Eduardo Chavarro Ovalle presenta su experiencia en defensa activa contra malware RAT. Propone identificar elementos comunes en muestras de RAT para realizar cacería de amenazas. Luego, analizar el RAT para reconocer sus propiedades y comunicación con el servidor C2. Esto permite automatizar scripts para explotar vulnerabilidades y desactivar servicios maliciosos rápidamente, afectando solo la campaña y no otros recursos. La defensa activa puede combinarse con sinkholing y colaboración para desinfectar equipos y contraatacar
2. • MSc en Seguridad Informática, Ingeniero en Telecomunicaciones, Postgrado en
Gerencia estratégica de las Telecomunicaciones.
• Incident Response Specialist & Malware Analyst para el equipo GERT - Kaspersky Lab
LATAM.
• 15 años de experiencia en investigaciones realizadas en sectores Defensa, Financiero,
Telecomunicaciones e industrial entre otros.
• Especialista en Investigaciones Forenses Digitales, CSIRT, eDiscovery, Threat Hunting &
Analisis de Malware, APT y Crimen Cibernetico.
• Docente Universitario para programas de pregrado y postgrado, Conferencista en
eventos nacionales e internacionales.
• OWASP/HACKLAB/BARCAMPSE/BSIDES.CO
@echavarro
3. Quintero F., Chavarro E., Cruz G., Fernández C. (2018) Approach of an Active Defense Protocol
to Deal with RAT Malware. In: Figueroa-García J., López-Santana E., Rodriguez-Molano J. (eds)
Applied Computer Sciences in Engineering. WEA 2018. Communications in Computer and
Information Science, vol 915. Springer, Cham.
https://link.springer.com/chapter/10.1007%2F978-3-030-00350-0_36
Introducción
4. 4
Defensa Activa
The Private Sector and Active Defense Against Cyber Threats (GWU - 2016)
Offensive Countermeasures: The art of active defense
by John Strand, Paul Asadoorian, Ethan Robish, Benjamin
Donnelly
Annoyance, Attribution, Attack
7. • Actividades de respuesta a incidentes.
• Mirada retrospectiva de muestras similares (Caso:
Histórico de 4 muestras diferentes del mismo RAT).
• Elementos comunes o metadatos similares:
Servidor de descarga.
Servidor C2, DDNS.
Direcciones IP.
VirusTotal Archivos similares.
Threat hunting con YARA
• Análisis de veredictos.
Caceria
8. • Análisis de la muestra o del trafico de red generado
para apuntar a un nombre de RAT.
• Identificación de la muestra exacta y la versión
utilizada:
Tráfico de red
Metadatos en binario / strings.
Análisis en medios abiertos, servidores C2.
Mutexes.
• Obtener el malware “completo” para
implementarlo en laboratorio e identificar sus
propiedades, TTP, mensajes transmitidos y analizar
código fuente cuando este disponible (reverse
engineering).
Reconocimiento y análisis del RAT
9. Identificar puntos críticos y automatización
• Suplantación del Bot: Rehacer la comunicación del
cliente (Bot) con el Servidor (C2).
• Identificar vulnerabilidades del binario en busca de
oportunidades de overflow o aquellas que permitan
realizar actividades no controlados del lado del
servidor C2.
• Determinar elementos de la comunicación iniciados por
el cliente Bot y que repercusiones pueden tener del lado
del servidor C2.
Comunicación desde C2
/ Instrucción
Comunicación hacia C2
/ Instrucción
10. Identificar puntos críticos y automatización
• Automatización: Construcción de scripts basados en los
hallazgos que faciliten la explotación de las
vulnerabilidades identificadas.
• Hack-back/AAA: Evaluación de técnicas anidadas para
conseguir un mayor impacto en la ejecución de tácticas
de defensa activa.
• Colaboración: Asociación/trabajo en equipo para
adherirse al protocolo definido por las autoridades.
Determinar la mejor relación de tiempo/takedown.
11. Identificar puntos críticos y automatización
Tiempo de respuesta para dar de baja una dirección IP:
Denuncia.
Proceso jurídico.
Comunicación al ISP de la orden de baja de la
dirección IP.
Comunicación al proveedor de DDNS para dar de
baja el dominio (Respuesta discrecional si no esta en
Colombia)
Nuestro tiempo de respuesta: 2s
No se ataca la IP, se ataca un servicio identificado
como malicioso y se desactiva.
La dirección IP no se ve afectada ni los recursos en el
servidor.
El atacante lo soluciona únicamente cambiando de
Puerto (Todos los bot pierden comunicación y debe
empezar una nueva campaña)
Solo se desactiva la IP, los equipos cliente siguen
infectados.
Sinkhole / Colaboración
Es posible desinfectar todos los equipos de la
campaña. Además, realizar técnicas de contraataque
e identificación del grupo detrás de la campaña.
12. MSc Eduardo Chavarro Ovalle @echavarro
Defensa activa en la
batalla contra los RAT