SlideShare une entreprise Scribd logo

Análisis RAM Windows detecta EternalBlue

RootedCON
RootedCON

Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sistemas Windows [rooted2019]

Technologie
1  sur  77
Télécharger pour lire hors ligne
Análisis de memoria RAM en entornos Windows RootedCON 2019
¿Quiénes somos? Marc (@JagaimoKawaii) : DFIR and malware researcher JoseMi (@j0sm1) : DFIR and malware researcher
Índice 1. Introducción al análisis de memoria RAM windows 2. Resolución reto forense de análisis memoria (I) 3. Resolución reto forense de análisis memoria (II)
Introducción: Capacidades del análisis • Malware Fileless • Exploits • Droppers • Rootkits U/K • … • Conexiones (<<) • Descriptores • Servicios (<<) • Drivers (<<) • MFT • Procesos (<<) • …
Introducción: Puntos de entrada • IP, dominio, URL, Mutex, etc. • Regla de NIDS • Regla de Antivirus, EDR, etcétera. • Conducta sospechosa detectada por un usuario • Etc.
Introducción: Proceso de adquisición • Volcado con dumpit, winpmem, etc. • RAW format • AFF4 format • Pagefile.sys • Hibernation • Windows crash file (MEMORY.DMP)
Introducción: Herramientas de análisis • Volatility (memory dump, hibernation file) • Rekall (memory dump) • Page_brute (pagefile.sys) • Windbg (Windows memory crash) • Pyrebox (basado en volatility)
Introducción: Volatility plugins • pstree • pslist vs psscan = psxview • netscan • svcscan con BinaryPath fuera de C:WindowsSystem32 • driverscan con BinaryPath fuera de C:WindowsSystem32 • malfind con MZ en el inicio • … Pslist, sockscan, modules, psxview, ldrmodules, etc.
2. Atenea reto parte (I): Descripción
2. Atenea reto parte (I): Memory hash IMPORTANTE: Calculamos el hash de la memoria $ md5sum memory.1221191d.img.zip 9452fd27235597dc3bdb09c1b9f2a76a $ md5sum memory.1221191d.img e246159a7a2c8e154da193bd07457759
2. Atenea reto parte (I): Imageinfo $ volatility -f memory.1221191d.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (memory.1221191d.img) PAE type : No PAE DTB : 0x185000L KDBG : 0x82923ea8L Number of Processors : 1 Image Type (Service Pack) : 1 KPCR for CPU 0 : 0x82924d00L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2017-08-07 20:23:00 UTC+0000 Image local date and time : 2017-08-07 22:23:00 +0200 $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 pslist
2. Atenea reto parte (I): KDBG https://doxygen.reactos.org/db/d88/kddata_8c_source.html#l00392 KDBG Scan algorithm
2. Atenea reto parte (I): KDBG https://digital-forensics.sans.org/media/Poster_Memory_Forensics.pdf
2. Atenea reto parte (I): Network análisis – bulk_extractor (automático) /usr/local/bin/bulk_extractor -E net -o salida/ memory.1221191d.img bulk_extractor version: 1.5.5 Hostname: Equipo Input file: memory.1221191d.img Output directory: salida/ Disk Size: 536805376 Threads: 4 Attempt to open memory.1221191d.img 15:13:46 Offset 67MB (12.50%) Done in 0:00:06 at 15:13:52 15:13:47 Offset 150MB (28.13%) Done in 0:00:05 at 15:13:52 15:13:48 Offset 234MB (43.76%) Done in 0:00:04 at 15:13:52 15:13:50 Offset 318MB (59.38%) Done in 0:00:03 at 15:13:53 15:13:51 Offset 402MB (75.01%) Done in 0:00:02 at 15:13:53 15:13:52 Offset 486MB (90.64%) Done in 0:00:00 at 15:13:52 All data are read; waiting for threads to finish... Time elapsed waiting for 4 threads to finish: 1 sec (timeout in 59 min59 sec.) All Threads Finished! Producer time spent waiting: 3.22471 sec. Average consumer time spent waiting: 0.464306 sec. MD5 of Disk Image: e246159a7a2c8e154da193bd07457759 Phase 2. Shutting down scanners Phase 3. Creating Histograms Elapsed time: 8.57489 sec. Total MB processed: 536 Overall performance: 62.602 MBytes/sec (15.6505 MBytes/sec/thread) alerts.txt, ether_histogram.txt, ether.txt, ip_histogram.txt, ip.txt, packets.pcap, report.xml
2. Atenea reto parte (I): Network análisis – Suricata (automático) $ suricata -r packets.pcap -c /etc/suricata/suricata-debian.yaml -k none -v -l log Importante: [*] Tipo de reglas [*] –k none
2. Atenea reto parte (I): Network análisis – Suricata (automático) $ suricata -r packets.pcap -c /etc/suricata/suricata-debian.yaml -k none -v -l log Importante: [*] Tipo de reglas [*] –k none
2. Atenea reto parte (I): Network análisis – VTI (automático) • INDICATOR-SHELLCODE ssh CRC32 overflow filler • OS-WINDOWS Microsoft Windows SMB remote code execution attempt • MALWARE-CNC Win.Trojan.Doublepulsar variant process injection command • ET POLICY Reserved Internal IP Traffic AVG y Avast detectan dentro del PCAP: Sf:WNCryLdr-A [Trj] Nota: No recomendado en un incidente subir nada a servicios Externos. Esto es un reto.
2. Atenea reto parte (I): Network análisis – Avast (automático) Consejo: en medio de un incidente la máquina con el AV que esté actualizada pero desconectada de la red
2. Atenea reto parte (I): Análisis procesos (procdump) – yara,av • yara -w rules-master/malware_index.yar procdump • Str_Win32_Winsock2_Library procdump/executable.3588.exe • Str_Win32_Internet_API procdump/executable.2380.exe • clamscan procdump/ ----------- SCAN SUMMARY ----------- Known viruses: 6823116 Engine version: 0.100.2 Scanned directories: 1 Scanned files: 36 Infected files: 0 Data scanned: 19.50 MB Data read: 71.51 MB (ratio 0.27:1) Time: 33.924 sec (0 m 33 s) • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 procdump -D procdump/ Análisis Automático
2. Atenea reto parte (I): Análisis manual - Concepto • Pool-Tag Scanning (pool scanning) Buscar Process Objects Recorriendo Lista doble enlazada Pool Scanning (Tag Proc) _EPROCESS 1 2
2. Atenea reto parte (I): Análisis manual – Listado procesos $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 pstree Comandos: pslist, pscan, pstree, psxview “Se aprecia un proceso rundll32.exe extraño que es hijo de lsass.exe”
2. Atenea reto parte (I): Análisis manual – Listado conexiones $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 netscan Comandos: netscan “El proceso rundll32.exe pone a la escucha el puerto 8080”
2. Atenea reto parte (I): Análisis manual – Persistencia $ volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 autoruns Volatility Foundation Volatility Framework 2.6 Autoruns========================================== Hive: SystemRootSystem32ConfigSOFTWARE MicrosoftWindowsCurrentVersionRun (Last modified: 2017-08-07 18:20:56 UTC+0000) C:Windowssystem32VBoxTray.exe : VBoxTray (PIDs: 1636) Winlogon (Shell)================================== Shell: explorer.exe Default value: Explorer.exe PIDs: 1368 Last write time: 2017-08-07 20:12:40 UTC+0000
2. Atenea reto parte (I): Análisis automático – Avast - memdump • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 memdump -p 4 -D out/ • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 memdump -p 300 -D out/ Comandos: memdump Lanzamos AVAST sobre los ficheros dmp:
2. Atenea reto parte (I): EternalBlue • WannaCry aprovechó EternalBlue • EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. “SMB provides support for what are known as SMB Transactions. Using SMB Transactions enables atomic read and write to be performed between an SMB client and server. If the message request is greater than the SMB MaxBufferSize, the remaining messages are sent as Secondary Trans2 requests. This vulnerability affects the srv2.sys kernel driver and is triggered by malformed Secondary Trans2 requests.” Fuentes: https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html http://markus.co/memory-forensics/2017/06/04/eternalblue-smb.html https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/ms17_010_eternalblue.rb https://gist.github.com/worawit/bd04bad3cd231474763b873df081c09a https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html http://blogs.360.cn/post/nsa-eternalblue-smb.html Automático (Inteligencia terceros, av, yara, etc.) Manual (volatility plugins) Wannacry, doublepulsar, smb overflow Rundll32.exe con puerto 8080 Rundll32.exe hijo de lsass
2. Atenea reto parte (I): EternalBlue
2. Atenea reto parte (I): EternalBlue
2. Atenea reto parte (I): EternalBlue Referencia: http://markus.co/memory-forensics/2017/06/04/eternalblue-smb.html From the Metasploit and Worawits exploit, we can see that the primary exploit method works by creating multiple SMB connections which makes the server reserve lots of space for the connections. Lrso - <unknown> - Operating system name Lref - <unknown> - Reference history (debug only) LS?? - <unknown> - LM server allocations LSac - <unknown> - BlockTypeAdminCheck LSas - <unknown> - BlockTypeAdapterStatus LSbf - <unknown> - buffer descriptor LScd - <unknown> - comm device LScn - <unknown> - connection LSdb - <unknown> - data buffer Se crean los pool en memoria con Tag LSbf
2. Atenea reto parte (I): EternalBlue $ volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 bigpools | grep LSbf Volatility Foundation Volatility Framework 2.6 0x84359000 LSbf NonPagedPool 0x11000L 0x8439d001 LSbf NonPagedPool 0x11000L 0x8424e000 LSbf NonPagedPool 0x2000L 0x842af000 LSbf NonPagedPool 0x11000L 0x8437b001 LSbf NonPagedPool 0x11000L 0x8438c001 LSbf NonPagedPool 0x11000L 0x84260000 LSbf NonPagedPool 0x11000L 0x84293000 LSbf NonPagedPool 0x11000L 0x842c0000 LSbf NonPagedPool 0x11000L
2. Atenea reto parte (I): EternalBlue volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 memmap -p 4 | grep -A 3 0x8424e000 Virtual Physical Size Dump FileOffset ---------- ---------- ---------- -------------- 0x8424e000 0x1fa4e000 0x1000 0xcc5000 0x8424f000 0x1fa4f000 0x1000 0xcc6000 0x84250000 0x1fa50000 0x1000 0xcc7000 0x84251000 0x1fa51000 0x1000 0xcc8000
2. Atenea reto parte (I): EternalBlue En el file offset 0xcc5000 del dump del proceso con pid 4 (memdump) vemos: El paquete de tamaño 0x2000 contiene indicios de paquete SMB2
2. Atenea reto parte (I): Doublepulsar • ¿Qué es DoublePulsar? DoublePulsar is a backdoor implant tool developed by the U.S. National Security Agency's (NSA) Equation Group that was leaked by The Shadow Brokers in early 2017. The tool infected more than 200,000 Microsoft Windows computers in only a few weeks, and was used alongside EternalBlue in the May 2017 WannaCry ransomware attack. El exploit lo que consigue es fijar la persistencia a través de un hook en la posición 14 de la tabla “SrvTransaction2DispatchTable”. Por tanto para ver donde estará ubicado doublepulsar tenemos que obtener la entrada 14 de esta tabla y ver esa dirección que contiene. Enviando paquetes SMB inválidos se invoca a la función SrvTransactionNotImplemented() que es la se ha modificado. Fuentes de referencia: • https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html • Referencia de apoyo: https://www.shelliscoming.com/2017/08/doublepulsar-smb-implant-detection-from.html • Referencia al plugin: git clone https://github.com/BorjaMerino/DoublePulsar-Volatility/blob/master/doublepulsar.py • ¿Qué se ha ejecutado tras aprovechar Eternalblue? • Eternalblue suele venir acompañado de DoublePulsar en la herramienta fuzzbunch
2. Atenea reto parte (I): Doublepulsar • Step 0: Determine CPU Architecture • Step 1: Find ntoskrnl.exe Base Address • Step 2: Locate Necessary Function Pointers • Step 3: Locate Srv.sys SMB Driver • Step 4: Patch the SMB Trans2 Dispatch Table Primero reserva buffer y copia second payload y parchea la Tabla. • Step 5: Send "Knock" and Raw Shellcode -> Enviando paquetes SMB inválidos https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html Primary Payload Proceso para implantar el backdoor
2. Atenea reto parte (I): Doublepulsar volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 doublepulsar --pdb_file=EF0EBB8C2741222D42E460143DF89307.pdb Ptr Module Section ---------- ------------ ------------ 0x90efb6de srv.sys PAGE (0) 0x90ef6153 srv.sys PAGE (1) 0x90ef61dc srv.sys PAGE (2) 0x90ef8bf8 srv.sys PAGE (3) 0x90ef9462 srv.sys PAGE (4) 0x90eefff3 srv.sys PAGE (5) 0x90ef0d02 srv.sys PAGE (6) 0x90eef80a srv.sys PAGE (7) 0x90ef05eb srv.sys PAGE (8) 0x90ef9654 srv.sys PAGE (9) 0x90ef6ae9 srv.sys PAGE (10) 0x90ef9654 srv.sys PAGE (11) 0x90ef9654 srv.sys PAGE (12) 0x90ef175e srv.sys PAGE (13) 0x8402b048 UNKNOWN (14) 0x90efc09a srv.sys PAGE (15) 0x90ee218f srv.sys PAGE (16)
2. Atenea reto parte (I): Doublepulsar The opcode list is as follows: 0x23 = ping 0xc8 = exec 0x77 = kill
2. Atenea reto parte (I): Flag https://www.cvedetails.com/cve/cve-2017-0143 Tendremos que introducir (CVE-2017-0143): $ printf "CVE-2017-0143" | md5sum => f11fa97bbd952a3146ffbddd59276c1d - flag{f11fa97bbd952a3146ffbddd59276c1d}
3. Atenea reto parte (II): Descripción
3. Atenea reto parte (II): Recapitulamos!
3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue.
3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos.
3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos. • Uno de ellos el target de nuestro CVE padre y el otro hijo del proceso lssas.exe
3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos. • Uno de ellos el target de nuestro CVE padre y el otro hijo del proceso lssas.exe • El proceso rundll32 con PID 300 está escuchando en el puerto 8080 
3. Atenea reto parte (II): Análisis del Pcap • Tras filtrar todas las peticiones tanto origen como destino que no son internas, no queda tráfico por lo que parece que por aquí no vamos a sacar gran cosa.
3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
3. Atenea reto parte (II): cmdline • ¿Está rundll32 cargando alguna DLL maliciosa?
3. Atenea reto parte (II): dlllist • ¿Hay alguna DLL rara cargada?
3. Atenea reto parte (II): vadinfo • RunDll32 no se pone a escuchar por el puerto 8080! • VAD del proceso (Configs, IPC, Packers…)
3. Atenea reto parte (II): malfind • El plugin “malfind” automatiza este proceso en algunos casos • Pero genera ciertos “falsos positivos”
3. Atenea reto parte (II): vaddump • Vamos a volcar a disco la sección de memoria sospechosa.
3. Atenea reto parte (II): vaddump • O todas las secciones:
3. Atenea reto parte (II): Shellcode rundll32 d371693e71a2b5fefbff94d423276f3bf346a55c42a14cab5c7eb5881d65b2e0 shellcode.bin
3. Atenea reto parte (II): Shellcode rundll32
3. Atenea reto parte (II): Shellcode rundll32 d371693e71a2b5fefbff94d423276f3bf346a55c42a14cab5c7eb5881d65b2e0 shellcode.bin
3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode? • Lo vemos en ProcessHacker.
3. Atenea reto parte (II): Shellcode análisis • Lo lanzamos desde un debugger para ver que hace.
3. Atenea reto parte (II): Shellcode análisis • Llegar a la lógica interesante.
3. Atenea reto parte (II): Shellcode análisis • Salto a nuestro shellcode.
3. Atenea reto parte (II): Shellcode análisis • Salto a nuestro shellcode.
3. Atenea reto parte (II): Shellcode análisis • Función con referencias a ws2_32.dll.
3. Atenea reto parte (II): Shellcode análisis • Resolución de APIs?.
3. Atenea reto parte (II): Shellcode análisis • Todo son APIs de red!
3. Atenea reto parte (II): Shellcode análisis • Ya está escuchando en el puerto 8080. • No nos acepta las conexiones (RST)
2. Atenea reto parte (II): WSAAccept • Quien y porqué nos rechaza?
3. Atenea reto parte (II): WSAAccept • Quien y porqué nos rechaza?
3. Atenea reto parte (II): lpfnCondition • Parámetros de WSAAccept:
3. Atenea reto parte (II): lpfnCondition • Condición de WSAAccept.
3. Atenea reto parte (II): Shellcode análisis • “sub + je”
3. Atenea reto parte (II): Shellcode análisis • El contenido de EAX nos suena de algo…
3. Atenea reto parte (II): Shellcode análisis • BINGO!
3. Atenea reto parte (II): Shellcode análisis printf "55.66.77.88" | md5sum => 12675012c6b5f530327ecfc254dc48d1 Flag{12675012c6b5f530327ecfc254dc48d1}
Muchas gracias

Recommandé

BPF: Tracing and more
BPF: Tracing and moreBPF: Tracing and more
BPF: Tracing and moreBrendan Gregg
 
eBPF Trace from Kernel to Userspace
eBPF Trace from Kernel to UserspaceeBPF Trace from Kernel to Userspace
eBPF Trace from Kernel to UserspaceSUSE Labs Taipei
 
High availability deep dive high-end srx series
High availability deep dive high-end srx seriesHigh availability deep dive high-end srx series
High availability deep dive high-end srx seriesMuhammad Denis Iqbal
 
UM2019 Extended BPF: A New Type of Software
UM2019 Extended BPF: A New Type of SoftwareUM2019 Extended BPF: A New Type of Software
UM2019 Extended BPF: A New Type of SoftwareBrendan Gregg
 
Kernel_Crash_Dump_Analysis
Kernel_Crash_Dump_AnalysisKernel_Crash_Dump_Analysis
Kernel_Crash_Dump_AnalysisBuland Singh
 
Real time operating-systems
Real time operating-systemsReal time operating-systems
Real time operating-systemskasi963
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with Debugging
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with DebuggingPART-3 : Mastering RTOS FreeRTOS and STM32Fx with Debugging
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with DebuggingFastBit Embedded Brain Academy
 

Recommandé

BPF: Tracing and more
BPF: Tracing and moreBPF: Tracing and more
BPF: Tracing and moreBrendan Gregg
 
eBPF Trace from Kernel to Userspace
eBPF Trace from Kernel to UserspaceeBPF Trace from Kernel to Userspace
eBPF Trace from Kernel to UserspaceSUSE Labs Taipei
 
High availability deep dive high-end srx series
High availability deep dive high-end srx seriesHigh availability deep dive high-end srx series
High availability deep dive high-end srx seriesMuhammad Denis Iqbal
 
UM2019 Extended BPF: A New Type of Software
UM2019 Extended BPF: A New Type of SoftwareUM2019 Extended BPF: A New Type of Software
UM2019 Extended BPF: A New Type of SoftwareBrendan Gregg
 
Kernel_Crash_Dump_Analysis
Kernel_Crash_Dump_AnalysisKernel_Crash_Dump_Analysis
Kernel_Crash_Dump_AnalysisBuland Singh
 
Real time operating-systems
Real time operating-systemsReal time operating-systems
Real time operating-systemskasi963
 
Análisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaAnálisis Forense de la Memoria RAM de un sistema
Análisis Forense de la Memoria RAM de un sistemaEventos Creativos
 
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with Debugging
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with DebuggingPART-3 : Mastering RTOS FreeRTOS and STM32Fx with Debugging
PART-3 : Mastering RTOS FreeRTOS and STM32Fx with DebuggingFastBit Embedded Brain Academy
 
Staring into the eBPF Abyss
Staring into the eBPF AbyssStaring into the eBPF Abyss
Staring into the eBPF AbyssSasha Goldshtein
 
YOW2021 Computing Performance
YOW2021 Computing PerformanceYOW2021 Computing Performance
YOW2021 Computing PerformanceBrendan Gregg
 
Aruba VIA 2.0.1 User Guide Linux Edition
Aruba VIA 2.0.1 User Guide Linux EditionAruba VIA 2.0.1 User Guide Linux Edition
Aruba VIA 2.0.1 User Guide Linux EditionAruba, a Hewlett Packard Enterprise company
 
5 reasons why you need a network monitoring tool
5 reasons why you need a network monitoring tool5 reasons why you need a network monitoring tool
5 reasons why you need a network monitoring toolManageEngine, Zoho Corporation
 
Kernel module in linux os.
Kernel module in linux os.Kernel module in linux os.
Kernel module in linux os.MUKESH BADIGINENI
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Arsys
 
EMEA Airheads- Virtual Switching Framework- Aruba OS Switch
EMEA Airheads- Virtual Switching Framework- Aruba OS SwitchEMEA Airheads- Virtual Switching Framework- Aruba OS Switch
EMEA Airheads- Virtual Switching Framework- Aruba OS SwitchAruba, a Hewlett Packard Enterprise company
 
Virtual machine and javascript engine
Virtual machine and javascript engineVirtual machine and javascript engine
Virtual machine and javascript engineDuoyi Wu
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
Linux wireless kickstarter Guide
Linux wireless kickstarter GuideLinux wireless kickstarter Guide
Linux wireless kickstarter GuideChaitanya Tata, PMP
 
Secret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskySecret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskyCODE BLUE
 
Linux BPF Superpowers
Linux BPF SuperpowersLinux BPF Superpowers
Linux BPF SuperpowersBrendan Gregg
 
Root file system
Root file systemRoot file system
Root file systemBindu U
 
re:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at Netflixre:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at NetflixBrendan Gregg
 
Real Time Network Monitoring System
Real Time Network Monitoring SystemReal Time Network Monitoring System
Real Time Network Monitoring SystemGirish Naik
 
Disk quota and sysd procd
Disk quota and sysd procdDisk quota and sysd procd
Disk quota and sysd procdGaurav Mishra
 
LISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceLISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceBrendan Gregg
 
spinlock.pdf
spinlock.pdfspinlock.pdf
spinlock.pdfAdrian Huang
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingViller Hsiao
 
Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016SZ Lin
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 

Contenu connexe

Tendances

Staring into the eBPF Abyss
Staring into the eBPF AbyssStaring into the eBPF Abyss
Staring into the eBPF AbyssSasha Goldshtein
 
YOW2021 Computing Performance
YOW2021 Computing PerformanceYOW2021 Computing Performance
YOW2021 Computing PerformanceBrendan Gregg
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Arsys
 
Virtual machine and javascript engine
Virtual machine and javascript engineVirtual machine and javascript engine
Virtual machine and javascript engineDuoyi Wu
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
Linux wireless kickstarter Guide
Linux wireless kickstarter GuideLinux wireless kickstarter Guide
Linux wireless kickstarter GuideChaitanya Tata, PMP
 
Secret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskySecret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskyCODE BLUE
 
Linux BPF Superpowers
Linux BPF SuperpowersLinux BPF Superpowers
Linux BPF SuperpowersBrendan Gregg
 
Root file system
Root file systemRoot file system
Root file systemBindu U
 
re:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at Netflixre:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at NetflixBrendan Gregg
 
Real Time Network Monitoring System
Real Time Network Monitoring SystemReal Time Network Monitoring System
Real Time Network Monitoring SystemGirish Naik
 
Disk quota and sysd procd
Disk quota and sysd procdDisk quota and sysd procd
Disk quota and sysd procdGaurav Mishra
 
LISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceLISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceBrendan Gregg
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingViller Hsiao
 
Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016SZ Lin
 

Tendances (20)

Staring into the eBPF Abyss
Staring into the eBPF AbyssStaring into the eBPF Abyss
Staring into the eBPF Abyss
 
YOW2021 Computing Performance
YOW2021 Computing PerformanceYOW2021 Computing Performance
YOW2021 Computing Performance
 
Aruba VIA 2.0.1 User Guide Linux Edition
Aruba VIA 2.0.1 User Guide Linux EditionAruba VIA 2.0.1 User Guide Linux Edition
Aruba VIA 2.0.1 User Guide Linux Edition
 
5 reasons why you need a network monitoring tool
5 reasons why you need a network monitoring tool5 reasons why you need a network monitoring tool
5 reasons why you need a network monitoring tool
 
Kernel module in linux os.
Kernel module in linux os.Kernel module in linux os.
Kernel module in linux os.
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)
 
EMEA Airheads- Virtual Switching Framework- Aruba OS Switch
EMEA Airheads- Virtual Switching Framework- Aruba OS SwitchEMEA Airheads- Virtual Switching Framework- Aruba OS Switch
EMEA Airheads- Virtual Switching Framework- Aruba OS Switch
 
Virtual machine and javascript engine
Virtual machine and javascript engineVirtual machine and javascript engine
Virtual machine and javascript engine
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertos
 
Linux wireless kickstarter Guide
Linux wireless kickstarter GuideLinux wireless kickstarter Guide
Linux wireless kickstarter Guide
 
Secret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskySecret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor Skochinsky
 
Linux BPF Superpowers
Linux BPF SuperpowersLinux BPF Superpowers
Linux BPF Superpowers
 
Root file system
Root file systemRoot file system
Root file system
 
re:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at Netflixre:Invent 2019 BPF Performance Analysis at Netflix
re:Invent 2019 BPF Performance Analysis at Netflix
 
Real Time Network Monitoring System
Real Time Network Monitoring SystemReal Time Network Monitoring System
Real Time Network Monitoring System
 
Disk quota and sysd procd
Disk quota and sysd procdDisk quota and sysd procd
Disk quota and sysd procd
 
LISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceLISA2019 Linux Systems Performance
LISA2019 Linux Systems Performance
 
spinlock.pdf
spinlock.pdfspinlock.pdf
spinlock.pdf
 
Meet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracingMeet cute-between-ebpf-and-tracing
Meet cute-between-ebpf-and-tracing
 
Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016Cellular technology with Embedded Linux - COSCUP 2016
Cellular technology with Embedded Linux - COSCUP 2016
 

Similaire à Análisis RAM Windows detecta EternalBlue

Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMEventos Creativos
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetAlejandro Ramos
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAlejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarAlejandro Ramos
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxEventos Creativos
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
Un caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsUn caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsEventos Creativos
 
Utilerias para reparacion
Utilerias para reparacionUtilerias para reparacion
Utilerias para reparacionluisduper
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Administración de red servidores y seguridad
Administración de red servidores y seguridadAdministración de red servidores y seguridad
Administración de red servidores y seguridadEmilio
 
Documentacion complementaria2
Documentacion complementaria2Documentacion complementaria2
Documentacion complementaria2PlanNacional
 
Documentacion complementaria2
Documentacion complementaria2Documentacion complementaria2
Documentacion complementaria2PlanNacional
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 

Similaire à Análisis RAM Windows detecta EternalBlue (20)

Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAM
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Análisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux ServerAnálisis forense en linux - Compromised Linux Server
Análisis forense en linux - Compromised Linux Server
 
Forense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de DragonjarForense en windows - Resolución Reto I de Dragonjar
Forense en windows - Resolución Reto I de Dragonjar
 
Un caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor LinuxUn caso Forense: Analizando un servidor Linux
Un caso Forense: Analizando un servidor Linux
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Un caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en WindowsUn caso de Forense: Delito de pederastia en Windows
Un caso de Forense: Delito de pederastia en Windows
 
Utilerias para reparacion
Utilerias para reparacionUtilerias para reparacion
Utilerias para reparacion
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Administración de red servidores y seguridad
Administración de red servidores y seguridadAdministración de red servidores y seguridad
Administración de red servidores y seguridad
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Documentacion complementaria2
Documentacion complementaria2Documentacion complementaria2
Documentacion complementaria2
 
Documentacion complementaria2
Documentacion complementaria2Documentacion complementaria2
Documentacion complementaria2
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 

Plus de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 

Plus de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 

Dernier

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 

Dernier (20)

Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 

Análisis RAM Windows detecta EternalBlue

  • 1. Análisis de memoria RAM en entornos Windows RootedCON 2019
  • 2. ¿Quiénes somos? Marc (@JagaimoKawaii) : DFIR and malware researcher JoseMi (@j0sm1) : DFIR and malware researcher
  • 3. Índice 1. Introducción al análisis de memoria RAM windows 2. Resolución reto forense de análisis memoria (I) 3. Resolución reto forense de análisis memoria (II)
  • 4. Introducción: Capacidades del análisis • Malware Fileless • Exploits • Droppers • Rootkits U/K • … • Conexiones (<<) • Descriptores • Servicios (<<) • Drivers (<<) • MFT • Procesos (<<) • …
  • 5. Introducción: Puntos de entrada • IP, dominio, URL, Mutex, etc. • Regla de NIDS • Regla de Antivirus, EDR, etcétera. • Conducta sospechosa detectada por un usuario • Etc.
  • 6. Introducción: Proceso de adquisición • Volcado con dumpit, winpmem, etc. • RAW format • AFF4 format • Pagefile.sys • Hibernation • Windows crash file (MEMORY.DMP)
  • 7. Introducción: Herramientas de análisis • Volatility (memory dump, hibernation file) • Rekall (memory dump) • Page_brute (pagefile.sys) • Windbg (Windows memory crash) • Pyrebox (basado en volatility)
  • 8. Introducción: Volatility plugins • pstree • pslist vs psscan = psxview • netscan • svcscan con BinaryPath fuera de C:WindowsSystem32 • driverscan con BinaryPath fuera de C:WindowsSystem32 • malfind con MZ en el inicio • … Pslist, sockscan, modules, psxview, ldrmodules, etc.
  • 9. 2. Atenea reto parte (I): Descripción
  • 10. 2. Atenea reto parte (I): Memory hash IMPORTANTE: Calculamos el hash de la memoria $ md5sum memory.1221191d.img.zip 9452fd27235597dc3bdb09c1b9f2a76a $ md5sum memory.1221191d.img e246159a7a2c8e154da193bd07457759
  • 11. 2. Atenea reto parte (I): Imageinfo $ volatility -f memory.1221191d.img imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (memory.1221191d.img) PAE type : No PAE DTB : 0x185000L KDBG : 0x82923ea8L Number of Processors : 1 Image Type (Service Pack) : 1 KPCR for CPU 0 : 0x82924d00L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2017-08-07 20:23:00 UTC+0000 Image local date and time : 2017-08-07 22:23:00 +0200 $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 pslist
  • 12. 2. Atenea reto parte (I): KDBG https://doxygen.reactos.org/db/d88/kddata_8c_source.html#l00392 KDBG Scan algorithm
  • 13. 2. Atenea reto parte (I): KDBG https://digital-forensics.sans.org/media/Poster_Memory_Forensics.pdf
  • 14. 2. Atenea reto parte (I): Network análisis – bulk_extractor (automático) /usr/local/bin/bulk_extractor -E net -o salida/ memory.1221191d.img bulk_extractor version: 1.5.5 Hostname: Equipo Input file: memory.1221191d.img Output directory: salida/ Disk Size: 536805376 Threads: 4 Attempt to open memory.1221191d.img 15:13:46 Offset 67MB (12.50%) Done in 0:00:06 at 15:13:52 15:13:47 Offset 150MB (28.13%) Done in 0:00:05 at 15:13:52 15:13:48 Offset 234MB (43.76%) Done in 0:00:04 at 15:13:52 15:13:50 Offset 318MB (59.38%) Done in 0:00:03 at 15:13:53 15:13:51 Offset 402MB (75.01%) Done in 0:00:02 at 15:13:53 15:13:52 Offset 486MB (90.64%) Done in 0:00:00 at 15:13:52 All data are read; waiting for threads to finish... Time elapsed waiting for 4 threads to finish: 1 sec (timeout in 59 min59 sec.) All Threads Finished! Producer time spent waiting: 3.22471 sec. Average consumer time spent waiting: 0.464306 sec. MD5 of Disk Image: e246159a7a2c8e154da193bd07457759 Phase 2. Shutting down scanners Phase 3. Creating Histograms Elapsed time: 8.57489 sec. Total MB processed: 536 Overall performance: 62.602 MBytes/sec (15.6505 MBytes/sec/thread) alerts.txt, ether_histogram.txt, ether.txt, ip_histogram.txt, ip.txt, packets.pcap, report.xml
  • 15. 2. Atenea reto parte (I): Network análisis – Suricata (automático) $ suricata -r packets.pcap -c /etc/suricata/suricata-debian.yaml -k none -v -l log Importante: [*] Tipo de reglas [*] –k none
  • 16. 2. Atenea reto parte (I): Network análisis – Suricata (automático) $ suricata -r packets.pcap -c /etc/suricata/suricata-debian.yaml -k none -v -l log Importante: [*] Tipo de reglas [*] –k none
  • 17. 2. Atenea reto parte (I): Network análisis – VTI (automático) • INDICATOR-SHELLCODE ssh CRC32 overflow filler • OS-WINDOWS Microsoft Windows SMB remote code execution attempt • MALWARE-CNC Win.Trojan.Doublepulsar variant process injection command • ET POLICY Reserved Internal IP Traffic AVG y Avast detectan dentro del PCAP: Sf:WNCryLdr-A [Trj] Nota: No recomendado en un incidente subir nada a servicios Externos. Esto es un reto.
  • 18. 2. Atenea reto parte (I): Network análisis – Avast (automático) Consejo: en medio de un incidente la máquina con el AV que esté actualizada pero desconectada de la red
  • 19. 2. Atenea reto parte (I): Análisis procesos (procdump) – yara,av • yara -w rules-master/malware_index.yar procdump • Str_Win32_Winsock2_Library procdump/executable.3588.exe • Str_Win32_Internet_API procdump/executable.2380.exe • clamscan procdump/ ----------- SCAN SUMMARY ----------- Known viruses: 6823116 Engine version: 0.100.2 Scanned directories: 1 Scanned files: 36 Infected files: 0 Data scanned: 19.50 MB Data read: 71.51 MB (ratio 0.27:1) Time: 33.924 sec (0 m 33 s) • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 procdump -D procdump/ Análisis Automático
  • 20. 2. Atenea reto parte (I): Análisis manual - Concepto • Pool-Tag Scanning (pool scanning) Buscar Process Objects Recorriendo Lista doble enlazada Pool Scanning (Tag Proc) _EPROCESS 1 2
  • 21. 2. Atenea reto parte (I): Análisis manual – Listado procesos $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 pstree Comandos: pslist, pscan, pstree, psxview “Se aprecia un proceso rundll32.exe extraño que es hijo de lsass.exe”
  • 22. 2. Atenea reto parte (I): Análisis manual – Listado conexiones $ volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 netscan Comandos: netscan “El proceso rundll32.exe pone a la escucha el puerto 8080”
  • 23. 2. Atenea reto parte (I): Análisis manual – Persistencia $ volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 autoruns Volatility Foundation Volatility Framework 2.6 Autoruns========================================== Hive: SystemRootSystem32ConfigSOFTWARE MicrosoftWindowsCurrentVersionRun (Last modified: 2017-08-07 18:20:56 UTC+0000) C:Windowssystem32VBoxTray.exe : VBoxTray (PIDs: 1636) Winlogon (Shell)================================== Shell: explorer.exe Default value: Explorer.exe PIDs: 1368 Last write time: 2017-08-07 20:12:40 UTC+0000
  • 24. 2. Atenea reto parte (I): Análisis automático – Avast - memdump • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 memdump -p 4 -D out/ • volatility -f memory.1221191d.img --profile=Win7SP1x86_23418 memdump -p 300 -D out/ Comandos: memdump Lanzamos AVAST sobre los ficheros dmp:
  • 25. 2. Atenea reto parte (I): EternalBlue • WannaCry aprovechó EternalBlue • EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. “SMB provides support for what are known as SMB Transactions. Using SMB Transactions enables atomic read and write to be performed between an SMB client and server. If the message request is greater than the SMB MaxBufferSize, the remaining messages are sent as Secondary Trans2 requests. This vulnerability affects the srv2.sys kernel driver and is triggered by malformed Secondary Trans2 requests.” Fuentes: https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html http://markus.co/memory-forensics/2017/06/04/eternalblue-smb.html https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/ms17_010_eternalblue.rb https://gist.github.com/worawit/bd04bad3cd231474763b873df081c09a https://www.fireeye.com/blog/threat-research/2017/05/smb-exploited-wannacry-use-of-eternalblue.html http://blogs.360.cn/post/nsa-eternalblue-smb.html Automático (Inteligencia terceros, av, yara, etc.) Manual (volatility plugins) Wannacry, doublepulsar, smb overflow Rundll32.exe con puerto 8080 Rundll32.exe hijo de lsass
  • 26. 2. Atenea reto parte (I): EternalBlue
  • 27. 2. Atenea reto parte (I): EternalBlue
  • 28. 2. Atenea reto parte (I): EternalBlue Referencia: http://markus.co/memory-forensics/2017/06/04/eternalblue-smb.html From the Metasploit and Worawits exploit, we can see that the primary exploit method works by creating multiple SMB connections which makes the server reserve lots of space for the connections. Lrso - <unknown> - Operating system name Lref - <unknown> - Reference history (debug only) LS?? - <unknown> - LM server allocations LSac - <unknown> - BlockTypeAdminCheck LSas - <unknown> - BlockTypeAdapterStatus LSbf - <unknown> - buffer descriptor LScd - <unknown> - comm device LScn - <unknown> - connection LSdb - <unknown> - data buffer Se crean los pool en memoria con Tag LSbf
  • 29. 2. Atenea reto parte (I): EternalBlue $ volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 bigpools | grep LSbf Volatility Foundation Volatility Framework 2.6 0x84359000 LSbf NonPagedPool 0x11000L 0x8439d001 LSbf NonPagedPool 0x11000L 0x8424e000 LSbf NonPagedPool 0x2000L 0x842af000 LSbf NonPagedPool 0x11000L 0x8437b001 LSbf NonPagedPool 0x11000L 0x8438c001 LSbf NonPagedPool 0x11000L 0x84260000 LSbf NonPagedPool 0x11000L 0x84293000 LSbf NonPagedPool 0x11000L 0x842c0000 LSbf NonPagedPool 0x11000L
  • 30. 2. Atenea reto parte (I): EternalBlue volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 memmap -p 4 | grep -A 3 0x8424e000 Virtual Physical Size Dump FileOffset ---------- ---------- ---------- -------------- 0x8424e000 0x1fa4e000 0x1000 0xcc5000 0x8424f000 0x1fa4f000 0x1000 0xcc6000 0x84250000 0x1fa50000 0x1000 0xcc7000 0x84251000 0x1fa51000 0x1000 0xcc8000
  • 31. 2. Atenea reto parte (I): EternalBlue En el file offset 0xcc5000 del dump del proceso con pid 4 (memdump) vemos: El paquete de tamaño 0x2000 contiene indicios de paquete SMB2
  • 32. 2. Atenea reto parte (I): Doublepulsar • ¿Qué es DoublePulsar? DoublePulsar is a backdoor implant tool developed by the U.S. National Security Agency's (NSA) Equation Group that was leaked by The Shadow Brokers in early 2017. The tool infected more than 200,000 Microsoft Windows computers in only a few weeks, and was used alongside EternalBlue in the May 2017 WannaCry ransomware attack. El exploit lo que consigue es fijar la persistencia a través de un hook en la posición 14 de la tabla “SrvTransaction2DispatchTable”. Por tanto para ver donde estará ubicado doublepulsar tenemos que obtener la entrada 14 de esta tabla y ver esa dirección que contiene. Enviando paquetes SMB inválidos se invoca a la función SrvTransactionNotImplemented() que es la se ha modificado. Fuentes de referencia: • https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html • Referencia de apoyo: https://www.shelliscoming.com/2017/08/doublepulsar-smb-implant-detection-from.html • Referencia al plugin: git clone https://github.com/BorjaMerino/DoublePulsar-Volatility/blob/master/doublepulsar.py • ¿Qué se ha ejecutado tras aprovechar Eternalblue? • Eternalblue suele venir acompañado de DoublePulsar en la herramienta fuzzbunch
  • 33. 2. Atenea reto parte (I): Doublepulsar • Step 0: Determine CPU Architecture • Step 1: Find ntoskrnl.exe Base Address • Step 2: Locate Necessary Function Pointers • Step 3: Locate Srv.sys SMB Driver • Step 4: Patch the SMB Trans2 Dispatch Table Primero reserva buffer y copia second payload y parchea la Tabla. • Step 5: Send "Knock" and Raw Shellcode -> Enviando paquetes SMB inválidos https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html Primary Payload Proceso para implantar el backdoor
  • 34. 2. Atenea reto parte (I): Doublepulsar volatility --plugins=plugins/ -f memory.1221191d.img --profile=Win7SP1x86_23418 doublepulsar --pdb_file=EF0EBB8C2741222D42E460143DF89307.pdb Ptr Module Section ---------- ------------ ------------ 0x90efb6de srv.sys PAGE (0) 0x90ef6153 srv.sys PAGE (1) 0x90ef61dc srv.sys PAGE (2) 0x90ef8bf8 srv.sys PAGE (3) 0x90ef9462 srv.sys PAGE (4) 0x90eefff3 srv.sys PAGE (5) 0x90ef0d02 srv.sys PAGE (6) 0x90eef80a srv.sys PAGE (7) 0x90ef05eb srv.sys PAGE (8) 0x90ef9654 srv.sys PAGE (9) 0x90ef6ae9 srv.sys PAGE (10) 0x90ef9654 srv.sys PAGE (11) 0x90ef9654 srv.sys PAGE (12) 0x90ef175e srv.sys PAGE (13) 0x8402b048 UNKNOWN (14) 0x90efc09a srv.sys PAGE (15) 0x90ee218f srv.sys PAGE (16)
  • 35. 2. Atenea reto parte (I): Doublepulsar The opcode list is as follows: 0x23 = ping 0xc8 = exec 0x77 = kill
  • 36. 2. Atenea reto parte (I): Flag https://www.cvedetails.com/cve/cve-2017-0143 Tendremos que introducir (CVE-2017-0143): $ printf "CVE-2017-0143" | md5sum => f11fa97bbd952a3146ffbddd59276c1d - flag{f11fa97bbd952a3146ffbddd59276c1d}
  • 37. 3. Atenea reto parte (II): Descripción
  • 38. 3. Atenea reto parte (II): Recapitulamos!
  • 39. 3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue.
  • 40. 3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos.
  • 41. 3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos. • Uno de ellos el target de nuestro CVE padre y el otro hijo del proceso lssas.exe
  • 42. 3. Atenea reto parte (II): Recapitulamos! • Tráfico sospechoso relacionado con EternalBlue. • Dos procesos claramente maliciosos. • Uno de ellos el target de nuestro CVE padre y el otro hijo del proceso lssas.exe • El proceso rundll32 con PID 300 está escuchando en el puerto 8080 
  • 43. 3. Atenea reto parte (II): Análisis del Pcap • Tras filtrar todas las peticiones tanto origen como destino que no son internas, no queda tráfico por lo que parece que por aquí no vamos a sacar gran cosa.
  • 44. 3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
  • 45. 3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
  • 46. 3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
  • 47. 3. Atenea reto parte (II): Strings! • ¿Está la IP almacenada en el stack/heap/otros? o Yarascan || Memdump + strings* + grep!
  • 48. 3. Atenea reto parte (II): cmdline • ¿Está rundll32 cargando alguna DLL maliciosa?
  • 49. 3. Atenea reto parte (II): dlllist • ¿Hay alguna DLL rara cargada?
  • 50. 3. Atenea reto parte (II): vadinfo • RunDll32 no se pone a escuchar por el puerto 8080! • VAD del proceso (Configs, IPC, Packers…)
  • 51. 3. Atenea reto parte (II): malfind • El plugin “malfind” automatiza este proceso en algunos casos • Pero genera ciertos “falsos positivos”
  • 52. 3. Atenea reto parte (II): vaddump • Vamos a volcar a disco la sección de memoria sospechosa.
  • 53. 3. Atenea reto parte (II): vaddump • O todas las secciones:
  • 54. 3. Atenea reto parte (II): Shellcode rundll32 d371693e71a2b5fefbff94d423276f3bf346a55c42a14cab5c7eb5881d65b2e0 shellcode.bin
  • 55. 3. Atenea reto parte (II): Shellcode rundll32
  • 56. 3. Atenea reto parte (II): Shellcode rundll32 d371693e71a2b5fefbff94d423276f3bf346a55c42a14cab5c7eb5881d65b2e0 shellcode.bin
  • 57. 3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
  • 58. 3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
  • 59. 3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode?
  • 60. 3. Atenea reto parte (II): Shellcode2Exe • En dinámico, es más fácil saber que hace ese shellcode. • Ejecutar un shellcode? • Lo vemos en ProcessHacker.
  • 61. 3. Atenea reto parte (II): Shellcode análisis • Lo lanzamos desde un debugger para ver que hace.
  • 62. 3. Atenea reto parte (II): Shellcode análisis • Llegar a la lógica interesante.
  • 63. 3. Atenea reto parte (II): Shellcode análisis • Salto a nuestro shellcode.
  • 64. 3. Atenea reto parte (II): Shellcode análisis • Salto a nuestro shellcode.
  • 65. 3. Atenea reto parte (II): Shellcode análisis • Función con referencias a ws2_32.dll.
  • 66. 3. Atenea reto parte (II): Shellcode análisis • Resolución de APIs?.
  • 67. 3. Atenea reto parte (II): Shellcode análisis • Todo son APIs de red!
  • 68. 3. Atenea reto parte (II): Shellcode análisis • Ya está escuchando en el puerto 8080. • No nos acepta las conexiones (RST)
  • 69. 2. Atenea reto parte (II): WSAAccept • Quien y porqué nos rechaza?
  • 70. 3. Atenea reto parte (II): WSAAccept • Quien y porqué nos rechaza?
  • 71. 3. Atenea reto parte (II): lpfnCondition • Parámetros de WSAAccept:
  • 72. 3. Atenea reto parte (II): lpfnCondition • Condición de WSAAccept.
  • 73. 3. Atenea reto parte (II): Shellcode análisis • “sub + je”
  • 74. 3. Atenea reto parte (II): Shellcode análisis • El contenido de EAX nos suena de algo…
  • 75. 3. Atenea reto parte (II): Shellcode análisis • BINGO!
  • 76. 3. Atenea reto parte (II): Shellcode análisis printf "55.66.77.88" | md5sum => 12675012c6b5f530327ecfc254dc48d1 Flag{12675012c6b5f530327ecfc254dc48d1}