$ENG$

#ENG#

@ENG@

0x7DC

0x7DD

0x7DE

0x7DF

25-26.11.15

$ENG$

#ENG#

@ENG@

0x7DC

0x7DD

0x7DE

0x7DF

25-26.11.15

FastTrack


«Уязвимости программного обеспечения телекоммуникационного оборудования Yota

Докладчик: Михаил Фирстов

Карманный роутер - легкодоступное оборудование в наши дни, с развитием беспроводных 4G сетей мы можем быть по-настоящему мобильными и стабильно выходить на связь с безлимитными тарифами не выпадая из статуса "Online" сутками напролёт, но будем ли мы выходить на связь безопасно? Вопрос безопасности 3G модемов и телекоммуникационного оборудования не раз становился поводом для горячих обсуждений безопасного пребывания в сети, на этот раз мы детально проанализируем программное обеспечение 4G роутера YOTA Many. Помимо найденных XSS и CSRF уязвимостей, которые приемлемы для веб инфраструктур и сервисов в сети был обнаружен RCE баг, с помощью которого появился ещё один вопрос - вопрос анонимности и безопасности пользователя.


«Разбор реконструкции промежуточного представления для анализа сложного вредоносного ПО»

Докладчики: Александр Матросов, Евгений Родионов

Вредоносное программное обеспечение (ВПО) является серьезной угрозой, количество новых образцов изо дня в день растет в геометрической прогрессии. В дополнение к этому, целевые атаки с использованием ВПО становятся уже не исключением, а, скорее, правилом. Аналитики и компании используют различные виды автоматизации для того, чтобы справиться с этой проблемой, но прорехи все же остаются. Реверс-инжиниринг становится все более сложной задачей из-за нарастающего объема работы, и сжатых временных рамок для его проведения. Это напрямую отражается на процессе исследования, а предотвращение новых угроз становится еще более сложным.
В представленной работе авторы обсудят распространенные техники реверса с использованием промежуточного представления (спасибо команде Hex-Rays за помощь в этом исследовании) в кластерной среде. Представленные результаты демонстрируют разные виды использования данного подхода, к примеру, для обнаружения алгоритмической схожести между группами ВПО.
Более высокий уровень абстракции, предоставляемый инструментом Hex-Rays, основывается на абстрактном синтаксическом дереве (ctree). Данная возможность облегчает изучение DGA (алгоритмов генерации доменных имен), кастомную криптографию и конкретные парсеры для данных конфигураций. С тем чтобы уменьшить количество ложных результатов при идентификации метаданных в некоторых компиляторах C++, таких как таблицы виртуальных функций и RTTI, авторы создали объектно-ориентированные артефакты, непосредственно из проанализированного ВПО.
Проанализировано уже более 2 миллионов образцов ВПО, из которых выделены их характеристики, а это серьезная информационная база, позволяющая усовершенствовать анализ и борьбу с будущими угрозами. Используя эти знания, другие исследователи в данной области смогут выделять ctree (синтаксические деревья) из новых образцов и сравнивать с миллионами, полученными ранее.
Все материалы, представленные во время презентации, так же как и исходные материалы проанализированных образцов, будут доступны для исследователей, одновременно с новыми идеями к дальнейшему развитию. Разработанный Hex-Rays Decompiler плагин, наряду с инструментами для анализа/автоматизации выделения характеристик ВПО, также станет доступен аудитории на GitHub.
На ZeroNights будет представлена обновленная версия доклада BlackHat Las Vegas 2015.


«Сеть контролируемых браузеров на основе BeEF и Google Drive»

Докладчики: Колегов Денис, Брославский Олег, Олексов Никита

В докладе рассказывается об исследовании возможности реализации в рамках фреймворка BeEF механизма взаимодействия контролируемых браузеров (hooked browsers) через Google Drive. Текущая реализация BeEF предполагает прямое взаимодействие контролируемого браузера и сервера BeEF, что не позволяет обеспечить высокий уровень анонимности и необнаруживаемости. В докладе предполагается рассмотреть один из способов решения данной задачи путем построения сети на основе Google Drive.


«Увеличиваем производительность сканеров, используя Data Mining.»

Докладчики: Сергей Игнатов, Омар Ганиев

В наше время все чаще и чаще начинают использоваться IDS/IPS, SIEM решения для идентификации и реагирования на атаки. И, если снаружи сети факт сканирования нескольких портов не заставляет насторожиться, то тот же самый факт изнутри сети, говорит о том, что вас уже взломали, и нужно срочно принимать меры. Поэтому при тестировании внутренней сети встает вопрос о том, как можно быстро идентифицировать наиболее вероятные открытые порты по имеющейся информации в обход средств защиты. Также это полезно при внешнем сканировании больших диапазонов адресов.


«ORM2Pwn: эксплуатируем инъекции в Hibernate.»

Докладчики: Михаил Егоров, Сергей Солдатов

Современные Java-приложения работают с СУБД не напрямую, а используют дополнительную прослойку в виде механизма Object-relational mapping. Одним из популярных ORM решений является Hibernate ORM. Hibernate использует специальный язык HQL для написания запросов к сущностям, хранящимся в СУБД. Приложения, использующие ORM, подвержены HQL-инъекциям. В докладе представлен новый метод эксплуатации HQL-инъекций в Java-приложениях, использующих Hibernate ORM.Авторы представят extension для популярной утилиты Burp Suite, предназначенный для эксплуатации HQL-инъекций.


«Что нужно знать хакеру о протоколе WebDav? Обзор уязвимостей в реализациях WebDav.»

Докладчики: Андрей Ефимюк, Михаил Егоров

Сегодня протокол WebDav используется для доступа к онлайн-сервисам хранения файлов, таким как Yandex.Диск, box.com, 4shared.com, DriveHQ, CloudMe и пр. Также популярные CMS-системы имеют возможность предоставлять доступ к репозиторию с контентом по протоколу WebDav. Авторы проверили на «прочность» реализации протокола WebDav в различных популярных приложениях и сервисах. В докладе пойдет речь о найденных уязвимостях в реализации протокола WebDav.


«EAST - penetration testing framework. Сделано в России с любовью!»

Докладчики: Гуркин Юрий, Олейников Эмиль

Фреймворк - это основа инструментария специалиста информационной безопасности, он необходим для обучения и совершенствования знаний и навыков по атакам, для проведения аудитов, для проактивной защиты. Необходимость разработки отечественного фреймворка, - доступного, открытого, с высоким уровнем доверия, назрела давно. Итак - встречайте: "EAST" - Exploits and Simple Tools Framework.
EAST является фреймворком, имеющим в своём арсенале все необходимые средства для эксплуатации уязвимостей. От других подобных инструментов он отличается простотой и удобством в использовании. Освоить его и начать развиваться в сфере информационной безопасности может даже начинающий исследователь. Функционал EaST будет продемонстрирован на примере найденных "0day" уязвимостей для Web и SCADA софта.


Следите за обновлениями!