DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

申博_安全预警 申博 137次浏览 已收录 0个评论

在之前的文章中,我们给人人引见了DEF CON CHINA 1.0中的两位神级演讲佳宾,他们将给我们带来“IPv666 – 魔鬼的地点”的议题分享。本日,再给人人爆料另一名神奇佳宾。他将在DEF CON CHINA 1.0 上为我们带来“古代歹意软件:反殽杂,仿真和藏匿顺序”的议题演讲。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

Alexandre Borges是Blackstorm Security的CEO,是一名资深的平安研究员,多年来一向致力于逆向工程、歹意软件剖析、数字取证、rootkit和软件破绽应用等范畴。社会兼职有Journal of Digital Forensics, Security and Law杂志审稿人,Digital Law And Compliance Committee委员。

Alexandre曾在多个顶级平安集会上宣布过演讲,如HITB 2019年(阿姆斯特丹)和2019年CONFidence集会(波兰),DEFCON 2018,H2HC集会(2015年和2016年),BSIDES(2016年,2017年和2018年),BHack(2018年)等。

除此之外,Alexandre还展开关于歹意软件剖析、内存剖析、数字取证、挪动取证和挪动歹意软件剖析的培训课程。

下面让我们明白下Alexandre Borges的一些分享。

Malwoverview

Alexandre是Malwoverview歹意软件分类东西的创建者和维护者:

https://github.com/alexandreborges/malwoverview

Malwoverview(Malwoverview.py)是一个能够对含有歹意软件样本的目次举行开端和疾速剖析的简朴东西,能够:

依据导入表(imphash)来肯定类似的可执行歹意软件样本(PE/PE+),并用分歧的色彩来举行分组。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

依据划定规矩肯定可执行歹意软件是不是打包。

肯定歹意软件样本是不是含有overlay。

决议.text域局部的熵。

将歹意软件样本与Virus Total库举行比对。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

https://github.com/alexandreborges/malwoverview

歹意软件剖析

下面分享2018年在IT Congress大会上做的对银行木马的剖析:

研究人员剖析的样本为:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

样本基础情况为:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

静态剖析

研究人员起首对样本做基础静态剖析:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

剖析发明这是一个32位的DLL。但大多数代码都用VMProtect珍爱,并在64位的歹意软件中。

原始歹意软件中的一切函数都从IAT中移除。也就是说IAT Portex Analyzer和peframe东西都与packer自身有联系关系。

VMProtect会搜检文件内存的完整性。因而,任何实验在内存中对歹意软件举行修正都很轻易能够检测到。

指令(CPU代码)是假造化的,会转换为假造机械指令(RISC指令)。

公有云容器安全

0x00、前言 IT技术在不断的进步,从虚拟主机技术出现后,我们可以方便快捷的在公有云上建立自己的生产环境,大大提升生产环境部署效率,记得以前一个做游戏的兄弟说,以前做一款游戏,生产环境部署,从服务器采购到真正上线最短也要1~2个月。而使用公有云虚拟机搭建也许1~2周就搞定。那么容器技术的出现,又进一步提升了开发上线的速度,也许你在公有云上搞定以上事情也就1~2天。在方便快捷的同时容器的使用量也在逐年攀升,经调查,公有云大约有40%用户正在使用容器技术,那么,容器安全你准备好了么? 0x01、深入研究 在开始讨论容器安全问题之前,我们先要搞清楚:为啥现有的安全解决方案解决不了docker安全问题? 先从应急响应的角度上分析,整理了近半年的应急响应事件:我们发现典型的容器攻击路线,攻击者一般通过各种web漏洞上传Webshell到容器中,然后发起反向链接,利用DirtyCow(脏牛)等漏洞进行提权操作,获得容器的控制权限,然后利用runC等对宿主机提权。 (1)Webshell检测:典型的场景,当docker启动Weblogic对外提供服务,有可能在负载均衡组件上嵌入WAF组件进行拦截,但是针对变形webshell检测也只有在运行才能真正检测到。很不幸的事,在docker中,我们没有

殽杂是基于栈举行的。

假造化代码是多态的,以是有很多援用统一CPU指令的透露表现。

原始代码在内存中是不会完整解密的。

有很多无用的冗余代码。这对静态剖析来讲异常不友好。

对很多函数的挪用都有Hooks,好比LoadString()和LdrAccessResource()函数。

歹意软件有很多反调试和反假造环境的要领。

对IAT函数的挪用被VMProtect局部的挪用所替换。

歹意软件中含有很多子虚的push指令。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

IDA Pro中的import table

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

IDA Pro中的export table

实验运转DLL和绕过一切的VMProtect要领。由于使用了很多插件和手艺,以是以是绕过异常难。

歹意DLL文件有三个export,只要一个是有意义的——CryptUIDIgCertMgr。研究人员在谷歌上搜刮发明了以下信息:

CryptUIDIgCertMgr是一个展现对话框的函数,对话框许可用户治理证书。

 DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

动态剖析

歹意软件实验修正HKLM\SOFTWARE\Microsoft\SecurityCenter\AntiVirusDisableNotify的值,当AV封闭后能够禁用任何关照。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

在文件体系中创建了驱动文件bf190a1f.sys:C:\Program Files\Windows Kits\10\bin\x86\certmgr.exe”->”C:\Windows\System32\drivers\bf190a1f.sys。别的,还在注册表中插入了指向该驱动的纪录:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

将内容生存为文件,右击->备份->生存数据到文件。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

但提取的DLL都将IAT放在一同,每一个函数的名字并不一定会涌现,需要将假造地点转换为实在地点。

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre BorgesDEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

然后,一切文件的原始名都邑规复:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

http://www.blackstormsecurity.com/docs/Congresso_TI_2018.pdf

大神的平安相干演讲另有:

DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

Oracle相干的演讲有:DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges

DEF CON CHINA 1.0除主会场高质量的手艺演讲外,另有一些WORKSHOPS和VILLAGES分会场共人人进修与交换,个中由浅到深,触及了数十个主题分享,覆盖面甚广。期待5月31日DEF CON China 1.0正式落幕的那一刻!


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明DEF CON CHINA 1.0 | 神奇演讲佳宾Alexandre Borges
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址