Aprenda a Ganhar Dinheiro do seu Jeito na Internet!

Quão ruim é o Windows 10 afetado por injeções de processo

Estás a ler: Quão ruim é o Windows 10 afetado por injeções de processo

Sessão de perguntas e respostas da ValueWalk com Itzik Kotler, CTO e co-fundador da SafeBreach. Nesta entrevista, Itzik discute a injeção de processo do Windows, as técnicas de defesa da Microsoft e o futuro dos computadores Quantum.

Você pode nos contar sobre sua formação?

Itzik Kotler é CTO e co-fundador da SafeBreach. Itzik tem mais de uma década de experiência pesquisando e trabalhando no espaço de segurança de computadores. Ele é um orador reconhecido do setor, tendo falado no DEFCON, BlackHat EUA, Hack In The Box, RSA, CCC e H2HC. Antes de fundar a SafeBreach, Itzik atuou como CTO da Security-Art, uma empresa de consultoria em segurança da informação e, antes disso, foi SOC Team Leader da Radware Ltd. (NASDAQ: RDWR).

Amit Klein é um especialista em segurança da informação de renome mundial, com 28 anos em segurança da informação e mais de 30 artigos técnicos e acadêmicos publicados sobre esse assunto. Amit é o vice-presidente de pesquisa de segurança da SafeBreach, responsável por pesquisar vários ataques de infiltração, exfiltração e movimento lateral. Antes do SafeBreach, Amit era CTO da Trusteer (adquirida pela IBM) por 8,5 anos. Antes da Trusteer, Amit foi cientista-chefe da Cyota (adquirida pela RSA) por 2 anos e, antes disso, diretor de Segurança e Pesquisa da Sanctum (adquirida pela Watchfire, agora parte da divisão de segurança da IBM) por 7 anos. Amit tem um B.Sc. da Universidade Hebraica de Matemática e Física (magna cum laude, programa Talpiot), reconhecido pela InfoWorld como CTO do ano de 2010, e apresentou na BlackHat USA, DefCon, NDSS, InfoCom, DSN, HITB, RSA, OWASP, CertConf , BlueHat, CyberTech, APWG e AusCERT.

O que a sua companhia faz?

O SafeBreach é líder em Simulação de Violação e Ataque. A plataforma inovadora da empresa fornece uma “visão do hacker” da postura de segurança de uma empresa para prever proativamente ataques, validar controles de segurança e melhorar a resposta do analista do centro de operações de segurança (SOC). O SafeBreach executa automaticamente milhares de métodos de violação a partir de um extenso e crescente Playbook ‘Hackers’ Playbook ™ de pesquisa e dados investigativos do mundo real.

Isso é para todas as versões do Windows?

A injeção de processos em geral era prática, pelo menos desde o Windows XP. Mas nossa pesquisa se concentra nas versões mais recentes do Windows 10, pois é aí que a injeção de processo se torna mais desafiadora (devido às proteções adicionais oferecidas pelo Windows 10).

Nossa biblioteca de injeção de processos tem como alvo o Windows 10 x64, versões mais recentes (1803 e superior).

A Microsoft está fazendo algo para ajudar a se proteger contra esse problema?

Não diretamente. A Microsoft continua adicionando defesas e mitigações de exploração remota. Essas técnicas de defesa impedem que atacantes remotos assumam processos, como navegadores, agentes de email ou software do Office. Nosso caso de uso é diferente – analisamos uma situação em que o malware já está sendo executado na máquina Windows de destino e perguntamos como o processo de malware pode se transformar em um processo confiável e não malicioso – em outras palavras, “injeção de processo”.

No entanto, muitas defesas de exploração remota introduzidas no Windows 10 também afetam a injeção de processo, dificultando ou até mesmo eliminando algumas técnicas. Discutimos isso longamente em nossa apresentação do BlackHat.

Isso afeta os telefones também?

Nossa pesquisa se concentra no sistema operacional Windows, portanto, os telefones celulares com Windows 10 Mobile são afetados em teoria (não testamos isso diretamente). Dito isto, o Windows 10 Mobile está sendo descontinuado, portanto o impacto no ecossistema móvel é provavelmente muito limitado.

E os relógios inteligentes?

Não estamos familiarizados com os smartwatches que executam o sabor do Windows 10.

Os computadores Quantum podem violar quaisquer defesas que conhecemos? É algo com que devemos nos preocupar?

Com relação à injeção de processo, a resposta provavelmente é não. Os computadores quânticos podem resolver alguns problemas aritméticos / algorítmicos muito mais rapidamente que os computadores clássicos. No entanto, as técnicas de injeção de processo não se baseiam nesses problemas; portanto, os computadores quânticos não têm vantagem sobre os computadores clássicos.


Discussão Blackhat: Técnicas de injeção de processo – Preciso pegar todos

Itzik Kotler Co-fundador e CTO, SafeBreach

Amit Klein Vice-presidente de pesquisa de segurança, SafeBreach

Localização: Mares do Sul CDF

Encontro: Quinta-feira, 8 de agosto | 11h – 11h50

Formato: Briefings de 50 minutos

Faixas: Malware, Desenvolvimento de exploração

Quando se trata de processar a injeção no Windows, existem apenas 6-7 técnicas fundamentais, certo? Foi o que pensamos no final de 2018, quando começamos a pesquisar nessa área. Acabou que estávamos muito longe da marca. Contamos 20 técnicas (até agora …), que tivemos que coletar, extrair e analisar de muitos sites, blogs e documentos. Por sua vez, isso levantou a questão – onde está a coleção definitiva de “injeção de processo do Windows”?

Nesta apresentação, fornecemos a coleção mais abrangente de técnicas atualizadas sobre “injeção de processo do Windows” – a primeira vez que esse recurso está disponível, que realmente cobre todas (ou quase todas) as técnicas de injeção verdadeira. Nós nos concentramos no Windows 10 x64 e nas injeções do processo de integridade média de 64 bits para outro processo de integridade média de 64 bits, sem elevação de privilégio. Prestamos atenção especial às novas tecnologias de proteção do Windows, por exemplo, CFG e CIG. Diferenciamos entre primitivas de gravação em memória e técnicas de execução e discutimos estratégias de alocação de memória. Nossa coleção é organizada, analisada, tabulada, com PoCs diretos e de nível de pesquisa. Testamos cada técnica no Windows 10 x64 com e sem proteções e relatamos os requisitos, limitações e peculiaridades de cada técnica.

E, é claro – nenhuma apresentação decente do BlackHat está completa sem novos ataques. Nós descrevemos uma nova primitiva de escrita de memória que é independente de CFG. Descrevemos um novo método de execução de “bombardeio de pilha” (baseado na primitiva de gravação em memória acima) que é inerentemente seguro (mesmo que a substituição da pilha seja a priori uma ação perigosa e desestabilizadora).

Por fim, fornecemos uma biblioteca de combinação e combinação de todas as primitivas de gravação e métodos de execução, para que os usuários de injeção de processo possam gerar injeções de processo “personalizadas”.

~~~~~~~~📱~~~~~~~~

PCtg.net é o lugar perfeito para encontrar as últimas notícias e análises sobre gadgets e aplicativos de tecnologia, bem como dicas e truques sobre como tirar o máximo proveito de sua tecnologia.