Volví de REcon 2015 hace una semana y por fin me recuperé del largo viaje. Como siempre, fue una magnífica conferencia repleta de charlas y gente interesante. Siempre es enriquecedor conocer a otros colegas de todo el mundo que se dedican a la ingeniería inversa y discutir sobre nuevas técnicas, herramientas e investigaciones.
Por tradición, los eventos comienzan con sesiones de entrenamiento, y yo di mi acostumbrado entrenamiento de cuatro días sobre ingeniería inversa de malware. En ese tiempo abordamos todo tipo de temas, desde cómo desempaquetar/descifrar malware, analizar APTs y más.
Hasta recibí un premio por mis 10 años de enseñar clases de Ingeniería Inversa en REcon. ¡El tiempo vuela! 🙂
La conferencia no dejó nada que desear. Hubo varias charlas interesantes, más o menos relacionadas con la investigación de malware. Estos son los resúmenes de algunas de ellas:
- Introducción al framework Dynamic IDA Enrichment (también conocido como DIE):
DIE es un nuevo plugin para IDA Hex-Rays que cruza la brecha entre lo estático a lo dinámico directo en el GUI nativo de IDA. Ofrece a los analistas el acceso a valores runtime desde el interior de la pantalla estándar del desensamblador.
A diferencia de proyectos anteriores con objetivos similares, DIE toma un enfoque diferente al usar un framework que hace extenso uso de plugins, lo que permite que la comunidad añada constantemente lógica para mejorar el análisis y optimizar los valores del runtime.
Con sólo pulsar un botón, todo está a disposición del investigador: puede inspeccionar los identificadores que se asignan a una función, analizar el código inyectado en cadenas de caracteres de runtime, enumerar las estructuras dinámicas, seguir las llamadas indirectas de funciones y más.
Después de la explicación del framework, se hicieron tres demostraciones en vivo sobre cómo usar la herramienta.
Puedes ver las diapositivas aquí: http://fr.slideshare.net/ynvb/0x3e9-waystodie
Puedes descargar el framework aquí: https://github.com/ynvb/DIE - ¡Completos espías!
Esta presentación incluye investigaciones sobre la operación AnimalFarm y detalles técnicos de sus diferentes programas maliciosos. La presentación también destacó las conexiones entre los ejemplares, como también los indicios encontrados que podrían servir para saber a quién atribuir la operación.
- El M/o/Vfuscator
Basado en un informe que comprueba que la instrucción “mov” tiene Turing completo, el M/o/Vfuscator toma el código fuente y lo compila en un programa que usa instrucciones mov *only* – no comparaciones, ni saltos, ni matemática (y sin duda nada de trucos SMC).
La charla demostró que es posible escribir programas sólo con instrucciones mov para ofuscar códigos. Pedí al autor de la presentación que hiciera un crackme con el ofuscador, y tuvo la gentileza de hacerlo.
Crackme: https://github.com/xoreaxeaxeax/movfuscator/tree/master/poc/crackme
Ofuscador: https://github.com/xoreaxeaxeax/movfuscator
Otras charlas interesantes fueron:
- Esta fuente Time puede atraparte en 4 bytes
- Enganchando a Nirvana
- Una vulnerabilidad en fuentes para controlarlos a todos
- Revirtiendo el CIC de Nintendo 64
Puedes ver el cronograma completo de la conferencia en http://recon.cx/2015/schedule/
Las diapositivas y los videos de cada charla se subirán lo antes posible al sitio web de REcon.
¡Nos vemos el próximo año en REcon 2016!
¡Larga vida a REcon! Mi décimo aniversario en REcon