Note for HITCON2015

HITCON2015-note.md

• 共筆網址：https://hitcon.hackpad.com/
• wargame: https://iot.hitcon.org

---

Day 1 - 2015/08/28

ALL - 總召致詞、Opening 講師介紹、攤位活動、贊助商介紹、活動介紹 Allen (HITCON 總召) 09:30 ~ 09:50 (20 mins)

ALL - Opening Keynote: Why are our tools so terrible? Geohot 09:50 ~ 10:40 (50 mins)

• https://qira.me
• https://github.com/BinaryAnalysisPlatform/bap

R0 - Tools for discovering Flash Player 0-day attacks in the wild from big data Peter Pi 10:50 ~ 11:40 (50 mins)

• Flash Player, Android
• CVE-2015-0313, CVE-2015-5122&5123
• Flash Year
• FlashExploitDetector(FED)
  • FED is an IE BHO written by C++
• 自動化流程
• AVM2
  • https://github.com/adobe-flash/avmplus
• Hook Vector Length
• Hook Flash OCX
• CVE-2015-5119
• DbgFlashVul - 講者自己寫的
  • A windbg extension
  • Written in C++
  • Can trace AS3 method
  • Can set break point based on AS3 method name.
• CVE-2015-3090

---

Day 2 - 2015/08/29

R2 - Confessions of geek - Hard Drive Secret Let Out Chang Dao Hung 10:20 ~ 11:10 (50 mins)

• http://www.osslab.com.tw/
• 以前在外商公司工作，硬碟超多，想把壞掉的硬碟修好。
• 數據恢復公司真的有這麼神嗎?
  • 自己找 youtube 影片 DIY
  • 把壞掉的元件換成好的元件
• 數據恢復的成本
  • 即便找到相容硬碟，也無法保證成功率
  • 硬碟磁片上有隱性刮傷
  • 低塵操作環境的設備成本
  • 客戶核對
• 關於硬碟的基本電子電路相關知識
  • PCBA 電路檢測儀
    • 抄版用的，PCB 版逆向神器，直接 clone 一張新的
  • SPI Flash 晶片
  • PC 3000
• <數據恢復 硬盤修理>
  • 翻譯 PC 3000 的使用手冊
  • 一堆屁話XD
• 為何大家都狀況外
  • PC 3000 人機介面很爛
  • 不喜歡有體系的教學 想寫有體系的教學的人又沒技術
  • 不夠了解硬碟的基本運作原理
  • 硬碟有多重故障可能原因，可能是硬體或軔體，多數人對硬體跟軔體無法同時嫻熟
  • 教學人員只是代理
• 硬碟啟動流程
  • MCU ROM bootstrap
  • 內部或是外在的 SPI ROM
  • Module 01 Index
  • ATA Module 11
  • 碟片上其他完整微代碼+匹配參數
  • 硬碟如同一個 embedded system，不同之處在於儲存韌體的地方有兩個：ROM跟碟片
• 硬碟上的 Module
  • module 是硬碟碟片上的韌體跟匹配參數的分類
  • 序號、型號、ATA密碼是存在專門的 module 而不是在 PCB
  • 有分重要級數，重要模塊一丟失，資料一去不復返
  • 40 是最重要的模塊
  • 高端的技術可以使用其他模塊將丟失的模塊拼湊回來
• 有必要的中斷
  • 硬碟的 boot 流程中，只要有任何一塊錯了，就會造成硬碟當機
  • 所以打斷不正常的 boot 流程是很重要的
  • ROM 有碟片韌體區缺陷位置，修改後就可以造成流程上的中斷
  • 中斷後，可以讀寫韌體區
• 韌體跟資料恢復的關係
  • 硬碟容易出現硬體跟韌體一起故障的狀況
  • 增加貢體材料硬碟相容性
  • 讓硬碟在極限狀態讀取資料
• 遊戲機是這世上被黑過最多的硬體
• 「民之所欲，黑之所向。」
• OSSLab Easy SA Tool (硬碟韌體讀寫工具)
  • easysa
• Service area 實驗驗證
  • Sectors Per Track (韌體區) (SPT)
    • 韌體區的每一磁道的扇區數量
• NSA - http://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
  • 史上最先進的病毒
    • MBR 加載 malicious VBR
• 韌體防火牆 Firmwall
  • https://www.os3.nl/_media/2013-2014/courses/ot/jan_niels.pdf
  • 軟體有防火牆，韌體也有防火牆，預防有軟體開啟 VSC
• 被警察抓的時候
  • 潑鹽酸沒用，可回復
  • 全部填零，要很久
  • 把所有主頭(0, 1頭) Service Area 填 0 才是正解
    • 剛剛有提到把重要的 module 破壞掉就幾乎無法回復
• Serial TTL (UART) 通訊應用
  • 逆向 Serial UART 腳位
    • GND 腳位判定
• Seagate 硬碟指令集
  • Seagate 硬碟是 38400 rate
• SPI 協議
  • Router 也用上 SPI Flash
• 把 Arduino 變成 SPI 編程器
  • http://flashrom.org/Serprog/Arduino_flasher
• 真外星技術：Avatar
  • Symbolic Execution
• 結論
  • 無塵室沒有用，材料多比較有用
  • 材料相容性經驗
  • 更換材料穩定性
  • 瞭解硬碟工作原理
  • 硬碟是學習 embedded security 很有趣的一環
  • SSD 一樣脫離不了 ATA Command, ATA
  • 資訊愈來愈開放，讓消費者瞭解成本跟風險，而不是過度吹噓
  • 要建立工會，避免惡性破壞客戶數據
  • 合理處理客戶案件，確實幫客戶處理，並不只搶低難度的修復工作

R2 - Hack Mobile Games For Fun Hung Chien-Wei 11:20 ~ 12:10 (50 mins)

• winest
• 2014年營收
  • iOS App Store - Taiwan - 10th
  • Google Play - Taiwan - 5th
• 手機遊戲破解
  • LV.0 - Google: 破解版
  • LV.1 - 記憶體修改
    • 限制
      • 要 Root
      • 要 Memory 未加密
      • 程式的驗證要很弱
        • Root 檢查
        • 已安裝程式檢查
        • 動作前後數值檢查
  • LV.2
    • jp.kuma360.bianco3.apk
    • apktool, dex2jar, jd-gui
  • LV.3 - unity
  • LV.4 - .NET Reflector 配合 Reflexil
  • LV.5 - https://github.com/winest/CILTools

ALL - HITCON Project 發表 + 奇葩獎頒獎典禮 HITCON 主辦團隊 13:20 ~ 14:10 (50 mins)

• 資安技術資源平台

R2 - An Anti-Mitigation Exploit Generation Integrating with Metasploit Framework Vince Chen 14:20 ~ 15:10 (50 mins)

• Summary
  • protection - DEP
  • attack - Return-to-libc
    • can break DEP
  • protection - ASLR
    • can prevent return-to-libc attack
  • Return-Oriented-Programming (ROP)
    • RET instruction sequences (gadgets)
    • Unrandomized segment
• Anti-Mitigation (ROPChain)
  • ROPChain
    • Generate multi payloads
    • Use long gadgets
  • Long gadget side effects
    • inter/intra-gadget dependency problem
    • unconditional jump
• Exploit Generation (CRAX)
• Post-Exploitation (Metasploit)
  • Attacker set Metasploit handler

Let's Play Hide and Seek In the Cloud - The APT Malware Favored in Cloud Services 沈祈恩 (Ashley Shen) / 賴婕芳 (Belinda Lai) 15:40 ~ 16:30 (50 mins)

• Use SNS as Cloud Service C&C Center (把 cloud service 當作轉向的工具)
  • Elirks
    • Twitter
      • BEGINTAG, ENDTAG
    • Plurk
      • TEA + BASE64
    • Blogger, Japanese Blog
      • hide in HTML tag
  • WMIgh0st
    • 攻擊西藏
    • Hide in HTML file
  • IXE
    • RSA and RC4 encryption*
  • Taleret
    • Yahoo, PIXNET
    • ARTEMIS, BASE64 + RC4
  • PlugX
    • LinkedIN, Twitter, Baidu,
    • DZKS ... DZJS
  • Protux
    • targeted: Taiwan Gov
    • Qeury DNS cloud service first, and download command from the result ip address.
    • more flexible and can bypass the blacklist
• Victim 把自己的資料傳送到 cloud storage, Actor 再到 cloud service 去 download 資料
  • 不容易被察覺，只會發現短時間內大量上傳檔案到 google drive, dropbox, ...
  • Example
    • DropNetClient - 2015
      • use DropNet
      • use RC4 key for encryption/decryption
      • Actor reigster a Gmail account for every victims
    • GDriveDrake
      • Developed in Go lang
      • Using OAuth 2.0 protocol to login to specific Google Drive
        • Access Token
    • illitat
      • 'yxyyyxyy'
      • BASE64 + XOR + RC4 => .dll
• use Cloud Service as control channel
  • Stalk / glooxmail
    • use GTalk
    • 2011
    • XMPP + self encryption + TLS encryption
  • Kimsuky
    • 2013 - South Korea
    • email, TeamViewer
    • Victim: RC4 encrypted data + RSA encrypted RC4 key
    • HWP - 南韓流行的 Office 格式
    • 裡頭有韓文
• 為什麼這些 malware 這麼喜歡 cloud service?
  • Easy to change; like DDNS
  • Bypass passive DNS
  • Bypass IDS
  • Bypass Anti Virus
  • Difficult to trace
  • Cost down
  • Easy to build/maintenance
• What can we do?
  • Black List
    • 大公司能做，但還是很不方便
    • 但攻擊者還是可以用其他沒在黑名單裡頭的 cloud service
  • CTI (Cyber Threat Intelligence)