NanoSec Asia 2019 Event Report
Rabu, 9 Oktober 2019, saya menghadiri NanoSec Asia 2019. Konferensi ini terbilang baru dan tahun ini merupakan tahun kedua acara ini diselenggarakan. Bertempat di Kuala Lumpur, Malaysia, event sehari ini menghadirkan 6 sesi menarik.
Sebenarnya sebelum konferensi terdapat workshop / training, namun karena terbatasnya wauktu yang kami miliki akhirnya kami hanya menghadiri conference saja.
Berikut adalah summary dan review singkat (objektif dan subjektif) dari tiap sesi yang disajikan di NanoSec Asia 2019. Saya akan memberikan gambaran besar saja tentang materi. Tentu saja kita tidak akan membahas sesi Coffe Break ya :p
Sebagai bonus (nggak sempet berburu swag):
Jiuwei — A Cross Platform Multi Arch Schellcode Executor
Kailjern ‘xwings’ Lau & Dr. Nguyen Anh Quynh
Dalam reverse engineering dan binary analysis terdapat tiga operasi dasar yang amat penting: disassembly, assembly, dan code emulation. Salah satu hambatan dalam code emulation adalah kurangnya kemampuan tools untuk emulasi syscall. Beberapa solusi yang ada dinilai terlalu kecil cakupannya (misal: hanya berguna untuk OS tertentu, platform tertentu, atau dibuat dalam bahasa tertentu).
Qiling (karena ada masalah dengan nama, pemateri submit paper sebagai Jiuwei alih-alih Qiling) merupakan framework yang digadang sebagai Advanced Emulation Framework. Dibangun di atas Unicorn Engine, Qiling memberikan pengayaan terhadap kemampuan Unicorn sehingga dapat mengemulasikan syscall untuk beragam OS (windows, linux, bsd, mac-os, dsb), beragam arsitektur (x86/x64, arm, mips, dsb).
Kemampuan utama Qiling adalah scripting yang relatif mudah sehingga kita dapat membangun tools analisis untuk kasus tertentu. XWings dan Dr. Quynh juga mendemonstrasikan bagaimana Qiling dipakai untuk memecahkan crackme, eksekusi shellcode, dll.
BTW, qiling membuka Closed-Alpha!
Dalam opini saya, tools ini cocok untuk membantu reverser memahami kode. Terutama potongan kode malicious (shellcode, misalnya). Qiling juga dapat diintegrasikan ke sistem yang sudah ada.
Xathrya’s Rating: 9/10
Malware Classification Using Deep Learning
Mohd Shahril
Pemateri berbagi tentang pengalamannya mencoba menggunakan deep learning untuk klasifikasi malware. Di awal pemateri menjelaskan dasar deep learning (neural network, normalisasi feature, proses pemilihan data training, kelebihan dan kekurangan, dsb).
Pemateri menyebutkan bahwa ia menggunakan 6000 sample malware yang kemudian dibagi menjadi 70% data training dan 30% data yang akan diklasifikasikan. Pemateri juga memaparkan bahwa tingkat akurasi yang dicapai cukup tinggi sekitar 93% (CMIIW). Proses klasifikasi ini pada awalnya mendapati sekitar 10000 features tetapi kemudian setelah normalisasi menghasilkan hanya 20 dimensi saja.
Pemateri kemudian menunjukkan cara kerja tools yang ia bangun untuk klasifikasi malware. Tujuan akhir yang ingin dia lakukan adalah mengklasifikasikan varian malware ke keluarga malware tertentu (misal: wannacry, cerber, dsb).
Dalam pandangan kami, pemateri terlalu fokus pada klasifikasi malware. Seluruh sample yang digunakan merupakan malware sehingga kita tidak dapat mengetahui apa yang terjadi bila sample yang dianalisis sebenarnya bukanlah malware.
Kami juga sangsi apakah hal ini praktikal diterapkan di industri. Jika memang pendekatan sejenis telah dilakukan di industri, silahkan kasih tau melalui komentar ya.
Xathrya’s Rating: 7/10
Farewell, WAF — Exploiting SQL Injection from Mutation to Polymorphism
Syue Siang Su / Boik
Dalam materi ini, pemateri mengajak untuk mendalami konsep mutasi dan polimorfisme terhadap payload SQL injection sehingga dapat melakukan bypass terhadap WAF.
Mutasi adalah perubahan satu atau lebih “kata” dalam payload sehingga lolos dari filter badword yang ada di WAF. Sementara Polymorphism mengarah ke perubahan struktur payload namun mempertahankan maksud yang diinginkan.
Di akhir, pemateri menunjukkan sebuah tools yang digunakan untuk melakukan mutasi dan polimorfisme terhadap input payload. Payload tersebut juga diujikan terhadap DVWA yang telah dilindungi oleh ModSecurity Core Rule Set.
Dalam pandangan kami, ini menarik. Tapi sebagaimana yang diterangkan oleh pemateri, hal ini cukup rumit sehingga tidak ditemukan dalam berbagai kasus eksploitasi. Karena batasan waktu, umumnya attacker lebih memilih payload yang sederhana ketimbang melakukan mutasi dan poliomrfisme.
Xathrya’s Rating: 9/10
Wireless Exploitation: Attacking IoT/OT with SDR
Harshit Agrawal
Pemateri membawakan topik SDR dan kaitannya sebagai alat bantu untuk analisis konektivitas perangkat IoT (Internet of Things) maupun OT (Operation Technology).
Sebagai informasi, benda-benda IoT umumnya dihubungkan dengan wireless network. Beberapa protokol digunakan seperti WiFi (IEEE 80211.b/g/n/ac), Zigbee, Bluetooth, dsb. Masing-masing protokol hidup di frekuensi tertentu, memiliki format yang khas. Degnan SDR kita dapat melakukan sniffing, dan replay terhadap fungsi-fungsi tertentu.
Pemateri juga menjelaskan attack-attack yang umum di lingkungan wireless network (yang digunakan dalam IoT/OT), seperti: sniffing, wardriving, evil twin attack, replay attack, jamming.
Pemateri juga menjelaskan beberapa case serangan yang memanfaatkan SDR. Ia juga memberikan beberapa (video) demo ketika melakukan attack.
Dalam opini kami, ada beberapa hal yang kami tidak dapat sepakati. Sebagai contoh, kami tidak sepakat apabila sniffing dan wardriving dikategorikan sebagai sebuah serangan. Dalam hal ini, pemateri lebih banyak menjelaskan (showcase) kemampuan SDR namun tidak spesifik dalam IoT. Sebenarnya kami berharap pemateri akan menjelaskan contoh penerapan di IoT, misal bagaimana ia dapat menganalisis trafik dari sensor atau edge processing, melakukan pencemaran, ataupun menggangu sistem yang rentan terhadap serangan berbasis wireless.
Xathrya’s Rating: 7/10
Code Execution Analysis in Mobile Apps
Abdullah Joseph
Pemateri membawakan tentang analisis dinamis terhadap kode yang bersifat Native. Di awal pemateri membawakan tentang debugger kemudian menjelaskan tentang limitasi yang ada ketika digunakan untuk menganalisis kode mobile apps. Sebagai solusi, pemateri memperkenalkan konsep Dynamic Binary Instrumentation (DBI) dengan fokus kepada Frida.
Pemateri juga melakukan melakukan demo untuk tracing eksekusi fungsi-fungsi yang terjadi ketika sebuah event terjadi.
Di akhir, pemateri menjelaskan tentang alternatif DBI tools seperti DynamoRIO dan Intel PIN.
Xathrya’s Rating: 8/10
Attacking & Securing Healthcare Standards & pentest Medical Devices
Ajay Pratap Singh
Pemateri menjelaskan tentang urgensi menerapkan security dengan baik di lingkungan Healthcare (kesehatan).
Salah satu faktor yang mendorong adalah informasi pasien (rekam medis) yang sangat kritikal dan bersifat permanen. Pemateri menjelaskan bahwa sebuah informasi identitas dapat diubah, misal mengubah alamat, sehingga data dalam satu waktu dapat menjadi tidak valid di kemudian hari. Namun hal ini berbeda dengan data pasien. Rekam medis (salah satu contohnya) adalah data riwayat yang seterusnya digunakan.
Pemateri kemudian membahas salah satu protokol yang digunakan dalam bidang kesehatan yaitu DICOM (Digital Imaging and Communication in Medicine). DICOM merupakan protokol untuk pemrosesan (transmit, store, retrieve, print, process, and display) informasi medical imaging.
Di awal, pemateri menjelaskan tentang DICOM workflow di lingkungan rumah sakit, format DICOM, proses komunikasi, serta dilanjutkan dengan attack terhadapnya. Serangan terhadap DICOM menitikberatkan kepada usaha untuk mengubah data dan mengacaukan sistem pemroses (flooding, misalnya).
Pemateri juga berbagai beberapa prerequisite yang harus dimiliki untuk dapat melakukan penetration testing terhadap medical device.
Dalam pandangan kami, materi ini merupakan hal yang baru bagi kami dan perlu dilakukan eksplorasi lebih lanjut. Karena bersifat Domain Specific, terdapat beberapa hal yang harus dikuasai terlebih dahulu sebelum akhirnya dapat melakukan assessment.
Xathrya’s Rating: 7/10
Akhir Kata
Karena ini tahun pertama ikut NnaoSec Asia 2019, kami merasa excited. Beberapa materi cukup menarik perhatian kami. Kami pun berharap agar kam dapat hadir kembali tahun depan.
Tentu akan lebih baik kalau MII CyberSec bisa tampil juga.
