Development

Software-ontwikkeling
Ghidra NSA-tool

NSA-tool Ghidra doorgelicht door aangeklaagde Wannacry-held

De als open source vrijgegeven NSA-tool Ghidra wordt kritisch gekeurd.

© NSA
6 maart 2019

De als open source vrijgegeven NSA-tool Ghidra wordt kritisch gekeurd.

Een van de vele security-onderzoekers die gretig zijn ingesprongen op de gratis beschikbare NSA-hacktool Ghidra is de hacker die de beruchte Wannacry-ransomware een halt toe heeft geroepen. Deze Brit zit momenteel in de Verenigde Staten in afwachting van een rechtszaak tegen hem over de ontwikkeling van een beruchte banking-Trojan. In de tussentijd werkt hij door aan security, zoals het uitproberen van Ghidra wat hij in video showt. De NSA-tool zien zonder die download zelf te hoeven draaien.

De Britse hacker Marcus Hutchins, die in augustus 2017 is opgepakt bij zijn bezoek aan beveiligingsconferentie DefCon, verblijft verplicht in de VS in afwachting van zijn rechtszaak. Daarover is nu net een eerste zittingsdatum bekend geworden: op 8 juli moet de hacker voor een Amerikaanse jury verschijnen. Hij wordt beschuldigd van het maken en verkopen van de beruchte Kronos-malware. Die kwaadaardige code is geleverd aan meerdere cybercriminelen die daarmee bankrekeningen van vele mensen hebben geplunderd.

Blackhat-verleden?

Kronos is in 2014 ontwikkeld en specifiek gemaakt voor het stelen van inloggegevens voor internetbankieren. De ontwikkeling van deze banking-Trojan is in de loop der tijd doorgezet, met vorig jaar nog plots nieuw opgedoken varianten. Hacker Hutchins heeft begin 2017 wereldfaam verkregen toen hij een zogeheten killswitch-mogelijkheid ontdekte in de rondgaande Wannacry-ransomware én benutte. De security-expert heeft die uitschakeloptie van de ransomware benut om de internationale epidemie een halt toe te roepen.

Kort daarna bezocht hij de DefCon-conferentie in Las Vegas waar hij door Amerikaanse autoriteiten is opgepakt en in staat van beschuldiging is gesteld. De hacker is op borgtocht vrij, maar zijn paspoort is ingenomen en hij draagt een tracking-enkelband. In afwachting van zijn zaak blijft hij wel bezig met ICT-security. Zo heeft hij nu de door de NSA vrijgegeven reverse engineering-tool Ghidra aan de tand gevoeld, wat hij live heeft gestreamed via videoplatform Twitch en ook heeft gepubliceerd op YouTube.

Waar voor het belastinggeld

Hutchins is positief over de mogelijkheden van Ghidra wat als open source is vrijgegeven en dus gratis valt te gebruiken. Meestal kosten tools voor reverse engineering van software flinke bedragen. Zo kost IDA Pro in vergelijkbare configuratie zo'n 13.000 dollar, aldus de Britse hacker. De NSA heeft bij het uitbrengen van Ghidra verklaard dat het vrijgeven van die zelf ontwikkeld tool een geval is van 'your tax dollars at work'.

Een andere hacker die zich op Ghidra stort, reageert hierop met een prijsvergelijking en stelt: "Het was het waard." De Amerikaanse inlichtingendienst wil Ghidra op termijn vergezellen van een geïntegreerde debugger, een krachtige emulator en verbeterde tools voor analyse van softwarecode.

Bekijk Ghidra First Look! van MalwareTechBlog op www.twitch.tv

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.