Anti Anti Forense de Memória Abortando o Abort Factor
Inscreva-se.
https://goo.gl/NfsjjA
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Trilha: Administração - Segurança
Autores:
Tony Rodrigues mostrar currículo
Apresentação:
Dia 15 às 12:00 na sala 41B (60 minutos) vídeo
Descrição: Em 2012, dois pesquisadores japoneses elaboraram uma técnica, apresentada na Black Hat Europa do mesmo ano, que consiste em modificar um byte - sem ca usar crash do sistema - a fim de impedir que ferramentas de análise (Volatility, Memoryze e HBGary) consigam entender e posteriormente interpretar um dump de memória. Esta técnica ficou conhecida como Abort Factor.
Durante suas pesquisas, Takahiro Haruyama e Hiroshi Suzuki identificaram três operações críticas e comuns nas ferramentas de análise de memória:
- Tradução do endereço virtual em kernel space
- Identificação do Sistema Operacional e arquitetura do dump
- Obtenção de objetos do kernel
Dessa forma, através da manipulação de apenas um byte nas estruturas relacionadas a cada um dos itens acima, foi possível tornar esse dump incompreensível para ferramentas de análise forense.
Pesquisamos a técnica do Abort Factor e demonstraremos como é possível identificar o ataque, bem como reverter/corrigir um dump de memória de uma máquina onde a técnica foi usada.