sexta-feira, 26 de dezembro de 2008

Reflexos perigosos

Um trabalho interessante da Harmony Security chamou minha atenção: Reflective Dll Injection.

É um conceito novo em relação ás técnicas já conhecidas de DLL Injection. O que Forense Computacional tem a ver com isso ? Essa técnica não deixa rastros no HD, pois não chega a tocá-lo. Por conta disso, alguns exploits a usam e a detecção e pesquisa do que aconteceu fica realmente prejudicada (pelo menos pelo ponto de vista do Perito).

No caso dessa nova técnica, o próprio autor afirma no seu paper que a detecção é extremamente complicada, e já existe, além da PoC, um payload para Metasploit.

Duas impressões ficam após ler um artigo como esse:

1) Cada vez mais a aquisição e análise da memória será necessária para se determinar o que aconteceu em um caso ou incidente.

2) Precisamos de uma turma que se disponha a pesquisar essas técnicas para descobrir os artefatos e vestígios que podemos encontrar.

Quem seria voluntário ???

Até o próximo post !

Nenhum comentário: