Anche quest’anno, il developer SpecterDev sarà presente alla conferenza Hardwear.io, dove, insieme a zi, co-fondatore di Dayzerosec, terrà per la prima volta un corso di formazione incentrato sull’attacco agli hypervisor di sicurezza.
Il training ha l’obiettivo di fornire ai partecipanti una comprensione approfondita dell’architettura della virtualizzazione moderna e delle superfici d’attacco, con particolare attenzione a KVM (Kernel-based Virtual Machine), Samsung Knox RKP (Real-time Kernel Protection), Huawei HHEE (Hypervisor Execution Environment) e Microsoft Hyper-V.
My @dayzerosec co-host zi and I are giving our 1st training @ https://t.co/Na25TGbLQE with a focus on attacking security hypervisors! Trainings are something we've wanted to do for a while.
Take a look and share to those who would be interested 🙂https://t.co/zM6QJjPcrk
— Specter (@SpecterDev) February 6, 2025
Attraverso sessioni pratiche, i partecipanti impareranno a individuare vulnerabilità nei meccanismi di sicurezza degli hypervisor e a sfruttare debolezze nella progettazione e nella gestione della memoria per comprometterli.
Il corso è strutturato in tre giornate. Il primo giorno è dedicato all’introduzione e all’analisi di KVM, con lo studio dei fondamenti della virtualizzazione basata su hardware, la struttura e il design degli hypervisor, e le differenze architetturali tra VMX, SVM e VHE.
Verranno approfondite le operazioni specifiche di KVM e i Model-Specific Registers (MSRs), analizzando un caso di vulnerabilità logica e affrontando laboratori pratici su debugging, scrittura di un mini OS per attaccare hypervisor ed exploit di un bug di design.
Il secondo giorno sarà focalizzato sullo sfruttamento avanzato degli hypervisor. I partecipanti studieranno le tecniche di corruzione della memoria, le strategie di attacco e le sfide legate a questa tipologia di exploit.
Verranno trattati i meccanismi di paging esteso e virtualizzazione della memoria, con laboratori dedicati all’analisi e all’attacco di vulnerabilità in KVM, comprese le tecniche di sfruttamento tramite dispositivi e Memory-Mapped I/O (MMIO).
L’ultima giornata sarà dedicata agli hypervisor di sicurezza, analizzando le tecnologie utilizzate per rafforzare la protezione dei sistemi.
Saranno esaminati gli hypervisor di sicurezza mobile, come Samsung RKP e Huawei HHEE, oltre a Microsoft Hyper-V e l’hypervisor della PlayStation 5.
I partecipanti avranno la possibilità di affrontare sessioni pratiche di reverse-engineering su RKP e HHEE, esplorando tecniche per sfruttare vulnerabilità nei security hypervisor.
Il corso è rivolto a ricercatori di sicurezza con esperienza nella virtualizzazione, penetration tester specializzati nella sicurezza a basso livello, red teamers, sviluppatori di piattaforme e analisti kernel.
Per partecipare è necessario avere un laptop con CPU a 64-bit con supporto alla virtualizzazione hardware, almeno 16GB di RAM e 50GB di spazio libero.
Sono richieste competenze in linguaggio C, exploit di memoria come ROP, lettura di assembly x86_64 o ARM, oltre a familiarità con strumenti di reverse-engineering come Ghidra o Binary Ninja.
Ai partecipanti verrà fornita una chiavetta USB con il materiale del corso, comprese slide, software, un’immagine di macchina virtuale Ubuntu, script e documentazione di supporto.
Il training sarà tenuto da zi, ex sviluppatore di sistemi anti-cheat e ora ricercatore di sicurezza con esperienza in reverse-engineering di sistemi mobile, cloud e console, e da SpecterDev, specialista in exploit del kernel e virtualizzazione, con un focus su Android e Linux.
SpecterDev ha inoltre condotto ricerche sull’hypervisor della console PlayStation 5, già presentate nelle precedenti edizioni di Hardwear.io.
Il training si terrà dal 27 al 29 maggio 2025 presso il Santa Clara Marriott. Le sessioni si svolgeranno dalle 9:00 alle 17:30 (PDT) e saranno rivolte a partecipanti con un livello di competenza intermedio-avanzato.
Fonte: x.com
