Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Механизмы трассировки сетевого трафика для исследования уязвимостей<br />Лабунец Андрей<br />
ТюмГУ<br />Кафедра информационной безопасности<br />Digital Security<br />Анализ защищенности ERP-систем<br />Поиск уязвим...
* не только BoFили SQLinj<br />Зачем?<br />Продать ZDI илиiDefense<br />Консалтинг и тесты на проникновение<br />Часть про...
Что особенного?<br />Чаще всего черный ящик<br />Огромное количество компонентов<br />Закрытые форматы, неизвестные проток...
5<br />Часто бывает сложно (DSECRG-00180)<br />payload2<br />payload1<br />payload1<br />Web server<br />Beasvc.exe<br />r...
Web<br />Плагины: Tamper Data, Live HTTP Headers<br />Application layer<br />Прокси: Fiddler, pdb<br />Перехват API-вызово...
Перехват пакетов – в callout-драйвере, используя Windows Filtering Platform<br />Разбора протоколов – внутри Wireshark  (е...
8<br />Можно сделать лучше<br />wireshark.exe<br />DeviceIoControl<br />ReadFile<br />TCP/IP Stack<br />callout driver<br ...
9<br />#who | grep “DSecRG”<br />Подразделение Digital Security:<br /><ul><li>Поиск уязвимостей
Написание эксплоитов
Написание статейи книг</li></ul>Направления работы:<br /><ul><li>Безопасность SAP/ERP/Oracle
Upcoming SlideShare
Loading in …5
×

Андрей Лабунец. Механизмы трассировки

  • Be the first to comment

  • Be the first to like this

Андрей Лабунец. Механизмы трассировки

  1. 1. Механизмы трассировки сетевого трафика для исследования уязвимостей<br />Лабунец Андрей<br />
  2. 2. ТюмГУ<br />Кафедра информационной безопасности<br />Digital Security<br />Анализ защищенности ERP-систем<br />Поиск уязвимостей и путей эксплуатации<br />NetworkProfi<br />Разработка технических средств ИБ<br />2<br />#whoami<br />
  3. 3. * не только BoFили SQLinj<br />Зачем?<br />Продать ZDI илиiDefense<br />Консалтинг и тесты на проникновение<br />Часть процесса разработки (SDL)<br />Как?<br />Статический анализ<br />Фаззинг<br />Реверс-инженеринг<br />Реверсингпатчей<br />…<br />3<br />Поиск уязвимостей…*<br />
  4. 4. Что особенного?<br />Чаще всего черный ящик<br />Огромное количество компонентов<br />Закрытые форматы, неизвестные протоколы<br />4<br />…в бизнес-приложениях<br />Сложно ли написать эксплоит, уже зная, какой параметр вызывает переполнение?<br />
  5. 5. 5<br />Часто бывает сложно (DSECRG-00180)<br />payload2<br />payload1<br />payload1<br />Web server<br />Beasvc.exe<br />recv(payload2)<br />recv(payload3)<br />Tuxedo server OS<br />JSH.exe<br />Buffer overrun<br />recv(payload4)<br />psappsrv.exe<br />
  6. 6. Web<br />Плагины: Tamper Data, Live HTTP Headers<br />Application layer<br />Прокси: Fiddler, pdb<br />Перехват API-вызовов<br />Dll hijacking, API Hooks<br />Перехват на уровне интерфейсов<br />NDIS Filter driver<br />6<br />Как отлаживать протоколы?<br />Уязвимы не только web-приложения<br />Не весь трафик легко пустить через прокси<br />Неудобно, если компонентов много<br />Не перехватить Loopback-пакеты<br />
  7. 7. Перехват пакетов – в callout-драйвере, используя Windows Filtering Platform<br />Разбора протоколов – внутри Wireshark (его придется немного модифицировать)<br />Управлять драйвером – через IOCTL<br />7<br />Можно сделать лучше<br />
  8. 8. 8<br />Можно сделать лучше<br />wireshark.exe<br />DeviceIoControl<br />ReadFile<br />TCP/IP Stack<br />callout driver<br />Inject <br />Block<br />WriteFile<br />dump.pcap<br />thDumper<br />Packet<br />
  9. 9. 9<br />#who | grep “DSecRG”<br />Подразделение Digital Security:<br /><ul><li>Поиск уязвимостей
  10. 10. Написание эксплоитов
  11. 11. Написание статейи книг</li></ul>Направления работы:<br /><ul><li>Безопасность SAP/ERP/Oracle
  12. 12. Методы эксплуатации, обход защит
  13. 13. Защищенность банковского ПО</li></li></ul><li>10<br />#who | grep “NetworkProfi”<br />Разработка продукта Lanagent<br /><ul><li>Логгирование действий пользователя
  14. 14. Перехват icq, почты
  15. 15. Мониторинг подключаемых устройств
  16. 16. Скриншоты, нажатия клавиш, etc..</li></li></ul><li>11<br />Вопросы?<br />isciurus@gmail.com<br />

×