Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

10,185
-1

Published on

En esta plática se explicará como montar un laboratorio de análisis de malware. Incluyendo todo el proceso, desde la captura hasta el análisis.

Se capturará el malware “in the wild” utilizando Dionaea, posteriormente se mostrará el proceso para analizar dinamicamente el malware utilizando Cuckoo Sandbox en una “Internet controlada”.

No pertenezco a ninguna casa antivirus, así que los reportes se quedan en privado para cuestiones académicas. Y cuando el virus lo amerita, pues le hacemos algo de “reversing” para conocer más sobre él.

La idea es integrar las herramientas para generar análisis semi-automáticos de los virus que caen en el sensor.

Se publicará la nueva versión de la herramienta Arania. Arania nos sirve para detectar ataques de RFI (Remote File Inclusion) buscando en los logs del servidor, en este caso si descarga la herramienta y busca una “segunda inclusión”, para obtener el código completo.

GUADALAJARACON 2012
http://www.guadalajaracon.org

Guadalajara, Jalisco, México - 20 y 21 de abril del 2012

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
10,185
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
56
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

  1. 1. Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
  2. 2. Acerca de:http://atit.upslp.edu.mx/~hugo/
  3. 3. ● No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas.● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
  4. 4. ¿ Para qué analizar malware ?
  5. 5. Mi punto es:● Conocer sobre el malware y su comportamiento.● Ayudar en la automatización del análisis de malware.● Contribuir a la seguridad en Internet.● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
  6. 6. Mi punto es:● Conocer sobre el malware y su comportamiento.● Ayudar en la automatización del análisis de malware.● Contribuir a la seguridad en Internet.● Resolver problemas del estado de la práctica y del estado del arte. (cripto)● ¡Conseguir trabajo en un laboratorio de antivirus!
  7. 7. Laboratorio● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
  8. 8. Laboratorio de análisis de malwareCon software libre !!
  9. 9. Método científico● Observación● Inducción● Hipótesis● Experimentación● Demostración● Tesis o Teoría (Conclusiones)
  10. 10. Objetivo:Aprender más sobre el malware Publicar ...
  11. 11. ● Recolección de malware● Análisis ● Estático ● Dinámico ● De comportamiento● Resultados
  12. 12. Arquitectura genéricaCaptura: Análisis: Resultados:
  13. 13. Arquitectura genérica Captura: Nepenthes Dionaea SpampotContagioDUMPUSB en el ciber ListasOtras fuentes.
  14. 14. Dionaeahttp://dionaea.carnivore.it
  15. 15. Video
  16. 16. Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
  17. 17. Cuckoo
  18. 18. Video
  19. 19. Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
  20. 20. Ponga aquí lo que le agrade
  21. 21. Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación DinámicoContagioDUMP Depurar (Ollydbg, IDA) ComparaciónUSB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina RealOtras fuentes. Conocimiento !! Otros ?
  22. 22. Spampot
  23. 23. Casos● InetSim http://www.inetsim.org/index.html
  24. 24. Android malware
  25. 25. Ejemplos● Dionaea + cuckoo = reportes● Dionaea + Vbox (capture tcpdumps) = cluster● Contagiodump + vbox (MacOS)
  26. 26. Conclusiones● Estudiar malware por diversión !● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas.● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones.● Wadalec, Duqu / Stuxnet.● Android malware.
  27. 27. ¿ Preguntas ? @hugo_glez
  28. 28. Reto de analisis forense para android en:http://atit.upslp.edu.mx/~hugo/guadalajaracon/
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×