// Prepare the second argument to pass to the fuzz functionthis.tag =Memory.allocUtf8String("arg2");// Get the first argument we need to pass from a call to the functino we want to fuzzvar wg_log_global_ptr =null;console.log(this.wg_log_addr);Interceptor.attach(this.wg_log_addr, {onEnter:function(args) {console.log("Entering in the function to get the first argument");wg_log_global_ptr =newNativePointer(args[0]);}});while (! wg_log_global_ptr) {Thread.sleep(1)}this.wg_log_global_ptr = wg_log_global_ptr;console.log("WGLogFuzzer prepare ended")}// This function is called by the fuzzer with the first argument being a pointer into memory// where the payload is stored and the second the length of the input.fuzz(payload, len) {// Get a pointer to payload being a valid C string (with a null byte at the end)var payload_cstring =payload.readCString(len);this.payload =Memory.allocUtf8String(payload_cstring);// Debug and fuzzthis.debug_log(this.payload, len);// Pass the 2 first arguments we know the function needs and finally the payload to fuzzthis.target_function(this.wg_log_global_ptr,this.tag,this.payload);}}constf=newWGLogFuzzer();rpc.exports.fuzzer = f;
Compila el fuzzer:
# From inside fpicker clone## Compile from "myfuzzer.js" to "harness.js"frida-compileexamples/wg-log/myfuzzer.js-oharness.js
Llama al fuzzer fpicker usando radamsa:
# Indicate fpicker to fuzz a program with the harness.js script and which folders to usefpicker -v --fuzzer-mode active -e attach -p <Program to fuzz> -D usb -o examples/wg-log/out/ -i examples/wg-log/in/ -f harness.js --standalone-mutator cmd --mutator-command "radamsa"
# You can find code coverage and crashes in examples/wg-log/out/
En este caso no estamos reiniciando la aplicación ni restaurando el estado después de cada carga útil. Por lo tanto, si Frida encuentra una falla, es posible que las siguientes entradas después de esa carga útil también hagan fallar la aplicación (porque la aplicación se encuentra en un estado inestable), incluso si la entrada no debería hacer fallar la aplicación.
Además, Frida se enganchará en las señales de excepción de iOS, por lo que cuando Frida encuentre una falla, probablemente no se generen informes de fallas de iOS.
Para prevenir esto, por ejemplo, podríamos reiniciar la aplicación después de cada falla de Frida.
Registros y Fallas
Puedes verificar la consola de macOS o el cli log para revisar los registros de macOS.
También puedes verificar los registros de iOS usando idevicesyslog.
Algunos registros omitirán información agregando <private>. Para mostrar toda la información, necesitas instalar algún perfil desde https://developer.apple.com/bug-reporting/profiles-and-logs/ para habilitar esa información privada.
WhiteIntel es un motor de búsqueda alimentado por la dark web que ofrece funcionalidades gratuitas para verificar si una empresa o sus clientes han sido comprometidos por malwares de robo.
El objetivo principal de WhiteIntel es combatir los secuestros de cuentas y los ataques de ransomware resultantes de malwares que roban información.
Puedes visitar su sitio web y probar su motor de forma gratuita en: