Analyse d'une backdoor passive basée sur la technologie Berkeley Packet Filter.
Zombies ate my printer’s ink
With Machoc and victorious weapons, using CFG hashing for the lazy reverser
Windows EoP in TAPISRV (Telephony Application Programming Interface)
NTFS #0day in MFT parsing!
Publication d'une vulnérabilité que nous avons découverte (et remontée), elle concerne un integer overflow pouvant être déclenché en montant une clé USB et provoquant donc un BSOD. La vulnérabilité concerne NTFS et plus précisément dans son cœur, la MFT (Master File Table).
From tweet to rootkit
Nos analyses depuis un poste sur twitter de Florian Roth qui nous a mené à identifier (et analyser) un rootkit signé, dont le certificat n’est pas encore révoqué et qui est inconnu de VirusTotal. Dans cette version publique nous vous présentons une partie de nos analyses sur l’un des deux dumps.
Sysmon Internals
Sysmon est l'un des outils SysInternals, il permet de tracer une partie de l'activité d'une machine et la journalise dans des journaux d'événements. Nous présentons comment fonctionne Sysmon en interne, c'est à dire comment il intercepte l'activité du système. Une analyse de l'exécutable et du driver sont faites afin de comprendre ses différentes méthodes d'interception et de journalisation. Dans un deuxième temps, plusieurs règles d'identification de codes malveillants sont présentées et un retour d'expérience sur l'application du deep learning à ces données.
ETW for the lazy reverser
ETW (Event Tracing for Windows) permet de tracer des évènement internes de Windows. Nous présentons le fonctionnement, l'utilité et les possibilités proposées par ce système.
Solution du challenge « re_crypto » #NDH16
Pour cette édition ExaTrack a développé une épreuve de reverse engineering / cryptographie. Nous publions une solution possible pour résoudre cette épreuve, qui n'a malheureusement pas trouvé de validation sur place.
From corrupted memory dump to rootkit detection
Dans cette présentation nous expliquons qu'il est difficile d'obtenir une image mémoire propre d'un système quand celle-ci est faite à chaud, et explorons des pistes pour réussir à travailler sur un dump corrompu. Après un rapide survol du format de crash-dump de Windows, nous étudions la pagination mémoire et les cas particuliers spécifiques à Windows. Une fois que nous réussissons à lire l'espace mémoire virtuel, nous explorons quelques structures importantes de Windows pour mener les débuts d'une investigation. Nous passons ensuite à des méthodes génériques pour identifier la présence d'un code malveillant en noyau et l'appliquons sur deux rootkits utilisés lors d'APT.
Please COM again
Nous présentons des outils et techniques pour analyser des codes malveillants utilisant la technologie COM de Microsoft. Un cas concret est présenté avec un malware intrumentant Internet Explorer pour modifier les pages affichées afin de voler des informations bancaires.
Hey Uroburos! What's up ?
Uroburos est un malware/APT, détecté en 2014, qui avait fait couler beaucoup d’encre dans le monde de la sécurité informatique. Il s'est distingué des autres par son driver 64 bits (rootkit) pour Windows, avec un bypass de PatchGuard. Nous avons identifié un code Uroburos/Turla datant de 2017. Après vérification le driver s’est révélé être une évolution de celui utilisé en 2014. Par acquis de conscience, nous avons creusé un peu sur ce nouveau driver, et nous nous sommes rendu compte qu'il avait de sérieuses différences avec l'original, tout en gardant une même base. Nous présenterons donc ici une analyse de ce rootkit 64 bits.
NTFS: Forensics, Malwares and Vulnerabilities
A view into ALPC-RPC
Windows Kernel Elevation of Privilege Vulnerability (CVE-2017-11783)
Windows Kernel Elevation of Privilege Vulnerability (CVE-2017-0244)
Execution konkolik for dummies
Démarche d'analyse collaborative de codes malveillants
Nous présentons une plateforme répondant à ces problématiques en permettant de stocker et d’organiser un corpus d’échantillons avec les métadonnées associées. Cette plateforme facilite la rétro-ingénierie collaborative en partageant les informations produites par l’analyse automatique et par les autres intervenants de l’analyse.
Vulnerability Research on Windows binaries
Bypassing Windows 10 kernel ASLR (remote)
Win32/Aibatook: Banking Trojan Spreading Through Japanese Adult Websites
ARM introduction by malware reverse engineering
Shellcode 100% Kernel under Windows 7
Bypassing Windows 7 kernel ASLR
Antirootkit Reverse engineering and discovering vulnerabilities
Vulnerability research in Windows Kernel
Windows Kernel Memory Corruption Vulnerability (MS10-098 CVE-2010-3944)