Sois muchos los que estáis preguntando acerca del material de las ponencias y talleres de la pasada h-c0n. Tal y como dijimos, lo que vamos a hacer es ir liberándolo poco a poco (el que nos faciliten), publicándolo de forma simultánea en el blog y en la web oficial de la conferencia. Si bien, aquí ampliaremos un poco el material con más enlaces, fotos y vídeos y podréis comentar cualquier cosa al respecto.
Empezaremos con la charla "Técnicas "file-less" para pentesting" de Ramón Pinuaga (@rpinuaga), pentester y analista de seguridad con mas de 17 años de experiencia, trabajando actualmente el Prosegur.
Cada día es mas habitual que los creadores de malware utilicen técnicas "file- less" para infectar equipos. ¿Por qué? pues porque no utilizar ficheros normales para ocultarse dificulta su detección por parte de antivirus y herramientas similares.
En su presentación vimos en qué consisten estas técnicas que básicamente se dividen en guardar todo en memoria (problema: no tendremos persistencia) o guardar código fuera de un fichero o en ficheros especiales.
Algunos clásicos como:
• Fuera del sistema de ficheros: UEFI, Firmware de HDD, Hidden disk
areas, $EA, etc.
• En la red o en sistemas externos
• En ADS (Alternate Data Streams)
• En el registro de Windows
Y otros menos habituales como:
• WMI (subscriptions)
• Eventos de Windows (.evt)
• Dentro de documentos de ofimática (.doc, .xls, .pdf).
• Nombres de ficheros o directorios
• Variables de entorno
Además vimos cómo podemos utilizarlas para mejorar la eficiencia de nuestros proyectos de pentesting.
Demo 1:
Demo 2:
Url del video: https://youtu.be/rhtV_Iw5xpI
Fotos:
Enlaces:
- http://www.h-c0n.com/p/ponencias.html#Fileless
- http://www.h-c0n.com/p/ponentes.html#Ramon
Empezaremos con la charla "Técnicas "file-less" para pentesting" de Ramón Pinuaga (@rpinuaga), pentester y analista de seguridad con mas de 17 años de experiencia, trabajando actualmente el Prosegur.
Cada día es mas habitual que los creadores de malware utilicen técnicas "file- less" para infectar equipos. ¿Por qué? pues porque no utilizar ficheros normales para ocultarse dificulta su detección por parte de antivirus y herramientas similares.
En su presentación vimos en qué consisten estas técnicas que básicamente se dividen en guardar todo en memoria (problema: no tendremos persistencia) o guardar código fuera de un fichero o en ficheros especiales.
Algunos clásicos como:
• Fuera del sistema de ficheros: UEFI, Firmware de HDD, Hidden disk
areas, $EA, etc.
• En la red o en sistemas externos
• En ADS (Alternate Data Streams)
• En el registro de Windows
Y otros menos habituales como:
• WMI (subscriptions)
• Eventos de Windows (.evt)
• Dentro de documentos de ofimática (.doc, .xls, .pdf).
• Nombres de ficheros o directorios
• Variables de entorno
Además vimos cómo podemos utilizarlas para mejorar la eficiencia de nuestros proyectos de pentesting.
Demo 1:
Url del video: https://youtu.be/VHpkfWA-xt4
Demo 2:
Url del video: https://youtu.be/rhtV_Iw5xpI
Fotos:
Enlaces:
- http://www.h-c0n.com/p/ponencias.html#Fileless
- http://www.h-c0n.com/p/ponentes.html#Ramon
Lo de esconder código en nombres de carpetas parece interesantísimo pero no me quedó nada claro con la demo.
ResponderEliminar¿Podríamos darle unas vueltitas?