Professional Documents
Culture Documents
el telfono y es su jefe
indicando que los clientes no pueden
acceder. La red est siendo atacada.
2. Llegas
al
lugar
del
incidente.
Formateas
los
equipos,
instalas
nuevos antivirus, actualizas todo y
entras en operaciones otra vez en 3
das.
3. Pasan
2 semanas y los problemas
vuelven, esta vez ms intensos.
4. No sabes qu hacer y hay que llamar a
un especialista
Definicin de Malware
Malware
Abreviatura de malicious software
Es
Fuente: AV-TEST.org
infectados.
Ataque: Jackpotting
Consiste en infectar un ATM para extraer el dinero de
su bveda interna.
En BlackHat USA
extras (toolbars).
Prdida de informacin.
Vectores de infeccin
Vulnerabilidades en aplicaciones:
RCE (Remote Code Execution): Vulnerabilidad que permite
ejecutar cdigo arbitrario en aplicaciones. Tambin puede
suceder en sistemas operativos.
Vectores de infeccin
Medios extrables:
Contaminacin en el sistema de archivos: Malware que
detecta la insercin de un pendrive y lo infecta.
Vectores de infeccin
Documentos descargados de Internet:
Algunos tipos de archivos pueden llevar algn tipo de
cdigo ejecutable, tales como las Macros en Excel, o el
JavaScript en el formato PDF.
Vectores de infeccin
Vulnerabilidades en el navegador (drive-by download):
Hay formas de infectarse simplemente navegando la web, ya
sea infectando el navegador o sus plugins (Flash, Java, ).
Vectores de infeccin
Ingeniera social:
A travs de dark patterns, se puede
llevar a las vctimas a cometer acciones
indebidas.
Dark patterns: Es un tipo de interfaz de
usuario que est diseada para engaar
al usuario.
Los dark patterns ms comunes son:
Ejemplo de DGA
def generate_domain(year, month, day):
domain = ""
for i in range(16):
year = ((year ^ 8 * year) >> 11) ^ ((year & 0xFFFFFFF0) << 17)
month = ((month ^ 4 * month) >> 25) ^ 16 * (month & 0xFFFFFFF8)
day = ((day ^ (day << 13)) >> 19) ^ ((day & 0xFFFFFFFE) << 12)
domain += chr(((year ^ month ^ day) % 25) + 97)
return domain + ".com"
Resultado:
7-Enero-2014 = intgmxdeadnxuyla.com
8-Enero-2014 = axwscwsslmiagfah.com
Parte 2
Gusanos
Banking Trojans
Su propsito es mantener el
Su propsito es interceptar la
Trojan Downloader
Su propsito es mantener los troyanos actualizados en el sistema.
Funcionamiento de un rootkit
Funcionamiento de un rootkit
Modo usuario
Aplicaciones
Utilitarios
Rootkit
Cdigo malicioso
Valores modificados
Drivers
Hardware
Funcionamiento de un rootkit
Antes de activar el rootkit
Funcionamiento de un rootkit
Despus de activar el rootkit
Funcionamiento de los AV
Funcionamiento por firmas de archivos
(virus signatures).
Anlisis heurstico.
Sistema de prevencin de intrusiones
de archivos.
Es una tcnica que est perdiendo
vigencia, pero an se usa para detectar
malware sencillo.
Es efectivo cuando el malware no es
polimrfico.
YARA (http://plusvic.github.io/yara/)
Anlisis heurstico
En teora, es capaz de detectar malware
objetivo.
Mantuvo gran cantidad de cdigo basura, engaando al
sistema heurstico. Emplea aprox. 20 exploits zeroday.
Estuvo firmado digitalmente por certificados robados de
JMicron Technology y Realtek Semiconductor.
Deteccin HIPS
El Sistema de prevencin de intrusiones
Intrusion (Detection/Prevention) S.
N-IDS (Network-based):
N-IPS (Network-based):
Honeypots
Son
equipos
con
aadidas a propsito.
vulnerabilidades
actividad detallados.
Honeynets
Son redes de honeypots. Se dedican los equipos a la
Cifrado de una va
Cualquier cambio en el input cambiar el valor final.
Ejemplo: SHA-1
Funcin criptogrfica de hash de 160 bits.
Valor
SHA-1(Valor)
abcd1234
7ce0359f12857f2a90c7de465f40a95f01cb5da9
abdc1234
9c0f04357f03dda56d0d2a56404b7b786fa70bc8
1234abcd
e7d537e128158790157ea057bb883e0292a84930
ABCD1234
e331b72617e2a02b6a8d9f24065d1a293b6f99bb
JOTTI (http://virusscan.jotti.org/en).
Aproximadamente 20 antivirus activos.
COMODO (https://valkyrie.comodo.com/)
Analiza usando la ltima tecnologa de COMODO.
AVG (http://www.avgthreatlabs.com/website-safety-
reports/)
Parte 3
Ingeniera Inversa
El es proceso de extraer conocimiento o
de ingeniera inversa:
Anlisis esttico
Anlisis dinmico
Malware Labs
Un laboratorio de malware es el
Corre
en un espacio
equipo aisladamente.
aislado de la memoria.
Utiliza el mismo sistema Es necesario que tenga
operativo en el que se
un sistema operativo
encuentra.
propio.
Con un equipo sencillo Es necesario un equipo
es suficiente.
relativamente potente.
No tener se debe tener No tener se debe tener
archivos personales en el
archivos personales en el
sistema.
sistema.
NSLOOKUP de un Dominio
Se usa para obtener los registros de direcciones IP.
Tambin se argumenta que PING funciona para esta
> google.com
Servidor: UnKnown
Address: 192.168.1.1
Respuesta no autoritativa:
Nombre: google.com
Addresses: 190.142.193.59, 190.142.193.29, 190.142.193.24, 190.142.193.35
190.142.193.30, 190.142.193.25, 190.142.193.55, 190.142.193.20, 190.142.193.39
190.142.193.34, 190.142.193.50, 190.142.193.45, 190.142.193.49, 190.142.193.40
190.142.193.44, 190.142.193.54
>
WHOIS de un Dominio
Funciona para averiguar el propietario de
Ejemplo: WHOIS
Comando: whois google.com
DIG de un Dominio
Domain Information Groper (DIG) es una
Sandboxie y BSA