Sala i07C |
|||
|---|---|---|---|
| Workshop – Psychopath Linux Network Training | Este será um treinamento sobre o Linux Networking subsystem, com abordagem prática, conceitual e de alto teor técnico. No treinamento será abordado conceitos e protocolos de Redes e como podemos interagir, configurar e modificar comportamentos dentro do kernel. Durante o treinamento será apresentado técnicas e criação de códigos em user e kernel space para injetar, modificar e craftar pacotes, sempre utilizando um threat model ofensivo. Além de uma visão ofensiva, o treinamento tenta ensinar como as coisas realmente funcionam. Para isso, serão apresentados conceitos fundamentais de arquitetura e SO, como spinlock, DMA, MMIO, wait queue, ioctl bem como conceitos e implementações específicas de Linux, como struct sk_buff, device, ring buffer, etc. É possível participar do treinamento de forma teórica sem equipamento. Contudo, para melhor acompanhar a parte prática, recomenda-se trazer um laptop com uma PCIe wireless NIC ou USB, capaz de fazer frame injection em monitor mode, além de suportar bandas 2.4GHz e 5GHz. Para participantes que preferirem Wi-FI NICs USB, os modelos Alfa, compatíveis com o driver mt76xu, são os mais acessíveis e de melhor qualidade, como AWUS036ACM e AWUS1900 (apesar do active monitor do driver no repositório oficial estar quebrado há anos 🙂 – para mais modelos verifique https://github.com/morrownr/USB-WiFi/blob/main/home/USB_WiFi_Chipsets.md | dukpt – @dukpt_ | |
| Workshop – Psychopath Linux Network Training | Esta é a segunda parte do treinamento: Práticas com IPv6, eBPF, kprobes, ath/mt76 drivers e in-memory DMA frame injection | dukpt – @dukpt_ | |
| Anatomia do Shellcode: do Byte ao Controle Total | Shellcodes são a essência da exploração pequenos, precisos e extremamente poderosos. Mas o que realmente acontece por trás desses bytes aparentemente caóticos? Nesta apresentação, mergulhamos na anatomia interna do shellcode, revelando como payloads são construídos do zero para operar em ambientes hostis, sem imports, sem dependências e sob restrições severas. Do acesso direto ao PEB, passando pela resolução dinâmica de APIs via hashing e parsing da Export Table, até a execução final do payload tudo será dissecado em nível de instrução. Mais do que teoria, esta sessão expõe a lógica real por trás de shellcodes modernos, explorando técnicas utilizadas para contornar mecanismos de defesa, evitar detecção e garantir execução confiável. Se você quer entender como um simples array de bytes pode assumir o controle de um processo este é o caminho, byte a byte. | Joel Rossi | |
| Modelo simples de arquitetura para o bypass do 2FA Google Microsoft | Demonstrar como pode ser simples todo o processo de ataque | Hamilton Domenes | |
| No Logs, No Trace: Stealth Implants via LLVM Poisoning the build pipeline at compile time. | A segurança de supply chain assume que o que você revisa e builda é o que realmente será executado. Nesta talk, quebramos essa premissa. Vamos explorar uma técnica stealth pouco discutida: a injeção de backdoors durante a compilação usando passes customizados do LLVM. Em vez de alterar o código-fonte ou o binário final, o comportamento malicioso existe apenas durante o processo de compilação, sem deixar rastros no repositório ou nos artefatos gerados. Será demonstrado, na prática, como criar um plugin malicioso carregado pelo clang capaz de modificar o LLVM IR em tempo real, injetando lógica em aplicações legítimas sem alterar uma única linha de código. Também discutiremos limitações da técnica e por que ela pode contornar mecanismos tradicionais como code review, SBOMs e scanners de build, além de possíveis estratégias de detecção. | Gustavo Abu | |
| Do lado errado do revolver: por que um hacker precisa se colocar na posição de um desenvolvedor | A palestra “Do lado errado do revolver: por que um hacker precisa se colocar na posição de um desenvolvedor” propõe uma reflexão prática sobre a evolução da segurança ofensiva e os desafios na formação de profissionais realmente preparados para simular ataques reais. Partindo da premissa de que não é possível explorar aquilo que não se compreende, a apresentação aborda a importância do domínio de programação e do entendimento profundo do funcionamento dos sistemas, desde a lógica de negócio até camadas mais baixas de execução, como diferencial crítico para profissionais de Red Team e Pentest. Além dos aspectos técnicos, a palestra explora o fator humano por trás das vulnerabilidades, analisando como prazos, pressão por entrega e decisões coletivas de equipes de desenvolvimento influenciam diretamente na criação de falhas exploráveis. Com isso, o participante é levado a enxergar o sistema não apenas como código, mas como o resultado de escolhas e comportamentos. Também será discutido o cenário atual do mercado, marcado pela popularização de ferramentas e conteúdo acessível, que tem contribuído para a formação de profissionais excessivamente dependentes de automação e abordagens baseadas em checklist, muitas vezes desconectadas da realidade dos ataques. Por fim, a palestra aborda o impacto da inteligência artificial na área, reforçando que, longe de substituir o conhecimento técnico, ela amplia a capacidade daqueles que possuem fundamentos sólidos, tornando ainda mais relevante o investimento em programação e entendimento profundo de sistemas. O objetivo é provocar uma mudança de perspectiva: sair da execução superficial e evoluir para uma atuação orientada por entendimento, análise e construção real de cenários de ataque. | Leonardo Toledo (H41stur) | |
| Legacy RTU Owned: Exploiting Buffer Overflows and Deploying Multistage Malware with C2 Communication in Critical OT Infrastructure | O que acontece quando o código legado que são frequentementes encontrados em infraestrutura crítica aparece em 2026? Nesta palestra, vamos dissecar a anatomia de um ataque zero-day style contra ambientes OT. Em um ambiente industrial, após a exploração de uma vulnerabilidade de buffer overflow em uma Unidade Terminal Remota (RTU) vulnerável que executa serviços legados sobre versões antigas do Windows. Um atacante identifica uma vulnerabilidade como um Buffer Overflow baseado em stack e faz a injeção de um shellcode multistage na memória do sistema comprometido. Este shellcode estabelece uma conexão de árbitraria (callback) a um servidor de hospedagem ou infraestrutura de Comando e Controle (C2) para realizar o staging. Para facilitar a compreensão da dinâmica ofensiva e da arquitetura do implante malicioso, será demonstrado como uma estrutura desenvolvida em Python pode ser utilizada para orquestrar a comunicação com os agentes comprometidos, receber conexões reversas e coordenar comandos enviados às RTUs comprometidas. O malware subsequente desenvolvido em C será transferido e escrito em diretórios critícos do sistema, como C:\Windows\System32. A segunda etapa o shellcode autoexecuta o binário do malware baixado, seja por meio de WinExec, CreateProcess vinculado a injeção do processo vulnerável e confiável do ambiente OT. Uma vez em execução como um processo legítimo no sistema operacional Windows da RTU, o implant estabelece e recebe uma comunicação, atuando como backdoor persistente. Esse agente possibilita acesso direto à lógica de controle industrial. Além do controle remoto da planta, o backdoor pode enumerar e extrair licenças de software industrial e exfiltrá-las para o C2, permitindo o reaproveitamento ilícito das licenças como ocorre em ataques sofisticados de APT. | Fernando Mengali | |