SlideShare una empresa de Scribd logo

Telephaty: Harness the code

N
navajanegra
1 de 12
Descargar para leer sin conexión
Telepathy Harness the code Juan Carlos Montes
Inyecciones comunes • Pedir memoria en el proceso remoto • VirtualAllocEx • Copiar el código a ejecutar en el proceso remoto • WriteProcessMemory • Ejecutar el código copiado • CreateRemoteThread Proceso A Proceso A kernel32.dll user32.dll Proceso A LoadLibrary WriteProcessMemory kernel32.dll user32.dll test.dll CreateRemoteThread Inyector test.dll LoadLibrary 2
Inyección con Telepathy • Pedir memoria en el proceso remoto • VirtualAllocEx • Copiar el nombre de la DLL • WriteProcessMemory • Ejecutar LoadLibrary • CreateRemoteThread Proceso A Proceso A kernel32.dll user32.dll Proceso A test.dll kernel32.dll user32.dll test.dll WriteProcessMemory CreateRemoteThread test.dll Telepathy Valor de Retorno 3
Características Telepathy • Inyectar DLLs • Llamando directamente a LoadLibrary (sin uso de códigos insertados) • Usar cualquier función del proceso remoto, incluidas sus DLLs • Llamar funciones, tanto por nombre exportado como por dirección • Usar parámetros en las funciones • Recuperar su retorno tanto numérico como texto • Listar todas los OPCODE CALL (xE8) • Lista actualizable de todos los CALL del proceso 4
¿¿Para que?? • Análisis de malware • Uso de funciones de cifrado reversibles • Uso de funciones de envió de datos cifrado • Simulación de recepción de comandos de un panel de control • … 5
DEMO 1 6
7
DEMO 2 8
9
Múltiples parámetros • Es posible usar CreateRemoteThread indicándole múltiples parámetros: • NO • Solucion? • PUSH PARAM1 • PUSH PARAM2 • … • CALL FUNCTION • RET 10
Dudas?? • Dudas?? • Preguntas?? • Donaciones??  • Si, lo publicamos durante las conferencias: https://github.com/intecocert 11
Gracias!!! Juan C. Montes Mail personal: jcmontes.tec@gmail.com Mail CERT: jcmontes@cert.inteco.es Twitter: @jcmontes_tec 12

Recomendados

125524234-bugcon1-pdf
125524234-bugcon1-pdf 125524234-bugcon1-pdf
125524234-bugcon1-pdfxavazquez
 
Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudnavajanegra
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)navajanegra
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!navajanegra
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Webnavajanegra
 
Desarrollo de Aplicaciones Metro en Windows 8
Desarrollo de Aplicaciones Metro en Windows 8Desarrollo de Aplicaciones Metro en Windows 8
Desarrollo de Aplicaciones Metro en Windows 8Rodolfo Finochietti
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 

Recomendados

125524234-bugcon1-pdf
125524234-bugcon1-pdf 125524234-bugcon1-pdf
125524234-bugcon1-pdfxavazquez
 
Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudnavajanegra
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)navajanegra
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!navajanegra
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Webnavajanegra
 
Desarrollo de Aplicaciones Metro en Windows 8
Desarrollo de Aplicaciones Metro en Windows 8Desarrollo de Aplicaciones Metro en Windows 8
Desarrollo de Aplicaciones Metro en Windows 8Rodolfo Finochietti
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012Rodolfo Finochietti
 
Curso linux clase_2_2012
Curso linux clase_2_2012Curso linux clase_2_2012
Curso linux clase_2_2012Dario Villafañe
 
Jug málaga docker 101 - final
Jug málaga docker 101 - finalJug málaga docker 101 - final
Jug málaga docker 101 - finalJulio Palma Vázquez
 
Entorno Easy Code
Entorno Easy CodeEntorno Easy Code
Entorno Easy CodeRosy Estrada
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonDani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonDani Adastra
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotesRamon
 
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018Vicente Gerardo Guzman Lucio
 
Docker en el entorno de desarrollo
Docker en el entorno de desarrolloDocker en el entorno de desarrollo
Docker en el entorno de desarrolloAlejandro Hernández
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Docker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdfDocker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdfLeonardo Micheloni
 
Micro Python.pdf
Micro Python.pdfMicro Python.pdf
Micro Python.pdfPamepoli18
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Taller docker _es-cl
Taller docker _es-clTaller docker _es-cl
Taller docker _es-clFelipe de Morais
 
Clase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdfClase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdfodryemeliGomez
 
Codemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones JavaCodemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones JavaIván López Martín
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
 
Subsistema logico tema 2
Subsistema logico tema 2Subsistema logico tema 2
Subsistema logico tema 2Manel Montero
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 
Offensive MitM
Offensive MitMOffensive MitM
Offensive MitMnavajanegra
 

Más contenido relacionado

Similar a Telephaty: Harness the code

Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012Rodolfo Finochietti
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonDani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonDani Adastra
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotesRamon
 
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018Vicente Gerardo Guzman Lucio
 
Docker en el entorno de desarrollo
Docker en el entorno de desarrolloDocker en el entorno de desarrollo
Docker en el entorno de desarrolloAlejandro Hernández
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Docker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdfDocker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdfLeonardo Micheloni
 
Micro Python.pdf
Micro Python.pdfMicro Python.pdf
Micro Python.pdfPamepoli18
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Clase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdfClase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdfodryemeliGomez
 
Codemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones JavaCodemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones JavaIván López Martín
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
 
Subsistema logico tema 2
Subsistema logico tema 2Subsistema logico tema 2
Subsistema logico tema 2Manel Montero
 

Similar a Telephaty: Harness the code (20)

Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
Desarrollo de aplicaciones Windows 8 Modern UI con Visual Studio 2012
 
Curso linux clase_2_2012
Curso linux clase_2_2012Curso linux clase_2_2012
Curso linux clase_2_2012
 
Jug málaga docker 101 - final
Jug málaga docker 101 - finalJug málaga docker 101 - final
Jug málaga docker 101 - final
 
Entorno Easy Code
Entorno Easy CodeEntorno Easy Code
Entorno Easy Code
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotes
 
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
Creacion y Administracion de servicios usando Docker - .Net Conf Mx 2018
 
Docker en el entorno de desarrollo
Docker en el entorno de desarrolloDocker en el entorno de desarrollo
Docker en el entorno de desarrollo
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
Docker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdfDocker_K8S_lecciones_netcoreconf_2022.pdf
Docker_K8S_lecciones_netcoreconf_2022.pdf
 
Micro Python.pdf
Micro Python.pdfMicro Python.pdf
Micro Python.pdf
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
 
Taller docker _es-cl
Taller docker _es-clTaller docker _es-cl
Taller docker _es-cl
 
Clase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdfClase 2 GuiaPractica.pdf
Clase 2 GuiaPractica.pdf
 
Codemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones JavaCodemotion 2016 Madrid - Dockeriza tus aplicaciones Java
Codemotion 2016 Madrid - Dockeriza tus aplicaciones Java
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Subsistema logico tema 2
Subsistema logico tema 2Subsistema logico tema 2
Subsistema logico tema 2
 

Más de navajanegra

Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficasnavajanegra
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológicanavajanegra
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nochenavajanegra
 
1100101001001110
11001010010011101100101001001110
1100101001001110navajanegra
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técniconavajanegra
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?navajanegra
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsnavajanegra
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensicnavajanegra
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsnavajanegra
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!navajanegra
 
Show me your intents
Show me your intentsShow me your intents
Show me your intentsnavajanegra
 
Take a walk on the wild side
Take a walk on the wild sideTake a walk on the wild side
Take a walk on the wild sidenavajanegra
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendnavajanegra
 
All your appliances are belong to us
All your appliances are belong to usAll your appliances are belong to us
All your appliances are belong to usnavajanegra
 
IPv6 vs. IDS, se aceptan apuestas...
IPv6 vs. IDS, se aceptan apuestas...IPv6 vs. IDS, se aceptan apuestas...
IPv6 vs. IDS, se aceptan apuestas...navajanegra
 

Más de navajanegra (20)

Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testing
 
Offensive MitM
Offensive MitMOffensive MitM
Offensive MitM
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficas
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológica
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta noche
 
1100101001001110
11001010010011101100101001001110
1100101001001110
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técnico
 
Zeus-R-Us
Zeus-R-UsZeus-R-Us
Zeus-R-Us
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?¿Nadie piensa en las DLLs?
¿Nadie piensa en las DLLs?
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communications
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensic
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!
 
Show me your intents
Show me your intentsShow me your intents
Show me your intents
 
Take a walk on the wild side
Take a walk on the wild sideTake a walk on the wild side
Take a walk on the wild side
 
From mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriendFrom mail to jail: Exploit your ex-girlfriend
From mail to jail: Exploit your ex-girlfriend
 
All your appliances are belong to us
All your appliances are belong to usAll your appliances are belong to us
All your appliances are belong to us
 
IPv6 vs. IDS, se aceptan apuestas...
IPv6 vs. IDS, se aceptan apuestas...IPv6 vs. IDS, se aceptan apuestas...
IPv6 vs. IDS, se aceptan apuestas...
 
Charla ipv6
Charla ipv6Charla ipv6
Charla ipv6
 

Telephaty: Harness the code

  • 2. Inyecciones comunes • Pedir memoria en el proceso remoto • VirtualAllocEx • Copiar el código a ejecutar en el proceso remoto • WriteProcessMemory • Ejecutar el código copiado • CreateRemoteThread Proceso A Proceso A kernel32.dll user32.dll Proceso A LoadLibrary WriteProcessMemory kernel32.dll user32.dll test.dll CreateRemoteThread Inyector test.dll LoadLibrary 2
  • 3. Inyección con Telepathy • Pedir memoria en el proceso remoto • VirtualAllocEx • Copiar el nombre de la DLL • WriteProcessMemory • Ejecutar LoadLibrary • CreateRemoteThread Proceso A Proceso A kernel32.dll user32.dll Proceso A test.dll kernel32.dll user32.dll test.dll WriteProcessMemory CreateRemoteThread test.dll Telepathy Valor de Retorno 3
  • 4. Características Telepathy • Inyectar DLLs • Llamando directamente a LoadLibrary (sin uso de códigos insertados) • Usar cualquier función del proceso remoto, incluidas sus DLLs • Llamar funciones, tanto por nombre exportado como por dirección • Usar parámetros en las funciones • Recuperar su retorno tanto numérico como texto • Listar todas los OPCODE CALL (xE8) • Lista actualizable de todos los CALL del proceso 4
  • 5. ¿¿Para que?? • Análisis de malware • Uso de funciones de cifrado reversibles • Uso de funciones de envió de datos cifrado • Simulación de recepción de comandos de un panel de control • … 5
  • 7. 7
  • 9. 9
  • 10. Múltiples parámetros • Es posible usar CreateRemoteThread indicándole múltiples parámetros: • NO • Solucion? • PUSH PARAM1 • PUSH PARAM2 • … • CALL FUNCTION • RET 10
  • 11. Dudas?? • Dudas?? • Preguntas?? • Donaciones??  • Si, lo publicamos durante las conferencias: https://github.com/intecocert 11
  • 12. Gracias!!! Juan C. Montes Mail personal: jcmontes.tec@gmail.com Mail CERT: jcmontes@cert.inteco.es Twitter: @jcmontes_tec 12