SlideShare una empresa de Scribd logo

Bcsev9 - Defensa Activa en la batalla contral los RAT

Descargar como PPTX, PDF
Eduardo Chavarro
Eduardo Chavarro

Eduardo Chavarro Ovalle presenta su experiencia en defensa activa contra malware RAT. Propone identificar elementos comunes en muestras de RAT para realizar cacería de amenazas. Luego, analizar el RAT para reconocer sus propiedades y comunicación con el servidor C2. Esto permite automatizar scripts para explotar vulnerabilidades y desactivar servicios maliciosos rápidamente, afectando solo la campaña y no otros recursos. La defensa activa puede combinarse con sinkholing y colaboración para desinfectar equipos y contraatacar

Ingeniería
1 de 12
MSc Eduardo Chavarro Ovalle Defensa activa en la batalla contra los RAT
• MSc en Seguridad Informática, Ingeniero en Telecomunicaciones, Postgrado en Gerencia estratégica de las Telecomunicaciones. • Incident Response Specialist & Malware Analyst para el equipo GERT - Kaspersky Lab LATAM. • 15 años de experiencia en investigaciones realizadas en sectores Defensa, Financiero, Telecomunicaciones e industrial entre otros. • Especialista en Investigaciones Forenses Digitales, CSIRT, eDiscovery, Threat Hunting & Analisis de Malware, APT y Crimen Cibernetico. • Docente Universitario para programas de pregrado y postgrado, Conferencista en eventos nacionales e internacionales. • OWASP/HACKLAB/BARCAMPSE/BSIDES.CO @echavarro
Quintero F., Chavarro E., Cruz G., Fernández C. (2018) Approach of an Active Defense Protocol to Deal with RAT Malware. In: Figueroa-García J., López-Santana E., Rodriguez-Molano J. (eds) Applied Computer Sciences in Engineering. WEA 2018. Communications in Computer and Information Science, vol 915. Springer, Cham. https://link.springer.com/chapter/10.1007%2F978-3-030-00350-0_36 Introducción
4 Defensa Activa The Private Sector and Active Defense Against Cyber Threats (GWU - 2016) Offensive Countermeasures: The art of active defense by John Strand, Paul Asadoorian, Ethan Robish, Benjamin Donnelly Annoyance, Attribution, Attack
¿Hack-Back?
¿Amenaza?
• Actividades de respuesta a incidentes. • Mirada retrospectiva de muestras similares (Caso: Histórico de 4 muestras diferentes del mismo RAT). • Elementos comunes o metadatos similares:  Servidor de descarga.  Servidor C2, DDNS.  Direcciones IP.  VirusTotal  Archivos similares.  Threat hunting con YARA • Análisis de veredictos. Caceria
• Análisis de la muestra o del trafico de red generado para apuntar a un nombre de RAT. • Identificación de la muestra exacta y la versión utilizada:  Tráfico de red  Metadatos en binario / strings.  Análisis en medios abiertos, servidores C2.  Mutexes. • Obtener el malware “completo” para implementarlo en laboratorio e identificar sus propiedades, TTP, mensajes transmitidos y analizar código fuente cuando este disponible (reverse engineering). Reconocimiento y análisis del RAT
Identificar puntos críticos y automatización • Suplantación del Bot: Rehacer la comunicación del cliente (Bot) con el Servidor (C2). • Identificar vulnerabilidades del binario en busca de oportunidades de overflow o aquellas que permitan realizar actividades no controlados del lado del servidor C2. • Determinar elementos de la comunicación iniciados por el cliente Bot y que repercusiones pueden tener del lado del servidor C2. Comunicación desde C2 / Instrucción Comunicación hacia C2 / Instrucción
Identificar puntos críticos y automatización • Automatización: Construcción de scripts basados en los hallazgos que faciliten la explotación de las vulnerabilidades identificadas. • Hack-back/AAA: Evaluación de técnicas anidadas para conseguir un mayor impacto en la ejecución de tácticas de defensa activa. • Colaboración: Asociación/trabajo en equipo para adherirse al protocolo definido por las autoridades. Determinar la mejor relación de tiempo/takedown.
Identificar puntos críticos y automatización Tiempo de respuesta para dar de baja una dirección IP:  Denuncia.  Proceso jurídico.  Comunicación al ISP de la orden de baja de la dirección IP.  Comunicación al proveedor de DDNS para dar de baja el dominio (Respuesta discrecional si no esta en Colombia) Nuestro tiempo de respuesta: 2s  No se ataca la IP, se ataca un servicio identificado como malicioso y se desactiva.  La dirección IP no se ve afectada ni los recursos en el servidor.  El atacante lo soluciona únicamente cambiando de Puerto (Todos los bot pierden comunicación y debe empezar una nueva campaña)  Solo se desactiva la IP, los equipos cliente siguen infectados.  Sinkhole / Colaboración  Es posible desinfectar todos los equipos de la campaña. Además, realizar técnicas de contraataque e identificación del grupo detrás de la campaña.
MSc Eduardo Chavarro Ovalle @echavarro Defensa activa en la batalla contra los RAT

Recomendados

Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fuklFundación Universitaria Konrad Lorenz
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdfHacking Bolivia
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 

Recomendados

Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTSecpro - Security Professionals
 
Sistema Monitoreo fukl
Sistema Monitoreo fuklSistema Monitoreo fukl
Sistema Monitoreo fuklFundación Universitaria Konrad Lorenz
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdfHacking Bolivia
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Metodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataquesMetodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataquesMartin Cabrera
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Curriculum Vitae Spanish
Curriculum Vitae SpanishCurriculum Vitae Spanish
Curriculum Vitae Spanishjor999
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...HelpSystems
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Conceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptxConceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptxssusercfbc43
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
NIST CSF, más allá de la prevención
NIST CSF, más allá de la prevenciónNIST CSF, más allá de la prevención
NIST CSF, más allá de la prevenciónCristian Garcia G.
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Tu Instituto Online
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoBase10media
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.Raynilda Ortega Calcaño
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crsRodrigo Rodriguez
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 
Chrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainmentChrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainmentEduardo Chavarro
 
Owasp 2018 federated confidence
Owasp 2018 federated confidenceOwasp 2018 federated confidence
Owasp 2018 federated confidenceEduardo Chavarro
 

Más contenido relacionado

Similar a Bcsev9 - Defensa Activa en la batalla contral los RAT

Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Metodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataquesMetodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataquesMartin Cabrera
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Curriculum Vitae Spanish
Curriculum Vitae SpanishCurriculum Vitae Spanish
Curriculum Vitae Spanishjor999
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...HelpSystems
 
Conceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptxConceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptxssusercfbc43
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
NIST CSF, más allá de la prevención
NIST CSF, más allá de la prevenciónNIST CSF, más allá de la prevención
NIST CSF, más allá de la prevenciónCristian Garcia G.
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Tu Instituto Online
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasFernando Tricas García
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.Raynilda Ortega Calcaño
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCCristian Garcia G.
 

Similar a Bcsev9 - Defensa Activa en la batalla contral los RAT (20)

Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Metodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataquesMetodologia de Operacion frente a ataques
Metodologia de Operacion frente a ataques
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Curriculum Vitae Spanish
Curriculum Vitae SpanishCurriculum Vitae Spanish
Curriculum Vitae Spanish
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
Conceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptxConceptos generales Auditoria de Sistemas (1).pptx
Conceptos generales Auditoria de Sistemas (1).pptx
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
NIST CSF, más allá de la prevención
NIST CSF, más allá de la prevenciónNIST CSF, más allá de la prevención
NIST CSF, más allá de la prevención
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
Redes de ordenadores y servicios de internet. 2º bac. 09. seguridad en la red...
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de Pentest
 
Introduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones SegurasIntroduccion par un Curso de Diseño de Aplicaciones Seguras
Introduccion par un Curso de Diseño de Aplicaciones Seguras
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakan
 
Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.Portafolio de Introducción a la Gerencia de Proyectos.
Portafolio de Introducción a la Gerencia de Proyectos.
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 

Más de Eduardo Chavarro

Chrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainmentChrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainmentEduardo Chavarro
 
Owasp 2018 federated confidence
Owasp 2018 federated confidenceOwasp 2018 federated confidence
Owasp 2018 federated confidenceEduardo Chavarro
 
Practical Incident Response - Work Guide
Practical Incident Response - Work GuidePractical Incident Response - Work Guide
Practical Incident Response - Work GuideEduardo Chavarro
 
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...Eduardo Chavarro
 
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Eduardo Chavarro
 
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by Echavarro
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by EchavarroBarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by Echavarro
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by EchavarroEduardo Chavarro
 
Teensy BarcampSE - tarjetas Teensy como vectores de ataque
Teensy BarcampSE - tarjetas Teensy como vectores de ataqueTeensy BarcampSE - tarjetas Teensy como vectores de ataque
Teensy BarcampSE - tarjetas Teensy como vectores de ataqueEduardo Chavarro
 
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingCORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingEduardo Chavarro
 
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...Eduardo Chavarro
 
Sleuth kit by echavarro - HABEMUSHACKING
Sleuth kit by echavarro - HABEMUSHACKINGSleuth kit by echavarro - HABEMUSHACKING
Sleuth kit by echavarro - HABEMUSHACKINGEduardo Chavarro
 
Primer foro 2012 - Ciberseguridad | BrigadaDigital
Primer foro 2012 - Ciberseguridad | BrigadaDigitalPrimer foro 2012 - Ciberseguridad | BrigadaDigital
Primer foro 2012 - Ciberseguridad | BrigadaDigitalEduardo Chavarro
 

Más de Eduardo Chavarro (11)

Chrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainmentChrome Extensions: Masking risks in entertainment
Chrome Extensions: Masking risks in entertainment
 
Owasp 2018 federated confidence
Owasp 2018 federated confidenceOwasp 2018 federated confidence
Owasp 2018 federated confidence
 
Practical Incident Response - Work Guide
Practical Incident Response - Work GuidePractical Incident Response - Work Guide
Practical Incident Response - Work Guide
 
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...
BSidesCO - echavarro, Forense para delincuentes: Cuando la única amenaza no e...
 
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
 
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by Echavarro
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by EchavarroBarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by Echavarro
BarcampSE V3: Georeferenciación WiFi "Tracking your opponent" by Echavarro
 
Teensy BarcampSE - tarjetas Teensy como vectores de ataque
Teensy BarcampSE - tarjetas Teensy como vectores de ataqueTeensy BarcampSE - tarjetas Teensy como vectores de ataque
Teensy BarcampSE - tarjetas Teensy como vectores de ataque
 
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingCORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
 
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...
Hack tatoo - Apps para recuperación de equipos y plateamientos legales by ech...
 
Sleuth kit by echavarro - HABEMUSHACKING
Sleuth kit by echavarro - HABEMUSHACKINGSleuth kit by echavarro - HABEMUSHACKING
Sleuth kit by echavarro - HABEMUSHACKING
 
Primer foro 2012 - Ciberseguridad | BrigadaDigital
Primer foro 2012 - Ciberseguridad | BrigadaDigitalPrimer foro 2012 - Ciberseguridad | BrigadaDigital
Primer foro 2012 - Ciberseguridad | BrigadaDigital
 

Último

04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdfCristhianZetaNima
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingKevinCabrera96
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdfvictoralejandroayala2
 
Mapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMONICADELROCIOMUNZON1
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxbingoscarlet
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILProblemSolved
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.pptoscarvielma45
 
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxCARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxvalenciaespinozadavi1
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOFritz Rebaza Latoche
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)ssuser563c56
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptCRISTOFERSERGIOCANAL
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónXimenaFallaLecca1
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajasjuanprv
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfbcondort
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 

Último (20)

04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdf
 
Mapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptx
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
01 MATERIALES AERONAUTICOS VARIOS clase 1.ppt
 
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxCARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
 
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADOPERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
PERFORACIÓN Y VOLADURA EN MINERÍA APLICADO
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
 
Obras paralizadas en el sector construcción
Obras paralizadas en el sector construcciónObras paralizadas en el sector construcción
Obras paralizadas en el sector construcción
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajas
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 

Bcsev9 - Defensa Activa en la batalla contral los RAT

  • 1. MSc Eduardo Chavarro Ovalle Defensa activa en la batalla contra los RAT
  • 2. • MSc en Seguridad Informática, Ingeniero en Telecomunicaciones, Postgrado en Gerencia estratégica de las Telecomunicaciones. • Incident Response Specialist & Malware Analyst para el equipo GERT - Kaspersky Lab LATAM. • 15 años de experiencia en investigaciones realizadas en sectores Defensa, Financiero, Telecomunicaciones e industrial entre otros. • Especialista en Investigaciones Forenses Digitales, CSIRT, eDiscovery, Threat Hunting & Analisis de Malware, APT y Crimen Cibernetico. • Docente Universitario para programas de pregrado y postgrado, Conferencista en eventos nacionales e internacionales. • OWASP/HACKLAB/BARCAMPSE/BSIDES.CO @echavarro
  • 3. Quintero F., Chavarro E., Cruz G., Fernández C. (2018) Approach of an Active Defense Protocol to Deal with RAT Malware. In: Figueroa-García J., López-Santana E., Rodriguez-Molano J. (eds) Applied Computer Sciences in Engineering. WEA 2018. Communications in Computer and Information Science, vol 915. Springer, Cham. https://link.springer.com/chapter/10.1007%2F978-3-030-00350-0_36 Introducción
  • 4. 4 Defensa Activa The Private Sector and Active Defense Against Cyber Threats (GWU - 2016) Offensive Countermeasures: The art of active defense by John Strand, Paul Asadoorian, Ethan Robish, Benjamin Donnelly Annoyance, Attribution, Attack
  • 7. • Actividades de respuesta a incidentes. • Mirada retrospectiva de muestras similares (Caso: Histórico de 4 muestras diferentes del mismo RAT). • Elementos comunes o metadatos similares:  Servidor de descarga.  Servidor C2, DDNS.  Direcciones IP.  VirusTotal  Archivos similares.  Threat hunting con YARA • Análisis de veredictos. Caceria
  • 8. • Análisis de la muestra o del trafico de red generado para apuntar a un nombre de RAT. • Identificación de la muestra exacta y la versión utilizada:  Tráfico de red  Metadatos en binario / strings.  Análisis en medios abiertos, servidores C2.  Mutexes. • Obtener el malware “completo” para implementarlo en laboratorio e identificar sus propiedades, TTP, mensajes transmitidos y analizar código fuente cuando este disponible (reverse engineering). Reconocimiento y análisis del RAT
  • 9. Identificar puntos críticos y automatización • Suplantación del Bot: Rehacer la comunicación del cliente (Bot) con el Servidor (C2). • Identificar vulnerabilidades del binario en busca de oportunidades de overflow o aquellas que permitan realizar actividades no controlados del lado del servidor C2. • Determinar elementos de la comunicación iniciados por el cliente Bot y que repercusiones pueden tener del lado del servidor C2. Comunicación desde C2 / Instrucción Comunicación hacia C2 / Instrucción
  • 10. Identificar puntos críticos y automatización • Automatización: Construcción de scripts basados en los hallazgos que faciliten la explotación de las vulnerabilidades identificadas. • Hack-back/AAA: Evaluación de técnicas anidadas para conseguir un mayor impacto en la ejecución de tácticas de defensa activa. • Colaboración: Asociación/trabajo en equipo para adherirse al protocolo definido por las autoridades. Determinar la mejor relación de tiempo/takedown.
  • 11. Identificar puntos críticos y automatización Tiempo de respuesta para dar de baja una dirección IP:  Denuncia.  Proceso jurídico.  Comunicación al ISP de la orden de baja de la dirección IP.  Comunicación al proveedor de DDNS para dar de baja el dominio (Respuesta discrecional si no esta en Colombia) Nuestro tiempo de respuesta: 2s  No se ataca la IP, se ataca un servicio identificado como malicioso y se desactiva.  La dirección IP no se ve afectada ni los recursos en el servidor.  El atacante lo soluciona únicamente cambiando de Puerto (Todos los bot pierden comunicación y debe empezar una nueva campaña)  Solo se desactiva la IP, los equipos cliente siguen infectados.  Sinkhole / Colaboración  Es posible desinfectar todos los equipos de la campaña. Además, realizar técnicas de contraataque e identificación del grupo detrás de la campaña.
  • 12. MSc Eduardo Chavarro Ovalle @echavarro Defensa activa en la batalla contra los RAT