Información técnica / Estado del arte:
La charla contará con dos partes diferenciadas: una primera parte donde se llevará a cabo un análisis del funcionamiento interno de la pila en sistemas operativos windows con arquitectura de 64 bits con el objetivo de asentar conceptos y mostrar el motivo por el que la ejecución de implantes desde memoria rompe el proceso de «desenrollado» (unwinding) de la pila de llamadas; y una segunda parte donde se propondrán distintas alternativas para solventar esta situación desde el punto de vista del desarrollador de malware. Esta segunda parte comprenderá el análisis de técnicas como module stomping, template stomping (ambas implementadas en https://github.com/Kudaes/DInvoke_rs), SilentMoonWalk y stack replacement (https://github.com/Kudaes/Unwinder).
Call Stack Spoofing para ocultar la ejecución de implantes desde memoria
Para evitar «pisar» disco, a día de hoy el malware suele llevar a cabo la inyección y ejecución de código directamente desde la memoria de un proceso. Esta ejecución desde regiones de memoria privada genera diversos IoCs, entre ellos la presencia de malformaciones en la pila de llamadas (call stack), siendo estas malformaciones una fuenta de telemetría que los EDRs están empezando a utilizar para detectar la ejecución de implantes desde memoria. En esta charla, exploraremos los motivos que dan lugar a esta situación y analizaremos las distintas alternativas que podemos implementar en nuestro malware para ocultar la presencia de nuestro implante a través de la falsificación de la pila de llamadas.