[CODEBREAKER] Présentation de la détection des shellcodes encodés sur GATEWATCHER sur Windows Server 2008 R2 (Version 2.X minimum)

Dans cette première vidéo, nous vous montrons la détection des shellcodes sur un Windows Server 2008 R2 grâce au moteur CODEBREAKER de GATEWATCHER

 

 

 

 

2 thoughts on “[CODEBREAKER] Présentation de la détection des shellcodes encodés sur GATEWATCHER sur Windows Server 2008 R2 (Version 2.X minimum)

  1. Venusia dit :

    Bonjour,
    Comment s’effectue la détection de shellcodes ? Sur la base du dump et reconstitution des opcodes et mnémoniques ou bien émulez-vous les instructions, registres, piles, le flow d’exécution ?
    Disposez-vous d’une plateforme type bug bounty permettant de mettre à l’épreuve vos outils ?
    Merci

    1. Philippe dit :

      Bonjour, merci pour votre commentaire ! La détection des shellcodes s’effectue en plusieurs étapes qui reprennent les deux idées que vous avez évoqué 🙂

      Dans un premier temps, il faut pouvoir le détecter sur le réseau (c’est le principe de Gatewatcher : faire de la détection d’intrusions au niveau du réseau et non pas en local sur une machine), et pour cela nous recherchons des patterns basés sur des instructions et blocs d’instructions incontournables.

      Dans un deuxième temps, si un encodage est détecté, nous tentons d’extraire le shellcode par une analyse statique, ce qui nous permet de gagner du temps par rapport à la suite et de bypass certaines protections contre l’analyse dynamique.

      Que l’extraction soit un succès ou non (un potentiel encodage a tout de même été détecté) ou si c’est un shellcode non-encodé qui a été détecté, il est envoyé à l’analyse dynamique (émulation).
      Son objectif est de confirmer la détection ainsi que d’extraire le principal (mais possiblement pas l’unique) flow d’exécution du shellcode sous forme d’une liste d’appels systèmes / fonctions api windows accompagnés des arguments.
       
      Pour plus de détails, certains articles sur le blog (Shikata par exemple) vous montrent comment il est possible (c’est ce que nous faisons) d’analyser par émulation.

      Merci pour l’intérêt que vous portez à notre outil, je reste à votre disposition si vous avez d’autres questions !
       

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

15 + 17 =