Каждый год конференцию CARO организует одна из антивирусных компаний в разных уголках Европы. Мне уже удалось побывать до этого в Хельсинки [F-secure], Прага [Avast] и Мюнхен [TrendMicro]. А в этом году организатором выступила ESET и местом проведения стал славный город Братислава.
Основной темой докладов в этом году послужил слоган конференции "The What, When and Where of Targeted Attacks", то есть внимание было сконцентрировано на целенаправленных атаках и их обнаружении.
В этом году был очень жесткий регламент на фото и видео съемку, а точнее она была запрещена абсолютно всем. Единственное фото успел сделать Мико Хипонен:
На мой взгляд в этом году конференция была более хардкорной неже ли обычно и уровень многих докладов был довольно высок. От ESET было принято два доклада:
Advanced Evasion Techniques by Win32/Gapz
В рамках которого мы поведали о внутреностях буткита Gapz и посетовали на простоту текщих вредоносных программ обнаруживаемых в APT. А ведь такие вот поделки, как Gapz существенно могут затруднить жизнь при криминалистической экспертизе, да и вообще собственно в своеременном обнаружении. Смотрите все сами на наших слайдах:
Более подробно все описано в ранее выпущеном отчете "Mind the Gapz: The most complex bootkit ever analyzed?", который достпен здесь.
Вторая презентация была представлена исследователем из Канады, Jean-Ian Boutin. Который кстати говоря в прошлом году проводил воркшоп по реверсингу на ZeroNights. Вся презентация была посвещена целенаправленной атаки на Пакистан. Детали данного инцидента хорошо изложены у нас в блоге, поэтому дублировать их не вижу смысла.
В целом конфренеция получилась насыщенной и интересной, но рассказывать о других презентациях я не буду, так как не в курсе, что можно выносить на паблик, а что нет ;)
В последний день конференции вечером состоялась вечеринка в доме у одного из основателей ESET. На которой выступил практически весь состав топ менеджмента:
В целом конфренеция получилась насыщенной и интересной, но рассказывать о других презентациях я не буду, так как не в курсе, что можно выносить на паблик, а что нет ;)
В последний день конференции вечером состоялась вечеринка в доме у одного из основателей ESET. На которой выступил практически весь состав топ менеджмента:
Конференция однозначно удалась по всем фронтам, за что организаторам огромное спасибо ;)
А где же впечатления о PHDays? =)
ОтветитьУдалитьНа них пока нет времени :) Да, и что-то впечатления какие-то смазанные, слишком много бизнеса в этом году было :(
ОтветитьУдалитьНа счет Whitepaper есть вопрос.
ОтветитьУдалитьВ документе вы решили использовать абривиатуру IPL, хотя в предъыдуших (http://go.eset.com/us/resources/white-papers/Rodionov-Matrosov.pdf) вы использовали понятие Bootstrap code, появившееся здесь http://thestarman.pcministry.com/asm/mbr/NTFSBR.htm. Что вы понимаете под понятием IPL?
Bootstrap code термин довольно размытый и может означать любую часть загрузочного кода. В нашем случае мы его всегда применяли относительно загрузочного кода NTFS и в частности VBR и ее состовляющих.
УдалитьЧто касается Gapz, то он меняет лишь одно значение DWORD:
VBR (Volume Boot Record)->BPB (Bios Parameter Block)->IPL (Initial Program Loader).
В данном случае я думаю понятна вложенность блоков Bootstrap кода ;)