Friday, November 16, 2018

Results from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 Volatility Contests are in!

Let’s begin by thanking all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants in this year’s contests! This year we hosted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6th Annual Volatility Plugin Contest, and we introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Inaugural Analysis Contest. We were encouraged to see submissions from our community members around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 globe. As in previous years of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plugin Contest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were a lot of exciting submissions spanning tools created by practitioners in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field to published academic research. Participation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contests demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of memory analysis and provides a platform for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 innovative research being done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field.

Volatility continues to thrive because of its active community of contributors. These contributors sacrifice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time and resources to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s most advanced memory forensics platform free and open source. You can show your appreciation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants hard work and contributions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community by following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on Twitter/GitHub/LinkedIn, providing feedback on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ideas, and helping to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code with testing, documentation, or contributing patches.


We would also like to thank our sponsors: Magnet Forensics and Volexity. When looking for a new job or searching for forensics tool vendors, we definitely recommend considering companies that demonstrate continued support for open source forensics!


Placements and Prizes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 Volatility Plugin Contest:

1st place and $1500 USD cash or One Free Seat at Malware and Memory Forensics Training by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Team goes to:

Aliz Hammond for Gargoyle

2nd place and $750 USD cash goes to:

Aleksander Østerud for MemoryDecompression

3rd place and $250 USD cash goes to:

Lorenz Liebler et al. for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Plugin for Approxis

4th place and Volatility swag goes to:

David Quesada for CSV and Splunk Dashboard

5th place and Volatility swag goes to:

Peter Casey for Vivedump

Placements and Prizes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 Volatility Analysis Contest:
1st place and $1500 USD cash or One Free Seat at Malware and Memory Forensics Training by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility Team goes to:

Team Decepticon (South Korea) for 2018 VAC Report

2nd place and $750 USD cash goes to:

Team MalGround (South Korea) for 2018 PyeongChang Olympic Destroyer 


Here is a detailed summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 submissions. If you have feedback for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants, we're sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd love to hear your thoughts!

Plugin Contest

1st: Gargoyle by Aliz Hammond

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's words, "Gargoyle works by placing malicious code inside a non-executable area of memory. It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n creates a system timer, configuring it to execute a ROP chain on expiry. The ROP chain calls VirtualProtectEx, marking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code as executable, calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n calls VirtualProtectEx a second time – this time, marking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious code as non-executable. The timer is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reinitialised and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cycle starts anew." Gargoyle has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to evade live memory scanners (such as AVs, EDRs, etc.) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security tools only look for payloads in executable memory.

This Volatility plugin builds on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing timers plugin (to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author also submitted a patch) and inspects timer APCs (instead of just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPCs). The plugin uses Unicorn to emulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APC's instructions and detect (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n follow) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ROP chain to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VirtualProtectEx call. The plugin inspects parameters passed to VirtualProtectEx on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n pivot to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly executable payload.

Related References:
https://www.countercept.com/blog/hunting-for-gargoyle-memory-scanning-evasion
https://github.com/countercept/volatility-plugins
https://www.linkedin.com/in/aliz-hammond-704b688a/

2nd: MemoryDecompression by Aleksander Østerud

The MemoryDecompression tool submission provides a mechanism for decompressing memory regions that were compressed during memory management. Instead of paging memory directly to disk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 10 memory manager provides a mechanism to compress private and pagefile backed pages to reduce memory pressure. This improves performance, since writing to disk is more expensive, and reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of disk operations which improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir longevity. The tool leverages a brute-force approach to decompress memory pages and can be used on both memory samples and page files. By preprocessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data with Volatility's vaddump and memdump, it is also possible to extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed memory and reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processing time. The MemoryDecompression tool requires a system running eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Windows 8 or Windows 10.

Related References:
https://www.linkedin.com/in/aleksost/

3rd: Volatility Plugin for Approxis by Lorenz Liebler et al.

Lorenz Liebler, Patrick Schmitt, and Harald Baier implemented Approxis, a tool for quickly processing a large number of on-disk binaries and subsequently matching/identifying parts of those binaries, or related code, in physical memory images. The technique combines approximate matching (a.k.a. fuzzy hashing or similarity hashing) with an additional layer of approximate disassembling. The tool is able to distinguish code from data even in light of significant variation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original binary and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target memory image. Approxis has two components: (1) a C/C++ tool for creating and querying a binary database, and (2) a Volatility plugin for presenting context-specific information about matches.

Related References:
https://www.dasec.h-da.de/staff/lorenz-liebler/
https://github.com/Hardknox

4th: CSV and Splunk Dashboard by David Quesada

The Splunk dashboard presents over 30 prepared searches across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output of various Volatility plugins. After running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired plugins and ingesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSV output into Splunk, a Volatility user can load this dashboard and start looking for anomalous activity within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory sample. Over time, a dashboard like this could be built up with more queries for finding and alerting on malicious activity in memory samples. David was inspired to create this tool after attending Malware and Memory Forensics Training taught by Andrew Case.

Related References:
https://github.com/DvAu26

5th: Vivedump by Peter Casey

Vivedump is a plugin to extract and recreate visual scene information from virtual reality (VR) device memory captures. The plugin's ability to create 3D still images of VR scenes gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator a precise look at a user's actions inside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual world. This novel research opens many possibilities into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 under-explored topic of VR memory forensics. The tool is only a small piece of larger scale research that analysts at University of New Haven have been doing to help users better understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks of using VR, and to help investigators learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 associated artifacts.

Related References:

https://www.linkedin.com/in/peter-casey1/
https://twitter.com/UNewHaven/status/1060261903774167045
https://hackablepodcast.com/#/episodes/virtually-vulnerable
https://www.researchgate.net/publication/324224216_Forensic_Analysis_of_Immersive_Virtual_Reality_Social_Applications_A_Primary_Account

Analysis Contest

1st: 2018 VAC Report by Team Decepticon (South Korea)

The authors of this report put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a realistic lab scenario modeled after Korean APT investigations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have performed. We were not only impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of Volatility plugins represented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis efforts, but also that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected systems spanned multiple operating systems (Windows and Linux). Memory analysis was leveraged to shed light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toolkits and methodologies used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers, including Eternal Blue, Dark Comet, Spear Phishing, HWP exploits, DLL injections, MongoDB vulnerabilities, and more. Evidence from Outlook PSTs were reconstructed from RAM and shellcode was explored and identified in memory using Yarascan, Volshell, and various ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r capabilities provided by Volatility.

2nd: 2018 PyeongChang Olympic Destroyer by Team MalGround (South Korea)

This analysis report, written by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MalGround team from South Korea, describes a scenario based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Olympic Destroyer events surrounding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 PyeongChang Winter Olympic Games. Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Olympics officially began, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers attempted to disrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opening ceremonies by intercepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event's critical computer systems and infrastructure offline. The cyber attack was initiated with a targeted spear phish and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leveraged a "network worm" to propagate using network shares and stolen passwords. The simulated scenario involved three systems: an Active Directory server running Windows Server 2008 R2 Standard 64-bit, a victim PC running Windows 7 Ultimate K x86, and an attacker PC running Kali Linux 64-bit. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simulated scenario, a file-less malware attack, leveraging Empire (Mimikatz, BypassUAC), is combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Olympic Destroyer malware. The authors leveraged memory analysis to find supporting temporal artifacts, identify suspicious characteristics of processes, and extract memory resident strings and executables. This submission includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysts’ report and a memory sample from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows 7 machine where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Olympic Destroyer malware was executed.

Related References:
https://www.kaspersky.com/blog/olympic-destroyer/21494/
https://securelist.com/olympicdestroyer-is-here-to-trick-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-industry/84295/
https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html


Here are a few additional resources regarding previous contests and community-driven plugins:


Volatility Foundation Contest Home Page: http://www.volatilityfoundation.org/contest

Volatility 2017 Plugin Contest Results: http://www.volatilityfoundation.org/2017
Volatility 2016 Plugin Contest Results: http://www.volatilityfoundation.org/2016
Volatility 2015 Plugin Contest Results: http://www.volatilityfoundation.org/2015
Volatility 2014 Plugin Contest Results: http://www.volatilityfoundation.org/2014-cjpn
Volatility 2013 Plugin Contest Results: http://www.volatilityfoundation.org/2013-c19yz

Volatility Community GitHub Repository: https://github.com/volatilityfoundation/community

No comments:

Post a Comment