Säkerhetspodcasten
Pods Lyssna! Kontakt Panelen Supporters
Säkerhetspodcasten

Contents

Säkerhetspodcasten #54 - Malware med Marion "@pinkflawd" Marschalek

   5048 words   24 minutes 

Lyssna

mp3

Innehåll

Inspelat på Sec-T 2015. Mattias intervjuar Marion Marschalek om reverse engineering av malware. Varför klarar sig malware ofta utan att vara särskilt avancerade? Vad skiljer de malware som används av nation states och de som används av kriminella? Detta och mycket mer försöker vi besvara i detta lite kortare intervjuavsnitt.

Inspelat: 2015-09-18. Längd: 00:22:06.

AI transkribering

AI försöker förstå oss… Ha överseende med galna feltranskriberingar.

1 00:00:00,000 --> 00:00:10,800 Okej, vi är fortfarande på SecT och vi har en av språkarna med oss, PinkFloid på Twitter.

2 00:00:11,300 --> 00:00:13,420 Vad är det då? Vad är PinkFloid?

3 00:00:14,400 --> 00:00:18,180 Ja, folk säger att det är min hackarnamn. Jag är inte helt säker på om det är rätt.

4 00:00:18,460 --> 00:00:21,700 Ja, några år sedan sa jag att jag skulle gå på Twitter och jag behövde en handel.

5 00:00:21,960 --> 00:00:28,380 Jag hade inte riktigt en hackarnamn, men jag lyssnade på musik och det var PinkFloid som sjöng saker.

6 00:00:28,380 --> 00:00:33,420 Jag är inte särskilt fan av dem, men jag gillar deras musik mycket.

7 00:00:34,220 --> 00:00:38,700 Och jag trodde att det här med Floyd kunde fungera bra.

8 00:00:39,400 --> 00:00:41,300 Ah, PinkFloid då?

9 00:00:41,520 --> 00:00:41,980 Ja.

10 00:00:42,220 --> 00:00:46,520 Okej, men ditt eget namn är Marion. Vem är du? Varför är du här? Vad gör du?

11 00:00:47,720 --> 00:00:53,980 Jag är här på SecT och jag gav en tal om mätarörelsekomplexitet.

12 00:00:56,080 --> 00:00:58,360 Jag är en reversingenjör och arbetar på mätarörelsen.

13 00:00:58,720 --> 00:01:02,920 Jag arbetar för en kalifornisk start-up som heter Saiford.

14 00:01:03,920 --> 00:01:14,920 Företagen arbetar på mätarörelsedetektion, så de säljer en lösning som detterar mätarörelser under vägarna och mitt jobb är att analysera deras mätarörelser.

15 00:01:15,920 --> 00:01:27,920 Jag arbetar också på mätarörelsetekniker, så vi tittar på den aktuella mätarörelsen som finns i världen och försöker utveckla nya mätarörelser för att göra mer säkra beslut om om något är mätarörelser.

16 00:01:28,380 --> 00:01:40,820 Detta är min dag-till-dag-liv och här i Stockholm gav jag en tal om mätarörelsen och hur komplexiteten av specifika mätarörelser ofta är missförstådda.

17 00:01:42,160 --> 00:01:52,220 Mätarörelsen är ofta evaluerad av de mål som den hittar eller av de mätarörelser som använder den, men inte av komplexiteten av mätarörelsen själv.

18 00:01:53,600 --> 00:01:55,060 Det är alltid en lösning.

19 00:01:55,760 --> 00:01:58,000 Ja, det är det.

20 00:01:58,380 --> 00:02:04,360 Det som fascinerar mig mest är hur varje ny mätarörelse som hittas är mer framgångsrik än den som fanns innan och vi har aldrig hittat sidan.

21 00:02:05,420 --> 00:02:16,560 Så jag tog upp det här poängen och jobbade i några case-studier och jobbade upp deras komplexitet och försökte presentera ett framgång med vilket vi kan mäta komplexiteten av mätarörelser.

22 00:02:17,400 --> 00:02:27,420 Det här var inte en helt seriös tal, jag menar jag var seriös med vad jag presenterade men det var inte forskning i det sättet, det var mer som att ställa det tydliga.

23 00:02:28,380 --> 00:02:43,060 Det är som om en reverse-ingenjör ser ett mätarörelse och har problem med specifika attributer av det mätarörelset, medan den offentliga medierna inte ens går så långt och bara uppfattar att mätarörelsen är komplex, så det kanske inte är så.

24 00:02:43,060 --> 00:02:54,700 Ja, det var så jag uttryckte ditt tal också, det var mer eller mindre fokuserat på att debunkera alla de stora headlinesen med de senaste, extremt sofistiserade mätarörelserna.

25 00:02:54,700 --> 00:02:57,300 Men du nämnde att du arbetade för en start-up i Kalifornien.

26 00:02:57,300 --> 00:02:57,800 Ja.

27 00:02:58,380 --> 00:02:59,580 I Australien?

28 00:03:00,020 --> 00:03:01,780 Ja, det är sant, jag arbetar i en remote-office.

29 00:03:01,980 --> 00:03:04,780 Ah, okej. Hur har det fungerat för dig?

30 00:03:05,500 --> 00:03:16,940 Det är bra, jag hade inte förväntat mig det, så du kanske vet att det är svårt att få en jobbvisa för USA, så min företag och jag beslutade att jag skulle stanna hemma i Australien.

31 00:03:17,940 --> 00:03:26,260 Det är faktiskt ganska coolt, vi har en forskningsteam runt om i världen, så vi har folk i Indien, vi har folk i Filippinerna, Australien och Kalifornien.

32 00:03:26,260 --> 00:03:39,460 Så det är därför vi har en 20-hållande uppgift av vår forskning, så varje gång vi uppfattar hur sofistiserad mätarörelsen är, så kan vi hämta upp den direkt.

33 00:03:39,460 --> 00:03:44,300 Så hur hände det med mätarörelsen och forskningsingenjöring?

34 00:03:44,300 --> 00:03:55,900 Jag är fascinerad med det. Jag läste alla headlinesen innan jag gick in i företaget, och det låter som ett väldigt intressant område att arbeta i.

35 00:03:56,260 --> 00:04:02,380 Men man skulle nog tro att du kände på det innan du började, eller?

36 00:04:02,380 --> 00:04:17,260 Nej, faktiskt inte. Jag ville lära mig det, så jag var studerande på universitetet och de använde ett projekt för att arbeta med att förbättra mätarörelsen genom mätarörelsen.

37 00:04:17,260 --> 00:04:24,940 Och jag tänkte att det lät intressant. Men sen kom jag in i mätarörelsen, och jag tyckte att det inte var så intressant, eftersom det är fullt av matematik.

38 00:04:24,940 --> 00:04:26,140 Men det var väldigt fascinerande.

39 00:04:26,140 --> 00:04:26,220 Men jag tänkte att det var för att göra det. Men sen kom jag in i mätarörelsen, och jag tyckte att det inte var så intressant, eftersom det är fullt av matematik.

40 00:04:26,220 --> 00:04:27,220 Men det var för att göra det.

41 00:04:27,220 --> 00:04:27,460 Men jag tyckte att det var för att göra det.

42 00:04:27,460 --> 00:04:27,500 Men jag tyckte att det var för att göra det.

43 00:04:27,500 --> 00:04:27,620 Men jag tyckte att det var för att göra det.

44 00:04:27,620 --> 00:04:30,300 Men jag tyckte att det var för att göra det.

45 00:04:30,340 --> 00:04:39,340 Men jag tyckte att det var för att göra det.

46 00:04:39,340 --> 00:04:40,900 Men jag tyckte att det var för att göra det.

47 00:04:46,260 --> 00:04:53,240 Så du har jobbat med mätarörelser genom många år, eller har du bara börjat senare?

48 00:04:55,240 --> 00:04:55,740 Med mätarörelsen?

49 00:04:55,740 --> 00:05:01,740 Jag började början i tre år sedan, så det är ganska tidigt.

50 00:05:01,740 --> 00:05:05,740 Tre år är en ganska lång tid åtminstone.

51 00:05:05,740 --> 00:05:13,740 När vi tittar på de fel som du hittar som du måste analysera.

52 00:05:13,740 --> 00:05:17,740 Från den här talen du gav mig förra veckan.

53 00:05:17,740 --> 00:05:21,740 Min första känsla är att de inte är så framgångsrika.

54 00:05:21,740 --> 00:05:26,740 Många av dem, särskilt några av de mest framgångsrika.

55 00:05:26,740 --> 00:05:31,740 De har inte så många evasiva tekniker som existerar där ute.

56 00:05:31,740 --> 00:05:35,740 Ja, det är precis så.

57 00:05:35,740 --> 00:05:40,740 Några av de mest framgångsrika Malwares inte var så smarta.

58 00:05:40,740 --> 00:05:46,740 Det du pratade om med Blackpuss, hade det ingen sofistikation på din sida?

59 00:05:46,740 --> 00:05:49,740 Inte alls. Blackpuss var en kul sak.

60 00:05:49,740 --> 00:05:51,740 Malware är vanligtvis…

61 00:05:51,740 --> 00:05:58,740 Det resten av oss, kanske som jag, gör alltid de nödvändiga sakerna för att bli framgångsrika.

62 00:05:58,740 --> 00:06:00,740 Ja.

63 00:06:00,740 --> 00:06:06,740 Det som det berättar för mig är att problemet är att de säkerhetslösningar vi har

64 00:06:06,740 --> 00:06:09,740 inte är förberedda för Malware som vi ser.

65 00:06:09,740 --> 00:06:12,740 De är inte förberedda för Malware som vi har sett de senaste åren.

66 00:06:12,740 --> 00:06:15,740 Det är det fundamentala problemet.

67 00:06:15,740 --> 00:06:19,740 Jag har diskuterat detta med andra forskare.

68 00:06:19,740 --> 00:06:21,740 Det är det sättet där de flesta Malware inte är smartare.

69 00:06:21,740 --> 00:06:23,740 Det är för att det inte måste vara så.

70 00:06:23,740 --> 00:06:25,740 För det fungerar fortfarande.

71 00:06:25,740 --> 00:06:29,740 Mitt första exempel på detta är Asus Banking Church som jag har arbetat med i ett tag.

72 00:06:29,740 --> 00:06:33,740 Det har inte förändrats i de senaste 8-9 åren.

73 00:06:33,740 --> 00:06:35,740 Men det fungerar fortfarande.

74 00:06:35,740 --> 00:06:37,740 Det fungerar fortfarande bra.

75 00:06:37,740 --> 00:06:42,740 Det betyder för mig att säkerhetslösningar inte har gått nån steg framåt.

76 00:06:42,740 --> 00:06:44,740 Hur är det möjligt?

77 00:06:44,740 --> 00:06:46,740 Hur kan vi inte…

78 00:06:46,740 --> 00:06:49,740 Som du säger, det har varit runt i en decennium.

79 00:06:49,740 --> 00:06:54,740 Men det kom också inte upp på ditt staxometer.

80 00:06:54,740 --> 00:06:56,740 Det var ganska sofistiserat.

81 00:06:56,740 --> 00:06:59,740 Det hade några tekniker, men inte så många.

82 00:06:59,740 --> 00:07:03,740 Och det förhindrar ändå våra avslutningsmekanismer.

83 00:07:03,740 --> 00:07:07,740 För en sak är det här en tuff del av Malware.

84 00:07:07,740 --> 00:07:09,740 Det är väldigt smart implementerat.

85 00:07:09,740 --> 00:07:14,740 Den här personen kände vad han gjorde när han skrev koden 7 år sedan.

86 00:07:14,740 --> 00:07:18,740 Men det är också byggt i en mån som passar till

87 00:07:18,740 --> 00:07:23,740 systematiska strukturer utan att få tillgång till säkerhetsprodukter.

88 00:07:23,740 --> 00:07:27,740 Och den evasiva tekniken som den har är inte grundläggande.

89 00:07:27,740 --> 00:07:29,740 Det är inte rocket science vad den gör.

90 00:07:29,740 --> 00:07:32,740 Men den vet hur man ska göra sin väg runt en vanlig säkerhetslösning.

91 00:07:32,740 --> 00:07:34,740 Den är tillräcklig.

92 00:07:34,740 --> 00:07:35,740 Den är tillräcklig.

93 00:07:35,740 --> 00:07:40,740 Det den gör är att den är tillräcklig i att evadera endpoint-säkerhetslösningar.

94 00:07:40,740 --> 00:07:45,740 Som den personliga firewallen eller den personliga antivirusen på desktopen.

95 00:07:45,740 --> 00:07:47,740 Men det är tillräckligt för den.

96 00:07:47,740 --> 00:07:52,740 Det är tillräckligt för den för att den inte vill införa företagsnätverk.

97 00:07:52,740 --> 00:07:55,740 Men en enskild maskin, en enskild komputer.

98 00:07:55,740 --> 00:07:56,740 En enskild användare.

99 00:07:56,740 --> 00:07:57,740 En enskild användare.

100 00:07:57,740 --> 00:08:00,740 Och vi använder inte sofistiska IDS-säkerhetslösningar hemma.

101 00:08:00,740 --> 00:08:01,740 Exakt, exakt.

102 00:08:01,740 --> 00:08:07,740 Den vill grannmas försäljning i bankkassan och inte den stora företagsnätverket.

103 00:08:07,740 --> 00:08:09,740 Så är det den vägen framåt?

104 00:08:09,740 --> 00:08:16,740 Ska vi alla implementera företagsgraderade nätverksbaserade intrusionsdetektionssystem i våra hem?

105 00:08:17,740 --> 00:08:20,740 Hmm, det är en rolig fråga.

106 00:08:20,740 --> 00:08:21,740 Nej, naturligtvis inte.

107 00:08:21,740 --> 00:08:23,740 För jag tror att det är omöjligt.

108 00:08:23,740 --> 00:08:31,740 Jag arbetar med sådana här produkter och jag vet att det är omöjligt att utnyttja det för varje person.

109 00:08:31,740 --> 00:08:32,740 Ja.

110 00:08:32,740 --> 00:08:40,740 För att ta det en stund vidare tror jag att det verkliga säkerhetsproblemet vi har är att de system vi använder inte är designade för att vara säkra.

111 00:08:40,740 --> 00:08:41,740 Ja, ja.

112 00:08:41,740 --> 00:08:43,740 Så om jag tittar på SYS, till exempel.

113 00:08:43,740 --> 00:08:46,740 Det använder Windows-operativt system som möjligt.

114 00:08:46,740 --> 00:08:48,740 Det använder KIN på användarlandet.

115 00:08:48,740 --> 00:08:51,740 Och det faktum att KIN kan göra det här för mig är det stora problemet.

116 00:08:51,740 --> 00:08:52,740 Ja.

117 00:08:52,740 --> 00:08:55,740 Inte att säkerhetssäkerheten inte hittar det innan.

118 00:08:55,740 --> 00:09:02,740 Så jag tror att designen av våra system är det verkliga problemet som vi borde arbeta på.

119 00:09:02,740 --> 00:09:07,740 Så grannmar och grannpar borde ha en Iphone och en Ipad, är det så?

120 00:09:07,740 --> 00:09:08,740 Ja!

121 00:09:08,740 --> 00:09:12,740 Nej, grannmar och grannpar borde kunna använda alla de tekniker vi har.

122 00:09:12,740 --> 00:09:13,740 De borde kunna.

123 00:09:13,740 --> 00:09:14,740 Ja.

124 00:09:14,740 --> 00:09:18,740 Och de tekniker som de använder borde vara förberedda för en användare som inte vet vad de använder.

125 00:09:18,740 --> 00:09:19,740 Ja.

126 00:09:19,740 --> 00:09:25,740 I alla fall borde det vara mycket svårare att få ett fötthål i grannmars och grannpars utrustning.

127 00:09:25,740 --> 00:09:31,740 Det är bara en enklick-error som är för liten och marginal.

128 00:09:31,740 --> 00:09:40,740 Ja, jag tror att UAC var en utmaning för att göra det lite mer som det i Windows.

129 00:09:40,740 --> 00:09:43,740 Du får en till pop-up för att komma ihåg.

130 00:09:43,740 --> 00:09:44,740 Ja.

131 00:09:44,740 --> 00:09:49,740 Det finns många utmaningar, men gränsen är att Windows-operativt system kan verkligen

132 00:09:49,740 --> 00:09:52,740 bli restrukturerat av logistiska skäl.

133 00:09:52,740 --> 00:10:00,740 Windows har alltid sammanfattat att den gamla softwaren fortfarande kan användas i moderna system.

134 00:10:00,740 --> 00:10:05,740 Med sin download-kompatibilitet kan de verkligen redesignera systemet.

135 00:10:05,740 --> 00:10:12,740 Min favorit exempel på hur man kan göra saker bättre är tvåfaktor-authentikation.

136 00:10:12,740 --> 00:10:19,740 Problemet med passvården är att människor aldrig kan välja säkra passvård.

137 00:10:19,740 --> 00:10:25,740 De kan aldrig säkert använda webbrowsern eller veta var de ska surfa.

138 00:10:25,740 --> 00:10:31,740 Vi borde inte göra dem ansvariga för hur man väljer passvård.

139 00:10:31,740 --> 00:10:34,740 Vi måste hitta bättre sätt att säkra tillgångar än passvård.

140 00:10:34,740 --> 00:10:38,740 Men det skulle inte hjälpa oss när det gäller malware, eller hur?

141 00:10:38,740 --> 00:10:40,740 För då är det autentikation.

142 00:10:40,740 --> 00:10:41,740 De är inloggade.

143 00:10:41,740 --> 00:10:44,740 De klickar på länkar och börjar program.

144 00:10:44,740 --> 00:10:46,740 För vissa skäl, förstås.

145 00:10:46,740 --> 00:10:50,740 Men om man tittar på de stora bristerna som har skett de senaste två åren…

146 00:10:50,740 --> 00:10:55,740 ...så var det alltid möjligt att lättare rörelser och nätverkskompromisseringar fanns på grund av svåra…

147 00:10:55,740 --> 00:11:01,740 Ja, om man har en entropistisk perspektiv, så är det verkligen så.

148 00:11:03,740 --> 00:11:09,740 Eftersom du arbetar med att skapa nya metoder för uttryck av de här malvarierna…

149 00:11:09,740 --> 00:11:14,740 ...så kan man säga att några av de här malvarierna faktiskt har lyssnat på ditt tal…

150 00:11:14,740 --> 00:11:16,740 ...och tänkt att du gör det förstås.

151 00:11:16,740 --> 00:11:19,740 Vi måste implementera fler coola, effektiva tekniker.

152 00:11:19,740 --> 00:11:22,740 Vi implementerar alla dina tips.

153 00:11:22,740 --> 00:11:24,740 Jag tror att du hade tio av dem, eller hur?

154 00:11:24,740 --> 00:11:25,740 Ja.

155 00:11:25,740 --> 00:11:27,740 Okej, de implementerar alla.

156 00:11:27,740 --> 00:11:32,740 De skapar en väldigt imponerande malware.

157 00:11:32,740 --> 00:11:34,740 Hur utvecklas vi?

158 00:11:34,740 --> 00:11:37,740 Har du några coola tekniker som kommer upp…

159 00:11:37,740 --> 00:11:38,740 ...som faktiskt uttrycker…

160 00:11:38,740 --> 00:11:41,740 ...en malware som använde alla de funktionsnedsättningar…

161 00:11:41,740 --> 00:11:45,740 ...som du trodde att de kanske borde göra?

162 00:11:45,740 --> 00:11:47,740 Ja, så det är det.

163 00:11:47,740 --> 00:11:52,740 Om malware var så smarta som jag tror att det kan vara…

164 00:11:52,740 --> 00:11:55,740 ...så hade vi en väldigt svår tid att uttrycka det.

165 00:11:55,740 --> 00:11:57,740 Det är säkert så.

166 00:11:57,740 --> 00:11:59,740 Men det är också så, som jag presenterade förra gången…

167 00:11:59,740 --> 00:12:01,740 ...jag är ganska säker på att…

168 00:12:01,740 --> 00:12:04,740 ...malvarieautorerna kanske inte känner så mycket till det jag sa…

169 00:12:04,740 --> 00:12:07,740 ...eftersom, som jag nämnde, att deras malware fungerar.

170 00:12:07,740 --> 00:12:09,740 Det har fungerat i de senaste åren.

171 00:12:09,740 --> 00:12:11,740 Det ska fungera i framtiden.

172 00:12:11,740 --> 00:12:13,740 Och varför utnyttja mer?

173 00:12:13,740 --> 00:12:17,740 Det andra är att skapa riktigt smarta och evasiva malware…

174 00:12:17,740 --> 00:12:19,740 ...som är targeterade och förberedda.

175 00:12:19,740 --> 00:12:22,740 Du behöver mycket tid och säkert mycket budget.

176 00:12:22,740 --> 00:12:26,740 Det är därför jag tror att de stora och smarta malwarena…

177 00:12:26,740 --> 00:12:29,740 ...som Reagan eller andra nationstaterna…

178 00:12:29,740 --> 00:12:31,740 ...som är riktigt goda…

179 00:12:31,740 --> 00:12:35,740 ...är så goda för att mycket pengar gick in i deras utveckling…

180 00:12:35,740 --> 00:12:36,740 ...och skiljande utvecklare…

181 00:12:36,740 --> 00:12:40,740 ...så att de bara kriptar på…

182 00:12:40,740 --> 00:12:43,740 ...det riktiga nätverket.

183 00:12:43,740 --> 00:12:45,740 Ja, något sånt.

184 00:12:45,740 --> 00:12:47,740 De här slags attacker…

185 00:12:47,740 --> 00:12:49,740 ...de behöver förberedande.

186 00:12:49,740 --> 00:12:51,740 Som jag sa förra gången om Cheshire Cat-samlingar…

187 00:12:51,740 --> 00:12:54,740 ...så vet utvecklare när de implementerar deras malware…

188 00:12:54,740 --> 00:12:56,740 ...hur deras nätverk ser ut.

189 00:12:56,740 --> 00:12:58,740 Så det behöver en lång förberedningsfas…

190 00:12:58,740 --> 00:13:00,740 ...och säkert olika ställen av malware…

191 00:13:00,740 --> 00:13:03,740 ...för att hitta ut och en lång tid för att förbereda.

192 00:13:03,740 --> 00:13:05,740 Och det är något som standardkriminalen inte har…

193 00:13:05,740 --> 00:13:07,740 ...och inte vill ha.

194 00:13:07,740 --> 00:13:09,740 Nej, nej, nej, han vill inte…

195 00:13:09,740 --> 00:13:11,740 ...han vill inte ha det targett malware…

196 00:13:11,740 --> 00:13:13,740 ...han vill inte att det är långsiktigt…

197 00:13:13,740 --> 00:13:14,740 ...i stället.

198 00:13:14,740 --> 00:13:16,740 Du kallade…

199 00:13:16,740 --> 00:13:18,740 ...ditt mätskalningsskalning…

200 00:13:18,740 --> 00:13:20,740 ...stuxnet-dometern.

201 00:13:20,740 --> 00:13:23,740 Har du tittat på stuxnet på nåt sätt?

202 00:13:23,740 --> 00:13:25,740 Nej, faktiskt inte alls.

203 00:13:25,740 --> 00:13:27,740 Så det är mer eller mindre…

204 00:13:27,740 --> 00:13:29,740 ...det är inte egentligen en skala som mäts…

205 00:13:29,740 --> 00:13:31,740 ...towards stuxnet-komplexitet…

206 00:13:31,740 --> 00:13:33,740 ...det är bara en namn för skalen.

207 00:13:33,740 --> 00:13:35,740 Det är en bra presenteringsnamn.

208 00:13:35,740 --> 00:13:37,740 Ja, jag gillade det mycket.

209 00:13:37,740 --> 00:13:39,740 Stuxnet, även i mitt huvud, är fortfarande…

210 00:13:39,740 --> 00:13:41,740 ...stuck som den mest komplexa…

211 00:13:41,740 --> 00:13:43,740 ...malwaren jag någonsin har hittat.

212 00:13:43,740 --> 00:13:45,740 Ja, det är ganska coolt.

213 00:13:45,740 --> 00:13:47,740 Och jag tror att andra människor har samma tankar…

214 00:13:47,740 --> 00:13:49,740 ...när de tänker på stuxnet.

215 00:13:49,740 --> 00:13:51,740 Det var något farligt för några år sen.

216 00:13:55,740 --> 00:13:57,740 Jag hade några fler frågor…

217 00:13:57,740 --> 00:13:59,740 ...men jag glömde dem…

218 00:13:59,740 --> 00:14:01,740 ...när vi började prata om stuxnet.

219 00:14:01,740 --> 00:14:03,740 Stuxnet…

220 00:14:03,740 --> 00:14:05,740 ...jag förlorade min trak där.

221 00:14:05,740 --> 00:14:07,740 Komplexitet…

222 00:14:07,740 --> 00:14:09,740 ...malwaren…

223 00:14:09,740 --> 00:14:11,740 ...grampa…

224 00:14:11,740 --> 00:14:13,740 Nej, jag tror att det var allt.

225 00:14:13,740 --> 00:14:15,740 Tack för…

226 00:14:15,740 --> 00:14:17,740 ...att du gjorde en intervju med oss.

227 00:14:17,740 --> 00:14:19,740 Det var roligt och jag tyckte verkligen…

228 00:14:19,740 --> 00:14:21,740 ...att du pratade om det igår.

229 00:14:21,740 --> 00:14:23,740 Det började med mig…

230 00:14:23,740 --> 00:14:25,740 ...att tänka på andra…

231 00:14:25,740 --> 00:14:27,740 ...termer när det gäller…

232 00:14:27,740 --> 00:14:29,740 ...malwaren.

233 00:14:29,740 --> 00:14:31,740 Jag har gjort några…

234 00:14:31,740 --> 00:14:33,740 ...skrämningar…

235 00:14:33,740 --> 00:14:35,740 ...och jag kände mig ganska stolt när jag såg dina…

236 00:14:35,740 --> 00:14:37,740 ...IDA Pro-skrämningar.

237 00:14:37,740 --> 00:14:39,740 Jag vet det, det är IDA Pro.

238 00:14:39,740 --> 00:14:41,740 Okej, Richard.

239 00:14:41,740 --> 00:14:43,740 Jag gillar verkligen…

240 00:14:43,740 --> 00:14:45,740 ...att…

241 00:14:45,740 --> 00:14:47,740 ...några väldigt, väldigt enkla saker…

242 00:14:47,740 --> 00:14:49,740 ...är extremt effektiva…

243 00:14:49,740 --> 00:14:51,740 ...för de gör…

244 00:14:51,740 --> 00:14:53,740 ...exakt vad de gör.

245 00:14:53,740 --> 00:14:55,740 Och så länge ingen…

246 00:14:55,740 --> 00:14:57,740 ...har ett kontinens för det…

247 00:14:57,740 --> 00:14:59,740 ...så är det bra.

248 00:14:59,740 --> 00:15:01,740 Och det…

249 00:15:01,740 --> 00:15:03,740 ...är tillräckligt för att göra…

250 00:15:03,740 --> 00:15:05,740 ...det enda.

251 00:15:05,740 --> 00:15:07,740 Och det blir inte användbart…

252 00:15:07,740 --> 00:15:09,740 ...fem år senare.

253 00:15:09,740 --> 00:15:11,740 Men…

254 00:15:11,740 --> 00:15:13,740 ...för den dagen det var…

255 00:15:13,740 --> 00:15:15,740 ...pushat…

256 00:15:15,740 --> 00:15:17,740 ...det var perfekt för det enda…

257 00:15:17,740 --> 00:15:19,740 ...det det gjorde.

258 00:15:19,740 --> 00:15:21,740 Och nu minns jag faktiskt vad jag ville prata om.

259 00:15:21,740 --> 00:15:23,740 Cheshire Cat.

260 00:15:23,740 --> 00:15:25,740 Det var en av de…

261 00:15:25,740 --> 00:15:27,740 ...malwaren du tittade på…

262 00:15:27,740 --> 00:15:29,740 ...attributerade till en stat, eller hur?

263 00:15:29,740 --> 00:15:31,740 Egentligen.

264 00:15:31,740 --> 00:15:33,740 Så vi är ganska säkra på att det är en nation…

265 00:15:33,740 --> 00:15:35,740 ...som står bakom den här attacken.

266 00:15:35,740 --> 00:15:37,740 Vi kan inte riktigt…

267 00:15:37,740 --> 00:15:39,740 ...på våra fingrar ännu.

268 00:15:39,740 --> 00:15:41,740 Men det var några…

269 00:15:41,740 --> 00:15:43,740 ...pattern…

270 00:15:43,740 --> 00:15:45,740 ...om Tilde och så vidare.

271 00:15:45,740 --> 00:15:47,740 Ja, det var indikatorer.

272 00:15:47,740 --> 00:15:49,740 Vi kan inte riktigt säga utlöst…

273 00:15:49,740 --> 00:15:51,740 ...vilken förutsättning vi har…

274 00:15:51,740 --> 00:15:53,740 ...men det finns indikatorer…

275 00:15:53,740 --> 00:15:55,740 ...och som nämnt finns det andra familjer…

276 00:15:55,740 --> 00:15:57,740 ...som ser riktigt på det.

277 00:15:57,740 --> 00:15:59,740 Ja.

278 00:15:59,740 --> 00:16:01,740 Vi tittar fortfarande på…

279 00:16:01,740 --> 00:16:03,740 ...samlarna och ser om vi kan hitta paralleller…

280 00:16:03,740 --> 00:16:05,740 ...på det binära nivån.

281 00:16:05,740 --> 00:16:07,740 Ja, det var min nästa fråga.

282 00:16:07,740 --> 00:16:09,740 Är det vanligt att du kan…

283 00:16:09,740 --> 00:16:11,740 ...att du kan se…

284 00:16:11,740 --> 00:16:13,740 ...artefakter…

285 00:16:13,740 --> 00:16:15,740 ...som kommer tillbaka, så att du kan se…

286 00:16:15,740 --> 00:16:17,740 ...relationer mellan olika malwarefamiljer?

287 00:16:17,740 --> 00:16:19,740 Ja, säkert. Som reversionär…

288 00:16:19,740 --> 00:16:21,740 ...uppleverar du ofta…

289 00:16:21,740 --> 00:16:23,740 ...en väldigt nära relation till det binära…

290 00:16:23,740 --> 00:16:25,740 ...som du tittar på och du ser…

291 00:16:25,740 --> 00:16:27,740 ...patterner där du säger…

292 00:16:27,740 --> 00:16:29,740 ...att du skriver in det här och det där…

293 00:16:29,740 --> 00:16:31,740 ...och så kan jag se om jag hittar det här och det där…

294 00:16:31,740 --> 00:16:33,740 ...i andra malware.

295 00:16:33,740 --> 00:16:35,740 Det fungerar vanligtvis bra, men för att gå tillbaka till din fråga…

296 00:16:35,740 --> 00:16:37,740 ...så tittade jag lite på Stuxnet…

297 00:16:37,740 --> 00:16:39,740 ...för att se om…

298 00:16:39,740 --> 00:16:41,740 ...malwaren vi hittade där, som stoppar…

299 00:16:41,740 --> 00:16:43,740 ...de två fall…

300 00:16:43,740 --> 00:16:45,740 ...har verkligen någon relation till Stuxnet.

301 00:16:45,740 --> 00:16:47,740 Och jag hittade inte en länk mellan de två malwaren.

302 00:16:47,740 --> 00:16:49,740 Okej.

303 00:16:49,740 --> 00:16:51,740 Men det har ingenting att göra med det.

304 00:16:51,740 --> 00:16:53,740 Men det är inte ett indiker…

305 00:16:53,740 --> 00:16:55,740 ...att de här malwaren är relaterade.

306 00:16:55,740 --> 00:16:57,740 För när det gäller…

307 00:16:57,740 --> 00:16:59,740 ...ett sådant pattern som filnamn…

308 00:16:59,740 --> 00:17:01,740 ...är det ganska lätt att förändra.

309 00:17:01,740 --> 00:17:03,740 Så du kan kanske förändra dem…

310 00:17:03,740 --> 00:17:05,740 ...för att falskt attribuera…

311 00:17:05,740 --> 00:17:07,740 ...malwaren till någon annan.

312 00:17:07,740 --> 00:17:09,740 Men när det gäller binära indikatorer…

313 00:17:09,740 --> 00:17:11,740 ...och hur du utvecklar…

314 00:17:11,740 --> 00:17:13,740 ...hur du skapar din malware som utvecklare…

315 00:17:13,740 --> 00:17:15,740 ...jag skulle säga att det är svårare…

316 00:17:15,740 --> 00:17:17,740 ...att emulera eller kopiera…

317 00:17:17,740 --> 00:17:19,740 ...en annan stil.

318 00:17:19,740 --> 00:17:21,740 Du måste ta in mycket mer stöd i det arbetet.

319 00:17:21,740 --> 00:17:23,740 Du måste, som du sa, faktiskt…

320 00:17:23,740 --> 00:17:25,740 ...reversera deras kod…

321 00:17:25,740 --> 00:17:27,740 ...och sedan ditt eget…

322 00:17:27,740 --> 00:17:29,740 ...och hitta liknande pattern…

323 00:17:29,740 --> 00:17:31,740 ...och skapa det.

324 00:17:31,740 --> 00:17:33,740 Kaspersky…

325 00:17:33,740 --> 00:17:35,740 ...klarade att de hittade…

326 00:17:35,740 --> 00:17:37,740 ...det var mellan…

327 00:17:37,740 --> 00:17:39,740 ...Flame och…

328 00:17:39,740 --> 00:17:41,740 ...Docker, tror jag.

329 00:17:41,740 --> 00:17:43,740 Ja, mellan någon av dem…

330 00:17:43,740 --> 00:17:45,740 ...klarade att de hittade unika signaturer…

331 00:17:45,740 --> 00:17:47,740 ...liknande funktioner…

332 00:17:47,740 --> 00:17:49,740 ...och något som inte är öppet…

333 00:17:49,740 --> 00:17:51,740 ...vilket är en rätt…

334 00:17:51,740 --> 00:17:53,740 ...god indiker.

335 00:17:53,740 --> 00:17:55,740 Men det jag också lärt mig är att…

336 00:17:55,740 --> 00:17:57,740 ...när säkerhetsbolagen…

337 00:17:57,740 --> 00:17:59,740 ...klarar att de har hittat…

338 00:17:59,740 --> 00:18:01,740 ...en länk, oavsett hur svår den är…

339 00:18:01,740 --> 00:18:03,740 ...mellan två familjer, så har de vanligtvis…

340 00:18:03,740 --> 00:18:05,740 ...mer information i bakgrunden…

341 00:18:05,740 --> 00:18:07,740 ...som de inte kan publicera.

342 00:18:07,740 --> 00:18:09,740 Som att de har hittat…

343 00:18:09,740 --> 00:18:11,740 ...mer evidens…

344 00:18:11,740 --> 00:18:13,740 ...eller fått information…

345 00:18:13,740 --> 00:18:15,740 ...från regeringen och så vidare?

346 00:18:15,740 --> 00:18:17,740 Jag skulle inte ta det så långt…

347 00:18:17,740 --> 00:18:19,740 ...men till exempel om du…

348 00:18:19,740 --> 00:18:21,740 ...om du är en reverse-ingenjör för binarier…

349 00:18:21,740 --> 00:18:23,740 ...och du ser länkar där…

350 00:18:23,740 --> 00:18:25,740 ...och du lägger dem i ord som…

351 00:18:25,740 --> 00:18:27,740 ...jag ser att de har samma…

352 00:18:27,740 --> 00:18:29,740 ...möjlighet med att uttrycka människa…

353 00:18:29,740 --> 00:18:31,740 ...kan du inte lägga det i en blogpost?

354 00:18:31,740 --> 00:18:33,740 Nej, nej, nej, jag ser vad du menar.

355 00:18:33,740 --> 00:18:35,740 Det är inte så vetenskapligt…

356 00:18:35,740 --> 00:18:37,740 ...men du får ändå en känsla för det.

357 00:18:37,740 --> 00:18:39,740 Men sen har du en länk som är samma…

358 00:18:39,740 --> 00:18:41,740 ...som du kan visa och folk kan säga…

359 00:18:41,740 --> 00:18:43,740 ...jag ser det…

360 00:18:43,740 --> 00:18:45,740 ...och det är därför blogpost är ofta…

361 00:18:45,740 --> 00:18:47,740 ...vi vet att det är så…

362 00:18:47,740 --> 00:18:49,740 ...för att…

363 00:18:49,740 --> 00:18:51,740 Jag vet att vi inte gör…

364 00:18:51,740 --> 00:18:53,740 ...reverse-ingenjörer på skala…

365 00:18:53,740 --> 00:18:55,740 ...men vi har gjort…

366 00:18:55,740 --> 00:18:57,740 ...några reverse-ingenjörer och…

367 00:18:57,740 --> 00:18:59,740 ...några av dem känner att…

368 00:18:59,740 --> 00:19:01,740 ...det här är…

369 00:19:01,740 --> 00:19:03,740 ...det här är normalt kod…

370 00:19:03,740 --> 00:19:05,740 ...det här känns som att…

371 00:19:05,740 --> 00:19:07,740 ...en normal developer har gjort det…

372 00:19:07,740 --> 00:19:09,740 ...och vissa koder känner att…

373 00:19:09,740 --> 00:19:11,740 ...det här är för dumt…

374 00:19:11,740 --> 00:19:13,740 ...är det så dumt för att de ville att det var…

375 00:19:13,740 --> 00:19:15,740 ...impossibelt att reverse-ingenjera…

376 00:19:15,740 --> 00:19:17,740 ...eller är någon faktiskt så dum…

377 00:19:17,740 --> 00:19:19,740 ...som att…

378 00:19:19,740 --> 00:19:21,740 ...konvertera från ett format…

379 00:19:21,740 --> 00:19:23,740 ...till ett annat och…

380 00:19:23,740 --> 00:19:25,740 ...i stället för att multipliera…

381 00:19:25,740 --> 00:19:27,740 ...med 10 eller vad som helst resultat…

382 00:19:27,740 --> 00:19:29,740 ...göra den här konstiga…

383 00:19:29,740 --> 00:19:31,740 ...4-loppen och göra…

384 00:19:31,740 --> 00:19:33,740 ...något som bara…

385 00:19:33,740 --> 00:19:35,740 ...tar några cykler…

386 00:19:35,740 --> 00:19:37,740 ...tar tusen av cykler…

387 00:19:37,740 --> 00:19:39,740 ...och…

388 00:19:39,740 --> 00:19:41,740 Jag hade samma känsla med vissa av dem…

389 00:19:41,740 --> 00:19:43,740 ...men ibland…

390 00:19:43,740 --> 00:19:45,740 ...jag förstod att det var min…

391 00:19:45,740 --> 00:19:47,740 ...dissamplare eller dekompilare…

392 00:19:47,740 --> 00:19:49,740 ...som berättade mig…

393 00:19:49,740 --> 00:19:51,740 ...berättade mig historier…

394 00:19:51,740 --> 00:19:53,740 ...som inte var rätt…

395 00:19:53,740 --> 00:19:55,740 ...jag har mycket…

396 00:19:55,740 --> 00:19:57,740 ...intelligens eller…

397 00:19:57,740 --> 00:19:59,740 ...fabriker från utvecklaren som förlorats…

398 00:19:59,740 --> 00:20:01,740 ...i processen av…

399 00:20:01,740 --> 00:20:03,740 ...kompilering och sen…

400 00:20:03,740 --> 00:20:05,740 ...dissampling och sen dekompilering…

401 00:20:05,740 --> 00:20:07,740 ...så när det är dekompilerat…

402 00:20:07,740 --> 00:20:09,740 ...är originalkodstrukturerna…

403 00:20:09,740 --> 00:20:11,740 ...partikulärt förlorade…

404 00:20:11,740 --> 00:20:13,740 ...så dekompilerad kod…

405 00:20:13,740 --> 00:20:15,740 ...måste se ut lite…

406 00:20:15,740 --> 00:20:17,740 ...måste se ut lite…

407 00:20:17,740 --> 00:20:19,740 ...måste se ut lite…

408 00:20:19,740 --> 00:20:21,740 ...måste se ut lite…

409 00:20:21,740 --> 00:20:23,740 ...för att förlora koden.

410 00:20:23,740 --> 00:20:25,740 ...för att göra den snabbare…

411 00:20:25,740 --> 00:20:27,740 ...då tar dekompilern…

412 00:20:27,740 --> 00:20:29,740 ...på den optimisterade koden…

413 00:20:29,740 --> 00:20:31,740 ...och tar den tillbaka till kursen…

414 00:20:31,740 --> 00:20:33,740 ...som då ser ut som om det var…

415 00:20:33,740 --> 00:20:35,740 ...ärligt…

416 00:20:35,740 --> 00:20:37,740 ...men jag skulle inte säga att det är möjligt…

417 00:20:37,740 --> 00:20:39,740 ...jag kan väldigt väl föreställa mig att…

418 00:20:39,740 --> 00:20:41,740 ...vissa utvecklare intentionellt…

419 00:20:41,740 --> 00:20:43,740 ...när de använder…

420 00:20:43,740 --> 00:20:45,740 ...kod…

421 00:20:45,740 --> 00:20:47,740 ...är mer komplexa än nödvändigt…

422 00:20:47,740 --> 00:20:49,740 Ja, och ännu större…

423 00:20:49,740 --> 00:20:53,740 Det är ett stort problem att sitta i många megabiter av kod.

424 00:20:53,740 --> 00:20:57,740 I stället för en liten kodbas som du kan analysera varje bit av.

425 00:20:57,740 --> 00:21:01,740 Så det är vad jag skulle göra om jag hade redan Malware.

426 00:21:01,740 --> 00:21:06,740 Men det är en utmaning, för en större Malware är lätt att hitta.

427 00:21:06,740 --> 00:21:09,740 Om den är stor… Vad är det för fil?

428 00:21:09,740 --> 00:21:13,740 Jag vet inte, det är bara Windows.

429 00:21:13,740 --> 00:21:17,740 Jag tyckte verkligen om den evasiva tekniken som du såg.

430 00:21:17,740 --> 00:21:20,740 De gjorde en kopp som var en bit för kort.

431 00:21:20,740 --> 00:21:22,740 Den koppade också in i sig själv.

432 00:21:22,740 --> 00:21:27,740 Det var riktigt coolt. Det gör iDapro-analysen riktigt svår.

433 00:21:27,740 --> 00:21:30,740 Om du inte uttrycker den misslyckelsen.

434 00:21:30,740 --> 00:21:33,740 Ja, det är en vanlig trick för kodavslutning.

435 00:21:33,740 --> 00:21:36,740 Man placerar den där, eftersom man förstör alla avslutningar.

436 00:21:36,740 --> 00:21:38,740 Avslutningarna kan inte falla längre.

437 00:21:38,740 --> 00:21:42,740 Sen måste du gå där med händerna och sitta i bitar som inte är okej.

438 00:21:42,740 --> 00:21:45,740 Och titta på instruktionerna.

439 00:21:45,740 --> 00:21:47,740 Även om man inte har risk.

440 00:21:47,740 --> 00:21:50,740 Demand alignment.

441 00:21:50,740 --> 00:21:52,740 Okej.

442 00:21:52,740 --> 00:21:55,740 Okej, det var allt. Tack igen.

443 00:21:55,740 --> 00:21:57,740 Det var fint att ha dig.

444 00:21:57,740 --> 00:22:01,740 Och vi ses i fler Assetity-tal.

445 00:22:01,740 --> 00:22:02,740 Ja.

446 00:22:02,740 --> 00:22:03,740 Hej då.

447 00:22:03,740 --> 00:22:04,740 Tack så mycket.

Updated on 2018-09-26
 guestpinkflawdMarion MarschalekSEC-T
Back | Home