Congratulations to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants! This year's contest resulted in a ton of new and exciting functionality
available to law enforcement agents, DF/IR practitioners, malware
analysts, and researchers around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe, which can immediately be
transitioned into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workflows. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole spirit of open
source memory forensics with Volatility, and we're once again very proud
to sponsor a contest with such impressive results.
After over 10 years of development with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework and 4 years of previous plugin contests, you might think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing left to do, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community continuously proves ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. This year, in particular, we were super impressed not only with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creativity and quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that several works were influenced by or in support of submissions from previous contests.
After over 10 years of development with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Framework and 4 years of previous plugin contests, you might think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing left to do, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community continuously proves ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. This year, in particular, we were super impressed not only with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creativity and quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that several works were influenced by or in support of submissions from previous contests.
Everyone is a winner in this contest. Although a
few developers will walk away with prizes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all solved a problem
that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y (and inevitably ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) faced, gained experience writing
Python plugins, and learned some intricacies of memory analysis
internals. The capability to program around technical issues and
design/implement solutions is a gift. You can applaud by following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
authors on Twitter/GitHub/LinkedIn, providing feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ideas,
and helping to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code with testing, documentation, or
contributing patches.
Here is a break down of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 placements and prizes
1st place and $1500 USD cash or a Free Seat at Malware and Memory Forensics Training by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Project goes to:
Xabier Ugarte-Pedrero from Cisco Talos for PyREBox
2nd place and $500 USD cash goes to:
KSL Group (Kyle Ness, Shachaf Atun, and Liam Stein) for Threadmap3rd place and $250 USD cash goes to:
Peter Kálnai and Michel Poslušný from ESET for Browserhooks4th place and Volatility Swag goes to:
(tie) Michael Brown for SQLite Artifacts and Adam Bridge for Linux (X) Windows
5th place and Volatility Swag goes to:
Frank Block for Linux Glibc Heap Analysis
Here is a detailed summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions. If you have feedback for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors, we're sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd love to hear your thoughts.
1st: Xabier Ugarte-Pedrero (Cisco Talos): PyREBox
PyREBox provides an extensible reverse engineering sandbox that combines debugging capabilities with introspection. The analyst can interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole system emulator, QEMU, guest eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manually, using IPython, or by creating Python scripts. Unlike previous reverse engineering platforms, PyREBox, is explicitly designed for modern threat analysts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y commonly perform. PyREBox also leverages Volatility to help bridge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 semantic gap challenges typically associated with virtual machine introspection.
2nd: Liam, Shachaf and Kyle (KSL Group): Threadmap
The KSL Group (Kyle Ness, Shachaf Atun, Liam Stein) submitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threadmap plugin, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir extensive research comparing and contrasting weaknesses in existing tools for identifying code injection based on process hollowing. The authors found an obvious gap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevalence of attacks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild that leverage process hollowing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of tools that can perform detection reliably. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation provided alongside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility plugin, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors not only analyzed existing malware samples (i.e. a reactive approach) but also developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own variations of process hollowing that are likely to be seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future - and included coverage for those types of attacks as well.
3rd: Peter Kalnai and Michal Poslusny (ESET): Browserhooks
https://www.virusbulletin.com/conference/vb2017/abstracts/browser-attack-points-still-abused-banking-trojans
https://www.virusbulletin.com/uploads/pdf/conference_slides/2017/Kalnai-VB2017-browser-attack-points-trojans.pdf
4th (tie): Michael Brown: SQLite Artifacts
Michael Brown wrote a seriously cool set of Volatility plugins to interrogate SQL artifacts in RAM. Influenced by Dave Lassalle's previous work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2014 Volatility Plugin Contest, Michael wrote a more generalized version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL tools that can search for any table schema. In his own words, "You can enter your own schema, but Sqlitefind can also automatically find table definitions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sqlite_master table, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user doesn't need to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schema beforehand! You can even discover tables that you didn't know were in memory." Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of applications that rely on sqlite3 under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hood, this opens doors to an unexplored world of application artifacts.
https://github.com/mbrown1413/SqliteFind
4th (tie): Adam Bridge: Linux (X) Windows & Atoms
Adam's contribution to this year's contest is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of its kind - a set of plugins to analyze forensic artifacts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X Window System environment on Linux. The data structures recovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins are tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 X server itself, thus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work independently of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux distribution or window manager. Captured information includes details about each window, such as X and Y co-ordinates, width and height dimensions, parent window objects, window IDs, color schemes, and atom associations. Natively, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugins can be used to determine titles of browser windows (URLs visited), titles of LibreOffice applications (opened documents), and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future - potentially even a screen shots plugin for Linux!
https://twitter.com/bridgeycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365geek
https://github.com/bridgeycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365geek
https://github.com/bridgeycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365geek
5th: Frank Block: Linux Glibc Heap Analysis
https://opus4.kobv.de/opus4-fau/frontdoor/index/index/docId/8340
https://insinuator.net/author/fblock/
The following submissions appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were received. As previously mentioned, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se developers deserve huge props. We look forward to seeing future work by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se authors!
Mark McKinnon: Volatility Autopsy Modules
https://github.com/markmckinnon
https://www.linkedin.com/in/mark-mckinnon-9b08715
https://medium.com/@markmckinnon_80619
https://github.com/markmckinnon/Autopsy-Plugins/tree/master/Volatility
https://medium.com/@markmckinnon_80619/volatility-autopsy-plugin-module-8beecea6396
Javier Vicente Vallejo: Symbolizemod
As a malware analyst, Javier starts most of his work with Windbg or Volatility and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pivots to IDA Pro to gain a detailed understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code. In this line of work, having access to symbols for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware being disassembled or debugged is practically a requirement if you want to be efficient. The symbolizemod plugin lets you extract variables and symbols from a particular memory region and exports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a DBG file, which is a common format understood by IDA Pro and Windbg. The end goal is similar to Volatility's existing impscan plugin, except impscan only exports in text and IDC formats. In fact, symbolizemod also includes a command line switch to leverage impscan's engine for enumerating symbols. By default, however, symbolizemod uses its own engine (called "raw mode") which in some cases can produce different results.
https://vallejo.cc/https://github.com/vallejocc
https://twitter.com/vallejocc
Alessandro De Vito: Chrome Ragamuffin
Chrome Ragamuffin is part of a larger research project started by Alessandro over a year ago. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research is ongoing, Alessandro's Volatility plugin is already full of features and it's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most compelling examples of recovering application level artifacts that we've seen. Overcoming challenges such as incognito mode and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Chrome updates automatically nearly every time you launch it, Alessandro managed to dissect critical in-memory data structures related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser's DOM and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's navigation. Alessandro has presented his work at OSDFC and Bsides Zurich, showing how to analyze memory to detect CSRF, clickjacking, phishing, and malicious redirects.
Here are a few additional resources regarding previous contests and community-driven plugins:
Volatility Foundation Contest Home Page: http://www.volatilityfoundation.org/contest
Volatility 2016 Plugin Contest Results: http://www.volatilityfoundation.org/2016
Volatility 2015 Plugin Contest Results: http://www.volatilityfoundation.org/2015
Volatility 2014 Plugin Contest Results: http://www.volatilityfoundation.org/2014-cjpn
Volatility 2013 Plugin Contest Results: http://www.volatilityfoundation.org/2013-c19yz
Volatility Community GitHub Repository: https://github.com/volatilityfoundation/community
No comments:
Post a Comment