Low Level

L'articolo è una guida tecnica dettagliata che illustra come sviluppare cheat esterni per il videogioco open-source AssaultCube. L'obiettivo principale è insegnare ai lettori come creare funzionalità come ESP (Extra Sensory Perception, comunemente noto come "wallhack") e aimbot, utilizzando tecniche di reverse engineering. Questa guida rappresenta una risorsa preziosa per chi è interessato ad approfondire le tecniche di reverse engineering e lo sviluppo di software che interagisce con applicazioni esistenti. AssaultCube, essendo open-source e privo di protezioni anti-cheat avanzate, offre un ambiente ideale per l'apprendimento e la sperimentazione in questo campo.

Contenuti principali dell'articolo:

Reverse Engineering: Utilizzo di strumenti come IDA Pro per analizzare il codice binario del gioco, identificando strutture dati chiave come la posizione dei giocatori, gli angoli di visuale e le flag di visibilità.

Analisi della memoria: Impiego di Cheat Engine per verificare e manipolare i dati in tempo reale, facilitando la comprensione delle strutture interne del gioco.

Sviluppo del cheat esterno: Creazione di un'applicazione separata che legge la memoria del gioco per ottenere informazioni sui giocatori e visualizzarle tramite un overlay grafico, utilizzando librerie come ImGui e DirectX9.

Implementazione di funzionalità avanzate: Integrazione di caratteristiche come aimbot, rimozione del rinculo, munizioni infinite e modalità "Godmode", migliorando l'efficacia del cheat.

ReSym è un progetto pensato per migliorare l’analisi e la comprensione del codice decompilato.

Si basa su modelli di intelligenza artificiale per identificare e suggerire nomi più leggibili per le variabili presenti nel codice ottenuto tramite decompilazione.

Il suo obiettivo principale è supportare gli analisti di sicurezza, i ricercatori di malware e gli sviluppatori nel lavorare con codice binario decompilato, che spesso risulta poco leggibile a causa della perdita di informazioni simboliche.

Cosa fa ReSym?

• Analizza il codice decompilato generato da strumenti come Hex-Rays IDA Pro.
• Inferisce e suggerisce i nomi delle variabili basandosi su modelli di deep learning addestrati su codice sorgente e decompilato.
• Restituisce informazioni aggiuntive, come il tipo di dati delle variabili, possibili strutture dati e riferimenti incrociati tra le variabili.
• Aiuta nella ristrutturazione del codice per rendere il codice decompilato più comprensibile, anche se non riscrive direttamente il codice con i nomi suggeriti.

Cos’è Hugging Face?

Hugging Face è una piattaforma di intelligenza artificiale specializzata nell’elaborazione del linguaggio naturale (NLP) e nell’apprendimento automatico. È nota principalmente per:

• Modelli Open-Source: ospita e sviluppa modelli di AI, come BERT, GPT, Stable Diffusion e molti altri.
• Libreria Transformers: un framework popolare per l’uso di modelli di deep learning pre-addestrati.
• Hugging Face Spaces: un ambiente che permette di ospitare e testare modelli AI, come ReSym, attraverso interfacce interattive.

ReSym è stato caricato su Hugging Face Spaces, il che significa che può essere testato direttamente online senza necessità di installazioni locali.

-------------------------------------------------------------

Il framework Oversight è uno strumento modulare e basato su plugin, progettato per il reverse engineering, il red teaming e la ricerca di vulnerabilità nei modelli di linguaggio di grandi dimensioni (Large Language Models, LLM). Fornisce un'interfaccia web che consente agli utenti di analizzare e testare i LLM per individuare comportamenti anomali o vulnerabilità.

Caratteristiche Principali

• Architettura Basata su Plugin: Oversight permette l'estensione delle sue funzionalità attraverso plugin personalizzati, facilitando l'integrazione di nuovi strumenti e metodi di analisi.​
• Analisi Completa: Supporta test avversari, evasione di risposte, prompt fuzzing, analisi dei livelli e ricerca di bypass per tecniche di jailbreaking.​
• Caricamento Flessibile dei Modelli: Attualmente, Oversight dispone di un caricatore che permette di caricare direttamente i LLM da HuggingFace, semplicemente fornendo il percorso del modello desiderato.​

Funzionamento

Una volta caricato un LLM, Oversight consente di ispezionarlo per individuare vari comportamenti e caratteristiche. Ad esempio, è possibile effettuare prompt fuzzing per testare le risposte del modello a input inaspettati o manipolativi, analizzare i livelli del modello per comprendere meglio la sua struttura interna, e cercare metodi per aggirare le protezioni (jailbreaking) al fine di valutare la robustezza del modello contro utilizzi impropri.​

In sintesi, Oversight offre una piattaforma flessibile e modulare per l'analisi approfondita dei modelli di linguaggio, supportando la ricerca e lo sviluppo di tecniche per migliorare la sicurezza e l'affidabilità degli LLM.

-------------------------------------------------------------

Link al Repository GitHub:

Progetto di reverse engineering del sistema Wi-Fi del ESP32, un popolare microcontrollore utilizzato in dispositivi IoT (Internet of Things). L'obiettivo del progetto è creare uno stack Wi-Fi open source, ossia una nuova implementazione del software che gestisce le comunicazioni Wi-Fi, che sia trasparente e modificabile da chiunque.

Durante il 38c3 (la 38ª edizione del Chaos Communication Congress, un importante evento per hacker e appassionati di tecnologia), migliaia di ESP32 presenti nell’edificio utilizzavano uno stack Wi-Fi proprietario e chiuso. Anche se funziona, questo tipo di software non può essere analizzato, modificato o migliorato perché il codice non è pubblico.

Creare uno stack Wi-Fi open source permette di:

• Personalizzare il comportamento del Wi-Fi.
• Verificare la sicurezza del software (fondamentale per i dati sensibili).
• Sperimentare nuove funzionalità non disponibili nella versione ufficiale.

I ricercatori hanno iniziato a studiare e decodificare il software proprietario del Wi-Fi per capirne il funzionamento e creare una nuova versione aperta e modificabile. Durante questo processo, hanno scoperto che l'ESP32 è molto versatile e può essere utilizzato in diversi modi avanzati:

• Come strumento di pentesting (per testare la sicurezza delle reti).
• Come router mesh B.A.T.M.A.N. (per creare reti decentralizzate).
• Come client AirDrop (per simulare la condivisione di file tra dispositivi Apple).

Cosa puoi imparare?

Seguendo questo progetto, puoi approfondire argomenti come:

• Il funzionamento delle reti Wi-Fi.
• Le capacità dell’ESP32.
• Le tecniche di reverse engineering.
• Come affrontare un progetto complesso di decodifica e ricostruzione di software.

Il progetto è rilasciato con licenza Creative Commons BY 4.0, il che significa che chiunque può usarlo, modificarlo e condividerlo, a patto di riconoscere l’autore.

-------------------------------------------------------------

Link CCC:

Il Reality Cracking è un approccio critico che invita a smascherare i messaggi nascosti che influenzano la nostra percezione della realtà, come la pubblicità e le tendenze consumistiche. Invece di essere passivi di fronte a queste manipolazioni, il Reality Cracking promuove una visione attenta e consapevole del mondo, aiutandoci a riconoscere forze economiche e sociali che condizionano la nostra vita. Con questa pratica, si cerca di ridurre l'influenza di queste forze e recuperare il controllo sulle proprie scelte

"Potresti chiederti perché tanti saggi nella sezione del 'reality cracking' siano diretti contro la pubblicità e le nostre abitudini 'consumististiche'. In poche parole, c'è una grande quantità di denaro e potere accumulato da chi promuove il consumismo inutile, e questo determina una GRANDE parte della realtà in cui vivi. Lo paghi con una mobilità economica limitata, inquinamento, minacce alla tua salute e uno standard di vita in declino, misurato dalle cose che contano veramente. Questa sezione riguarda proprio questo, identificare queste forze e darti opportunità per ridurre o eliminare il loro controllo sulla tua vita. Non suggeriamo di prendere le armi e cominciare a sparare. Quello che proponiamo fa molto più danno di un proiettile a queste forze e alle persone che le sostengono, e rende la tua vita molto più piacevole mentre ti restituisce, almeno in parte, la possibilità di vivere come vuoi tu - non qualcun altro." Fravia

Fravia, uno dei principali esponenti di questa filosofia, era un hacker, scrittore e teorico noto per la sua visione critica dei media e delle strutture di potere. Il suo lavoro ha ispirato molti a riflettere su come il "reale" possa essere manipolato dai mezzi di comunicazione e dalla tecnologia.

+ORC sta per Old Red Cracker ed è stato un anonimo esperto di reverse engineering, noto per aver pubblicato lezioni di cracking su Internet. Sebbene la sua identità sia sconosciuta, aveva corrispondenza con Fravia, che ha diffuso i suoi tutorial. +ORC ha fondato la High Cracking University (+HCU), un'organizzazione dedicata alla ricerca sul Reverse Code Engineering, e ha pubblicato annualmente nuovi problemi di reverse engineering.

-------------------------------------------------------------

Link al Fravia's Reality Cracking Lab:

Il Model Context Protocol (MCP) è un protocollo standardizzato che consente agli assistenti AI di interagire direttamente con strumenti e dati locali, migliorando le loro capacità operative. Nel contesto dell'ingegneria inversa, server MCP come radare2-mcp e GhidraMCP fungono da intermediari tra strumenti di analisi binaria (rispettivamente Radare2 e Ghidra) e client compatibili con MCP, come Claude Desktop. Questa integrazione permette agli assistenti AI di eseguire operazioni complesse, come la decompilazione e l'analisi di binari, l'elenco di metodi e classi, e la rinominazione automatica di funzioni, direttamente attraverso l'interfaccia dell'assistente. In sintesi, l'utilizzo di server MCP con client come Claude Desktop facilita l'automazione e l'efficienza nell'analisi del software, sfruttando le capacità avanzate dell'intelligenza artificiale.

-------------------------------------------------------------

Link ai Repository GitHub:

ReverseYara prende in input delle regole YARA e genera file che corrispondono ai criteri definiti in quelle regole. In pratica, analizza le condizioni (come pattern di byte, stringhe specifiche, offset) e crea un output che le soddisfa, ingannando o simulando un file che verrebbe rilevato dalle regole.

Le regole YARA sono espressioni utilizzate per identificare e classificare file o contenuti sospetti, principalmente in ambito di cybersecurity. Sono parte di YARA (Yet Another Recursive Acronym), uno strumento open-source creato per rilevare malware tramite pattern specifici.

​ReverseYara è uno strumento proof-of-concept che estrae firme da regole YARA e genera file di output basati sull'estensione del nome del file o invia le firme attraverso una connessione di rete.

-------------------------------------------------------------

A cosa può servire ReverseYara?

Test di robustezza delle regole YARA:

• Creare file "esca" per verificare che le regole funzionino correttamente e non ci siano falsi positivi o falsi negativi.
• Utile per analisti di malware e team di sicurezza che devono validare la loro infrastruttura di rilevamento.

Audit e ottimizzazione di regole YARA:

• Identificare regole troppo lascive o troppo restrittive, migliorando l'efficacia dei sistemi di rilevamento.

Simulazione di minacce:

• Generare campioni fittizi di malware per testare strumenti di sicurezza (antivirus, sistemi EDR) senza usare codici dannosi reali.