Мой доклад на PHDays 2013

Мой доклад на PHDays 2013
Выступаю на PHDays на FastTrack с докладом Динамическое детектирование шелл кода в электронных документах. В основу доклада ляжет эта статья , занявшая 3 место по итогам конкурса статей на SecurityLab в 2012 году.

Доклад будет на русском, но слайды я постараюсь сделать на английском.

Конечно, мы не станем толдычить только описанное в статье и расскажем кое-что новое. Предысторией создания метода динамического обнаружения шелл-кода стал опыт Исследования инцидентов собственными силами, о чём мы сделали одноимённый доклад на CC'2011 ( видеозапись нашего выступления ). Активное тестирование описанной технологии началось как раз в начале этого года. За это время мы успели испробовать наш метод (реализованный в виде ПО) на более чем 20 000 файлов разных форматов, открытых разными программами, на разных ОС.

Совсем уж точных данных пока не ведём, но речь идёт о:
  1. Более 20 000 pdf-файлов
  2. Более 10 000 вордовских файлов (doc, docx, rtf)
  3. ПО, которым открывались файлы: MS Word 2003, 2007, Libre Office 4.0, Adobe Reader 9-11, Foxit Reader 3-6, Google Chrome, Yandex.Browser
  4. Работа в ОС WinXP, Windows 7
За это время удалось обнаружить:

  1. Несколько атак на компьютеры фирмы, сотрудники которой принимали участие в тестировании нашего ПО (атаки были через doc-документы, CVE от 2012 года)
  2. Ошибку  в Yandex.Browser, приводящую к падению браузера (сообщили разработчикам, в недавно вышедшей новой версии , вроде, пофиксили. Но я ещё не успел проверить)
  3. И ещё много чего. Данных накопилось огромное количество, не всё обработано. Так что ближе к докладу постараемся отрыть что-нибудь вкусненькое и рассказать об этом.
Так что готовьте интересные вопросы по нашему методу, приходите на PHDays и задайте их нам. Будем рады ответить
malware PHDays 2013 shell code обнаружение вирусов
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Агиевич Игорь aka Shanker

Мысли о собственной жизни ИТ-аналитика, обретающие очертания в голове и формируемые средством их выражения - родной речью