__          ___      .______        _______.
                                                       |  |        /   \     |   _  \      /       |
                                                       |  |       /  ^  \    |  |_)  |    |   (----`
                                                       |  |      /  /_\  \   |   _  <      \   \    
                                                       |  `----./  _____  \  |  |_)  | .----)   |   
                                                       |_______/__/     \__\ |______/  |_______/    

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ www.octanelabs.net
                             In God We Trust. All Others, We Investigate

Jardineiro

O projeto Jardineiro tem como objetivo pesquisar, sob o foco da Computação Forense, um ataque antigo (DLL Spoofing) que em 2010 foi remodelado e passou a ser chamado de Binary Planting. Esse ataque era considerado de baixa importância pois dependia de muita engenharia social ou acesso local, mas pesquisas recentes mostraram que pode ser feito remotamente e pode levar a erros de detecção e a um eventual comprometimento de todo o parque computacional em questão.

Pretendemos criar duas ferramentas:
A primeira tem o nome do próprio projeto (JARDINEIRO) e a função de localizar e analisar vestígios que indiquem a ocorrencia do ataque. Isso poderá ser feito através da análise forense de um HD, um dump de memória Ram, um pcap de um sniffer de rede ou mesmo de arquivos isolados (prefetchs, Registry, etc). Nós os mandaremos para análise na ferramenta Jardineiro, que se encarregará de buscar os vestígios do Binary Planting e indicar se houve ou não o ataque.

A segunda ferramenta tem o nome de Humus e a função de analisar estaticamente programas, utilitários e ferramentas para identificar se são vulneráveis ao ataque. Nas ferramentas atuais a análise é feita de forma dinâmica, com bom nível de eficiência mas também com algumas falhas. Essa metodologia deixa passar ferramentas que tem seu código vulnerável mas não são identificadas quando apresentam Slow Binary Planting, uma variação da vulnerabilidade que não aparece imediatamente ao usar a aplicação vulnerável, mas depende de alguma combinação a mais (como o acesso a um item específico do menu). O Humus irá analisar o código estaticamente, disassemblando-o e identificando chamadas vulneráveis.

O projeto foi apresentado por Tony Rodrigues no H2HC de 2011.

Participantes: Diego Fuschini, Diego Gaviola Rodrigues, Lenandro Marques, Maurício Fagundes, Tony Rodrigues

Página do Projeto: https://sourceforge.net/projects/jardineiro/

Veja outros projetos do Octane Labs