Willkommen bei Scribd!

Karussell überspringen

Protocol Reverse Engineering: July 17, 2012

Hochgeladen von

josh8884

0% fanden dieses Dokument nützlich (0 Abstimmungen)

21 Ansichten16 Seiten

Webcast

Originaltitel

Webcast

Copyright

Verfügbare Formate

PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

Webcast

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

21 Ansichten16 Seiten

Protocol Reverse Engineering: July 17, 2012

Hochgeladen von

josh8884

Webcast

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 16

Im Dokument suchen

Smarter Incident Response with

Protocol Reverse Engineering

July 17th, 2012
Michael Cloppert Chief Research Analyst Lockheed Martin CIRT

What would you do with this?

<html>  ZHEFRQWHQW </html>

H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdRLrUgFADXOOVIcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdJLrUgFAOW0mRUcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdZLrUgFAFWd_SgcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdFLrUgFAEVB2ZocAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdVLrUgFAPVouaccAAAA.bad.com

Incident response is fast

Scope is initially unknown

Detections cannot wait

Often information is incomplete

Reverse Engineering can be slow

Complex code is laborious and time-consuming

Bandwidth may not accommodate all

specimens in need of analysis short-cut

Tactical profiling of network activity needs a

Protocol Reverse Engineering

PRE is the process of extracting the structure, attributes, and data from a network protocol implementation without access to its specification

'XDOJRDOV
Tactical Strategic

Network signatures

Protocol Decoders

Available Data
Network activity (PCAPs)

Client binary / source code

Server binary / source code

The PRE Workflow

What Defines a Protocol?

Structure Protocol flow Encapsulation Command list Input range Output range Encoding

Easy example... ?
Below is a pcap from an iMessage WUDQVPLVVLRQ

22:08:00.050911 IP 10.0.0.116.22 > 10.0.0.100.60518: Flags [P.], seq 49:177, ack 48, win 8192, options [nop,nop,TS val 515235000 ecr 683597755], length 128 0x0000: 4510 00b4 6b48 4000 4006 ba14 0a00 0074 E...kH@.@......t 0x0010: 0a00 0064 0016 ec66 0ed8 8eae 2fb0 ec70 ...d...f..../..p 0x0020: 8018 2000 4400 0000 0101 080a 1eb5 dcb8 ....D........... 0x0030: 28be dfbb b58b e786 717d 1f3a 2a55 b828 (.......q}.:*U.( 0x0040: 230f cd47 43d7 8a14 4b4c ff85 b6ab ebfd #..GC...KL...... 0x0050: 732b 14ff 9c3b 2589 62dd 078d 5b81 da92 s+...;%.b...[... 0x0060: 850f 1d4d 9d97 8380 e642 303b 64d0 f3c5 ...M.....B0;d... 0x0070: 7bf4 186d 1487 a5f1 05f7 4607 4572 6d2a {..m......F.Erm* 0x0080: bdce c15d 0383 8f1f 4ef2 2ab0 5c68 7509 ...]....N.*.\hu. 0x0090: 128f 45f5 28c1 cc52 13d9 c1e4 620d a133 ..E.(..R....b..3 0x00a0: 880f 5cfd fd74 81c6 c920 1e18 be76 ed94 ..\..t.......v.. 0x00b0: 851c 2cba ..,.

Where can we get this information?

Protocol States
Protocols may exhibit behavior differently depending on what state they are in. I divide this five ways:
1. Idle

2. Interactive
3. Upload

4. Download
5. Errant

Principles of Analysis & Development

Completeness

Correctness
Spiral

Configuration

Analytical Techniques
Entropy analysis

Bitmasking
Manual structure identification

PCAP Construction
Behavioral & Code Analysis (FOR 610)

%DFNWRWKRVHH[DPSOHV
<html>  ZHEFRQWHQW </html>

H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdRLrUgFADXOOVIcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdJLrUgFAOW0mRUcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdZLrUgFAFWd_SgcAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdFLrUgFAEVB2ZocAAAA.bad.com H4sIACeKBVAAA8soKSmw0tcvLy-XS0pM0UvOz9VPy8xJNdVLrUgFAPVouaccAAAA.bad.com

Common encoding techniques

Keep a look out for these!
Base64 encoding
LZH (zip) compression

Hex-ASCII encoding
Simple XOR obfuscation

%UXWHIRUFH"

Thank you!
For more in-depth training on malware reverse engineering, please register for FOR 610!

https://www.sans.org/community/event/for610- baltimore-aug-2012 For more on PRE, see http://computer- forensics.sans.org/blog/

Das könnte Ihnen auch gefallen

Cutting A Gem
Dokument18 Seiten
Cutting A Gem
mobsivac
100% (1)
Technical Report PDF
Dokument184 Seiten
Technical Report PDF
Srinivasan Rajenderan
Noch keine Bewertungen
Lab Report Experiment 5
Dokument4 Seiten
Lab Report Experiment 5
Czarina mantuano
100% (2)
Bypass I Phone Controller
Dokument3 Seiten
Bypass I Phone Controller
Brayan Villa
Noch keine Bewertungen
(1)
Dokument119 Seiten
(1)
Virginia Rosales Olmos
Noch keine Bewertungen
Blowers
Dokument58 Seiten
Blowers
mahmad61
100% (1)
The Sandwalk Adventures
Von Everand
The Sandwalk Adventures
Jay Hosler
Bewertung: 4 von 5 Sternen
4/5 (19)
NX Training Syllabus Module I
Dokument5 Seiten
NX Training Syllabus Module I
Dharaiya Hardik
Noch keine Bewertungen
Advanced AutoCAD® 2016 Exercise Workbook
Von Everand
Advanced AutoCAD® 2016 Exercise Workbook
Cheryl R. Shrock
Noch keine Bewertungen
Ragnarok Server Crashed
Dokument6 Seiten
Ragnarok Server Crashed
fabian andres plata rodriguez
Noch keine Bewertungen
2015-12-02 04.10.02 Crash
Dokument4 Seiten
2015-12-02 04.10.02 Crash
omas57213
Noch keine Bewertungen
2015-12-10 20.46.53 Crash
Dokument4 Seiten
2015-12-10 20.46.53 Crash
omas57213
Noch keine Bewertungen
2021-04-05 02.15.52 Crash
Dokument4 Seiten
2021-04-05 02.15.52 Crash
Islam Elezi
Noch keine Bewertungen
2
Dokument2 Seiten
2
calum morgan
Noch keine Bewertungen
5
Dokument2 Seiten
5
calum morgan
Noch keine Bewertungen
Game Crash Log
Dokument5 Seiten
Game Crash Log
kevenjoseph2
Noch keine Bewertungen
Encrypted data analysis
Dokument7.248 Seiten
Encrypted data analysis
RTYU
Noch keine Bewertungen
2021-07-29 20.42.54 Crash
Dokument5 Seiten
2021-07-29 20.42.54 Crash
Islam Elezi
Noch keine Bewertungen
2017-11-14 14.08.34 Crash
Dokument5 Seiten
2017-11-14 14.08.34 Crash
Ionut Ionuț
Noch keine Bewertungen
Game Crash Log
Dokument6 Seiten
Game Crash Log
Matías Chaug Segura
Noch keine Bewertungen
Ragnarok Crashed
Dokument6 Seiten
Ragnarok Crashed
Matías Chaug Segura
Noch keine Bewertungen
f2/3 Rand
Dokument131 Seiten
f2/3 Rand
Joshua Evans
Noch keine Bewertungen
Randthing 3
Dokument6 Seiten
Randthing 3
JDoe
Noch keine Bewertungen
Game Crash Log
Dokument6 Seiten
Game Crash Log
haroldlasswell96
Noch keine Bewertungen
2021-08-23 01.16.46 Crash
Dokument5 Seiten
2021-08-23 01.16.46 Crash
Islam Elezi
Noch keine Bewertungen
2021-08-11 14.35.49 Crash
Dokument4 Seiten
2021-08-11 14.35.49 Crash
Islam Elezi
Noch keine Bewertungen
2011-10-09 00.32.20 Crash
Dokument4 Seiten
2011-10-09 00.32.20 Crash
Leonardo Tondato
Noch keine Bewertungen
4
Dokument1.111 Seiten
4
mauvqxzshfkdehmvjw
Noch keine Bewertungen
Randthing 2
Dokument6 Seiten
Randthing 2
JDoe
Noch keine Bewertungen
Lab 1
Dokument92 Seiten
Lab 1
luis miguel cordero
Noch keine Bewertungen
Game Crash Log
Dokument5 Seiten
Game Crash Log
Tata Kambando Roxi Nangue
Noch keine Bewertungen
2017-10-04 15.36.07 Crash
Dokument5 Seiten
2017-10-04 15.36.07 Crash
Ionut Ionuț
Noch keine Bewertungen
Sample
Dokument3 Seiten
Sample
Nehaa Hemnani
Noch keine Bewertungen
Encrypted data file analysis
Dokument1.111 Seiten
Encrypted data file analysis
mauvqxzshfkdehmvjw
Noch keine Bewertungen
2021-08-18 01.37.26 Crash
Dokument5 Seiten
2021-08-18 01.37.26 Crash
Islam Elezi
Noch keine Bewertungen
2017-03-29 00.44.57 Crash
Dokument4 Seiten
2017-03-29 00.44.57 Crash
omas57213
Noch keine Bewertungen
Game Crash Log
Dokument5 Seiten
Game Crash Log
Jonathan Vito
Noch keine Bewertungen
2020-05-08 23.25.17 Crash
Dokument5 Seiten
2020-05-08 23.25.17 Crash
Haise F. Marthel
Noch keine Bewertungen
Ragnarok crashed with atiu9pag.dll error
Dokument5 Seiten
Ragnarok crashed with atiu9pag.dll error
Ricky Frederick
Noch keine Bewertungen
2021-08-18 18.17.14 Crash
Dokument5 Seiten
2021-08-18 18.17.14 Crash
Islam Elezi
Noch keine Bewertungen
5
Dokument1.111 Seiten
5
mauvqxzshfkdehmvjw
Noch keine Bewertungen
Aplikasi Game Flappy Brid
Dokument51 Seiten
Aplikasi Game Flappy Brid
Sri Rahayu
Noch keine Bewertungen
Hello
Dokument21 Seiten
Hello
rdancer
Noch keine Bewertungen
LK
Dokument22 Seiten
LK
Manuel Fernando Martinez Maldonado
Noch keine Bewertungen
Randthing 5
Dokument6 Seiten
Randthing 5
JDoe
Noch keine Bewertungen
Warcraft III Fatal Error
Dokument5 Seiten
Warcraft III Fatal Error
Islam Elezi
Noch keine Bewertungen
Activation data received from device
Dokument3 Seiten
Activation data received from device
Brayan Villa
100% (1)
Analysis of Dev Urandom Data For Multimedia Downloading of Obnoxious Thesis
Dokument19 Seiten
Analysis of Dev Urandom Data For Multimedia Downloading of Obnoxious Thesis
Uno Keyosé
Noch keine Bewertungen
Game Crash Log
Dokument6 Seiten
Game Crash Log
Ken Anu
Noch keine Bewertungen
2014-08-18 20.38.32 Crash
Dokument4 Seiten
2014-08-18 20.38.32 Crash
Angelo Roque
Noch keine Bewertungen
2021-06-18 14.54.13 Crash
Dokument5 Seiten
2021-06-18 14.54.13 Crash
Islam Elezi
Noch keine Bewertungen
Loader Forklift
Dokument2 Seiten
Loader Forklift
para4 os
Noch keine Bewertungen
2021-02-25 23.57.18 Crash
Dokument5 Seiten
2021-02-25 23.57.18 Crash
Islam Elezi
Noch keine Bewertungen
Crash 1156
Dokument8 Seiten
Crash 1156
Максим Сидоренко
0% (1)
6
Dokument3 Seiten
6
calum morgan
Noch keine Bewertungen
Gepard Crash Log
Dokument3 Seiten
Gepard Crash Log
RGM Team
Noch keine Bewertungen
2021-04-11 09.49.21 Crash
Dokument5 Seiten
2021-04-11 09.49.21 Crash
Alfredo Magtaan
Noch keine Bewertungen
2022-01-15 20.22.01 Crash
Dokument5 Seiten
2022-01-15 20.22.01 Crash
Islam Elezi
Noch keine Bewertungen
3
Dokument2 Seiten
3
calum morgan
Noch keine Bewertungen
2021-06-30 00.18.25 Crash
Dokument5 Seiten
2021-06-30 00.18.25 Crash
Islam Elezi
Noch keine Bewertungen
2021-08-13 04.02.25 Crash
Dokument5 Seiten
2021-08-13 04.02.25 Crash
Islam Elezi
Noch keine Bewertungen
65536
Dokument1.093 Seiten
65536
rdancer
Noch keine Bewertungen
2021-11-20 22.00.05 Crash
Dokument5 Seiten
2021-11-20 22.00.05 Crash
Islam Elezi
Noch keine Bewertungen
2021-07-04 03.11.14 Crash
Dokument5 Seiten
2021-07-04 03.11.14 Crash
Islam Elezi
Noch keine Bewertungen
2021-05-16 05.22.46 Crash
Dokument5 Seiten
2021-05-16 05.22.46 Crash
Islam Elezi
Noch keine Bewertungen
Randthing 4
Dokument6 Seiten
Randthing 4
JDoe
Noch keine Bewertungen
ConfigMgr DV White Paper
Dokument11 Seiten
ConfigMgr DV White Paper
josh8884
Noch keine Bewertungen
VCP5 DCV Exam Blueprint v2 8
Dokument22 Seiten
VCP5 DCV Exam Blueprint v2 8
tukhiem
Noch keine Bewertungen
Virtual Appliance Deployment Guide
Dokument17 Seiten
Virtual Appliance Deployment Guide
josh8884
Noch keine Bewertungen
Windows 2012 Licensing
Dokument16 Seiten
Windows 2012 Licensing
ionut_ciocirlie
Noch keine Bewertungen
68 Great Ideas CSO
Dokument7 Seiten
68 Great Ideas CSO
josh8884
Noch keine Bewertungen
Bro Cheat Sheet
Dokument6 Seiten
Bro Cheat Sheet
josh8884
Noch keine Bewertungen
Enhanced Mitigation Experience Toolkit 4.0: User Guide
Dokument41 Seiten
Enhanced Mitigation Experience Toolkit 4.0: User Guide
jegreen3
Noch keine Bewertungen
Hdfs Default XML Parameters
Dokument14 Seiten
Hdfs Default XML Parameters
Vinod Bihal
Noch keine Bewertungen
Ahmed Mohammed EL Desouky 2007
Dokument8 Seiten
Ahmed Mohammed EL Desouky 2007
Hazem Mohamed
Noch keine Bewertungen
Escorts F-15: Hydraulic Mobile Pick-n-Carry Crane
Dokument2 Seiten
Escorts F-15: Hydraulic Mobile Pick-n-Carry Crane
Chandra Mouli
Noch keine Bewertungen
5SL43407RC Datasheet en
Dokument5 Seiten
5SL43407RC Datasheet en
Diana Martinez Sifuentes
Noch keine Bewertungen
Vista 128BPT Program Manual
Dokument72 Seiten
Vista 128BPT Program Manual
yalmanza
Noch keine Bewertungen
EML 4507 Spring 2017 HW11 Solution
Dokument7 Seiten
EML 4507 Spring 2017 HW11 Solution
Unmil Patel
Noch keine Bewertungen
RTJ Dimension ASME B16.5/B16.47
Dokument1 Seite
RTJ Dimension ASME B16.5/B16.47
parayilomer
0% (1)
Us01cphy02 Unit 1 2014 THP
Dokument18 Seiten
Us01cphy02 Unit 1 2014 THP
api-264723824
Noch keine Bewertungen
Sasirekha Computer Project
Dokument90 Seiten
Sasirekha Computer Project
Akurati Rupendra
Noch keine Bewertungen
Maximum Power Tracking System for Solar Panels Using Automatic Control
Dokument79 Seiten
Maximum Power Tracking System for Solar Panels Using Automatic Control
Harish Varma
Noch keine Bewertungen
DiGas 4000 Light E 08.02
Dokument2 Seiten
DiGas 4000 Light E 08.02
manit1963
Noch keine Bewertungen
Ricoh 301 PARTS CATALOG
Dokument68 Seiten
Ricoh 301 PARTS CATALOG
befremden
Noch keine Bewertungen
Verilog Interview Questions & Answers
Dokument6 Seiten
Verilog Interview Questions & Answers
Krishna Saroja Sanka
Noch keine Bewertungen
Pure Chem p2 - 26pg
Dokument26 Seiten
Pure Chem p2 - 26pg
Jhomer Crespo
Noch keine Bewertungen
TI Oxydur PTB 206 - en PDF
Dokument5 Seiten
TI Oxydur PTB 206 - en PDF
gonzalogvargas01
100% (1)
Ee09 704 - Electrical Machine Design Model QP
Dokument2 Seiten
Ee09 704 - Electrical Machine Design Model QP
Gīřïşh Mc
Noch keine Bewertungen
Psib 20150212
Dokument10 Seiten
Psib 20150212
Léandre Ettekri Ndri
Noch keine Bewertungen
Chapter 4.1 Basic Call Procedure (ED01 - 53 - EN)
Dokument53 Seiten
Chapter 4.1 Basic Call Procedure (ED01 - 53 - EN)
quaderbtech06
Noch keine Bewertungen
Peanut Brittle Lab
Dokument2 Seiten
Peanut Brittle Lab
Mary Bacon Hillebrand
Noch keine Bewertungen
Evaporative Pre Cooler
Dokument46 Seiten
Evaporative Pre Cooler
Lizbeth Ramirez Alanya
Noch keine Bewertungen
Novajet Refference Guide
Dokument74 Seiten
Novajet Refference Guide
oralbnetwork
Noch keine Bewertungen
Human-Environment Interaction
Dokument3 Seiten
Human-Environment Interaction
api-299100358
Noch keine Bewertungen
fEA Course
Dokument3 Seiten
fEA Course
Anant Kumbhojkar
Noch keine Bewertungen
Fontaine Quinta Rueda
Dokument2 Seiten
Fontaine Quinta Rueda
Hamilton Miranda
Noch keine Bewertungen