Thursday, August 07, 2008

Black Hat USA 2008 Wrap-Up: Day 1

Black Hat USA 2008 is over. I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6-day event by training almost 140 students during two 2-day editions of TCP/IP Weapons School. Both sessions went well. I'd like to thank Joe Klein and Paul Davis for helping students navigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class entrance and exit processes, and for keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 labs running smoothly.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year since I posted Black Hat Final Thoughts for last year's event, a lot has happened. (I also reported on Black Hat Federal 2006 here, here, and here, and Black Hat USA 2003. I attended Black Hat USA 2002 but wasn't blogging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.) In this post I will offer thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations I attended.

  • I started Wednesday by attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote by Ian Angell, Professor of Information Systems at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 London School of Economics. I want that hour of my life back. Quoting philosophers, looking only at failures and never successes, and pretending your cat can talk doesn't amount to a good speech. This was a low point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Briefings, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was enough humor to keep my attention.

  • I saw two talks by Sherri Sparks and Shawn Embleton from Clear Hat Consulting. The first was Deeper Door: Exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC Chipset, and I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second below. They were probably my favorite talks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire conference, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were clear, concise, and informative. And -- shocker -- I skipped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS madness in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se talks, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet still appears to be working.

    Deeper Door is a play on DeepDoor, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit Joanna Rutkowska presented at Black Hat Federal 2006. DeepDoor hooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Network Driver Interface Specification (NDIS), whereas Deeper Door interacts directly with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN controller to read and write packets. Deeper Door works with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel 8255x 10/100 Mbps Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet Controller Family, and was tested with Intel PRO100B and S NICs. Deeper Door loads as a Windows driver and performs memory-mapped writes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN controller to bypass monitoring and enforcement systems (i.e., host-based firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like) which assume that processes or applications must be responsible for transmitting packets.

    Transmitting traffic is fairly easy, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demo showed sending hand-crafted UDP traffic past Windows and Zone Alarm firewalls without a problem. Receiving traffic is a little trickier, because receipt of a packet triggers a frame reception (FR) interrupt that will result in a check of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Interrupt Descriptor Table (IDT). One can use traditional techniques like hooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDT to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet to Deeper Door, or something like a SMM rootkit (described next) or a Blue Pill-like rookit to avoid hooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDT. When Deeper Door receives a packet, it can alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet appear benign (i.e., not a command-and-control packet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ship), or it can completely erase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system doesn't see it.

    The speakers noted that disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC (via Windows interaction) doesn't stop Deeper Door; it can silently re-enable it. Even uninstalling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC (again via Windows) leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC in a state where it can send, but not receive, traffic.

    This presentation reinforced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lesson that relying on an endpoint to defend itself is a bad idea. I've talked about trying to collect traffic on endpoints for incident response purposes, but a rootkit using Deeper Door technology could completely hide suspicious traffic from any host-based sniffer! In 2005 I wrote Rookits Make NSM More Relevant Than Ever, and Deeper Door proves it.

  • I stayed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next talk, A New Breed of Rootkit: The System Management Mode (SMM) Rootkit. SMM was publicly brought to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of security researchers in 2006 by Loïc Duflot, followed by Phrack's System Management Mode Hacks by BSDaemon, coideloko, and D0nand0n. Sparks and Embleton wrote a chipset-level keylogger and data exfiltrator that resides in SMM and sends 16 bytes at a time. Combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NIC-centric rootkit, it's impressive work. The SMM rootkit demonstrates that chipset-level data structures, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I/O Redirection Table, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest targets of subversion.

    Sparks and Embleton claimed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SMM rookit wouldn't be effective on newer systems (say 2006 and on) because a bit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMRAM control register called D_LCK is set, but Joanna Rutkowska said a bug in Intel (to be fixed soon) makes clearing D_LCK on newer systems possible without a system reset.

  • Staying with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset-as-battleground cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me, I next attended Insane Detection of Insane Rootkits, or a Chipset Based Approach to Detect Virtualization Malware, a.k.a. DeepWatch, by Yuriy Bulygin. Bulygin recommended using firmware on an Intel microcontroller to detect and remove hypervisor rootkits. Specifically, he puts his code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 microcontroller used for Intel Active Management Technology. As noted on that page, Intel® Active Management Technology requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to have an Intel® AMT-enabled chipset [like vPro], network hardware [like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel® 82573E Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet Controller] and software [on a server]. The platform must also be connected to a power source and an active LAN port. If you know nothing about AMT, I suggest checking it out; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security implications are staggering. Bulygin claimed to be able to detect SMM rootkits, which was an excellent defensive follow-on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks I had just seen.

    These three talks really emphasized a trend: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset is a new battleground. I would like to see a lot more information posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Product Security Center. An indicator for me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir willingness to step up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate in this new era would be to see an advisory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug Joanna mentioned posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security site. Somehow I think more than 5 vulnerabilities have been fixed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code since January 2007. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, you can include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS as a related battleground. I am worried when I see vendors continue to add functionality into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se low-level components. I plan to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Software Network Blog for Manageability for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news.

  • Next I attended Xploiting Google Gadgets: Gmalware and Beyond by Tom Stracener and Robert (Rsnake) Hansen. They showed that Google continues to be evil because it thinks being able to track user actions via redirection is more important than fixing security vulnerabilities. I sat with Mike Rash and Keith Jones. Speaking after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, I learned Keith was as confused as I was. We concluded that if you're not pen testing Web apps for a living, you probably weren't able to follow all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y moved to quickly from issue to POC-as-movie to next issue.

  • I finished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day with MetaPost-Exploitation by Val Smith and Colin Ames. This briefing was disappointing. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material was better suiting for a training session where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students could have tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.


That's day 1. Please see my next post for day 2.

5 comments:

valsmith said...

Sorry we dissapointed, but maybe we'll take your advice and turn it into a training class.

Glad you came anyway though,

V.

Richard Bejtlich said...

Hey Val,

You guys are obviously experts. I think a class would be great. I look forward to seeing your new additions to Metasploit too.

Unknown said...

Richard,

I just built a new pc for myself and was stunned to learn that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASUS mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard came preloaded with a tiny linux-based operating system flashed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS.

From my blogpost:

It's called ASUS Express Gate - this is actually pretty neat and scares cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shit out of me. It uses Splashtop, a thin OS that’s flashed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard and boots during POST; it shows a little menu to browse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet, open chat, etc, without having to load your “real” OS. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir website, “Splashtop has two components. One is a real-time operating system that runs out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system BIOS. The second is an optimized Linux stack that boots rapidly and can run most Linux-based applications.” Great, so now some chinese company in San Jose owns my BIOS. I’m F’d from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 get-go. You can’t buy a mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboard that isn’t loaded with crap.

b@ said...

V - caught your briefing at Defcon... thought it was great!

you don't need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiddies will have your metasploit add-ons soon.

b@

Anonymous said...

I’m disappointed that you thought my presentation was a waste of your time. I had hoped to convince cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of recognising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitable paradoxical nature of computer data items, and why everyone working with computers should be aware of Niklas Luhmann’s Fallacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Residual Category. Maybe next year we can chat over a coffee, and I can bring you around.