SlideShare una empresa de Scribd logo

Guadalajara con

Jaime Restrepo
Jaime Restrepo

Este documento describe un laboratorio para el análisis de malware. El laboratorio tiene como objetivos conocer el comportamiento del malware, ayudar en la automatización del análisis, contribuir a la seguridad en Internet y resolver problemas relacionados con el análisis de malware. El laboratorio utiliza herramientas de código abierto como Dionaea y Cuckoo para capturar y analizar malware de forma estática, dinámica y de comportamiento. Los resultados incluyen informes detallados, clasificación de malware y firmas para antivirus.

1 de 29
Descargar para leer sin conexión
Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
Acerca de: http://atit.upslp.edu.mx/~hugo/
● No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas. ● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
¿ Para qué analizar malware ?
Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto) ● ¡Conseguir trabajo en un laboratorio de antivirus!
Laboratorio ● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
Laboratorio de análisis de malware Con software libre !!
Método científico ● Observación ● Inducción ● Hipótesis ● Experimentación ● Demostración ● Tesis o Teoría (Conclusiones)
Objetivo: Aprender más sobre el malware Publicar ...
● Recolección de malware ● Análisis ● Estático ● Dinámico ● De comportamiento ● Resultados
Arquitectura genérica Captura: Análisis: Resultados:
Arquitectura genérica Captura: Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes.
Dionaea http://dionaea.carnivore.it
Video
Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
Cuckoo
Video
Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
Ponga aquí lo que le agrade
Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación Dinámico ContagioDUMP Depurar (Ollydbg, IDA) Comparación USB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina Real Otras fuentes. Conocimiento !! Otros ?
Spampot
Casos ● InetSim http://www.inetsim.org/index.html
Android malware
Ejemplos ● Dionaea + cuckoo = reportes ● Dionaea + Vbox (capture tcpdumps) = cluster ● Contagiodump + vbox (MacOS)
Conclusiones ● Estudiar malware por diversión ! ● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas. ● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones. ● Wadalec, Duqu / Stuxnet. ● Android malware.
¿ Preguntas ? @hugo_glez
Reto de analisis forense para android en: http://atit.upslp.edu.mx/~hugo/guadalajaracon/

Recomendados

Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Bladimir Baez Baez Lizarazo
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Alejandro Hernández
 
Desventuras de Ser Paranoico 2.0
Desventuras de Ser Paranoico 2.0Desventuras de Ser Paranoico 2.0
Desventuras de Ser Paranoico 2.0Jaime Restrepo
 
Hide and Find Rootkits Linux
Hide and Find Rootkits LinuxHide and Find Rootkits Linux
Hide and Find Rootkits LinuxJaime Restrepo
 
Reto forense campus party 2012
Reto forense campus party 2012Reto forense campus party 2012
Reto forense campus party 2012Jaime Restrepo
 
Criptograía vs Esteganografía
Criptograía vs EsteganografíaCriptograía vs Esteganografía
Criptograía vs EsteganografíaJaime Restrepo
 
Escaneo de puertos distribuido
Escaneo de puertos distribuidoEscaneo de puertos distribuido
Escaneo de puertos distribuidoJaime Restrepo
 
Click Jacking
Click JackingClick Jacking
Click JackingJaime Restrepo
 

Recomendados

Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Bladimir Baez Baez Lizarazo
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Malware en Linux - Barcamp SE - Cali, Colombia 2013
Malware en Linux - Barcamp SE - Cali, Colombia 2013Alejandro Hernández
 
Desventuras de Ser Paranoico 2.0
Desventuras de Ser Paranoico 2.0Desventuras de Ser Paranoico 2.0
Desventuras de Ser Paranoico 2.0Jaime Restrepo
 
Hide and Find Rootkits Linux
Hide and Find Rootkits LinuxHide and Find Rootkits Linux
Hide and Find Rootkits LinuxJaime Restrepo
 
Reto forense campus party 2012
Reto forense campus party 2012Reto forense campus party 2012
Reto forense campus party 2012Jaime Restrepo
 
Criptograía vs Esteganografía
Criptograía vs EsteganografíaCriptograía vs Esteganografía
Criptograía vs EsteganografíaJaime Restrepo
 
Escaneo de puertos distribuido
Escaneo de puertos distribuidoEscaneo de puertos distribuido
Escaneo de puertos distribuidoJaime Restrepo
 
Click Jacking
Click JackingClick Jacking
Click JackingJaime Restrepo
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
USB Hacking
USB HackingUSB Hacking
USB HackingJaime Restrepo
 
Detectando intrusos en la red
Detectando intrusos en la redDetectando intrusos en la red
Detectando intrusos en la redJaime Restrepo
 
Analisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS tallerAnalisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS tallerJaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 
Routerpwn
RouterpwnRouterpwn
RouterpwnJaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
Rompiendo llaves RSA
Rompiendo llaves RSARompiendo llaves RSA
Rompiendo llaves RSAJaime Restrepo
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionJaime Restrepo
 
Endian una solucion free de seguridad
Endian una solucion free de seguridadEndian una solucion free de seguridad
Endian una solucion free de seguridadJaime Restrepo
 
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datosPd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datosHeidy Balanta
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tvJaime Restrepo
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-finalJaime Restrepo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Identificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ipIdentificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ipJaime Restrepo
 
Manejo de la Evidencia Digital
Manejo de la Evidencia DigitalManejo de la Evidencia Digital
Manejo de la Evidencia DigitalJaime Restrepo
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
Detectando Hardware keylogger
Detectando Hardware keyloggerDetectando Hardware keylogger
Detectando Hardware keyloggerJaime Restrepo
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digitalFrancisco Medina
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoMario Alberto Parra Alonso
 
Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysistxalin
 

Más contenido relacionado

Destacado

Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Detectando intrusos en la red
Detectando intrusos en la redDetectando intrusos en la red
Detectando intrusos en la redJaime Restrepo
 
Analisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS tallerAnalisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS tallerJaime Restrepo
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionJaime Restrepo
 
Endian una solucion free de seguridad
Endian una solucion free de seguridadEndian una solucion free de seguridad
Endian una solucion free de seguridadJaime Restrepo
 
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datosPd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datosHeidy Balanta
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tvJaime Restrepo
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-finalJaime Restrepo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Identificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ipIdentificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ipJaime Restrepo
 
Manejo de la Evidencia Digital
Manejo de la Evidencia DigitalManejo de la Evidencia Digital
Manejo de la Evidencia DigitalJaime Restrepo
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
Detectando Hardware keylogger
Detectando Hardware keyloggerDetectando Hardware keylogger
Detectando Hardware keyloggerJaime Restrepo
 

Destacado (20)

Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
USB Hacking
USB HackingUSB Hacking
USB Hacking
 
Detectando intrusos en la red
Detectando intrusos en la redDetectando intrusos en la red
Detectando intrusos en la red
 
Analisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS tallerAnalisis forense en dispositivos iOS taller
Analisis forense en dispositivos iOS taller
 
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
Ya están aquí, seguridad fisica - DragonJAR Security Conference 2014
 
Routerpwn
RouterpwnRouterpwn
Routerpwn
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 
Rompiendo llaves RSA
Rompiendo llaves RSARompiendo llaves RSA
Rompiendo llaves RSA
 
DragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware EditionDragonJAR TV Episodio 5 - Malware Edition
DragonJAR TV Episodio 5 - Malware Edition
 
Endian una solucion free de seguridad
Endian una solucion free de seguridadEndian una solucion free de seguridad
Endian una solucion free de seguridad
 
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datosPd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
Pd modificación art._2.2.2.26.3.1_registro_nacional_bases_de_datos
 
Charla perito informático dragonjar tv
Charla perito informático dragonjar tvCharla perito informático dragonjar tv
Charla perito informático dragonjar tv
 
Presentacion dragon jartv-final
Presentacion dragon jartv-finalPresentacion dragon jartv-final
Presentacion dragon jartv-final
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
 
Identificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ipIdentificación y análisis de patrones de trafico malicioso en redes ip
Identificación y análisis de patrones de trafico malicioso en redes ip
 
Manejo de la Evidencia Digital
Manejo de la Evidencia DigitalManejo de la Evidencia Digital
Manejo de la Evidencia Digital
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
Detectando Hardware keylogger
Detectando Hardware keyloggerDetectando Hardware keylogger
Detectando Hardware keylogger
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digital
 

Similar a Guadalajara con

Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysistxalin
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Karina Avila
 
Las entrañas del malware
Las entrañas del malwareLas entrañas del malware
Las entrañas del malwareRicardoGomez94
 

Similar a Guadalajara con (20)

Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysis
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Antivirus
AntivirusAntivirus
Antivirus
 
097 coursev1
097 coursev1097 coursev1
097 coursev1
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
software testing
software testingsoftware testing
software testing
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.
 
Las entrañas del malware
Las entrañas del malwareLas entrañas del malware
Las entrañas del malware
 

Más de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Busy Tone Vulnerable PBX
Busy Tone Vulnerable PBXBusy Tone Vulnerable PBX
Busy Tone Vulnerable PBXJaime Restrepo
 

Más de Jaime Restrepo (19)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Busy Tone Vulnerable PBX
Busy Tone Vulnerable PBXBusy Tone Vulnerable PBX
Busy Tone Vulnerable PBX
 

Guadalajara con

  • 1. Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
  • 3. No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas. ● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
  • 4. ¿ Para qué analizar malware ?
  • 5. Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
  • 6. Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto) ● ¡Conseguir trabajo en un laboratorio de antivirus!
  • 7. Laboratorio ● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
  • 8. Laboratorio de análisis de malware Con software libre !!
  • 9. Método científico ● Observación ● Inducción ● Hipótesis ● Experimentación ● Demostración ● Tesis o Teoría (Conclusiones)
  • 10. Objetivo: Aprender más sobre el malware Publicar ...
  • 11. Recolección de malware ● Análisis ● Estático ● Dinámico ● De comportamiento ● Resultados
  • 12. Arquitectura genérica Captura: Análisis: Resultados:
  • 13. Arquitectura genérica Captura: Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes.
  • 15. Video
  • 16. Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
  • 18. Video
  • 19. Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
  • 20. Ponga aquí lo que le agrade
  • 21. Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación Dinámico ContagioDUMP Depurar (Ollydbg, IDA) Comparación USB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina Real Otras fuentes. Conocimiento !! Otros ?
  • 23. Casos ● InetSim http://www.inetsim.org/index.html
  • 25.
  • 26. Ejemplos ● Dionaea + cuckoo = reportes ● Dionaea + Vbox (capture tcpdumps) = cluster ● Contagiodump + vbox (MacOS)
  • 27. Conclusiones ● Estudiar malware por diversión ! ● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas. ● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones. ● Wadalec, Duqu / Stuxnet. ● Android malware.
  • 28. ¿ Preguntas ? @hugo_glez
  • 29. Reto de analisis forense para android en: http://atit.upslp.edu.mx/~hugo/guadalajaracon/