Your SlideShare is downloading. ×
0
Laboratorio de Análisis de Malware                             @hugo_glez                 This work is licensed under the ...
Acerca de:http://atit.upslp.edu.mx/~hugo/
●   No hago análisis de malware por motivos    económicos/profesionales, tiene que ver más    con investigación y cuestion...
¿ Para qué analizar malware ?
Mi punto es:●   Conocer sobre el malware y su    comportamiento.●   Ayudar en la automatización del análisis de    malware...
Mi punto es:●   Conocer sobre el malware y su    comportamiento.●   Ayudar en la automatización del análisis de    malware...
Laboratorio●   El laboratorio es un lugar dotado de los medios    necesarios para realizar investigaciones,    experimento...
Laboratorio de análisis de malwareCon software libre !!
Método científico●   Observación●   Inducción●   Hipótesis●   Experimentación●   Demostración●   Tesis o Teoría    (Conclu...
Objetivo:Aprender más sobre el malware         Publicar ...
●   Recolección de malware●   Análisis    ●   Estático    ●   Dinámico    ●   De comportamiento●   Resultados
Arquitectura genéricaCaptura:          Análisis:   Resultados:
Arquitectura genérica Captura:  Nepenthes   Dionaea   SpampotContagioDUMPUSB en el ciber    ListasOtras fuentes.
Dionaeahttp://dionaea.carnivore.it
Video
Arquitectura genérica         Análisis:          Estático           Strings         Decompilar        Desensamblar        ...
Cuckoo
Video
Arquitectura genérica                   Resultados:                     Más análisis                        Reporte       ...
Ponga aquí lo que le agrade
Arquitectura genérica Captura:              Análisis:            Resultados:  Nepenthes             Estático              ...
Spampot
Casos●   InetSim    http://www.inetsim.org/index.html
Android malware
Ejemplos●   Dionaea + cuckoo = reportes●   Dionaea + Vbox (capture tcpdumps) = cluster●   Contagiodump + vbox (MacOS)
Conclusiones●   Estudiar malware por diversión !●   Existen muchas herramientas que ayudan, pero    todavía falta mejorar ...
¿ Preguntas ?                @hugo_glez
Reto de analisis forense para android en:http://atit.upslp.edu.mx/~hugo/guadalajaracon/
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Upcoming SlideShare
Loading in...5
×

Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

10,009

Published on

En esta plática se explicará como montar un laboratorio de análisis de malware. Incluyendo todo el proceso, desde la captura hasta el análisis.

Se capturará el malware “in the wild” utilizando Dionaea, posteriormente se mostrará el proceso para analizar dinamicamente el malware utilizando Cuckoo Sandbox en una “Internet controlada”.

No pertenezco a ninguna casa antivirus, así que los reportes se quedan en privado para cuestiones académicas. Y cuando el virus lo amerita, pues le hacemos algo de “reversing” para conocer más sobre él.

La idea es integrar las herramientas para generar análisis semi-automáticos de los virus que caen en el sensor.

Se publicará la nueva versión de la herramienta Arania. Arania nos sirve para detectar ataques de RFI (Remote File Inclusion) buscando en los logs del servidor, en este caso si descarga la herramienta y busca una “segunda inclusión”, para obtener el código completo.

GUADALAJARACON 2012
http://www.guadalajaracon.org

Guadalajara, Jalisco, México - 20 y 21 de abril del 2012

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
10,009
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
56
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Laboratorio de Análisis de Malware [GuadalajaraCON 2012]"

  1. 1. Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
  2. 2. Acerca de:http://atit.upslp.edu.mx/~hugo/
  3. 3. ● No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas.● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
  4. 4. ¿ Para qué analizar malware ?
  5. 5. Mi punto es:● Conocer sobre el malware y su comportamiento.● Ayudar en la automatización del análisis de malware.● Contribuir a la seguridad en Internet.● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
  6. 6. Mi punto es:● Conocer sobre el malware y su comportamiento.● Ayudar en la automatización del análisis de malware.● Contribuir a la seguridad en Internet.● Resolver problemas del estado de la práctica y del estado del arte. (cripto)● ¡Conseguir trabajo en un laboratorio de antivirus!
  7. 7. Laboratorio● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
  8. 8. Laboratorio de análisis de malwareCon software libre !!
  9. 9. Método científico● Observación● Inducción● Hipótesis● Experimentación● Demostración● Tesis o Teoría (Conclusiones)
  10. 10. Objetivo:Aprender más sobre el malware Publicar ...
  11. 11. ● Recolección de malware● Análisis ● Estático ● Dinámico ● De comportamiento● Resultados
  12. 12. Arquitectura genéricaCaptura: Análisis: Resultados:
  13. 13. Arquitectura genérica Captura: Nepenthes Dionaea SpampotContagioDUMPUSB en el ciber ListasOtras fuentes.
  14. 14. Dionaeahttp://dionaea.carnivore.it
  15. 15. Video
  16. 16. Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
  17. 17. Cuckoo
  18. 18. Video
  19. 19. Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
  20. 20. Ponga aquí lo que le agrade
  21. 21. Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación DinámicoContagioDUMP Depurar (Ollydbg, IDA) ComparaciónUSB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina RealOtras fuentes. Conocimiento !! Otros ?
  22. 22. Spampot
  23. 23. Casos● InetSim http://www.inetsim.org/index.html
  24. 24. Android malware
  25. 25. Ejemplos● Dionaea + cuckoo = reportes● Dionaea + Vbox (capture tcpdumps) = cluster● Contagiodump + vbox (MacOS)
  26. 26. Conclusiones● Estudiar malware por diversión !● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas.● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones.● Wadalec, Duqu / Stuxnet.● Android malware.
  27. 27. ¿ Preguntas ? @hugo_glez
  28. 28. Reto de analisis forense para android en:http://atit.upslp.edu.mx/~hugo/guadalajaracon/
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×