Telepathy Harness the code

Juan Carlos Montes

2

Inyecciones comunes

• Pedir memoria en el proceso remoto

• VirtualAllocEx

• Copiar el código a ejecutar en el proceso remoto

• WriteProcessMemory

• Ejecutar el código copiado

• CreateRemoteThread

Proceso A

kernel32.dll

user32.dll

test.dll

Inyector

LoadLibrary

Proceso A

kernel32.dll

user32.dll

test.dll

Proceso A

LoadLibrary

WriteProcessMemory CreateRemoteThread

3

• Pedir memoria en el proceso remoto

• VirtualAllocEx

• Copiar el nombre de la DLL

• WriteProcessMemory

• Ejecutar LoadLibrary

• CreateRemoteThread

Inyección con Telepathy

Proceso A

kernel32.dll

user32.dll

Proceso A

kernel32.dll

user32.dll

test.dll

Proceso A

test.dll

WriteProcessMemory

CreateRemoteThread

test.dll Telepathy

Valor de Retorno

4

Características Telepathy

• Inyectar DLLs

• Llamando directamente a LoadLibrary (sin uso de códigos insertados)

• Usar cualquier función del proceso remoto, incluidas sus DLLs

• Llamar funciones, tanto por nombre exportado como por dirección

• Usar parámetros en las funciones

• Recuperar su retorno tanto numérico como texto

• Listar todas los OPCODE CALL (xE8)

• Lista actualizable de todos los CALL del proceso

5

¿¿Para que??

• Análisis de malware

• Uso de funciones de cifrado reversibles

• Uso de funciones de envió de datos cifrado

• Simulación de recepción de comandos de un panel de control

• …

6

DEMO 1

7

8

DEMO 2

9

10

Múltiples parámetros

• Es posible usar CreateRemoteThread indicándole múltiples parámetros:

•NO • Solucion?

• PUSH PARAM1

• PUSH PARAM2

• …

• CALL FUNCTION

• RET

11

Dudas??

• Dudas??

• Preguntas??

• Donaciones??

• Si, lo publicamos durante las conferencias: https://github.com/intecocert

12

Gracias!!!

Juan C. Montes

Mail personal: jcmontes.tec@gmail.com

Mail CERT: jcmontes@cert.inteco.es

Twitter: @jcmontes_tec