Confidence - (24-25.05 2011 Krakow)
Język: polski | english

Aseem Jakhar

Aseem Jakhar jest niezależnym badaczem zabezpieczeń z 7-letnim doświadczeniem w programowaniu systemów, konsultingu bezpieczeństwa i pracy badawczej. Pracował na różnych produktach / modułach security, w tym IBM Proventia ISS, rozwiązaniach UTM, Mirapoint Messaging/ urządzeniach zabezpieczających, X-Spam, programach antywirusowych eScan, multicast packet reflector, Transparent HTTPS proxy z portalem Captive, filtrach spamu Bayesa itp. Był prelegentem na wielu konferencjach bezpieczeństwa, takich jak XCON 2009, Blackhat UE 2008, Clubhack 2008/2009/2010, IBM Security and Privacy 2009, Cocon 2010, ISACA Bangalore 2010, Gnunify 2007/2009/2011.

Jest założycielem null – otwartej społeczności security (zarejestrowanej organizacji non-profit, http://null.co.in), – największej wspólnoty security w Indiach. null planuje obecnie rozszerzenie działalności poza Indie. Obecnie pracuje w pełnym wymiarze godzin w null. Jedną z inicjatyw null jest konferencja bezpieczeństwa nullcon (http://nullcon.net), która jest ulubionym miejscem spotkań hakerów i specjalistów od zabezpieczeń na subkontynencie indyjskim. Przed rozpoczęciem własnej działalności pracował w IBM.

Temat prezentacji:
Jugaad – Linux thread injection kit

Język prezentacji:
Angielski

Abstrakt:
Złośliwe oprogramowanie Windows używa CreateRemoteThread () API do przekazania najważniejszych zadań wewnątrz innych procesów. Jednak do dziś nie ma interfejsu API w systemie Linux do wykonywania takich operacji. Ten wykład traktować będzie o mojej pracy nad stworzeniem API podobnego do createRemoteThread () na systemach operacyjnych * nix. Obecnie pracuje na Linuksie, przydziela miejsce wewnątrz procesu , wstrzykuje i wykonuje dane zadanie w wątku do tego procesu. Wykorzystuje ptrace () do manipulowania innymi procesami w systemie. ptrace () jest to API powszechnie używane przez debuggerów do manipulowania(debugowania) programem. Przy użyciu tych samych funkcji do przemycenia i manipulowania przebiegiem programu Jugaad jest w stanie wprowadzić dane zadanie jako wątek.

Jest jeszcze inne wspaniałe narzędzie – injectSo, które wstrzykuje całą bibliotekę do procesu, jednak zostawia ślady w pliku mapy procesów ze ścieżką biblioteki, która jest wstrzykiwana. Jugaad wykonuje wstrzyknięcie wątku za pośrednictwem pamięci, a tym samym nie zostawia śladów biblioteki znajdującej się w pliku mapy. To jednak przydziela pamięć w procesie za pomocą systemu połączeń mmap2, które pojawia się tylko jako przydzielona pamięci w pliku mapy, ale nie ujawnia nic o danych które mają być tam umieszczone. Zadanie do wykonania działa wewnątrz wątku i jest niezależny od zestawu – wybierasz swoje zadanie, jugaad wstrzykuje to zadanie.

Zestaw zapewnia możliwości dostosowania wielkość alokacji pamięci, rozmiar stosu wątku, uprawnienia dostępu do obszaru pamięci i obciążenia wątku.