SlideShare a Scribd company logo

Virus arte y métodos de control, infección y actualización

Download as PPTX, PDF
Oskar Laguillo
Oskar Laguillo

El documento describe varios métodos para crear y propagar virus de computadora, incluyendo encriptación, mutaciones, evasión de detección, actualizaciones automáticas y escondites en el sistema ("rootkits"). También discute técnicas de ingeniería inversa y explotación de vulnerabilidades para infectar sistemas.

Technology
1 of 59
Virus arte de algunos. - Alberto García de Dios
1. Métodos de control 2. SEO es tu amigo 3. Encriptación y mutaciones 4. Bypassingtheworld 5. Infección y entrada 6. Código inteligente y auto actualizable 7. Rootkit escóndete en el sistema 8. Enlaza tu virus 9. Expande tu virus 10. El virii debería ser arte
Métodos de control ¿Cómo podemos controlar un bot si se lo hemos añadido a nuestro virus?.
• Control mediante aplicación propia • Aplicaciones web para la programación de botnet • Programación de aplicaciones web para control de botnet • Control mediante IRCd
En contra: • Es necesario mas recursos para no ser detectado el autor • Es necesario acceso total a un servidor • Es mas estable y rápido • Es menos complejo o “enrevesado” • Es mas probable que por defecto el firewall no lo permita A favor: • Tiene posibilidades de hacer funciones que con otros métodos es imposible • Puedes crear túneles y/o abusar de su conexión
Usos: • Estas en la misma red que la victima • La finalidad es control remoto troyano •Transferir gran cantidad de datos •Control de tipo webcam, pantalla remota •Infección especifica por recursos
SEO es tu amigo Uso malintencionado de SEO.
• Aparecer en los primeros puestos en palabras clave es un forma de atraer masas hacia tu/tus código/s mal intencionado/s. • La pornografía es un método muy utilizado ya que tiene una gran cantidad de visitas. Los usuarios cuando ven pornografía son mas incautos. Algunos la visitan desde maquinas virtuales • Los “boom” del momento también atraen gran cantidad de usuarios.
• Funcionamiento de la pornografía orientada al malware. Página de temática “Amateur” Página de temática “Amateur”, e n el jardín Página de temática “Amateur”, en la ducha Página de temática “Amateur” mas fuerte Páginas de promoción con muestra de imágenes o videos Página mal intencionada Llamadas entre si aleatoriamente Llamada tras unas vueltas a la página mal intencionada.
• Aprovechando el “boom” del momento. • Hacer una encuesta sobre “crepúsculo” y estar en las primeras páginas encontradas por google llama en su gran mayoría a un público mas incauto. • Puedes crear el “boom”… Típico 0day remoto para OpenSSH.
• Puedes encontrar información sobre técnicas de SEO • Hay técnicas de “moral relajada” que entre otros lugares puedes encontrar en “el lado del mal”. • Google hacking o sitios poco seguros con una cantidad de visitas significantes pueden ser utilizados para hacer promoción de tu sitio malintencionado.
Encriptación y mutaciones Métodos criptográficos en virus, mutaciones etc…
1.Shellcodecrypt/decrypt 2.Como funciona un packer 3. Soy mutante
• Parte de la shellcode contiene datos que van a ser modificados en tiempo de ejecución. • Tiene uno o mas bucles de descifrado para modificar los bytes codes. • Escribiendo el código, crearíamos una cadena de bytes con los opcode de la shellcode en un “segundo” código que seria el decrypter. • Cifrar también los “nop” ayuda en la evasión ids.
ShellcodeCrypt crypt_loop: mov al, byte ptr [esi+edi] add al, bl mov dl, byte ptr [esi+ecx] add dl, bl mov byte ptr [esi+edi], al mov byte ptr [esi+ecx], dl cmp ecx, 0 je crypt_end_loop addecx, 2 inc edi jmp crypt_loop
• Inserción de un archivo dentro de un método de extracción automática (Unión de dos archivos). • Copia a una carpeta temporal o con privilegios y posterior desempaquetado y descifrado en caso de estarlo. • Copia en extractos de memoria y posterior ejecución. Habitualmente en la memoria “Heap” (dada su situación estática).
• Bucle incompleto relleno con una cadena recogida de internet. Dificulta el reversing antes de la ejecución del malware. • Sección o “Stub” con opción “read/write” siendo descifradas en tiempo de ejecución • Fragmentación en varias secciones de memoria diferentes con saltos de una a otra para dificultar su análisis.
• Cambiamos fracciones de código servible o no servible. Malware.exe x90x90x… Malware.exe Tras la primera ejecución x40x48x…. Parte del código no utilizable ejemplo “x90x90x90x90…” Parte del código no utilizable “x40x48x40x48…”
• El código cambia su cambia su clave criptográfica Malware.exe Clave cripto 0x5e Malware.exe Tras la primera ejecución Parte del código no utilizable ejemplo “x11x62x23…” Parte del código no utilizable “x94x75x56…” Bucle descifrado Código cifrado Clave cripto 0x9a Bucle descifrado Código cifrado Bucle de cifrado Bucle de cifrado
• El código cambia también el cifrado entre 3 o mas opciones, lo cual complica la firma. Malware.exe Clave cripto 0x5e Malware.exe Tras la primera ejecución Parte del código no utilizable ejemplo “x11x62x23…” Parte del código no utilizable “x94x75x56…” Clave cripto 0x9e Bucle descifrado 1 Código cifrado Bucle descifrado 2 Bucle descifrado 3 Bucle descifrado 1 Código cifrado Bucle descifrado 2 Bucle descifrado 3 Bucle de cifrado 1 Bucle de cifrado 2 Bucle de cifrado 3 Bucle de cifrado 1 Bucle de cifrado 2 Bucle de cifrado 3
• Apertura del archivo : “OpenFileA/NtOpenFile” • Podemos utilizar la propia firma o una cadena especifica para la búsqueda “ db ‘JennyLab’, 0 ” • Si escribimos al final de un archivo PE, no ocurre nada lo cual nos permite incluso meter datos para la mutación. • Podemos inyectar un hilo para mover archivos o hacer algún cambio, tras el cierre del proceso malware “CreateRemoteThread”
Bypassingtheworld ¿Cómo salimos de la red?
Envío de 29 bytes comprimidos de forma totalmente indetectable y pasando por cualquier firewall que no tenga el servidor DNS aislado.
• Compresión de un número de 16 dígitos ( como una tarjeta de crédito por ejemplo). 5 8 7 9 9 9 8 9 3 3 1 5 8 9 0 2 16 bytes / 4098 / 4098 / 4098 = 5 bytes + 1 byte 8 5 4 4 0 A Si es un numero impar tenemos un “flag” para restar „1‟ al resultado final sumado al número anteriormente
• Muchos sitios ( ya cada vez menos ) permiten la resolución DNS publica lo cual nos permite la creación de un túnel “tcptodns”. • Si tu dominio no esta en una blacklist no es muy habitual encontrar filtrados por whitelist. • Los túneles http no suelen ser filtrados.
De una manera bastante habitual se suele encontrar servidores que por actualizaciones o razones varias salen por el puerto 80 tcp. Esto puede ser útil para sacar datos de la red sin necesidad de utilizar proxy, lo cual puede ser útil en virus a medida.
• Con rawsocket podemos hacer en el servidor de sniffer de la capa IP, utilizando la capa ICMP para recibir datos del infectado. • Haciendo hooking de la capa NDIS podemos hacer el sniffer de protocolos de capas inferiores como STP. • Librerías como libpcap nos permitirían hacer el sniffer pero dependerías de librerías.
• Una conexión como la de reDuh através del servidor proxy de lugares “seguros” es posible.
•Podemos conseguir el proxy utilizado actualmente por el sistema en la clave de registro “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingP roxyServer”. • Podemos utilizar “ReDuh” en el servidor web con que haga el túnel de http a tcp •ReDuh usa un archivo javascript con unas funciones básicas. “startReDuh”, “getData”, “killReDuh”, “createSocket”, “newData”, “debug” •ReDuh también recoge los parámetros
•También podemos programar aplicaciones simples en “php”, que permitan el control del virus, haciendo que conecte a cualquier servidor gratuito con “php”. • Alguno virus han utilizado cosas como redes sociales, grupos etc... • Hay aplicaciones webopensource para el control de botnet.
Infección y entrada Infección básica de un PE.
• Añadido de sección o al final del archivo añadimos el código, ya que si escribimos al final de un archivo PE no ocurrirá nada. • Las llamadas a las API‟s la haremos utilizando la “IAT” o sacaremos las API‟s usando PEB aunque no es lo mas correcto dado que ya tenemos recuperadas las API‟s en la “ImportTable”.
• Cambio del “EntryPoint” consiguiendo que se ejecute nuestro código. • Nuestro código malicioso salta al antiguo “EntryPoint” asegurándose la correcta ejecución del binario ya que no ha sufrido ninguna modificación.
• La infección básica mas conocida consiste en el añadido de una sección de código y un cambio en el “EntryPoint”, y un salto hacia el punto de entrada anterior, ejecutándose primero el virus. Code EntryPoint PE HEADER Code PE HEADER EntryPoint Evil code Antiguo EntryPoint Jumpto original entrypoint Ejecutable normal Ejecutable infectado
•EntryPointobscuring (EPO). No se modifica la dirección de entrada ya que es sospechoso, si no que se cambian los primeros bytes con un jmp hacia el código o durante la ejecución Code EntryPoint PE HEADER Code PE HEADER EntryPoint Evil code ret_malware Jumpto evilcode Ejecutable normal Ejecutable infectado Jmpret_malware
•El método mas habitual de entrada es exploit en el explorador web, plugin del mismo o archivos mal intencionados. • El exploit ejecuta código binario o interpretado por el explotador.
•Descarga un archivo mínimo que hace posteriores descargas previamente deshabilitando el sistema de seguridad instalado en el PC cliente. En su defecto desempaqueta un archivo binario que es el virus. • Empieza la infección y el intento de trasmisión a otros equipos.
Código inteligente y actualizable Tu virus puede ser inteligente y actualizable.
• Podemos descargar el nuevo archivo por http ya sea usando las API‟s o alguna inyección al explorador o exploradores utilizados. Se debe tener en cuenta que la mayoría de los usuarios no domésticos necesitan conectar mediante proxy. • Funcionar mediante módulos (dll‟s), es una buena opción para “instalar” remotamente partes del virus, puede perder infectados que no le permitan salir por http.
• Tu virus puede descargar una nueva versión y ser remplazado o borrado previamente a la copia. •Tu virus puede ser inteligente si esta dotado de matriz
• Si esta dividido en módulos, actualizar cualquier módulo es tan fácil como no cargarlo o inyectarlo en otro proceso hasta el remplazo. • En caso de ser el ejecutable o no estar dividido en módulos, podemos inyectar código y cerrar el proceso padre antes de que sea sobrescrito o borrado. • Si esta divido en módulos, se puede hacer un módulo de actualización.
• Creando “arrays” con antivirus, antispyware, firewall de host, nids y otros sistemas de seguridad host, podemos detectarlos he intentar matarlos o interrumpir su detección. • Podemos detectar programas que pongan en peligro el virus por que sean de análisis, ingeniería inversa etc… Debería tener un sistema de auto borrado y desinfección para intentar evadir esto.
Rootkit escóndete en el sistema Cosas interesantes para esconderse.
• La intercepción de API‟s de conexión a internet, como (connect, WSAConnect), (URLDownloadToFile*, URLDownloadToCacheFile* )etc… es útil para filtrar • La API “WSAIoctl” y el argumento “SIO_RCVALL”, pueden ser utilizadas para hacer un “sniffer” del tráfico lo que pone en peligro la detección del tráfico del virus.
• Las API‟s “GetTcpStatsFromStackEx”, “GetUdpStatsFromStackEx”, “GetIpStatsFromStackEx”, y varias API‟s mas, de (iphlpapi) pueden ser interceptadas con la finalidad de esconderse de aplicaciones como “netstat” y otras aplicaciones básicas para la estadística o monitorización del estado de la pila IP, TCP y otros protocolos utilizados en el sistema.
• La API “WSAIoctl” y el argumento “SIO_RCVALL”, pueden ser utilizadas para hacer un “sniffer” del tráfico lo que pone en peligro la detección del tráfico del virus. • Las API‟s (gethostbyname, GetAddressByName), hacen resoluciones dns, podemos filtrar IP‟s de lugares de actualización, antivirus online y otros contenidos peligrosos para el virus.
Enlaza tu virus Js, sys
• Descarga un archivo pequeño que hace posteriores descargas previamente deshabilitando el sistema de seguridad instalado en el PC cliente. En su defecto desempaqueta un archivo binario que es el virus. • Empieza la infección y el intento de trasmisión a otros equipos.
• Puede utilizar exploit para exploradores web que permitan la ejecución de javascript, haciendo descarga y ejecución de nuestro virus. • La explotación de un overflow también puede ser utilizada para la descarga y ejecución de nuestro virus. • Otra opción es utilizar archivos mal intencionados como puede ser pdf y su oleada de exploits o otros formatos vulnerables.
• La carga de un driver mal intencionado se puede utilizar para hacer hook a la SSTD, permitiéndole interceptar llamadas del modo kernel. • Haciendo hook a API‟s, Zw*, Nt*, Rtl* etc…, podemos interceptar llamadas de otras aplicaciones aunque la aplicación corra en “ring3” modo user
• Haciendo hook a la capa NDIS podemos evadir los sniffers. • Haciendo hook a API‟s de procesos cómo (ZwOpenProcess, NtOpenProcess). Podrá esconder su presencia como proceso. • Conexión TCP o UDP en modo kernel utilizando la capa TDI.
•Javascript nos permite modificar cadenas, lo cual nos permite decodificar en tiempo de ejecución. • La función “unescape()” de javascript nos permite decodificar cadenas esto dificulta levemente el análisis. • La función “Chr()” de javascript nos permite meter bytes en lugar de la cadena dificulta levemente el análisis.
Expande tu virus Métodos de expansión
• Infección de archivos en discos montados con recursos compartidos, para ejecución desde otros equipos que accedan a el y ejecuten los archivos. • Búsqueda de recursos compartidos tipo “IPC$”. • Mensajería instantánea •Exploits
•Hook al teclado • Envío de las pulsaciones a la ventana • Robo de contactos
• Infección de archivos PE • Remplazo de archivo PDF malintencionados •Exploit de archivos .lnk
El virii debería ser un arte
•Donut by Benny: Infección de archivo MSIL. •GriYo: EntryPointobscuring • Z0MBIE: Infección de imágenes ISO. • La mayoría del malware “comercial” no aporta mucho y en casó de hacerlo quien lo saca a la luz son las personas que lo analizan. • No publicar virus para que no lo usen comercialmente

Recommended

Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Tecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsTecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsn3xasec
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 

Recommended

Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Tecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsTecnicas avanzadas de penetracion a sistemas con ids
Tecnicas avanzadas de penetracion a sistemas con idsn3xasec
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Mackaber Witckin
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)Corp. Weapon's
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Ataque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali LinuxAtaque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali LinuxCarlos Otero
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Leccion 2 p.o.p
Leccion 2 p.o.pLeccion 2 p.o.p
Leccion 2 p.o.pMIKEWASAHUSKY
 
Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011paolafernanda021
 

More Related Content

What's hot

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]RootedCON
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Mackaber Witckin
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...RootedCON
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)Corp. Weapon's
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Ataque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali LinuxAtaque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali LinuxCarlos Otero
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresAlejandro Ramos
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 

What's hot (20)

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
 
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]
 
Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)Taller de Hacking (EXIT 2014)
Taller de Hacking (EXIT 2014)
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
Sergio De Los Santos - BREAKING OUT HSTS (AND HPKP) ON FIREFOX, IE/EDGE AND (...
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)DHCP Spoofing STP Mangling (CORP. ARMAS)
DHCP Spoofing STP Mangling (CORP. ARMAS)
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una Backdoor
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Ataque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali LinuxAtaque DNS spoofing con Kali Linux
Ataque DNS spoofing con Kali Linux
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 

Viewers also liked

Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011paolafernanda021
 
Habilidades( mayra alejandra ballesteros ayala)
Habilidades( mayra alejandra ballesteros ayala)Habilidades( mayra alejandra ballesteros ayala)
Habilidades( mayra alejandra ballesteros ayala)mayaleba
 
Naturaleza en aragon
Naturaleza en aragonNaturaleza en aragon
Naturaleza en aragongarrapicole
 
Glosario de riesgos físicos, químicos y biológicos
Glosario de riesgos físicos, químicos y biológicosGlosario de riesgos físicos, químicos y biológicos
Glosario de riesgos físicos, químicos y biológicosRikardo Rodriguez Ramirez
 
Herramienta 2 0_screentoaster_12_
Herramienta 2 0_screentoaster_12_Herramienta 2 0_screentoaster_12_
Herramienta 2 0_screentoaster_12_Promo Sexi
 
Presentación1
Presentación1Presentación1
Presentación1Juliabajof
 
Lector de código de barras
Lector de código de barrasLector de código de barras
Lector de código de barrasNatty Correa
 
Importancia de los valores para una convivencia social
Importancia de los valores para una convivencia socialImportancia de los valores para una convivencia social
Importancia de los valores para una convivencia socialpiritutary
 
Dispositivos de entrada
Dispositivos de entradaDispositivos de entrada
Dispositivos de entradaNatty Correa
 
Medicación en urgencias . Metodo colorimétrico
Medicación en urgencias . Metodo colorimétricoMedicación en urgencias . Metodo colorimétrico
Medicación en urgencias . Metodo colorimétricoaurora ORTEGA ALTUNA
 
Trabajo practico 9
Trabajo practico 9Trabajo practico 9
Trabajo practico 9verdulero8
 
Nombres inolvidables[1] (1)
Nombres inolvidables[1] (1)Nombres inolvidables[1] (1)
Nombres inolvidables[1] (1)yeralcriado
 

Viewers also liked (20)

Leccion 2 p.o.p
Leccion 2 p.o.pLeccion 2 p.o.p
Leccion 2 p.o.p
 
Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011Fiesta de la tecnología en cenexpo 2011
Fiesta de la tecnología en cenexpo 2011
 
Clase 3 qm profundización.2006
Clase 3 qm profundización.2006Clase 3 qm profundización.2006
Clase 3 qm profundización.2006
 
Reyleon (1)
Reyleon (1)Reyleon (1)
Reyleon (1)
 
Gobernantes a la escuela
Gobernantes a la escuelaGobernantes a la escuela
Gobernantes a la escuela
 
Habilidades( mayra alejandra ballesteros ayala)
Habilidades( mayra alejandra ballesteros ayala)Habilidades( mayra alejandra ballesteros ayala)
Habilidades( mayra alejandra ballesteros ayala)
 
Netvibes
NetvibesNetvibes
Netvibes
 
Naturaleza en aragon
Naturaleza en aragonNaturaleza en aragon
Naturaleza en aragon
 
Glosario de riesgos físicos, químicos y biológicos
Glosario de riesgos físicos, químicos y biológicosGlosario de riesgos físicos, químicos y biológicos
Glosario de riesgos físicos, químicos y biológicos
 
Herramienta 2 0_screentoaster_12_
Herramienta 2 0_screentoaster_12_Herramienta 2 0_screentoaster_12_
Herramienta 2 0_screentoaster_12_
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Presentación1
Presentación1Presentación1
Presentación1
 
Twitter
TwitterTwitter
Twitter
 
Lector de código de barras
Lector de código de barrasLector de código de barras
Lector de código de barras
 
Importancia de los valores para una convivencia social
Importancia de los valores para una convivencia socialImportancia de los valores para una convivencia social
Importancia de los valores para una convivencia social
 
Dispositivos de entrada
Dispositivos de entradaDispositivos de entrada
Dispositivos de entrada
 
Medicación en urgencias . Metodo colorimétrico
Medicación en urgencias . Metodo colorimétricoMedicación en urgencias . Metodo colorimétrico
Medicación en urgencias . Metodo colorimétrico
 
Trabajo practico 9
Trabajo practico 9Trabajo practico 9
Trabajo practico 9
 
Nombres inolvidables[1] (1)
Nombres inolvidables[1] (1)Nombres inolvidables[1] (1)
Nombres inolvidables[1] (1)
 
En fin...
En fin...En fin...
En fin...
 

Similar to Virus arte y métodos de control, infección y actualización

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotesRamon
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
 
Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]RootedCON
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHPNazareno Lorenzo
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011Jhon Jairo Hernandez
 
De presa a cazador
De presa a cazador De presa a cazador
De presa a cazador campus party
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadChariito Roc
 
Funcionamiento de los 'crypters'
Funcionamiento de los 'crypters'Funcionamiento de los 'crypters'
Funcionamiento de los 'crypters'Tensor
 
El sendero del hacker
El sendero del hackerEl sendero del hacker
El sendero del hackerJpaez1999
 
Metodos de cifrado
Metodos de cifradoMetodos de cifrado
Metodos de cifradocheo_zr
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usbDigetech.net
 
Clase 1 21 02-13
Clase 1 21 02-13Clase 1 21 02-13
Clase 1 21 02-13Tensor
 

Similar to Virus arte y métodos de control, infección y actualización (20)

Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Authenticode para malotes
Authenticode para malotesAuthenticode para malotes
Authenticode para malotes
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
 
Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]Ramón Pinuaga - Authenticode para malotes [rooted2017]
Ramón Pinuaga - Authenticode para malotes [rooted2017]
 
Respuestas
RespuestasRespuestas
Respuestas
 
Seminario Seguridad con PHP
Seminario Seguridad con PHPSeminario Seguridad con PHP
Seminario Seguridad con PHP
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011De presa a cazador Campus Party 2011
De presa a cazador Campus Party 2011
 
De presa a cazador
De presa a cazador De presa a cazador
De presa a cazador
 
Propietario
PropietarioPropietario
Propietario
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
Funcionamiento de los 'crypters'
Funcionamiento de los 'crypters'Funcionamiento de los 'crypters'
Funcionamiento de los 'crypters'
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
El sendero del hacker
El sendero del hackerEl sendero del hacker
El sendero del hacker
 
El sendero-del-hacker
El sendero-del-hackerEl sendero-del-hacker
El sendero-del-hacker
 
Metodos de cifrado
Metodos de cifradoMetodos de cifrado
Metodos de cifrado
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
Encriptación para usb
Encriptación para usbEncriptación para usb
Encriptación para usb
 
Clase 1 21 02-13
Clase 1 21 02-13Clase 1 21 02-13
Clase 1 21 02-13
 

Recently uploaded

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Recently uploaded (20)

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

Virus arte y métodos de control, infección y actualización

  • 1.
  • 2. Virus arte de algunos. - Alberto García de Dios
  • 3. 1. Métodos de control 2. SEO es tu amigo 3. Encriptación y mutaciones 4. Bypassingtheworld 5. Infección y entrada 6. Código inteligente y auto actualizable 7. Rootkit escóndete en el sistema 8. Enlaza tu virus 9. Expande tu virus 10. El virii debería ser arte
  • 4. Métodos de control ¿Cómo podemos controlar un bot si se lo hemos añadido a nuestro virus?.
  • 5. • Control mediante aplicación propia • Aplicaciones web para la programación de botnet • Programación de aplicaciones web para control de botnet • Control mediante IRCd
  • 6. En contra: • Es necesario mas recursos para no ser detectado el autor • Es necesario acceso total a un servidor • Es mas estable y rápido • Es menos complejo o “enrevesado” • Es mas probable que por defecto el firewall no lo permita A favor: • Tiene posibilidades de hacer funciones que con otros métodos es imposible • Puedes crear túneles y/o abusar de su conexión
  • 7. Usos: • Estas en la misma red que la victima • La finalidad es control remoto troyano •Transferir gran cantidad de datos •Control de tipo webcam, pantalla remota •Infección especifica por recursos
  • 8. SEO es tu amigo Uso malintencionado de SEO.
  • 9. • Aparecer en los primeros puestos en palabras clave es un forma de atraer masas hacia tu/tus código/s mal intencionado/s. • La pornografía es un método muy utilizado ya que tiene una gran cantidad de visitas. Los usuarios cuando ven pornografía son mas incautos. Algunos la visitan desde maquinas virtuales • Los “boom” del momento también atraen gran cantidad de usuarios.
  • 10. • Funcionamiento de la pornografía orientada al malware. Página de temática “Amateur” Página de temática “Amateur”, e n el jardín Página de temática “Amateur”, en la ducha Página de temática “Amateur” mas fuerte Páginas de promoción con muestra de imágenes o videos Página mal intencionada Llamadas entre si aleatoriamente Llamada tras unas vueltas a la página mal intencionada.
  • 11. • Aprovechando el “boom” del momento. • Hacer una encuesta sobre “crepúsculo” y estar en las primeras páginas encontradas por google llama en su gran mayoría a un público mas incauto. • Puedes crear el “boom”… Típico 0day remoto para OpenSSH.
  • 12. • Puedes encontrar información sobre técnicas de SEO • Hay técnicas de “moral relajada” que entre otros lugares puedes encontrar en “el lado del mal”. • Google hacking o sitios poco seguros con una cantidad de visitas significantes pueden ser utilizados para hacer promoción de tu sitio malintencionado.
  • 13. Encriptación y mutaciones Métodos criptográficos en virus, mutaciones etc…
  • 15. • Parte de la shellcode contiene datos que van a ser modificados en tiempo de ejecución. • Tiene uno o mas bucles de descifrado para modificar los bytes codes. • Escribiendo el código, crearíamos una cadena de bytes con los opcode de la shellcode en un “segundo” código que seria el decrypter. • Cifrar también los “nop” ayuda en la evasión ids.
  • 16. ShellcodeCrypt crypt_loop: mov al, byte ptr [esi+edi] add al, bl mov dl, byte ptr [esi+ecx] add dl, bl mov byte ptr [esi+edi], al mov byte ptr [esi+ecx], dl cmp ecx, 0 je crypt_end_loop addecx, 2 inc edi jmp crypt_loop
  • 17. • Inserción de un archivo dentro de un método de extracción automática (Unión de dos archivos). • Copia a una carpeta temporal o con privilegios y posterior desempaquetado y descifrado en caso de estarlo. • Copia en extractos de memoria y posterior ejecución. Habitualmente en la memoria “Heap” (dada su situación estática).
  • 18. • Bucle incompleto relleno con una cadena recogida de internet. Dificulta el reversing antes de la ejecución del malware. • Sección o “Stub” con opción “read/write” siendo descifradas en tiempo de ejecución • Fragmentación en varias secciones de memoria diferentes con saltos de una a otra para dificultar su análisis.
  • 19. • Cambiamos fracciones de código servible o no servible. Malware.exe x90x90x… Malware.exe Tras la primera ejecución x40x48x…. Parte del código no utilizable ejemplo “x90x90x90x90…” Parte del código no utilizable “x40x48x40x48…”
  • 20. • El código cambia su cambia su clave criptográfica Malware.exe Clave cripto 0x5e Malware.exe Tras la primera ejecución Parte del código no utilizable ejemplo “x11x62x23…” Parte del código no utilizable “x94x75x56…” Bucle descifrado Código cifrado Clave cripto 0x9a Bucle descifrado Código cifrado Bucle de cifrado Bucle de cifrado
  • 21. • El código cambia también el cifrado entre 3 o mas opciones, lo cual complica la firma. Malware.exe Clave cripto 0x5e Malware.exe Tras la primera ejecución Parte del código no utilizable ejemplo “x11x62x23…” Parte del código no utilizable “x94x75x56…” Clave cripto 0x9e Bucle descifrado 1 Código cifrado Bucle descifrado 2 Bucle descifrado 3 Bucle descifrado 1 Código cifrado Bucle descifrado 2 Bucle descifrado 3 Bucle de cifrado 1 Bucle de cifrado 2 Bucle de cifrado 3 Bucle de cifrado 1 Bucle de cifrado 2 Bucle de cifrado 3
  • 22. • Apertura del archivo : “OpenFileA/NtOpenFile” • Podemos utilizar la propia firma o una cadena especifica para la búsqueda “ db ‘JennyLab’, 0 ” • Si escribimos al final de un archivo PE, no ocurre nada lo cual nos permite incluso meter datos para la mutación. • Podemos inyectar un hilo para mover archivos o hacer algún cambio, tras el cierre del proceso malware “CreateRemoteThread”
  • 24. Envío de 29 bytes comprimidos de forma totalmente indetectable y pasando por cualquier firewall que no tenga el servidor DNS aislado.
  • 25. • Compresión de un número de 16 dígitos ( como una tarjeta de crédito por ejemplo). 5 8 7 9 9 9 8 9 3 3 1 5 8 9 0 2 16 bytes / 4098 / 4098 / 4098 = 5 bytes + 1 byte 8 5 4 4 0 A Si es un numero impar tenemos un “flag” para restar „1‟ al resultado final sumado al número anteriormente
  • 26. • Muchos sitios ( ya cada vez menos ) permiten la resolución DNS publica lo cual nos permite la creación de un túnel “tcptodns”. • Si tu dominio no esta en una blacklist no es muy habitual encontrar filtrados por whitelist. • Los túneles http no suelen ser filtrados.
  • 27. De una manera bastante habitual se suele encontrar servidores que por actualizaciones o razones varias salen por el puerto 80 tcp. Esto puede ser útil para sacar datos de la red sin necesidad de utilizar proxy, lo cual puede ser útil en virus a medida.
  • 28. • Con rawsocket podemos hacer en el servidor de sniffer de la capa IP, utilizando la capa ICMP para recibir datos del infectado. • Haciendo hooking de la capa NDIS podemos hacer el sniffer de protocolos de capas inferiores como STP. • Librerías como libpcap nos permitirían hacer el sniffer pero dependerías de librerías.
  • 29. • Una conexión como la de reDuh através del servidor proxy de lugares “seguros” es posible.
  • 30. •Podemos conseguir el proxy utilizado actualmente por el sistema en la clave de registro “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingP roxyServer”. • Podemos utilizar “ReDuh” en el servidor web con que haga el túnel de http a tcp •ReDuh usa un archivo javascript con unas funciones básicas. “startReDuh”, “getData”, “killReDuh”, “createSocket”, “newData”, “debug” •ReDuh también recoge los parámetros
  • 31. •También podemos programar aplicaciones simples en “php”, que permitan el control del virus, haciendo que conecte a cualquier servidor gratuito con “php”. • Alguno virus han utilizado cosas como redes sociales, grupos etc... • Hay aplicaciones webopensource para el control de botnet.
  • 32. Infección y entrada Infección básica de un PE.
  • 33. • Añadido de sección o al final del archivo añadimos el código, ya que si escribimos al final de un archivo PE no ocurrirá nada. • Las llamadas a las API‟s la haremos utilizando la “IAT” o sacaremos las API‟s usando PEB aunque no es lo mas correcto dado que ya tenemos recuperadas las API‟s en la “ImportTable”.
  • 34. • Cambio del “EntryPoint” consiguiendo que se ejecute nuestro código. • Nuestro código malicioso salta al antiguo “EntryPoint” asegurándose la correcta ejecución del binario ya que no ha sufrido ninguna modificación.
  • 35. • La infección básica mas conocida consiste en el añadido de una sección de código y un cambio en el “EntryPoint”, y un salto hacia el punto de entrada anterior, ejecutándose primero el virus. Code EntryPoint PE HEADER Code PE HEADER EntryPoint Evil code Antiguo EntryPoint Jumpto original entrypoint Ejecutable normal Ejecutable infectado
  • 36. •EntryPointobscuring (EPO). No se modifica la dirección de entrada ya que es sospechoso, si no que se cambian los primeros bytes con un jmp hacia el código o durante la ejecución Code EntryPoint PE HEADER Code PE HEADER EntryPoint Evil code ret_malware Jumpto evilcode Ejecutable normal Ejecutable infectado Jmpret_malware
  • 37. •El método mas habitual de entrada es exploit en el explorador web, plugin del mismo o archivos mal intencionados. • El exploit ejecuta código binario o interpretado por el explotador.
  • 38. •Descarga un archivo mínimo que hace posteriores descargas previamente deshabilitando el sistema de seguridad instalado en el PC cliente. En su defecto desempaqueta un archivo binario que es el virus. • Empieza la infección y el intento de trasmisión a otros equipos.
  • 39. Código inteligente y actualizable Tu virus puede ser inteligente y actualizable.
  • 40. • Podemos descargar el nuevo archivo por http ya sea usando las API‟s o alguna inyección al explorador o exploradores utilizados. Se debe tener en cuenta que la mayoría de los usuarios no domésticos necesitan conectar mediante proxy. • Funcionar mediante módulos (dll‟s), es una buena opción para “instalar” remotamente partes del virus, puede perder infectados que no le permitan salir por http.
  • 41. • Tu virus puede descargar una nueva versión y ser remplazado o borrado previamente a la copia. •Tu virus puede ser inteligente si esta dotado de matriz
  • 42. • Si esta dividido en módulos, actualizar cualquier módulo es tan fácil como no cargarlo o inyectarlo en otro proceso hasta el remplazo. • En caso de ser el ejecutable o no estar dividido en módulos, podemos inyectar código y cerrar el proceso padre antes de que sea sobrescrito o borrado. • Si esta divido en módulos, se puede hacer un módulo de actualización.
  • 43. • Creando “arrays” con antivirus, antispyware, firewall de host, nids y otros sistemas de seguridad host, podemos detectarlos he intentar matarlos o interrumpir su detección. • Podemos detectar programas que pongan en peligro el virus por que sean de análisis, ingeniería inversa etc… Debería tener un sistema de auto borrado y desinfección para intentar evadir esto.
  • 44. Rootkit escóndete en el sistema Cosas interesantes para esconderse.
  • 45. • La intercepción de API‟s de conexión a internet, como (connect, WSAConnect), (URLDownloadToFile*, URLDownloadToCacheFile* )etc… es útil para filtrar • La API “WSAIoctl” y el argumento “SIO_RCVALL”, pueden ser utilizadas para hacer un “sniffer” del tráfico lo que pone en peligro la detección del tráfico del virus.
  • 46. • Las API‟s “GetTcpStatsFromStackEx”, “GetUdpStatsFromStackEx”, “GetIpStatsFromStackEx”, y varias API‟s mas, de (iphlpapi) pueden ser interceptadas con la finalidad de esconderse de aplicaciones como “netstat” y otras aplicaciones básicas para la estadística o monitorización del estado de la pila IP, TCP y otros protocolos utilizados en el sistema.
  • 47. • La API “WSAIoctl” y el argumento “SIO_RCVALL”, pueden ser utilizadas para hacer un “sniffer” del tráfico lo que pone en peligro la detección del tráfico del virus. • Las API‟s (gethostbyname, GetAddressByName), hacen resoluciones dns, podemos filtrar IP‟s de lugares de actualización, antivirus online y otros contenidos peligrosos para el virus.
  • 49. • Descarga un archivo pequeño que hace posteriores descargas previamente deshabilitando el sistema de seguridad instalado en el PC cliente. En su defecto desempaqueta un archivo binario que es el virus. • Empieza la infección y el intento de trasmisión a otros equipos.
  • 50. • Puede utilizar exploit para exploradores web que permitan la ejecución de javascript, haciendo descarga y ejecución de nuestro virus. • La explotación de un overflow también puede ser utilizada para la descarga y ejecución de nuestro virus. • Otra opción es utilizar archivos mal intencionados como puede ser pdf y su oleada de exploits o otros formatos vulnerables.
  • 51. • La carga de un driver mal intencionado se puede utilizar para hacer hook a la SSTD, permitiéndole interceptar llamadas del modo kernel. • Haciendo hook a API‟s, Zw*, Nt*, Rtl* etc…, podemos interceptar llamadas de otras aplicaciones aunque la aplicación corra en “ring3” modo user
  • 52. • Haciendo hook a la capa NDIS podemos evadir los sniffers. • Haciendo hook a API‟s de procesos cómo (ZwOpenProcess, NtOpenProcess). Podrá esconder su presencia como proceso. • Conexión TCP o UDP en modo kernel utilizando la capa TDI.
  • 53. •Javascript nos permite modificar cadenas, lo cual nos permite decodificar en tiempo de ejecución. • La función “unescape()” de javascript nos permite decodificar cadenas esto dificulta levemente el análisis. • La función “Chr()” de javascript nos permite meter bytes en lugar de la cadena dificulta levemente el análisis.
  • 54. Expande tu virus Métodos de expansión
  • 55. • Infección de archivos en discos montados con recursos compartidos, para ejecución desde otros equipos que accedan a el y ejecuten los archivos. • Búsqueda de recursos compartidos tipo “IPC$”. • Mensajería instantánea •Exploits
  • 56. •Hook al teclado • Envío de las pulsaciones a la ventana • Robo de contactos
  • 57. • Infección de archivos PE • Remplazo de archivo PDF malintencionados •Exploit de archivos .lnk
  • 58. El virii debería ser un arte
  • 59. •Donut by Benny: Infección de archivo MSIL. •GriYo: EntryPointobscuring • Z0MBIE: Infección de imágenes ISO. • La mayoría del malware “comercial” no aporta mucho y en casó de hacerlo quien lo saca a la luz son las personas que lo analizan. • No publicar virus para que no lo usen comercialmente