Este documento describe un laboratorio para el análisis de malware. El laboratorio tiene como objetivos conocer el comportamiento del malware, ayudar en la automatización del análisis, contribuir a la seguridad en Internet y resolver problemas relacionados con el análisis de malware. El laboratorio utiliza herramientas de código abierto como Dionaea y Cuckoo para capturar y analizar malware de forma estática, dinámica y de comportamiento. Los resultados incluyen informes detallados, clasificación de malware y firmas para antivirus.
1. Laboratorio de Análisis de Malware
@hugo_glez
This work is licensed under the Creative Commons
Attribution-NonCommercial-ShareAlike 3.0 Unported License.
To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
3. ● No hago análisis de malware por motivos
económicos/profesionales, tiene que ver más
con investigación y cuestiones académicas.
● El público objetivo es básico a intermedio,
habrá sesiones de análisis avanzado.
5. Mi punto es:
● Conocer sobre el malware y su
comportamiento.
● Ayudar en la automatización del análisis de
malware.
● Contribuir a la seguridad en Internet.
● Resolver problemas del estado de la práctica y
del estado del arte. (cripto)
6. Mi punto es:
● Conocer sobre el malware y su
comportamiento.
● Ayudar en la automatización del análisis de
malware.
● Contribuir a la seguridad en Internet.
● Resolver problemas del estado de la práctica y
del estado del arte. (cripto)
● ¡Conseguir trabajo en un laboratorio de
antivirus!
7. Laboratorio
● El laboratorio es un lugar dotado de los medios
necesarios para realizar investigaciones,
experimentos, prácticas y trabajos de carácter
científico, tecnológico o técnico; está equipado con
instrumentos de medida o equipos con que se realizan
experimentos, investigaciones o prácticas diversas,
según la rama de la ciencia a la que se dedique.
– Se puede asegurar que no se producen influencias extrañas
(a las conocidas o previstas) que alteren el resultado del
experimento o medición: control.
– Se garantiza que el experimento o medición es repetible, es
decir, cualquier otro laboratorio podría repetir el proceso y
obtener el mismo resultado: normalización.
● http://es.wikipedia.org/wiki/Laboratorio
21. Arquitectura genérica
Captura: Análisis: Resultados:
Nepenthes Estático Más análisis
Strings
Dionaea Decompilar Reporte
Desensamblar
Spampot Clasificación
Dinámico
ContagioDUMP Depurar (Ollydbg, IDA) Comparación
USB en el ciber Comportamiento Método de limpieza
Ejecutarlo
Listas Máquina Virtual Firma para AV
Máquina Real
Otras fuentes. Conocimiento !!
Otros ?
27. Conclusiones
● Estudiar malware por diversión !
● Existen muchas herramientas que ayudan, pero
todavía falta mejorar la automatización, la
interacción entre ellas.
● El malware actual es ingeniería aplicada!
Criptografía, canales de comunicaciones, anti-
depuración, anti-virtualización, nuevas
protecciones.
● Wadalec, Duqu / Stuxnet.
● Android malware.