Um trabalho interessante da Harmony Security chamou minha atenção: Reflective Dll Injection.
É um conceito novo em relação ás técnicas já conhecidas de DLL Injection. O que Forense Computacional tem a ver com isso ? Essa técnica não deixa rastros no HD, pois não chega a tocá-lo. Por conta disso, alguns exploits a usam e a detecção e pesquisa do que aconteceu fica realmente prejudicada (pelo menos pelo ponto de vista do Perito).
No caso dessa nova técnica, o próprio autor afirma no seu paper que a detecção é extremamente complicada, e já existe, além da PoC, um payload para Metasploit.
Duas impressões ficam após ler um artigo como esse:
1) Cada vez mais a aquisição e análise da memória será necessária para se determinar o que aconteceu em um caso ou incidente.
2) Precisamos de uma turma que se disponha a pesquisar essas técnicas para descobrir os artefatos e vestígios que podemos encontrar.
Quem seria voluntário ???
Até o próximo post !
Nenhum comentário:
Postar um comentário