Bernat (gum3t)

En esta ponencia se presenta UFO, un implante centrado en la evasión de EDRs y sistemas de detección actuales, complementado por Chameleon, un motor polimórfico que garantiza que cada instancia del implante sea única e impredecible. UFO es un syscall proxy en forma de shellcode, que hace inviables gran parte de los sistemas de detección dinámicos (cargas reflexivas de código / orden de ejecucion de funciones de la API de Windows). Chameleon, por otro lado, es un motor polimórfico, por lo que dificulta enormemente la detección del implante mediante sistemas estáticos (basados en firmas de código). Durante la ponencia se compartirá el código fuente de una versión básica de UFO y Chameleon, con el objetivo de que los asistentes puedan estudiarlo, modificarlo y adaptarlo a sus propios ejercicios de Red Team. Para rematar, durante la presentación se mostraran técnicas novedosas de post explotación implementadas mediante el implante con el fin de demostrar su enorme potencial.