CONFidence'2011 (Krakow)

В последнее время мне довелось побывать на большом количестве конференций в качестве докладчика, но больше всего меня поразила CONFidence'2011 в Кракове. Организаторы этой конференции очень трепетно относятся ко всем докладчикам и готовы компенсировать им все расходы за перелет, гостиницу и такси в аэропорт. Помимо этого каждый день нас водили в какой-нибудь местный ресторан для ужина, чтобы докладчики могли познакомиться и пообщаться между собой. Ко всему прочему на самой конференции для докладчиков было бесплатное пиво и прочие радости :) Вообщем по мнению большинства опрошенных мной спикеров, все они сходятся во мнении, что на CONFidence организаторы больше всего любят докладчиков и таких условий больше нет нигде. Конечно же очевидна причина такого отношения, это необходимость привлечь как можно больше интересных докладов из разных стран.

Впечатления от PHD

Сегодня практически с самого начала я присутствовал на этом мероприятии. У входа мне удалось встретить знакомых из оргов и меня любезно провели миную огромную очередь страждущих попасть внутрь, чтобы я мог не торопясь подготовить оборудование для проведения мастер-класса "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4".

На самом деле наверное жестоко было мучить публику с утра по раньше хардкорными выкладками об внутреннем устройстве ОС и механизмах обхода проверок цифровой подписи :) Но выбора у меня не было, так как в полдень я уже должен был выдвигаться в аэропорт, но об этом расскажу позже. На удивление этот хардкор заинтересовал довольно многих и зал был наполнен целиков, включая проходы. Это крайне приятно, значит не зря было потрачено время на подготовку.

Завтра PHD

Завтра пройдет долгожданное многими мероприятие "Positive Hack Days", программа конференции выглядит довольно многообещающе.

Завтра всех призываю участвовать в нашем конкурсе по реверсингу, начало регистрации на него собственно стартует в 9:30, т.к. задание довольно интересное и требующее времени на решение. Кто первым добудет все кодовые фразы тот и получит главный приз. А всех участников конкурса ждут сувениры от ESET ;) 

Так же завтра с утра пройдет мой мастер-класс по теме "Проведение криминалистической экспертизы и анализа руткит-программ на примере TDL4". Изначально он задумывался как двух часовой, но потом был урезан в связи ограничением по времени в один час по регламенту конференции. Поэтому сделать много интерактива не получится, но все равно будет интересно:

• Эволюция современных руткит-программ
• Этапы установки на x86/x64
• Буткит и обход проверки подписи
• Отладка буткита на эмуляторе Bochs
• Хуки в режиме ядра
• Отладка с использованием WinDbg
• Файловая система TDL4
• TdlFsReader, как инструмент криминалистической экспертизы

CARO'2011 in Prague

В начале мая мне довелось побывать на довольно интересном мероприятии CARO 2011 Workshop. В прошлом году я уже посещал эту конференцию у финов, но на этот раз мы представляли собственный доклад "Cybercrime in Russia: Trends and Issues". Который мы готовили совместно с криминалистами из Group-IB.

Новая модификация TDL4 обходит костыль MS Advisory (2506014)

Что собственно и следовало ожидать, в конце прошлой недели была обнаружена новая модификация TLD4 (Win32/Olmarik.AMN), которая обходит вставленный костыль от MS для противодействия используемому методу загрузки не подписанных дров (VT). Первая информация поэтому поводу появилась здесь, после чего достаточно оперативно Prevx написали неплохой блогпост по теме.

По сути произошло два важных изменения, это механизм обхода костыля от MS и изменилась функциональность связанная с хуками (неплохой блогпост от mcafee по теме), по всей видимости она была изменена для обхода существующих алгоритмов лечения.

Update: наш официальный блогпост по теме "The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 )"