Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]
Anatomy of a modern malware: How easy the bad guys can f*** the world Pablo González @pablogonzalezpe Fran Ramírez @cyberhadesblog @cybercaronte
Nota Legal • La siguiente charla es totalmente educativa e intenta mostrar técnicas de malware orientadas a a la educación, investigación y prevención. • No nos hacemos responsables de un mal uso de las técnicas presentadas en esta charla.
Whoami Ingeniero Informático & Máster Seguridad Informática 2009 – 2013 Informática 64 2013 - ?? Eleven Paths (Telefónica) Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2018 Algunos libros (0xWord): – Metasploit para pentesters – Pentesting con Kali – Ethical Hacking – Got Root – Pentesting con Powershell
Whoami Fundador y escritor en el blog geek www.cyberhades.com (nick: cybercaronte) sobre Seguridad Informática e Historia de la Informática. Co-autor del libro "MicroHistorias: anécdotas y curiosidades de la Informática" de 0xWord y colaborador habitual de la revista One-Hacker. Ingeniero informático con más de 15 años de experiencia como Administrador de Sistemas en una multinacional española, realizando múltiples proyectos internacionales sobre todo en EEUU y Canadá. Desde el año 2017, trabajo como Security Researcher en Telefónica y ElevenPaths.
Los tiempos cambian … En 1997, se necesitaban algunos libros, documentación extra y mucho tiempo para programar un malware: … en 2017 sólo necesitas esto: ... además de muchas horas en BBSes y Fidonet buscando información … www.google.com
.. además, los creadores de malware no son lo que eran …
Hoy día, cualquiera puede crear un malware
Todo está en Internet …
Anatomía de un malware moderno ¿Cómo pueden entonces los chicos malos ”fastidiar” el mundo? Simplemente usando un diseño modular, reuniendo “piezas” y conectándolas
Características de un malware • Propagación • Persistencia • Privilegios • Espionaje
Propagación • Antecedentes: – Elk Cloner (1981). El primer virus, se propagaba vía floppy disk – Blaster (2003). Gusano, vulnerabilidad servicio DCOM RPC – Sasser (2004). Gusano, buffer overflow LSASS • EternalBlue (NSA). Vulnerabilidad protocolo SMB catalogada como CVE-2017-0144. Utilizada en Wannacry.
Privilegios • UAC bypass. Evitar en Windows el User Access Control (UAC). Usando vulnerabilidades, ser administrador partiendo de un usuario normal (grupo Administradores). • Existen herramientas como Win7Elevate y UACme • Fileless bypass UAC. No necesita de un fichero para ejecutarse. Vigila HKCUSoftwareClasses • Escalada total (Sin privilegios) – Tater/HotPotato.
PoC • Propagación. Eternalblue • Privilegios. Bypass UAC – Importante: https://isc.sans.edu/forums/diary/Ma licious+Office+files+using+fileless+UA C+bypass+to+drop+KEYBASE+malwar e/22011/
Persistencia • Fileless attack. No se almacena el fichero ejecutable malicioso en el sistema. Troyano Poweliks oculta el código malicioso en el Registro Windows + PowerShell (codificado). • Rootkit. Phasebot rootkit , C&C para recibir órdenes. Inserta shell code en el registro de Windows. Se vendía por 200$. • Clásico. KCUSoftwareMicrosoftWindowsCurrentVersionRun y RunOnce Funcionamiento Poweliks.CCL. Fuente.
PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless
Espionaje • RAT Remote Administration Tool. C&C GUI, screenshots, webcam, etc… Darkcomet • Mariposa botnet. Una de las más grandes botnets para espiar y extorsionar (además de ataques DoS) Opciones de Darkcomet C&C
PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C.
El malware de moda: Rescate (Ransom) • Cifrado. La información del dispositivo se cifra (por ejemplo, RSA 2048 bit asimétrico) y se pide un rescate por la misma. Cryptolocker fue el primero de los casos más conocidos hasta hoy día, donde aparecen Petya ó Wannacry. Hidden Tear (educación) C&C (Command & Control). Servidor con un software principal para gestionar el ataque almacenando los datos de los equipos como IP, geolocalización, etc pero sobre todo, la clave criptográfica para descifrar los archivos (que se utilizará como moneda de cambio)
PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C. • Ransom. Cifrado
PoC Frankenware • Propagación. Eternalblue • Persistencia. Fileless • Privilegios. Bypass UAC • Espionaje. Troyano, C&C. • Ransom. Cifrado (PowerShell) + + + + =
PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C. • Ransom. Cifrado • Keylogger
PoC
Como proteger a la nueva sociedad • Esto es sólo el principio … • IoT (Mirai botnet) infectaba cámaras IP. DDOS • Leaks, EternalBlue (NSA) • ¿Cómo proteger a la nueva sociedad?
IA y Machine Learning (ML) • ML para defendernos (análisis de tráfico de red): – Blog 11Paths, redes más seguras con ML. • Creando malware con técnicas de ML • OpenAI + Gym framework para crear malware. Presentado este año en la DEF CON y BlackHat. • Cazando malware con técnicas de ML. Windows Defender ATP.

Check these out next

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]

Recommended

More Related Content

Slideshows for you(20)

Similar to Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4](20)

More from RootedCON(20)

Recently uploaded(20)

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]