SlideShare a Scribd company logo

Hunting Malware using process behavior

RootedCON
RootedCON

Este documento describe una herramienta de correlación de procesos Sysmon que monitorea el comportamiento de procesos en un sistema para detectar actividad maliciosa. La herramienta incluye un motor de línea base que establece el comportamiento normal de procesos clave y un motor de jerarquía que detecta anomalías en la relación entre procesos padre e hijo. La herramienta puede usarse para cazar malware avanzado que opera en memoria sin dejar rastros en el disco.

Technology
1 of 29
Download to read offline
Hunting Malware using process behavior @ramado78 – Rooted Madrid 0x2020
Introducción DEMO
Introducción Técnicas y actores avanzados Trabajan en memoria sin tocar disco Usan los procesos legítimos del propio equipo Cuando crean algún proceso es de una imagen de disco legítima Pueden inyectarse en procesos sin ni siquiera crear un hilo remoto (APC) Su malware solo se ejecutan en los equipos víctima Suplantan la jerarquía de procesos
Introducción Estrategias de hunting Correlación temporal de sucesos Relación de jerarquía de los procesos Comportamiento habitual o línea base
Introducción Instrumentación / Monitorización SYSMON de SysInternals Focaliza en entornos Microsoft Windows Necesitamos poder monitorizar que sucede, que hacen los procesos del equipo Sysmon identifica 22 tipos de actividad
Instrumentación/Monitorización Capa de correlación Problema!! Eventos atómicos sin relación Solución!! Capa de correlación
Sysmon Process Correlator Engine • Desarrollo en Python • Licencia GNU GPL • Implementa 2 motores de correlación • Baseline Engine • Hierarchy Engine • Fuente de datos • Ficheros .evtx de sysmon • Eventlog de la máquina (incluso en tiempo real) • Alertas Eventlog y/o stdout • Detecta comportamiento anómalo de los procesos • Proceso de Hunting buscando actividad maliciosa en ficheros .evtx descargados de equipos sospechosos • Entornos sandbox como complemento de detección • Forense • Complemento de monitorización activa para Blue Team • Testeo previo de reglas de correlación en SIEM • Búsqueda eventos en ficheros .evtx Capacidades Usos (Sysmon Processes Correlation Engine)
Sysmon Process Correlator Engine – Baseline Engine • Establece una base de comportamiento de los principales procesos del sistema, en especial aquellos susceptibles a ser inyectados. • Línea base parte de un proceso de investigación con metodología empírica (No ML) de un conjunto de máquinas con diferentes SO de Microsoft. • El resultado es un catalogo de comportamiento modelado en eventos de Sysmon • Se establece un puntaje de confianza para cada uno de ellos, si alguno realiza una acción fuera de la línea base pierde puntos. 0 puntos ->Alerta BASELINE ENGINE Características OBJETIVO Detectar procesos legítimos con código inyectado
Sysmon Process Correlator Engine – Baseline Engine BASELINE ENGINE Funcionamiento Tipo Acción Sysmon Ej. (1) Process Create Baseline Eng. Comprueba OK Atributos no habituales Resta confianza al proceso Características ID 1 • Imagen • Padre • Path • Integridad • Sesión • … Baseline Rules No hay alerta OK Comprueba puntos Quedan puntos? NO Alerta
Sysmon Process Correlator Engine – Baseline Engine Modelado explorer.exe
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe Comportamiento General Atributo Valor Momento de ejecución Cuando un usuario inicia sesión interactiva, por lo tanto en cualquier momento. Tiempo de vida TTL Normalmente minutos u horas incluso días. Podemos encontrar alguna ejecución que dura milésimas (<1s), que el SO mata por no ejecutar otra instancia de shell. Creación de procesos hijo Numerosa y diferente, anormal a partir de 20 en 1 hora Instancias de ejecución 1 por usuario y sesión, si esta esta iniciada. Es posible llegar a tener 2 por usuario, si se activa “Abrir ventanas de carpeta en un proceso independiente” (hija de svchost, no userinit) [1]
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Imagen disco C:Windowsexplorer.exe Procesos Padre C:WindowsSystem32userinit.exe (Normal) C:WindowsSystem32winlogon.exe (Cuando Crash) C:Windowsexplorer.exe (Muy rara vez) C:WindowsSystem32svchost.exe (Muy rara vez, se instancia un objeto mediante DCOM, al habilitar “Abrir ventanas de carpeta en un proceso independiente”) Directorio de ejecución C:Windows Usuario Diferente siempre de System Sesión Diferente siempre de 0
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Integridad Media (PE) Imagen Descripción Windows Explorer (PE) Compañía Microsoft Corporation (PE) Nombre original EXPLORER.EXE Instancias de ejecución 1 por usuario y sesión si esta esta iniciada y 2 si se habilita “Abrir ventanas de carpeta en un proceso independiente”
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 2 File Creation Time Changed Atributo Valor Frecuencia En general muy pocos eventos Nombre fichero destino Por debajo de la jerarquía de la carpeta de usuario en especial en AppData Ej. C:Users[USUARIO]AppData … Menos de 30 al día ID Sysmon 3 Conexión Atributo Valor Frecuencia En general muy pocos eventos (Iniciadas por el) Puerto destino "80", "443", "3128“ (Proxy si se usa) Menos de 12 al día (Recibidas por el) Puerto destino No es normal que levante sockets a la escucha, por lo que no deberíamos ver intentos de conexión hacia el explorer.exe (Iniciadas por el) IP destino IPs de Microsoft
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 7 Carga módulos Atributo Valor En general pocos eventos Path de la imagen en disco de la DLL Varias localizaciones, debido a extensiones, pero mayormente de: C:Windows C:Program Files C:Program Files (x86) C:PROGRA~1 OneDrive Firma Status Valid ID Sysmon 8 Create Remote Thread Atributo Valor Frecuencia En general muy pocos eventos Crea hilos remotos No debería generar eventos de este tipo Recibe creación de hilos de C:WindowsSystem32wbemWmiPrvSE.exe 1 por ejecución de explorer
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 9 Escritura RAW Atributo Valor Frecuencia Acceso habitual Dispositivo DeviceHarddiskVolume Menos de 100 al día ID Sysmon 11 Creación ficheros Atributo Valor Frecuencia Normal que se produzca Menos de 100 al día ID Sysmon 12 Object create and delete Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 10 Open process Atributo Valor Frecuencia Normal que se produzca Alta
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 13 Value Set Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 14 Key and Value Rename Atributo Valor Frecuencia No debería generar Nunca ID Sysmon 15 ADS Create Atributo Valor Frecuencia No debería generar Nunca
Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 18 PIPE CONNECT Atributo Valor Frecuencia Pocos eventos Nombre PIPE srvsvc MsFteWds wkssvc TDLN Menos de 20 a la hora ID Sysmon 17 Create PIPE Atributo Valor Frecuencia No debería generar Nunca
Introducción DEMO
Sysmon Process Correlator Engine – Hierarchy Engine • Permite detectar situaciones anómalas basadas en la jerarquía de los procesos (relación Padre->Hijo) y sus acciones asociadas. • Construye el árbol de ejecución de procesos y asigna las acciones que estos van haciendo al PID correspondiente. • Permite detectar situaciones reiteradas de un comportamiento (N veces un hecho) • Presenta una visión rápida de la cadena de sucesos de una amenaza alertada HIERARCHY ENGINE Características OBJETIVO Detectar ejecuciones de código malicioso basado en la cadena de acciones
Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"EMAIL_AGENTS"}}, {"1":{"Image":"OFFICE_PROCESS"},"3":{"Image":"OFFICE_PROCESS"}}, {"1c":{"Image":"SCRIPTING_ENGINES_AND_SHELLS"}} ]}, Conecta
Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"OFFICE_PROCESS"} {"3c":{"Image":“*“, “DstIP”:”INTERNET”}} ]}, Todavía más generalizable Conecta
Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Inyecciones de código mal gestionadas {"RuleID":17, "Rulename":"Possible bogus injected code in System process because too many werfaults", "Content": [ {"1c":{"Image":"wininit.exe"}}, {"N":2, "Seconds":86400}, {"1c":{"Image":“*"}}, {"1":{"Image":"werfault.exe"}} ]}, {"RuleID":18, "Rulename":"Too many explorer crashes, possible bogus injected code", "Content": [ {"1c":{"Image":"winlogon.exe"}}, {"N":3, "Seconds":86400}, {"1":{"Image":"explorer.exe"}} ]},
Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Elevaciones de privs {"RuleID":19, "Rulename":"System process on user session (priv scalation)", "Content": [ {"1c":{"-TerminalSessionId":"0", "User":"System","-Image":"SYSTEM_PROCESS_ON_USER_SESSION"}} ]}, {"RuleID":20, "Rulename":"User process create system process", "Content": [ {"1c":{"-TerminalSessionId":"0", "-User":"System"}}, {"1":{"User":"System"}} ]}, {"RuleID":21, "Rulename":"Accessing to a System token from sesion 1 (priv scalation)", "Content": [ {"1c":{"User":"system"},"110c":{"-SourceUser":"system", GrantedAccess":"PROCESS_QUERY_INFORMATION"}} ]} [2]
Introducción DEMO
Sysmon Process Correlator Engine – Hierarchy Engine Detección Real Parent 2: CreateRemoteThread EventID 8 'NewThreadId': '10916' 1: Copia código malicioso 3: Create process Proceso Malicioso PID 1234 Explorer.exe PID 3113 cmd.exe /c format c: EventID 1 ProcessID:666 Parent PID 3113 EventID 10 'ThreadId': '10916‘ ‘TargetProcessId’:666 Real Parent PID 1234
Referencias • [1] https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf • [2] https://posts.specterops.io/understanding-and-defending-against-access-token-theft-finding-alternatives-to-winlogon-exe-80696c8a73b REFERENCIAS https://lab52.io/ https://www.securityartwork.es/ WEBS MEDIA @ramado78 ramado@s2grupo.es
BARCELONA BOGOTÁ Llull, 321, 08019 T. (+34) 933 030 060 Calle 89, nº 12-59, T. (+57) 317 647 10 96 info@s2grupo.es www.s2grupo.es www.securityartwork.es www.lab52.es MADRID Velázquez, 150, 2ª planta, 28002 T. (+34) 902 882 992 MÉXICO, D.F. Monte Athos 420 D.F., 11000 México T. (+52) 15521280681 VALENCIA Ramiro de Maeztu 7, 46022 T. (+34) 902 882 992

Recommended

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 

Recommended

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_desCarlos Ansotegui Pardo
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Kali Linux
Kali LinuxKali Linux
Kali LinuxJoseEspinosaVazquez
 
Honeypots2006 2007
Honeypots2006 2007Honeypots2006 2007
Honeypots2006 2007Juan Antonio Gil Martínez-Abarca
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia españolHomero de la Barra
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptographyJose Manuel Ortega Candel
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 

More Related Content

What's hot

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 

What's hot (20)

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con Nmap
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Honeypots2006 2007
Honeypots2006 2007Honeypots2006 2007
Honeypots2006 2007
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
 
Present3
Present3Present3
Present3
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 

Similar to Hunting Malware using process behavior

Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]Websec México, S.C.
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security ScanHelpSystems
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
 
PPT SESION 11.pdf
PPT SESION 11.pdfPPT SESION 11.pdf
PPT SESION 11.pdfNinaLagos1
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Pablo Alvarez Doval
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iHelpSystems
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMEventos Creativos
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDEPedro J. Molina
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iHelpSystems
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerSolarWinds
 

Similar to Hunting Malware using process behavior (20)

Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security Scan
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigos
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020
 
BSides Panama 2022
BSides Panama 2022BSides Panama 2022
BSides Panama 2022
 
PPT SESION 11.pdf
PPT SESION 11.pdfPPT SESION 11.pdf
PPT SESION 11.pdf
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm i
 
01 semana-arena
01 semana-arena01 semana-arena
01 semana-arena
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAM
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDE
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM i
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event Manager
 

More from RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]RootedCON
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

More from RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Recently uploaded

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 

Recently uploaded (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 

Hunting Malware using process behavior

  • 1. Hunting Malware using process behavior @ramado78 – Rooted Madrid 0x2020
  • 3. Introducción Técnicas y actores avanzados Trabajan en memoria sin tocar disco Usan los procesos legítimos del propio equipo Cuando crean algún proceso es de una imagen de disco legítima Pueden inyectarse en procesos sin ni siquiera crear un hilo remoto (APC) Su malware solo se ejecutan en los equipos víctima Suplantan la jerarquía de procesos
  • 4. Introducción Estrategias de hunting Correlación temporal de sucesos Relación de jerarquía de los procesos Comportamiento habitual o línea base
  • 5. Introducción Instrumentación / Monitorización SYSMON de SysInternals Focaliza en entornos Microsoft Windows Necesitamos poder monitorizar que sucede, que hacen los procesos del equipo Sysmon identifica 22 tipos de actividad
  • 7. Sysmon Process Correlator Engine • Desarrollo en Python • Licencia GNU GPL • Implementa 2 motores de correlación • Baseline Engine • Hierarchy Engine • Fuente de datos • Ficheros .evtx de sysmon • Eventlog de la máquina (incluso en tiempo real) • Alertas Eventlog y/o stdout • Detecta comportamiento anómalo de los procesos • Proceso de Hunting buscando actividad maliciosa en ficheros .evtx descargados de equipos sospechosos • Entornos sandbox como complemento de detección • Forense • Complemento de monitorización activa para Blue Team • Testeo previo de reglas de correlación en SIEM • Búsqueda eventos en ficheros .evtx Capacidades Usos (Sysmon Processes Correlation Engine)
  • 8. Sysmon Process Correlator Engine – Baseline Engine • Establece una base de comportamiento de los principales procesos del sistema, en especial aquellos susceptibles a ser inyectados. • Línea base parte de un proceso de investigación con metodología empírica (No ML) de un conjunto de máquinas con diferentes SO de Microsoft. • El resultado es un catalogo de comportamiento modelado en eventos de Sysmon • Se establece un puntaje de confianza para cada uno de ellos, si alguno realiza una acción fuera de la línea base pierde puntos. 0 puntos ->Alerta BASELINE ENGINE Características OBJETIVO Detectar procesos legítimos con código inyectado
  • 9. Sysmon Process Correlator Engine – Baseline Engine BASELINE ENGINE Funcionamiento Tipo Acción Sysmon Ej. (1) Process Create Baseline Eng. Comprueba OK Atributos no habituales Resta confianza al proceso Características ID 1 • Imagen • Padre • Path • Integridad • Sesión • … Baseline Rules No hay alerta OK Comprueba puntos Quedan puntos? NO Alerta
  • 10. Sysmon Process Correlator Engine – Baseline Engine Modelado explorer.exe
  • 11. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe Comportamiento General Atributo Valor Momento de ejecución Cuando un usuario inicia sesión interactiva, por lo tanto en cualquier momento. Tiempo de vida TTL Normalmente minutos u horas incluso días. Podemos encontrar alguna ejecución que dura milésimas (<1s), que el SO mata por no ejecutar otra instancia de shell. Creación de procesos hijo Numerosa y diferente, anormal a partir de 20 en 1 hora Instancias de ejecución 1 por usuario y sesión, si esta esta iniciada. Es posible llegar a tener 2 por usuario, si se activa “Abrir ventanas de carpeta en un proceso independiente” (hija de svchost, no userinit) [1]
  • 12. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe
  • 13. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Imagen disco C:Windowsexplorer.exe Procesos Padre C:WindowsSystem32userinit.exe (Normal) C:WindowsSystem32winlogon.exe (Cuando Crash) C:Windowsexplorer.exe (Muy rara vez) C:WindowsSystem32svchost.exe (Muy rara vez, se instancia un objeto mediante DCOM, al habilitar “Abrir ventanas de carpeta en un proceso independiente”) Directorio de ejecución C:Windows Usuario Diferente siempre de System Sesión Diferente siempre de 0
  • 14. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Integridad Media (PE) Imagen Descripción Windows Explorer (PE) Compañía Microsoft Corporation (PE) Nombre original EXPLORER.EXE Instancias de ejecución 1 por usuario y sesión si esta esta iniciada y 2 si se habilita “Abrir ventanas de carpeta en un proceso independiente”
  • 15. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 2 File Creation Time Changed Atributo Valor Frecuencia En general muy pocos eventos Nombre fichero destino Por debajo de la jerarquía de la carpeta de usuario en especial en AppData Ej. C:Users[USUARIO]AppData … Menos de 30 al día ID Sysmon 3 Conexión Atributo Valor Frecuencia En general muy pocos eventos (Iniciadas por el) Puerto destino "80", "443", "3128“ (Proxy si se usa) Menos de 12 al día (Recibidas por el) Puerto destino No es normal que levante sockets a la escucha, por lo que no deberíamos ver intentos de conexión hacia el explorer.exe (Iniciadas por el) IP destino IPs de Microsoft
  • 16. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 7 Carga módulos Atributo Valor En general pocos eventos Path de la imagen en disco de la DLL Varias localizaciones, debido a extensiones, pero mayormente de: C:Windows C:Program Files C:Program Files (x86) C:PROGRA~1 OneDrive Firma Status Valid ID Sysmon 8 Create Remote Thread Atributo Valor Frecuencia En general muy pocos eventos Crea hilos remotos No debería generar eventos de este tipo Recibe creación de hilos de C:WindowsSystem32wbemWmiPrvSE.exe 1 por ejecución de explorer
  • 17. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 9 Escritura RAW Atributo Valor Frecuencia Acceso habitual Dispositivo DeviceHarddiskVolume Menos de 100 al día ID Sysmon 11 Creación ficheros Atributo Valor Frecuencia Normal que se produzca Menos de 100 al día ID Sysmon 12 Object create and delete Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 10 Open process Atributo Valor Frecuencia Normal que se produzca Alta
  • 18. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 13 Value Set Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 14 Key and Value Rename Atributo Valor Frecuencia No debería generar Nunca ID Sysmon 15 ADS Create Atributo Valor Frecuencia No debería generar Nunca
  • 19. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 18 PIPE CONNECT Atributo Valor Frecuencia Pocos eventos Nombre PIPE srvsvc MsFteWds wkssvc TDLN Menos de 20 a la hora ID Sysmon 17 Create PIPE Atributo Valor Frecuencia No debería generar Nunca
  • 21. Sysmon Process Correlator Engine – Hierarchy Engine • Permite detectar situaciones anómalas basadas en la jerarquía de los procesos (relación Padre->Hijo) y sus acciones asociadas. • Construye el árbol de ejecución de procesos y asigna las acciones que estos van haciendo al PID correspondiente. • Permite detectar situaciones reiteradas de un comportamiento (N veces un hecho) • Presenta una visión rápida de la cadena de sucesos de una amenaza alertada HIERARCHY ENGINE Características OBJETIVO Detectar ejecuciones de código malicioso basado en la cadena de acciones
  • 22. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"EMAIL_AGENTS"}}, {"1":{"Image":"OFFICE_PROCESS"},"3":{"Image":"OFFICE_PROCESS"}}, {"1c":{"Image":"SCRIPTING_ENGINES_AND_SHELLS"}} ]}, Conecta
  • 23. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"OFFICE_PROCESS"} {"3c":{"Image":“*“, “DstIP”:”INTERNET”}} ]}, Todavía más generalizable Conecta
  • 24. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Inyecciones de código mal gestionadas {"RuleID":17, "Rulename":"Possible bogus injected code in System process because too many werfaults", "Content": [ {"1c":{"Image":"wininit.exe"}}, {"N":2, "Seconds":86400}, {"1c":{"Image":“*"}}, {"1":{"Image":"werfault.exe"}} ]}, {"RuleID":18, "Rulename":"Too many explorer crashes, possible bogus injected code", "Content": [ {"1c":{"Image":"winlogon.exe"}}, {"N":3, "Seconds":86400}, {"1":{"Image":"explorer.exe"}} ]},
  • 25. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Elevaciones de privs {"RuleID":19, "Rulename":"System process on user session (priv scalation)", "Content": [ {"1c":{"-TerminalSessionId":"0", "User":"System","-Image":"SYSTEM_PROCESS_ON_USER_SESSION"}} ]}, {"RuleID":20, "Rulename":"User process create system process", "Content": [ {"1c":{"-TerminalSessionId":"0", "-User":"System"}}, {"1":{"User":"System"}} ]}, {"RuleID":21, "Rulename":"Accessing to a System token from sesion 1 (priv scalation)", "Content": [ {"1c":{"User":"system"},"110c":{"-SourceUser":"system", GrantedAccess":"PROCESS_QUERY_INFORMATION"}} ]} [2]
  • 27. Sysmon Process Correlator Engine – Hierarchy Engine Detección Real Parent 2: CreateRemoteThread EventID 8 'NewThreadId': '10916' 1: Copia código malicioso 3: Create process Proceso Malicioso PID 1234 Explorer.exe PID 3113 cmd.exe /c format c: EventID 1 ProcessID:666 Parent PID 3113 EventID 10 'ThreadId': '10916‘ ‘TargetProcessId’:666 Real Parent PID 1234
  • 28. Referencias • [1] https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf • [2] https://posts.specterops.io/understanding-and-defending-against-access-token-theft-finding-alternatives-to-winlogon-exe-80696c8a73b REFERENCIAS https://lab52.io/ https://www.securityartwork.es/ WEBS MEDIA @ramado78 ramado@s2grupo.es
  • 29. BARCELONA BOGOTÁ Llull, 321, 08019 T. (+34) 933 030 060 Calle 89, nº 12-59, T. (+57) 317 647 10 96 info@s2grupo.es www.s2grupo.es www.securityartwork.es www.lab52.es MADRID Velázquez, 150, 2ª planta, 28002 T. (+34) 902 882 992 MÉXICO, D.F. Monte Athos 420 D.F., 11000 México T. (+52) 15521280681 VALENCIA Ramiro de Maeztu 7, 46022 T. (+34) 902 882 992