Тема доклада: "Исследование инцидентов собственными силами"
Основные тезисы доклада:
- Разница между исследованием инцидента и его расследованием
- Взаимодействие с антивирусными лабораториями в рамках исследования вируса
- Приводится пример расследования инцидента, показывающий наличие проблем в отдельно взятой компании на практике
- Список программ и ресурсов, способных помочь в исследовании
- Реверс инжениринг тела вируса (получение и анализ псевдокода)
- Выявление админки вируса (web-сервер), выявление и анализ параметров данных протокола между вирусом и админкой
- Получение доступа к серверу админки вируса вследствие атаки на php-скрипт (заливка php-shell скрипта)
Дополнительно планируется показ нескольких видео демонстраций (если успею):
1. Демонстрация успешности несанционированной передачи данных в обход популярных современных средств защиты (список уточняется, предполагаются продукты Kaspersky Internet Security 2011, NOD Smart Security, а также продукты Avira, Avast, возможно и других) с актуальными обновлениями (конец августа)
2. Демонстрация обнаружения попыток эксплуатации уязвимости в Adobe Reader альтернативным методом без использования антивирусов
Доклад является уникальным с той точки зрения, что на текущий момент нигде не публиковалась ни сама презентация, ни прилагаемые видео демонстрации.