Сначало искренне хочется поблагодарить организаторов, которые проделали колоссальную работу по подготовке PHDays'2012 и продолжали напряженно работать на протяжении всего мероприятия. Ребята, большой вам респект за все это!
Приехав на конференцию к 8:30, я так и не смог посмотреть доклады других участников до своего выступления, так как критическая масса друзей и знакомых просто зашкаливала.
А так же в этом году приехал мой коллега Пьер-Марк Бюро из Канадского R&D, чтобы представить мастер-класс по реверсингу "Win32/Georbot. Особенности вредоносных программ и их автоматизированный анализ". Конечно, там речь не шла о каком-то мега хардкоре, но было интересно все собрано в одном практическом примере, как можно использовать возможности автоматизации на встроенном в IDA питоне. И мне было нужно ему помочь освоится в незнакомой обстановке :)
name="more" style="color: rgb(255, 255, 255); font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px; text-align: left; background-color: rgb(20, 20, 20); " >
Больше всего поразило то, что людей с ноутбуками можно было пересчитать по пальцам одной руки, хотя на сайте было написано, что требуется софт и ноут для участия. Но Пьер героически справился и на протяжении нескольких часов практически не смолкал, общаясь с публикой.
В зале был полный аншлаг и мне чудом удалось найти стул сбоку от докладчика. Посмотрев на все это действо минут десять, мне надо было выдвигаться к месту проведения нашего доклада.
До нашего доклада в зале №1 проходила секция "Смарт-карт технологии в России", что подготовило благодатную почву для нашего доклада, который в заключительной части приводил возможные вектора атак из реальных инцидентов.
Не смотря на то, что по какой то странной причине, наш доклад получил базовый рейтинг по своей хардкорности в программе мероприятия, мы постарались осветить тему с разных сторон в том числе и обсуждая низкоуровневые детали =)
Наш зал был настолько переполнен, что люди стояли в проходе и даже рядом с аудиторией, чтобы нас послушать. Спасибо всем кто пришел!
В первой части доклада мы сделали обзор технологического развития наиболее опасного банковского троянца Carberp, после чего уже перешли непосредственно к векторам атак на смарт-карты, используемые во вредоносном ПО.
- Win32/Spy.Ranbyus и манипуляция на уровне APDU команд
- Win32/RDPdoor, который устанавливается Carberp и по специальной команде в случае наличия смарт-карты ставит FabulaTech USB for RDP для удаленного контроля
Я думаю, что по этой теме немного позднее я выражу свои мысли еще в одном посте, так как цели этой публикации все же немного другие. Ну, а пока можно насладиться слайдами и видео :
Отдельно хочется отметить разработчиков смарт-карт, которые всячески сопротивлялись в сессии вопросов и пытались оправдаться. Оказывается уязвимость в винде, а то что через нее можно проводить атаки на смарт-карту это все окей, винда же виновата и все вопросы к Биллу.
После моего доклада и отбившись от всех вопросов неподалеку мне удалось отловить Брюса, который еще не был замучен толпой и выглядел довольно бодро. Всенепременно я воспользовался этой ситуацией и решил сфотографироваться с ним, так как фото с Брюсом стало главным фетишем PHDays'2012.
.JPG)
После этого, неподалеку был замечен российский клон Шнайера немного покрупнее, но в общих чертах крайне схож с оригиналом.
Послушав начало опуса о доверии на докладе Брюса, мне к сожалению надо было срочно отъехать и вернуться я смог только уже к концу первого дня на ужин для докладчиков. Отдельно стоит отметить, что организаторы позаботились о качественном питании посетителей и допинге в виде спиртных напитков, без которых некоторые доклады просто было не возможно воспринять :)
После ужина для всех желающих докладчиков была организована экскурсия на теплоходе по Москва-реке, что ввело в полный восторг наших зарубежных гостей. Которые дегустировали оригинальный русский напиток для расширения сознания и большего погружения в экскурсионную программу.
Кстати, Дима Скляров не прерывался ни на минуту и с усердием ломал наш крякми, специально разработанный для PHDays'2012. И даже на борту теплохода не поддавался искушению спиртными напитками в веселой компанией ИБ специалистов. За что в итоге получил первое место в нашем конкурсе и уже стал трижды призером конкурсов по реверсингу от ESET.
К сожалению решить полностью задание не удалось никому, но Дима продвинулся дальше всех. Видимо мы все-таки перемудрили со сложностью задания, так как это все-таки конференция и надо делать скидку на то, что люди хотят еще посетить доклады =)
Приятно, что задание оценили многие и не только российские исследователи. Его коллективно решали на ExeLab , а так же Eloi Vanderbéken сделал кейген .
В итоге, мероприятие удалось совершенно однозначно, а главное нанесло мощнейший удар по различным мифам и прочим пугалкам, которые оостанавливали зарубежных исследователей от поездки в нашу страну. Совершенно однозначно, что все кто был остались в полном восторге и по своему размаху конференция даст фору большинству зарубежных. А теперь, с нетерпением жду следующего ZeroNights, который с большой вероятностью пройдет в Москве и как обещают организаторы будет очень хардкорным с технической стороны докладов.
Ну, а в следующем моем отчете о конференции будет REcon на который мы десантируемся уже очень скоро с докладом "Bootkit Threats: In-Depth Reverse Engineering & Defense".
