RECON 2014

Hoy fue el último día de la conferencia REcon 2014, en la que expertos en ingeniería inversa de todo el mundo se dieron cita para conocerse y compartir sus investigaciones.

La conferencia comenzó con entrenamientos, y yo estuve a cargo de uno, que duró cuatro días, sobre ingeniería inversa de programas maliciosos. En esos días tratamos variostemas: cómo desempaquetar / descifrar programas maliciosos, cómo identificar algoritmos codificadores, cómo tratar códigos ofuscados, cómo analizar shellcodes, etc.

Mi colega Marta Janus dio una charla en la que explicó las diferentes técnicas que usan los programas maliciosos para evadir la detección antimalware y las cajas de arena, y se refirió a muchos de los trucos de ofuscación que se usan en los programas maliciosos modernos.

Las presentaciones este año fueron bastante interesantes y algunas tuvieron mucho que ver con lo que hacemos en los laboratorios, incluyendo la representación gráfica de binarios, las herramientas que ayudan a acelerar el análisis y cómo se tratan las ofuscaciones de códigos.

Aquí puedes encontrar el programa completo de la conferencia.

Las diapositivas y los videos de cada una de las charlas pronto estarán disponibles en el sitio web de REcon.

Mientras tanto, ya puedes descargar algunas de las herramientas de investigación:

PANDA es la Plataforma para Análisis Dinámico neutral en Arquitectura. Se trata de una plataforma basada en QEMU 1.0.1 y LLVM 3.3 para realizar análisis dinámicos de software, obviando los detalles a nivel de arquitectura, mediante una sencilla interfaz plugin. En este momento se encuentra en desarrollo en colaboración con MIT Lincoln Laboratory, Georgia Tech y Northeastern University.

FUNCAP es un script para registrar llamadas de funciones (y retornos) a través de un ejecutable utilizando el API depurador IDA, junto a todos los argumentos aceptados. Vacía la información en un archivo de texto, y también la inserta en los comentarios inline de IDA. De esta manera, el análisis estático que suele continuar al análisis runtime de comportamiento de programas maliciosos, puede alimentarse directamente con información runtime, como hilos decodificados retornados en los argumentos de la función.

Una de las presentaciones se refirió al marco de trabajo para la ingeniería inversa, y creo que merece mencionarse aquí.

MIASM 2 es un marco de trabajo para ingeniería inversa gratuito y de código abierto (GPLv2). Miasm apunta al análisis, modificación y generación de programas binarios. Posee la capacidad de representar la semántica de ensamblaje mediante lenguaje intermedio, emulando el uso de jit (análisis de código dinámico, desempaque) y la simplificación de expresiones para desofuscación automática.

Nos vemos el próximo año en RECON 2015

Twitter: @nicolasbrulez

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *