miércoles, 22 de junio de 2022

EuskalHack Security Congress V 2022

Muy buenas,

Llevo AÑOS queriendo ir a ésto pero siempre nos coincidía con el Hellfest y/o San Juanes:

http://viviendoapesardelacrisis.blogspot.com/2013/05/hellfest-2013.html 

http://viviendoapesardelacrisis.blogspot.com/2013/11/hellfest-2014.html 

http://viviendoapesardelacrisis.blogspot.com/2014/09/hellfest-2015.html 

http://viviendoapesardelacrisis.blogspot.com/2015/09/hellfest-2016.html 

http://viviendoapesardelacrisis.blogspot.com/2016/12/hellfest-2017.html 

http://viviendoapesardelacrisis.blogspot.com/2017/11/hellfest-2018.html 

https://viviendoapesardelacrisis.blogspot.com/2018/12/hellfest-2019.html 

https://viviendoapesardelacrisis.blogspot.com/2020/04/hellfest-2020.html 

https://viviendoapesardelacrisis.blogspot.com/2021/02/hellfest-2021.html 

https://viviendoapesardelacrisis.blogspot.com/2021/06/hellfest-2022.html 


https://securitycongress.euskalhack.org/index_es.html

Para colmo, este año me ha tocado la entrada:

https://www.linkedin.com/posts/euskalhack_gracias-por-vuestras-aportaciones-para-el-activity-6925360072655052801-ga1f/ 

Programa:



A ver.

Actualización a 24/06/2022: Acabo de llegar a casa... ROTO. :P


Mañana seguimos!

Actualización a 25/06/2022: Tendré que empezar con la crónica (mis notas):

VIERNES, 24 DE JUNIO

HORA     CHARLA     LENG     PONENTE     PDF
09:15h - 09:30h     Presentación del Congreso     [ES][EN]     Miguel Angel Hernandez (EuskalHack Team)
09:30h - 10:15h     Pasado y presente de la ciberguerra en Ucrania     [ES]     Josep Albors
10:15h - 11:00h     Desmitificando disable_functions en PHP     [ES]     Juan Manuel Fernández

11:00h - 11:30h    DESCANSO

11:30h - 12:15h     UFOs: Unidentified Flying Objects     [ES]     Pedro Candel
12:15h - 13:00h     INCONTROLLER: New State-Sponsored Cyber Attack Tools Target Industrial Control Systems     [EN]     Daniel Kapellmann
13:00h - 13:30h     Desenmascarando a tus adversarios ocultos     [ES]     Marta de la Cruz y José Pablo Ferrero
    
13:30h - 16:00h    ALMUERZO Y TALLERES

16:00h - 16:45h     Esteganografía en redes sociales     [ES]     Javier Dominguez
16:45h - 17:30h     I must break you. Ivan Drago vs. VMware     [EN]     Carlos García

SÁBADO, 25 DE JUNIO

HORA     CHARLA     LENG     PONENTE     PDF
09:30h - 10:15h     Current state of Internet worms. Compromising hosts since 1988     [ES]     David Barroso
10:15h - 11:00h     Is your app XS-Leaking?     [EN]     Cezary Cerekwicki
    
11:00h - 11:30h    DESCANSO

11:30h - 12:15h     Invoke-DNSteal: Exfiltrando información DNS "like a boss"     [ES]     Joel Gámez
12:15h - 13:00h     Using policy delay to gain RCE and to execute Ransomware to infection victim machine.     [EN][ES]     Filipi Pires
13:00h - 13:30h     Ciberseguridad en Deep Learning     [ES]     Xabier Echeberria
    
13:30h - 16:00h    ALMUERZO Y TALLERES

16:00h - 16:45h     Cronología del backdoor Kazuar y una nueva relación con Turla     [ES]     Marc Rivero
16:45h - 17:30h     Zero-knowledge proofs security, in practice     [EN]     JP Aumasson
17:30h - 18:00h     Cybersecurity Award y clausura     [ES][EN]     EuskalHack Team

Actualización a 29/06/2022: A ver si saco tiempo para empezar a escribir. Por ahora:

https://github.com/X-C3LL/congresos-slides/blob/master/Demystifying%20Disable_functions%20(EUSKALHACK%20V).pdf 

Edit: Aprovecho que llueve y estoy viendo conciertos del Hellfest (https://viviendoapesardelacrisis.blogspot.com/2021/06/hellfest-2022.html) en casa:

-Pasado y presente de la ciberguerra en Ucrania - Josep Albors:

ESET + Sophos + Kaspersky + Microsoft. Robert Lipovsky: Coordinador de investigación dentro de ESET y/o con demás empresas.
Junto con CERT de Ucrania.

-Desmitificando disable_functions en PHP - Juan Manuel Fernández:

Bugs memoria y lógica.
-Memoria
Happy incidents.
Sandboxing para shared hosting.
Función system().
Zend Internal Function (ZIF).
Primitivos -> Scan -> Sobreescribir -> Ejecutar.
Bug 81705 de Enero 2021. Sin parchear.
Liberar el espacio justo (medido) en memoria para sustituir.
Ahora podemos tratarlo con string (Zend String).
Modificamos el puntero para leer (de esa longitud) donde queramos.
Usamos lo leído para interpretar (puntero, longitud, string) hasta encontrar system.
Zend Closure -> ZIF Handler.
Podemos leer donde queramos pero sólo escribir cerca. Copiamos.
-Lógica:
Buscar bugs. Diccionario con funciones y parámetros.
La documentación de PHP no es exacta y no vale para el diccionario.
Parseamos errores: Llamar función sin parámetros.
Parseamos código.
Trocear ejecuciones.
Buscar en el PHP bug tracker.
DomotoPHP por Rewzilla.
AFL++ con grammar mutator.
PHP-Parser y PHP-AST.
Infection (PHP mutation testing framework).

-UFOs: Unidentified Flying Objects - Pedro Candel:

Hacking de aviones.
Radiofrecuencia San José.
ATIS (Automatic Terminal Information Service).

-INCONTROLLER: New State-Sponsored Cyber Attack Tools Target Industrial Control Systems - Daniel Kapellmann:

Ataca Schneider y Omrom.
TAGRUN (OPC UA), CODECALL (Schneider) y OMSHELL (Omrom).
-PLCs de Schneider (entre éllos, TM221): Busca, comunica por Somachine (CoDeSys), entra por fuerza bruta y control total.
-Omrom: Protocolo Fins. Comunica por HTTP para activar Telnet. Busca llegar a Servos, Sensores y Actuadores (EtherCat).

Dos herrameientas: Icecore (backdoor) y driver AsRock (para HMIs).
Escenarios: Apagar, Sabotaje y Destrucción.
Diseño reusable para atacar a más víctimas.
Código extensible para añadir herramientas.
Intervención por operador.
Recomendaciones: Buscar por comportamiento en vez de por signatures. O por tráfico.
Ataques a energía (más que nada).
Atravesar IT, OT y llegar a máquina.

-Desenmascarando a tus adversarios ocultos - Marta de la Cruz y José Pablo Ferrero:

Defensa activa: Usar sus esfuerzos en nuestro beneficio. Deception.
Honeypot VS Cyberdeception. Herramienta VS Estrategia.
    
-Esteganografía en redes sociales - Javier Dominguez:

Redes sociales: Información y correlacción.
Perfiles -> Data Science.
En videos.
En Twitter (Stego_Retweet).

-I must break you. Ivan Drago vs. VMware - Carlos García:

No ESXi (Nativo) sino Workstation (bajo SO).
SO contrala hardware y corre en un sitio.
El hypervisor también controla (no a la vez que el SO) pero corre en otro sitio.
Cómo saltamos de un sitio a otro?
No es viable porque no existen a la vez.
Cómo interactua el hypervisor con los dispositivos? Se la pela. Para éso está el SO.
Hay un proceso VMX por cada MV que emula dispositivos pero es una locura meterle mano.
El front end emula sólo algunos dispositivos expuestos al SO.
El back end, más cercano al SO, usa APIs de Windows que terminan usando los drivers.
Busca dispositivos en memoria.
A partir de Workstation 15.5.5, tenemos hipervisor sobre hipervisor (?).
Consigue localizar funciones y direcciones de memoria.
Consigue cargarse el SO desde la MV.
A VMWare se la pela.

-Current state of Internet worms. Compromising hosts since 1988 - David Barroso:

Criptomonedas (XMRig) y DDoS (IoT).
Persistencia por crontab.
Rootkits: Lo_Preload y Diamorphine.
Ca_Preload: Contra Dockers. Usa Logys, Apache (CouchDB) y Confluence. Añaden vulnerabilidades en menos de 24 horas.
Puertos efímeros para bajar payloads.
Gusano Cetus contra Dockers.
TeamTNT: Saltar de un contenedor al host:

https://www.trendmicro.com/en_us/research/21/l/more-tools-in-the-arsenal-how-teamtnt-used-compromised-docker-hu.html 

P.D: Otro ejemplo:

https://blog.cyble.com/2022/06/27/exposed-kubernetes-clusters/ 

BPFDor: Port knocking.
Por qué no se usa para ramsomware? No lo necesitan.

...

Actualización a 03/07/2022: A ver si termino hoy (que vuelve a llover):

-Is your app XS-Leaking? - Cezary Cerekwicki:

Responsable de Opera.
https://learnappsec.com/blog/
XS-Leak side-channel vulnerability.
Timing attacks on web privacy. Arreglado después de 20 años.
https://xsinator.com/ From a format model to the automatic evaluation of cross-site leaks in web browsers.
Incursion method: Access a state-dependant resource cross-origin. Por IFrame, New Window, HMTL, CSS o Javascript. Memmory corruption in browser (Spectre, Hertze,...).
Detectable difference: Performance API, Event Handline, Readable Attributes, Global Limits, Global State and User Actions.
XS-Leaks periodic table.
GWP-Asan.
Provate Browsing para no almacenar.
Fantastic Timers and Where to Find Them: High-Resolution Microarchitectural Attacks in JavaScript:
https://www.researchgate.net/publication/322000263_Fantastic_Timers_and_Where_to_Find_Them_High-Resolution_Microarchitectural_Attacks_in_JavaScript

-Invoke-DNSteal: Exfiltrando información DNS "like a boss" - Joel Gámez:

https://darkbyte.net/
DNS es un covert channel (canal encubierto).
Suele estar permtido en Firewalls.
Recibir las peticiones en un servidor DNS local para registrar errores.
https://www.freenom.com/ Dominios gratis.
https://technitium.com/dns/ Servidor DNS gratis.
Herramientas DNSChef (https://github.com/iphelix/dnschef), DNSCat2 (https://github.com/iagox86/dnscat2), DNSExfiltrator (https://github.com/Arno0x/DNSExfiltrator) y Mística (https://github.com/IncideDigital/Mistica). Powercat.

DNS Blind Injection: Ahora el DDR para todo. Ofusca scripts. Funciona pero le corta (el firewall misterio de en medio hace sinkhole). Corta por reglas (tiempo, tamaño,...). Lo prueba por TCP. Parece que funciona. Pero no ven nada en los logs. Resulta que realmente usa HTTP cuando le decimos TCP. No detectan nada por HTTP.
Dominios aleatorios donde mandar pero usa pool de resolvers.
Invoke-Dnsteal. 

-Using policy delay to gain RCE and to execute Ransomware to infection victim machine - Filipi Pires:

Explora delays en políticas para diferentes antivirus en diferentes SOs (W7 y W10).
No para ni detecta amenazas conocidas por firmas durante el tiempo de aplicación (que una firma estima en 12 horas!). 

-Ciberseguridad en Deep Learning - Xabier Echeberria:

Deep learning -> Neuronas artificiales -> Redes neuronales.
Atacante modifica el modelo.
Atacar modelos modelos con muy buenos resultados.
Muchos tipos de ataques... Ataque evasión: Añado ruido a una imagen para variar resultado.
Si sabemos las neuronas claves, el ruido necesario es mucho menos pero dirigido.
Mismo para varias imágenes: Metemos el ruido en el modelo: Ruido general.
Generar adversarios generales para redes convulsi...(?) genéricas de Google () sin importar clasificadores?
Autoencoder elimina ruido pero afecta a precisión.
Detectores tratan de buscar adversarios en entrada.
Trata de buscar modelo en base a las neuronas clave con entradas normales y adversarias.

-Cronología del backdoor Kazuar y una nueva relación con Turla - Marc Rivero:

Kaspersky: Sunburst backdoor code overlaps with Kazuar:
https://securelist.com/sunburst-backdoor-kazuar/99981/ 

-Zero-knowledge proofs security, in practice - JP Aumasson:

Zero-knowledge encryption: Claves en la nube?
zk-SNARKs.
ZCash counterfeiting vulnerability. 

Bien!

Actualización a 04/07/2022: Cierto, el premio (después de la encuesta por la que gané la entrada):

https://www.linkedin.com/posts/euskalhack_award-cybersec-community-activity-6946771742879064064-499R 

Entre todas las respuestas recibidas, tenemos el privilegio de otorgar el primer EuskalHack CyberSecurity Award al equipo de respuesta a incidentes de FireEye Mandiant en reconocimiento a su actuación frente a uno de los mayores incidentes de ciberseguridad de todos los tiempos, relacionado con el actor de amenaza UNC2452. Recoge el premio Andriy Brukhovetskyy (Principal Researcher de Mandiant) ¡Enhorabuena!

https://www.mandiant.com/solarwinds-break-resource-center

https://vision.fireeye.com/editions/11/11-unc2452.html

Actualización a 20/07/2022: El video:

Actualización a 07/09/2022: Ignacio Brihuega Rodríguez - Taller "Pentest AD Rocks" Parte II:

https://fwhibbit.es/euskalhack-v-pentest-active-directory-rocks-part-ii 

P.D: La I:

https://fwhibbit.es/euskalhack-v-pentest-active-directory-rocks-part-i 

Se ve algo?


No hay comentarios:

Publicar un comentario