Análisis en un entorno de Malware<br />Pedro Sánchez<br />
Whoami<br />He trabajado en importantes empresas como consultor especializado en ComputerForensics, Honeynets, detección d...
http://conexioninversa.blogspot.com<br />
Escenario actual del malware<br />
Escenariode Amenazas - El Pasado<br />Fuentes de ataque<br />Tipos de amenazas<br />Medios de Proliferación<br />Dispositi...
Escenario de Amenazas de Internet - Presente<br />Medios de Proliferación<br />Fuentes de ataque<br />Tipos de amenazas<br...
Panorama<br />El ataque a web sigue siendo el más utilizado <br />Un alto número de ataques provienen de Rusia y China<br ...
Panorama<br />El ataque a web sigue siendo el más utilizado <br />Un alto número de ataques provienen de Rusia y China<br ...
Casos de Malware<br />Como se identifican<br />
1<br />Análisis bajo demanda del antivirus que se disponga en la propia empresa  desde donde se supone que reside la infec...
2<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de...
3<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de...
4<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de...
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos ...
Casos de Malware<br />Casos de libro<br />
Man in the ‘borrego’<br />Yo  a todo digo si<br />
1<br />3<br />4<br />2<br /><ul><li>Autopsia del ataque:
PASO 1:</li></ul>2.-El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombr...
1<br />5<br /><ul><li>PASO 2:</li></ul>6.-El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pag...
5<br /><ul><li>PASO 3:</li></ul>10.-El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en...
El dinero que vuela<br />
¿Quieren verlo?<br />
Análisis de Malware con Volatility<br />(por ejemplo)<br />
Upcoming SlideShare
Loading in …5
×

Caso de Estudio: Análisis Forense en un entorno de Malware

2,359 views

Published on

Charla impartida por Pedro Sánchez de Conexión Inversa, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.

Published in: Technology, Business
  • Be the first to comment

Caso de Estudio: Análisis Forense en un entorno de Malware

  1. 1. Análisis en un entorno de Malware<br />Pedro Sánchez<br />
  2. 2. Whoami<br />He trabajado en importantes empresas como consultor especializado en ComputerForensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional.También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.Actualmente soy miembro de la SpanishHoneynet Project y trabajo como Information Security and ForensicsConsultant para dos grandes compañías como Bitdefender y Google inc.<br />
  3. 3. http://conexioninversa.blogspot.com<br />
  4. 4.
  5. 5. Escenario actual del malware<br />
  6. 6. Escenariode Amenazas - El Pasado<br />Fuentes de ataque<br />Tipos de amenazas<br />Medios de Proliferación<br />Dispositivo<br />Extraíble<br />Virus<br />Gusanos de correo<br />Gusanos exploit<br />Rootkits<br />Troyanos de puerta trasera<br />Adjuntos de correo<br />Script Kiddies<br />Clientes de Mensajería Instantánea<br />
  7. 7. Escenario de Amenazas de Internet - Presente<br />Medios de Proliferación<br />Fuentes de ataque<br />Tipos de amenazas<br />Clientes de Mensajería Instantánea<br />Virus<br />Gusanos de correo<br />Gusanos exploit<br />Gusanos P2P<br />Gusanos IM<br />Rootkits<br />Troyanos de puerta trasera<br />Spyware<br />Adware<br />Greyware<br />Hackers<br />Sitios Web Multimedia Legítimos Comprometidos<br />Aplicaciones Web 2.0<br />Dispositivos extraíbles<br />Redes P2P<br />Phishing<br />Crimen organizado<br />Adjuntos de Correo SPAM<br />Redes Públicas<br />Wi-Fi<br />Dispositivos Móviles<br />Empresas Legítimas<br />Gobiernos extranjeros<br />
  8. 8. Panorama<br />El ataque a web sigue siendo el más utilizado <br />Un alto número de ataques provienen de Rusia y China<br />Se ha incrementado los ataques de denegación de servicio<br />Se incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)<br />Las fugas de información están a la orden del día<br />
  9. 9. Panorama<br />El ataque a web sigue siendo el más utilizado <br />Un alto número de ataques provienen de Rusia y China<br />Se ha incrementado los ataques de denegación de servicio<br />Se incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)<br />Las fugas de información están a la orden del día<br />
  10. 10. Casos de Malware<br />Como se identifican<br />
  11. 11. 1<br />Análisis bajo demanda del antivirus que se disponga en la propia empresa desde donde se supone que reside la infección. Si el análisis detecta Malware, lo ideal es interpretar o enviar el informe. Si es necesario detección en tiempo real es necesario obtener todo tipo de información, captura de pantalla, error…etc.<br />Si el archivo lo detecta pero no puede aplicar una acción, enviarlo en formato zipy con una contraseña.<br />
  12. 12. 2<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.<br />Las que me gustan:<br />FTK IMAGER LITE<br />
  13. 13. 3<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.<br />Las que me gustan:<br />BDSI<br />
  14. 14. 4<br />Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.<br />Las que me gustan:<br />GMER<br />
  15. 15. Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.<br />Las que me gustan:<br />SMARTSNIFF<br />5<br />
  16. 16. Casos de Malware<br />Casos de libro<br />
  17. 17. Man in the ‘borrego’<br />Yo a todo digo si<br />
  18. 18. 1<br />3<br />4<br />2<br /><ul><li>Autopsia del ataque:
  19. 19. PASO 1:</li></ul>2.-El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña y lo envía<br />4.-El servidor maligno 'pilla' los datos y los envía al servidor legitimo<br />1.- El cliente hace 'click' en un vinculo sobre un falso correo<br />3.-El cliente introduce los datos y pulsa el botón enviar<br />
  20. 20. 1<br />5<br /><ul><li>PASO 2:</li></ul>6.-El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente y le añade un nuevo campo<br />7.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI y lo vuelve a enviar<br />8.-El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica<br />5.-El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente, pasando por el servidor malicioso<br />
  21. 21. 5<br /><ul><li>PASO 3:</li></ul>10.-El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente<br />13.-El malo envia el nuevo valor (token) y realiza una transferencia automaticamente<br />11.- El cliente recibe la página con sus datos y un campo más la solicitud de su token<br />12.-El cliente introduce los nuevos datos y pulsa el botón enviar<br />9.-Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo<br />
  22. 22. El dinero que vuela<br />
  23. 23. ¿Quieren verlo?<br />
  24. 24. Análisis de Malware con Volatility<br />(por ejemplo)<br />
  25. 25. El malware tiene muchas formas<br />gRaCiAs a tOs y t0As<br />Conexioninversa<br />

×