Palestra realizada por Tony Rodrigues durante a 3a. edição da Nullbyte Security Conference em 26 de novembro de 2016.
Resumo:
Em 2012, dois pesquisadores japoneses elaboraram uma técnica, apresentada na Black Hat Europa do mesmo ano, que consiste em modificar um byte - sem ca usar crash do sistema - a fim de impedir que ferramentas de análise (Volatility, Memoryze e HBGary) consigam entender e posteriormente interpretar um dump de memória. Esta técnica ficou conhecida como Abort Factor. Durante suas pesquisas, Takahiro Haruyama e Hiroshi Suzuki identificaram três operações críticas e comuns nas ferramentas de análise de memória: - Tradução do endereço virtual em kernel space - Identificação do Sistema Operacional e arquitetura do dump - Obtenção de objetos do kernel Dessa forma, através da manipulação de apenas um byte nas estruturas relacionadas a cada um dos itens acima, foi possível tornar esse dump incompreensível para ferramentas de análise forense. Pesquisamos no OctaneLabs a técnica do Abort Factor e demonstraremos como é possível identificar o ataque, bem como reverter/corrigir um dump de memória de uma máquina onde a técnica foi usada.
O documento descreve um rootkit para o kernel do FreeBSD chamado Redshift. Ele discute os tipos de rootkits, incluindo ring 0, ring -1 e rootkits de firmware. Também explica os comandos, módulos e técnicas do Redshift, como esconder arquivos, processos e módulos, além de escalar privilégios. Apresenta uma demonstração do Redshift e discute formas de detecção e melhorias futuras.
O NuttX é um sistema operacional de tempo real open source que roda em diversos microcontroladores e processadores. Ele implementa funcionalidades POSIX e suporta recursos como rede, arquivos, USB, áudio e gráficos. Sua documentação e código estão disponíveis no site nuttx.org para que desenvolvedores possam utilizá-lo ou contribuir com novos drivers e melhorias.
Novidades no OpenBSD 4.3 - Leonardo Menezes VazTchelinux
O documento resume as principais características e novidades do sistema operacional OpenBSD 4.3, incluindo sua ênfase em segurança, suporte multiplataforma, uso extensivo de criptografia e lançamento recente com mais de 4900 pacotes.
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
O documento discute a importância de proteger sistemas disponibilizados na web para manter a integridade e disponibilidade dos dados da organização e evitar ataques. Ele apresenta a metodologia PDHM (Planejar, Deploy, Harden, Monitor) para fortalecer a segurança, incluindo ajustes de configuração e ferramentas como Ossec HIDS para monitoramento.
Confraria Security And IT - End Point SecurityLuis Grangeia
O documento discute a segurança dos "endpoints" e como os sistemas operativos estão se tornando mais restritivos para proteger os usuários. Modelos como em smartphones estão ganhando popularidade, limitando o que os usuários podem fazer e sandboxing aplicativos. Isso traz mais segurança, mas também custos em termos de controle e dependência do fabricante.
O documento discute técnicas de invasão e defesa de sistemas, mencionando ferramentas como Nmap, Metasploit e phishing, além de métodos de defesa como firewalls, IDS e honeypots.
O documento discute ferramentas de segurança, incluindo tipos como ferramentas de segurança de hosts e de rede. Ele também lista e descreve várias ferramentas populares de segurança para Windows e Linux, como Comodo Firewall Pro, NoScript, e distribuições focadas em segurança como BackBox, Kali e Madriux.
Este documento discute a instalação de sistemas operacionais no dispositivo móvel Openmoko Neo FreeRunner. Ele lista várias distribuições como Android, Debian e Gentoo que podem ser instaladas e fornece instruções detalhadas sobre como instalar o bootloader, kernel e sistema de arquivos raiz usando ferramentas como dfu-util para Windows, Fedora e Ubuntu.
O documento descreve um rootkit para o kernel do FreeBSD chamado Redshift. Ele discute os tipos de rootkits, incluindo ring 0, ring -1 e rootkits de firmware. Também explica os comandos, módulos e técnicas do Redshift, como esconder arquivos, processos e módulos, além de escalar privilégios. Apresenta uma demonstração do Redshift e discute formas de detecção e melhorias futuras.
O NuttX é um sistema operacional de tempo real open source que roda em diversos microcontroladores e processadores. Ele implementa funcionalidades POSIX e suporta recursos como rede, arquivos, USB, áudio e gráficos. Sua documentação e código estão disponíveis no site nuttx.org para que desenvolvedores possam utilizá-lo ou contribuir com novos drivers e melhorias.
Novidades no OpenBSD 4.3 - Leonardo Menezes VazTchelinux
O documento resume as principais características e novidades do sistema operacional OpenBSD 4.3, incluindo sua ênfase em segurança, suporte multiplataforma, uso extensivo de criptografia e lançamento recente com mais de 4900 pacotes.
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
O documento discute a importância de proteger sistemas disponibilizados na web para manter a integridade e disponibilidade dos dados da organização e evitar ataques. Ele apresenta a metodologia PDHM (Planejar, Deploy, Harden, Monitor) para fortalecer a segurança, incluindo ajustes de configuração e ferramentas como Ossec HIDS para monitoramento.
Confraria Security And IT - End Point SecurityLuis Grangeia
O documento discute a segurança dos "endpoints" e como os sistemas operativos estão se tornando mais restritivos para proteger os usuários. Modelos como em smartphones estão ganhando popularidade, limitando o que os usuários podem fazer e sandboxing aplicativos. Isso traz mais segurança, mas também custos em termos de controle e dependência do fabricante.
O documento discute técnicas de invasão e defesa de sistemas, mencionando ferramentas como Nmap, Metasploit e phishing, além de métodos de defesa como firewalls, IDS e honeypots.
O documento discute ferramentas de segurança, incluindo tipos como ferramentas de segurança de hosts e de rede. Ele também lista e descreve várias ferramentas populares de segurança para Windows e Linux, como Comodo Firewall Pro, NoScript, e distribuições focadas em segurança como BackBox, Kali e Madriux.
Este documento discute a instalação de sistemas operacionais no dispositivo móvel Openmoko Neo FreeRunner. Ele lista várias distribuições como Android, Debian e Gentoo que podem ser instaladas e fornece instruções detalhadas sobre como instalar o bootloader, kernel e sistema de arquivos raiz usando ferramentas como dfu-util para Windows, Fedora e Ubuntu.
O documento apresenta uma introdução sobre bots e botnets, explicando o que são, como funcionam e os riscos que podem causar, como DDoS, spam e roubo de dados. Também fornece dicas para detecção e combate, como análise de tráfego de rede, uso de IDS e honeypots.
O documento fornece uma introdução ao Git, incluindo sua instalação e configuração, comandos básicos como iniciar e clonar repositórios, adicionar e commitar arquivos, e interagir com repositórios remotos. Ele também lista outros comandos e ferramentas gráficas para Git.
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
Clonezilla seu amigo, vai salvar seus dados do perigo! - Tchelinux Caxias 2011Jerônimo Medina Madruga
O documento apresenta o Clonezilla, um software livre para clonagem e recuperação de sistemas. Ele permite clonar sistemas operacionais e dados para restauração ou compartilhamento em vários tipos de hardware. O Clonezilla funciona offline, permite trabalhos automatizados e suporta acesso remoto. Uma versão server edition também está disponível.
Confraria0day - 11º Edição - Jhonathan DaviJhonathan Davi
O documento discute técnicas utilizadas por cibercriminosos para roubar informações bancárias de usuários, incluindo alteração de configurações de DNS em roteadores para redirecionar tráfego para sites falsos e uso de scripts JavaScript maliciosos para capturar endereços IP internos e realizar ataques de força bruta em roteadores. O documento também apresenta a ferramenta RouterhunterBR 2.0 para varredura automática de vulnerabilidades em dispositivos conectados à Internet.
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceRicardo Rufino
O documento resume uma apresentação sobre hackear um dispositivo Android TV Box chamado SmartBOX para instalar o sistema operacional Linux e permitir aplicações gráficas Java. O documento descreve como gravar uma imagem Linux no cartão microSD, instalar o Java 8 para ARM e rodar aplicações Swing sem um ambiente gráfico completo.
O documento discute ataques à Internet das Coisas (IoT), incluindo dispositivos automatizados de medição de tanque (ATG). Ele descreve como ferramentas como Shodan e Censys podem localizar dispositivos IoT vulneráveis e expostos na internet, incluindo ATGs, e como esses dispositivos podem ser acessados e seus dados coletados. O documento também fornece exemplos de comandos ATG que podem ser usados para obter informações do sistema ou configurá-lo.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
O documento apresenta o Metasploit Framework, um software livre para prova de conceito de vulnerabilidades. Ele discute o que é o Metasploit, como utilizá-lo para prova de conceito e desenvolver exploits, e as principais características do Meterpreter. Além disso, apresenta módulos auxiliares e o uso do Metasploit para testes web.
Muitos desenvolvedores se preocupam bastante com os aspectos estáticos dos sistemas que constroem, tais como se o código está bonito, se está idiomático, se está seguindo um determinado styleguide, entre outros bullet points do bom design de código; e isso é muito bom. Mas isso não é tudo. Há ainda o aspecto real da coisa, o Runtime. É no Runtime que ômis e mininus se sobressaem. E essa apresentação é sobre com o que os ômis mais se preocupam quanto estão escrevendo sistemas críticos – para o Mundo Real, é lógico.
O documento apresenta uma agenda para uma palestra sobre introdução a pentests e a era atual. A agenda inclui tópicos como quem são os palestrantes, mercado de trabalho para pentesters, tipos de pentests, demonstrações de pentests e desafios atuais como bypass de WAFs e evasão de sandboxs.
O documento discute a diferença entre homens e meninos no desenvolvimento de sistemas para o mundo real. Homens não se preocupam apenas com a estética do código, mas também com aspectos como realidade, administrabilidade, disponibilidade, debugabilidade, escalabilidade e performance no runtime. Falhas inevitavelmente ocorrerão e sistemas precisam ser projetados para lidar com elas.
TDC2018SP | Trilha Arq .Net - Performance e featuretdc-globalcode
O documento discute otimização de performance em desenvolvimento de software. Em 3 frases ou menos, o documento enfatiza que otimização prematura pode ter impactos negativos, que performance depende do contexto e que é importante entender detalhadamente como o código funciona. O palestrante também lista diversas ferramentas e abordagens de programação para analisar seu impacto na performance.
O documento lista sintomas comuns de código legado, incluindo inconsistência, arquitetura fraca, falta de documentação e testes. Ele também fornece links para recursos sobre como melhorar a qualidade e manutenibilidade do código.
Voce se preocupa com performance ou é sempre problema da infraCDS
O documento discute várias técnicas e ferramentas para melhorar o desempenho de aplicações, incluindo o uso de sessões em bancos de dados NoSQL, análise de consultas SQL, índices de banco de dados, evitar carregamentos desnecessários de objetos e frameworks como o Dapper. Também recomenda monitoramento de desempenho com ferramentas como profilers e soluções de telemetria.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
O documento apresenta o projeto W@rpSpeed da OctaneLabs, que visa resolver três grandes problemas da computação forense: o backlog crescente de casos, os recursos de alto custo com restrições tecnológicas e as investigações prejudicadas. O projeto utilizará novas tecnologias como indexação distribuída, parsers acelerados por GPU e análise assistida por IA para agilizar as investigações de forma escalável e a custos reduzidos.
O documento discute como automatizar sistemas legados utilizando ferramentas de DevOps. Primeiro, descreve as características problemáticas dos sistemas legados e a necessidade de tratá-los da melhor forma possível. Em seguida, apresenta como a HypeFlame/Agibank modularizou seu sistema legado, escolheu ferramentas adequadas e implementou pipelines de integração e entrega contínuas para tratá-lo de forma semelhante a microsserviços.
Este documento fornece uma introdução à engenharia reversa, descrevendo seus objetivos, onde é usada e os principais conhecimentos necessários, incluindo programação, sistemas operacionais e ferramentas. Ele discute conceitos básicos de programação, APIs, arquitetura, gerenciamento de memória e ferramentas como WinDbg, IDA e Process Monitor. O documento sugere tarefas como resolver problemas no sistema operacional e quebrar proteções de programas para aprendizado.
O documento discute implementar a estratégia de "fail fast" no Rails para identificar falhas o mais rápido possível. Ele lista vários fatores que podem causar falhas, como hardware, software, infraestrutura e serviços de terceiros. Também discute como configurar timeouts de lock para falhar rápido quando houver problemas de concorrência e como monitorar a aplicação para gerar alertas sobre falhas.
Performance e disponibilidade ‐ Um estudo de caso: website dos CorreiosAlex Hübner
[1] O documento descreve uma estratégia implementada para melhorar o desempenho e disponibilidade de um site institucional dos Correios que rodava no ColdFusion. [2] A estratégia envolveu duplicar as instâncias do ColdFusion em cada servidor para melhor aproveitar os recursos, otimizar configurações do servidor e do banco de dados, e estabelecer rotinas de reciclagem noturna. [3] As mudanças permitiram dobrar a capacidade do ambiente existente sem necessidade de novos servidores.
utilitários de linha de comando bonitos em pythontdc-globalcode
O documento discute como criar utilitários de linha de comando em Python de forma elegante. Ele cobre tópicos como códigos de retorno, parsing de argumentos, logging, controle de sinais, arquivos especiais, ferramentas de desenvolvimento, documentação e interfaces de usuário baseadas em texto. O documento enfatiza a importância de se ter uma licença amigável, documentação clara, testes automatizados, integração contínua e uma comunidade ativa para projetos Python de alta qualidade.
O documento apresenta uma introdução sobre bots e botnets, explicando o que são, como funcionam e os riscos que podem causar, como DDoS, spam e roubo de dados. Também fornece dicas para detecção e combate, como análise de tráfego de rede, uso de IDS e honeypots.
O documento fornece uma introdução ao Git, incluindo sua instalação e configuração, comandos básicos como iniciar e clonar repositórios, adicionar e commitar arquivos, e interagir com repositórios remotos. Ele também lista outros comandos e ferramentas gráficas para Git.
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
Clonezilla seu amigo, vai salvar seus dados do perigo! - Tchelinux Caxias 2011Jerônimo Medina Madruga
O documento apresenta o Clonezilla, um software livre para clonagem e recuperação de sistemas. Ele permite clonar sistemas operacionais e dados para restauração ou compartilhamento em vários tipos de hardware. O Clonezilla funciona offline, permite trabalhos automatizados e suporta acesso remoto. Uma versão server edition também está disponível.
Confraria0day - 11º Edição - Jhonathan DaviJhonathan Davi
O documento discute técnicas utilizadas por cibercriminosos para roubar informações bancárias de usuários, incluindo alteração de configurações de DNS em roteadores para redirecionar tráfego para sites falsos e uso de scripts JavaScript maliciosos para capturar endereços IP internos e realizar ataques de força bruta em roteadores. O documento também apresenta a ferramenta RouterhunterBR 2.0 para varredura automática de vulnerabilidades em dispositivos conectados à Internet.
Hackeando um SmartBOX (com android) e instalando Linux & JAVA & OpenDeviceRicardo Rufino
O documento resume uma apresentação sobre hackear um dispositivo Android TV Box chamado SmartBOX para instalar o sistema operacional Linux e permitir aplicações gráficas Java. O documento descreve como gravar uma imagem Linux no cartão microSD, instalar o Java 8 para ARM e rodar aplicações Swing sem um ambiente gráfico completo.
O documento discute ataques à Internet das Coisas (IoT), incluindo dispositivos automatizados de medição de tanque (ATG). Ele descreve como ferramentas como Shodan e Censys podem localizar dispositivos IoT vulneráveis e expostos na internet, incluindo ATGs, e como esses dispositivos podem ser acessados e seus dados coletados. O documento também fornece exemplos de comandos ATG que podem ser usados para obter informações do sistema ou configurá-lo.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
O documento apresenta o Metasploit Framework, um software livre para prova de conceito de vulnerabilidades. Ele discute o que é o Metasploit, como utilizá-lo para prova de conceito e desenvolver exploits, e as principais características do Meterpreter. Além disso, apresenta módulos auxiliares e o uso do Metasploit para testes web.
Muitos desenvolvedores se preocupam bastante com os aspectos estáticos dos sistemas que constroem, tais como se o código está bonito, se está idiomático, se está seguindo um determinado styleguide, entre outros bullet points do bom design de código; e isso é muito bom. Mas isso não é tudo. Há ainda o aspecto real da coisa, o Runtime. É no Runtime que ômis e mininus se sobressaem. E essa apresentação é sobre com o que os ômis mais se preocupam quanto estão escrevendo sistemas críticos – para o Mundo Real, é lógico.
O documento apresenta uma agenda para uma palestra sobre introdução a pentests e a era atual. A agenda inclui tópicos como quem são os palestrantes, mercado de trabalho para pentesters, tipos de pentests, demonstrações de pentests e desafios atuais como bypass de WAFs e evasão de sandboxs.
O documento discute a diferença entre homens e meninos no desenvolvimento de sistemas para o mundo real. Homens não se preocupam apenas com a estética do código, mas também com aspectos como realidade, administrabilidade, disponibilidade, debugabilidade, escalabilidade e performance no runtime. Falhas inevitavelmente ocorrerão e sistemas precisam ser projetados para lidar com elas.
TDC2018SP | Trilha Arq .Net - Performance e featuretdc-globalcode
O documento discute otimização de performance em desenvolvimento de software. Em 3 frases ou menos, o documento enfatiza que otimização prematura pode ter impactos negativos, que performance depende do contexto e que é importante entender detalhadamente como o código funciona. O palestrante também lista diversas ferramentas e abordagens de programação para analisar seu impacto na performance.
O documento lista sintomas comuns de código legado, incluindo inconsistência, arquitetura fraca, falta de documentação e testes. Ele também fornece links para recursos sobre como melhorar a qualidade e manutenibilidade do código.
Voce se preocupa com performance ou é sempre problema da infraCDS
O documento discute várias técnicas e ferramentas para melhorar o desempenho de aplicações, incluindo o uso de sessões em bancos de dados NoSQL, análise de consultas SQL, índices de banco de dados, evitar carregamentos desnecessários de objetos e frameworks como o Dapper. Também recomenda monitoramento de desempenho com ferramentas como profilers e soluções de telemetria.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
O documento apresenta o projeto W@rpSpeed da OctaneLabs, que visa resolver três grandes problemas da computação forense: o backlog crescente de casos, os recursos de alto custo com restrições tecnológicas e as investigações prejudicadas. O projeto utilizará novas tecnologias como indexação distribuída, parsers acelerados por GPU e análise assistida por IA para agilizar as investigações de forma escalável e a custos reduzidos.
O documento discute como automatizar sistemas legados utilizando ferramentas de DevOps. Primeiro, descreve as características problemáticas dos sistemas legados e a necessidade de tratá-los da melhor forma possível. Em seguida, apresenta como a HypeFlame/Agibank modularizou seu sistema legado, escolheu ferramentas adequadas e implementou pipelines de integração e entrega contínuas para tratá-lo de forma semelhante a microsserviços.
Este documento fornece uma introdução à engenharia reversa, descrevendo seus objetivos, onde é usada e os principais conhecimentos necessários, incluindo programação, sistemas operacionais e ferramentas. Ele discute conceitos básicos de programação, APIs, arquitetura, gerenciamento de memória e ferramentas como WinDbg, IDA e Process Monitor. O documento sugere tarefas como resolver problemas no sistema operacional e quebrar proteções de programas para aprendizado.
O documento discute implementar a estratégia de "fail fast" no Rails para identificar falhas o mais rápido possível. Ele lista vários fatores que podem causar falhas, como hardware, software, infraestrutura e serviços de terceiros. Também discute como configurar timeouts de lock para falhar rápido quando houver problemas de concorrência e como monitorar a aplicação para gerar alertas sobre falhas.
Performance e disponibilidade ‐ Um estudo de caso: website dos CorreiosAlex Hübner
[1] O documento descreve uma estratégia implementada para melhorar o desempenho e disponibilidade de um site institucional dos Correios que rodava no ColdFusion. [2] A estratégia envolveu duplicar as instâncias do ColdFusion em cada servidor para melhor aproveitar os recursos, otimizar configurações do servidor e do banco de dados, e estabelecer rotinas de reciclagem noturna. [3] As mudanças permitiram dobrar a capacidade do ambiente existente sem necessidade de novos servidores.
utilitários de linha de comando bonitos em pythontdc-globalcode
O documento discute como criar utilitários de linha de comando em Python de forma elegante. Ele cobre tópicos como códigos de retorno, parsing de argumentos, logging, controle de sinais, arquivos especiais, ferramentas de desenvolvimento, documentação e interfaces de usuário baseadas em texto. O documento enfatiza a importância de se ter uma licença amigável, documentação clara, testes automatizados, integração contínua e uma comunidade ativa para projetos Python de alta qualidade.
Ideais Cowabunga - Headless Testing com GhostDriverStefan Teixeira
O documento apresenta o GhostDriver, uma implementação do WebDriver Wire Protocol para o PhantomJS que permite executar testes headless. O autor discute os benefícios de usar headless browsers como feedback mais rápido, para smoke tests e integração contínua. Problemas conhecidos como tratamento de alerts em frames aninhados também são abordados.
TDC2018SP | Trilha Serveless - Pra que SERVErless?tdc-globalcode
O documento discute o conceito de serverless computing, incluindo como ele remove a necessidade de gerenciar servidores, permite que as funções sejam acionadas por eventos e escalem automaticamente, e como ele pode trazer benefícios como redução de custos e complexidade.
Incluindo Ferramentas de Segurança no PipelineClaudio Romao
O documento discute a inclusão de ferramentas de segurança no pipeline de desenvolvimento, como adicionar requisitos e análises de segurança mais cedo no processo, treinar equipes, analisar código e pacotes, e monitorar aplicações. Também aborda riscos relacionados a licenças de software open source e ferramentas que podem ser usadas para análises estáticas, pentests, compliance e gestão de configuração.
Este documento fornece informações sobre segurança em servidores Linux de acordo com a norma ISO 27002. Resume as principais técnicas para garantir a segurança dos servidores, incluindo hardening do sistema, políticas de acesso, monitoramento e logs.
Táticas de obfuscação de código em projetos PHPMurilo Chianfa
Esta palestra aborda estratégias de obfuscação de código PHP como uma medida para fortalecer a defesa em profundidade de projetos críticos.
Serão apresentadas técnicas eficazes de ofuscação, destacando como esse processo pode dificultar significativamente a compreensão do código por atacantes e/ou indivíduos mal intencionados, promovendo uma abordagem mais robusta na preservação da integridade de sistemas PHP em ambientes de produção.
O documento fornece um guia passo-a-passo para instalar o MySQL em 10 minutos ou menos. Ele explica como baixar o pacote binário do MySQL, descompactá-lo, criar o usuário e diretórios necessários, configurar as permissões e parâmetros, inicializar o banco de dados e realizar ajustes básicos de segurança antes de deixar o servidor pronto para uso.
Semelhante a Anti-Anti-Forense de Memória: Abortando o "Abort Factor" (20)
One of the most time consuming tasks as a red teamer is diving into filesystems and shares, attempting to identify any potentially sensitive information. Genneraly users store credentials and other sensitive information in local filesystems and this talk has the purpose of explaining how to use the carnivorall as a means to speed up the task of searching important files using several vectors. I will present some proof of concepts, comparisons between tools and my recent success cases in red teaming engagements."
With the popularization of github, the lack of security control in commits has exposed several sensitive data that can compromise both companies and ordinary users. To make the search easier, I've created a script to automate and collect the results. This script is in version 2.0 with some implementations and improvements in the code, I will demonstrate how to perform the collection and how this can cause a great impact.
Tem sido comum a incidência de ataques contra serviços mal configurados e expostos na Internet. Nessa apresentação, Leandro Rocha irá não somente evidenciar a incidência de um tipo de repositório bastante crítico cuja exposição na Internet vem se tornando frequente, mas também demonstrar os métodos usados para automatizar seu abuso, as possibilidades de uso desse tipo de serviço em vários tipos de ataques e formas de mitigar riscos.
Advanced Threats are rising in the Windows 10 environment, where sophisticated attack vectors are being used to evade threat detection tools and extract privileged data from the user. This talk presents a collection of tools and techniques developed after reverse engineering and playing with Windows interfaces, aim to evade detection system (A/V or A/C) and to escalate kernel privileges.
The document discusses whether the Rust programming language is truly safe. It begins by defining safety as protection from harm. It then provides examples of bugs in other systems that caused major issues like erroneous website classifications, radiation overdoses in medical machines, and multimillion dollar losses. The document outlines some key features of Rust like memory safety guarantees and lack of data races that aim to prevent these issues. However, it notes that unsafe code blocks allow bypassing some checks and could lead to memory corruption if used incorrectly. Therefore, while Rust aims to be safe, vulnerabilities may still be possible through its unsafe capabilities or limitations of compile-time checks.
Palestra realizada por Neal Mokrane aka nil0x42 durante a 3a. ediação da Nullbyte Security Conference em 26 de novembro de 2016
Resumo
PhpSloit is a remote control framework, aiming to provide a stealth interactive shell-like connection over HTTP between client and web server. It is a post-exploitation tool capable to maintain access to a compromised web server for privilege escalation purposes. This talk will present common use cases of the framework from an offensive pentester point of view, on realistic cases, including: - post-exploitation with IDS/WAF bypass - persistent backdooring - log analysis evasion - stealth privilege escalation The final part will be dedicated to present a selection of the best plugins (imho) and the versatility of the tool on very specific use cases.
Palestra realizada por Toronto Garcez aka torontux durante a 3a. edição da Nullbyte Security Conference em 26 de novembro de 2016.
Resumo:
O objetivo da apresentação é demonstrar de forma prática, o passo-a-passo para criar uma botnet com roteadores wi-fi e/ou embarcados em geral. Será demonstrado o desenvolvimento de um comando e controle e a utilização de firmwares "backdorados" para tornar dispositivos em bots.
Apresentação realizada pelo Bernardo Rodrigues aka bernardomr durante a 2a.edição da Nullbyte Securite Conference em 21/11/2015.
Resumo:
A tecnologia de de Internet à Cabo evoluiu consideravelmente nos últimos anos, trazendo novos desafios de segurança. A transição para o DOCSIS 3.0 introduziu equipamentos mais modernos, com maior capacidade e novas funcionalidades. Os clientes acessam a Internet com "caixas pretas" e confiam que os fabricantes e provedores vão mantê-los seguros. A ideia da palestra é discutir a segurança dos modems a cabo, assim como a tecnologia de gerência dos dispositivos, transporte das informações e atualizações de firmware.
O documento discute vários tipos de ataques client-side como XSS, JSON Hijacking e DNS Pinning e seus impactos na confidencialidade, disponibilidade e integridade. Também apresenta vetores interessantes como clipboard e network discovery usando o framework BeEF, além de técnicas como cache poisoning e uso indevido de Google Tag Manager. Por fim, aborda medidas de proteção como Content Security Policy e Sub Resource Integrity.
Palestra realizado pelo Roberto Espreto aka espreto durante a 2a.edição da Nullbyte Security Conference em 21 de novembro de 2015.
Resumo:
Desenvolvimento seguro? Melhores práticas? Exagero. Isso é apenas um plugin do WordPress que faz..." Ei bichim, já ouviu algum cabra-de-aió falar algo semelhante? Com certeza sim. Pois bem, o objetivo desta apresentação é demonstrar em tempo real a facilidade e rapidez em criar e/ou adaptar exploits para o Metasploit Framework desde o seu disclosure na internet até a exploração do WordPress.
O documento descreve como o palestrante quebrou milhões de senhas criptografadas em português brasileiro ("pt_BR") usando técnicas como força bruta, dicionários e regras. Ele indexou os hashes quebrados em Elasticsearch para permitir buscas rápidas.
O documento apresenta Cleber Brandão, conhecido como CleBeeR, e discute o Grsecurity, um patch para o kernel Linux que melhora a segurança, adicionando controles de acesso à memória e prevenindo overflows de pilha e vulnerabilidades zero-day. A agenda inclui uma introdução ao Grsecurity, suas principais funcionalidades e uma demonstração.
Palestra realizada por Raphael Prudencio aka raph0x88 durante a 2a. edição da Nullbyte Security Conference em 21 de novembro de 2015.
Resumo:
Cada binário é uma história diferente e toda história pode ser reescrita, ao subverter o fluxo de um binário é possível alterar a sua história para satisfazer as necessidades mais obscuras. Veremos como adulterar um binário é uma tarefa relativamente simples, com bypass de técnicas de proteção e ao estilo “Cracking for fun and profit”!
2. #whoami
• Tony Rodrigues, CISSP, CFCP, Security+
• 30 anos em TI
– Desenvolvimento
– Contingência
– Segurança de Informações/Computação Forense
• Perito em DFIR
• Fundador e Pesquisador-Chefe do OctaneLabs
• Blog: http://forcomp.blogspot.com
8. Agenda
• Computação Forense e a importancia
da Forense de Memória
• Forense de Memória
• Organização de Memória do Windows
• Lembra daqueles erros no seu dump
de memória ?
• Abort Factor
• Atacando a Memória
• Podemos reverter ?
• Abortando o Abort Factor
• Conclusões
9. Aviso de Isenção de
Responsabilidade
As declarações publicadas aqui são
de minha única e exclusiva
iniciativa e não representam,
necessariamente, opinião,
estratégia e posicionamento do
meu empregador.
11. CF – Importancia da
Forense de Memória
• Análise Post Mortem
• Análise Live
• Análise Dump Memória
Volume de dados dificulta a
localização de malwares
Pode ser comprometida por
malwares (hooking) – menos
confiável em alguns casos
Melhor relação esforço-resultado!!
12. • Processo realizado em apenas 2 etapas
– Coleta da memória (Dump)
– Análise do dump
• Consegue identificar
–Processos e respectivas informações
– Dados não alocados (processos terminados)
– Processos que estejam ocultos
CF – Importancia da
Forense de Memória
14. Coletando a Memoria
User Mode
Kernel Mode
Inicio da Aquisição Inicio da Analise
Ferramenta de
Aquisição
Ferramenta de
Analise
Dump de
Memória
Analise Dump
Driver de
Aquisição
NtWriteFile () dump
NtWriteFile () dump
Host Remoto
Dump Memória
Algoritmo Dump de
Memória
DevicePhysicalMemory
Physical space mapping (MmMapIoSpace())
15. • Coleta
– MoonSols Windd (Raw e CrashDump)
– WinEn (Raw)
– HBGary Responder (Raw)
– DumpIt (Raw)
– WinPMem (Raw e CrashDump)
– Windows Memory Reader
– Belkasoft Live Ram Capturer
Forense de Memória
17. • Open Source
• Versão Windows OS – XP, Vista, 7, 8,
8.1, 2003, 2008 e 2012
• Suporta Raw, Crash Dump, snapshot de
máquinas virtuais e Hibernation
• Arquitetura Intel x86
• Trabalha com conceito de plugins
Volatility
19. • Desenvolvido pela Mandiant
– Foco na análise dos processos
• Versão Windows OS - todas
• Suporta apenas Raw
• Duas arquiteturas: x86 e AMD64
• Trabalha três conceitos
– Malware Risk Index
– IoC (Indicators of Compromise)
– MemD5 (whitelist)
Redline
21. • Desenvolvido pela HBGary
• Versão Windows OS – Todas
• Suporta apenas Raw
• Duas arquiteturas: x86 e AMD64
• Trabalha com dois conceitos
– Digital DNA
– Code Graphing
HBGary Responder
27. Tradução de endereços
virtuais
Pagina
Desejada
Existem outros modelos de endereçamento como o PAE e 64 bits
Page Directory
Index
Page Table
Index
Byte Index
KPROCESS
CR3
PFN
PFNPDE
PTE
Endereço
Físico
Index
Index
Index
Endereço Físico
28. Estruturas Importantes
Process Control Block (PCB)
Process ID
Parent Process ID
Image File Name
Exit Status
Create and Exit Time
Active Process Link
Session Process Link
Quota Block
Memory Management Information
Security,Exception, Debug Ports
(...)
Process Counter
Process Flag
Image Base Address
EPROCESS
Dispatcher Header
Kernel Time
User Time
Cycle Time
Inheritable Thread
Scheduling Flags (...)
Insawap-Outswap List Entry
Thread List Head
Process Spinlock
Processor Afinity
Resident Kernel Stack Count
Process State
Thread Seed
Ideal Node
KTHREAD
PSActiveProcessHead
Estrutura EPROCESS
Estrutura KPROCESS
(...) Directory Table Base
35. Ataque do Abort Factor
• BlackHat 2012
• O ataque é contra a análise
• Baseado na modificação de um byte em alguns
lugares específicos (Abort Factor)
• Implementado em código que executa no nível
do Kernel
• Busca inviabilizar as ferramentas de análise
36. Ataque do Abort Factor
• Ataque é realizado sobre operações
críticas
– Tradução do endereçamento virtual do kernel
space
– Identificação da arquitetura e Sistema
Operacional
– Obtenção de Objetos do Kernel
• Não pode dar BSOD !
39. Atacando a Memória
• Rootkit
– Altera o abort factor
• Apenas 1 byte alterado em cada
• Não pode dar BSOD*
– Logo no momento da carga do rootkit
• Durante a análise, teremos:
– Impossibilidade de achar o SO
– Erro nas operações
• No PoC realizado a máquina ficou ligada por 15 dias consecutivos sem dar BSOD
41. Uso
• Malwares
– Esconder os vestígios na memória
– Evitar ou atrasar a análise do dump
• Auto-defesa maliciosa
– Usuário malicioso pode usar na própria
máquina
– Evitar vestígios de atividades ilícitas
44. Abortando o Abort Factor
• Fato
– Abort Factor inviabiliza todas as 3
ferramentas de análise
• Anti-Abort Factor
– Fazendo funcionar para ao menos uma das
ferramentas
• Volatility é o alvo
– Permite indicar DTB e Profile
45. Como ?
• Principalmente
– Localizando o DTB do Kernel
– Inferindo o profile correto
• Foco em estruturas de kernel intactas e
correlação
– Não atacadas por opção
– Não atacadas por impossibilidade
– Correlação entre os vestígios
46. Estruturas preservadas
• PoC somente explora 3 Abort Factors
– Código pronto. Copy&Paste
– Os 3 explorados já cumprem o objetivo
• Outros podem ser mais complicados
– Pelo menos em um primeiro momento
• Estruturas mapeadas
– Eprocess do IDLE
– _DBGKD_DEBUG_DATA_HEADER64
(KDBG)
54. Phosfosol não funcionou
• Outros Abort Factors foram usados
– Assinatura do KDBG adulterada
– Imagename do System ou do Idle adulterado
• Serão endereçados no upgrade do
Phosfosol
55. Phosfosol 2.0 Ultra Gold
Vitaminado ++
• Uso de assinaturas fortes
– Trabalho de Brendan Dolan-Gavitt
– Carving baseado em campos críticos
• BSOD se adulterados
• Suportará ataques múltiplos até mesmo
de todos os Abort Factors conjugados
• Novas opções de linha de comando
– Confirmação de ataque/abort factor
– Reversão do ataque
56. Conclusões
• Abort Factor é um ataque eficiente
✔
Lançado em 2012
✔
Ainda efetivo em 2016
• Código disponível
• Phosfosol pode recuperar as informações
danificadas
58. References
• One-byte Modification for Breaking Memory Forensic Analysis
– https://media.blackhat.com/bh-eu-12/Haruyama/bh-eu-12-Haruyama-Memory_Fore
nsic-Slides.pdf
• Robust Signatures for Kernel Data Structures
– http://www.cc.gatech.edu/~brendan/ccs09_siggen.pdf
• Windows Kernel Architecture Internals
– Dave Probert
• Windows Internals
– Mark Russinovich, David Solomon
• Windows operating systems agnostic memory analysis
– http://www.dfrws.org/2010/proceedings/2010-306.pdf
59. Obrigado !
• Agradecimentos do OctaneLabs
– Ao co-autor Diego Fuschini
– Takahiro Haruyama san
– Mr Brendan Dolan-Gavitt
– Mr Matthieu Suiche
61. OctaneLabs
• O que é OctaneLabs ???
• Time de Pesquisa Open Source em
Computação Forense e Resposta a
Incidentes
62. OctaneLabs
• Objetivos
• Fomentar a pesquisa em
Computação Forense no Brasil
• Promover Projetos Open Source
com foco em Computação Forense
e Investigação Digital
• Ministrar Treinamentos em CF
• Consultoria, Perícia e Investigação
Digital