Defenses againstmalware, automatedanalysis using OpenSource technology                      Autor: Marc Rivero López      ...
La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación outilización total o...
about        • ACSS (Advanced cyber Security          Services)        • Analista ecrime        Datos de contacto:        ...
¿Solución automatizada de Malware?            Solución Open Source            Funcionamiento de Cuckoo// ÍNDICE   Presenta...
// 01 ¿SOLUCIÓN AUTOMATIZADA DE MALWARE?                *
MOTIVOS          • Malware en todas las            plataformas poulares          • Muchísima cantidad de            malware
¿Porque un Sandbox?                      Ventajas:                      •Entorno controlado.                      •Análisi...
// 02 SOLUCIÓN OPEN SOURCE                *
¿Porque una solución Open Source?                               • Soluciones comerciales                                 m...
Cuckoo Sandbox                 • Plataforma para el análisis                   de malware                 • Capaz de anali...
// 03 FUNCIONAMENTO DE CUCKOO                *
¿Como funciona la plataforma?
Componentes de Cuckoo
Análisis de malware  • Configuración de Cuckoo    con el engine de    virtualización  • Daemon a la espera de los    análi...
// D           DEMO       *
// 04 PRESENTACIÓN DE RESULTADOS                *
Resultados...    • Los análisis se irán      mostrando en la parte web      de Cuckoo.
Resultados... • Información sobre el   binario, firmas de yara,   PEiD y Virus Total
Resultados...• Firmas y pantallazos
Resultados...• Análisis estático e  información sobre la  muestra
Resultados...• Cuckoo analizará los  archivos recogidos por la  muestra
Resultados... • Análisis de red
Resultados...  • Cambios en el sistema de    ficheros
Resultados...  • Mutex
Resultados...  • Cambios que ha sufrido el    registro
Resultados...  • Información 4detallada    sobre los procesos
// 05 EXTRAS EN LOS ANÁLISIS                  *
API de Virus Total       • Cuckoo consultará el         HASH de la muestra en         Virus Total
Conexión a dominios maliciosos                                 • Cuckoo avisará cuando                                   u...
// 06 CUCKOO VS CITADEL                 *
Datos falsos     • Algunas versiones de       Citadel contienen       protección de máquina       virtual
// 07 CUCKOO VS EXPLOITS KITS                 *
Cuckoo analiza el Exploit Kit                              Para ver esta película, debe• Cuckoo es capaz de         dispon...
// 08 CONCLUSIONES                *
//     ¿PREGUNTAS?     *
GRACIASSPAIN   MEXICO   BRASIL   UK   USAwww.s21sec.com
Próxima SlideShare
Cargando en…5
×

Open source malware analysis

4.454 visualizaciones

Publicado el

La charla trata como te puedes montar tu propio sistema de análisis automatizado de malware, de manera que serás capaz de poder estudiar en un entorno controlado como funciona el malware. En esta linea se explicará como funcionan los ataques MITB y porque es difícil para los usuarios poder detectar este tipo de ataques. También se explicará que existen diversas mafias que se dedican al desarrollo de kits de Explotación que infectan a los usuarios. Y por último como el malware se adelanta y es capaz de detectar que está siendo "observado" y como es capaz de engañar al analista

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
4.454
En SlideShare
0
De insertados
0
Número de insertados
3.596
Acciones
Compartido
0
Descargas
24
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Open source malware analysis

  1. 1. Defenses againstmalware, automatedanalysis using OpenSource technology Autor: Marc Rivero López Fecha: Octubre 2012
  2. 2. La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación outilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21sec estáestrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún caso deberáser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.© Grupo S21sec Gestión, S.A.
  3. 3. about • ACSS (Advanced cyber Security Services) • Analista ecrime Datos de contacto: mrivero@s21sec.com @seifreed
  4. 4. ¿Solución automatizada de Malware? Solución Open Source Funcionamiento de Cuckoo// ÍNDICE Presentación de resultados Extras en los análisis* Cuckoo VS Citadel Cuckoo VS Exploits Kits Conclusiones
  5. 5. // 01 ¿SOLUCIÓN AUTOMATIZADA DE MALWARE? *
  6. 6. MOTIVOS • Malware en todas las plataformas poulares • Muchísima cantidad de malware
  7. 7. ¿Porque un Sandbox? Ventajas: •Entorno controlado. •Análisis por lotes •Análisis automatizado •Poder analizar grandes cantidades de malware Inconvenientes: •Fácilmente detectable
  8. 8. // 02 SOLUCIÓN OPEN SOURCE *
  9. 9. ¿Porque una solución Open Source? • Soluciones comerciales muy caras. • Poder introducir nuevas funcionalidades. etc...
  10. 10. Cuckoo Sandbox • Plataforma para el análisis de malware • Capaz de analizar exe, pdf, doc... • Usa virtualización para los análisis • 100% Open Source
  11. 11. // 03 FUNCIONAMENTO DE CUCKOO *
  12. 12. ¿Como funciona la plataforma?
  13. 13. Componentes de Cuckoo
  14. 14. Análisis de malware • Configuración de Cuckoo con el engine de virtualización • Daemon a la espera de los análisis
  15. 15. // D DEMO *
  16. 16. // 04 PRESENTACIÓN DE RESULTADOS *
  17. 17. Resultados... • Los análisis se irán mostrando en la parte web de Cuckoo.
  18. 18. Resultados... • Información sobre el binario, firmas de yara, PEiD y Virus Total
  19. 19. Resultados...• Firmas y pantallazos
  20. 20. Resultados...• Análisis estático e información sobre la muestra
  21. 21. Resultados...• Cuckoo analizará los archivos recogidos por la muestra
  22. 22. Resultados... • Análisis de red
  23. 23. Resultados... • Cambios en el sistema de ficheros
  24. 24. Resultados... • Mutex
  25. 25. Resultados... • Cambios que ha sufrido el registro
  26. 26. Resultados... • Información 4detallada sobre los procesos
  27. 27. // 05 EXTRAS EN LOS ANÁLISIS *
  28. 28. API de Virus Total • Cuckoo consultará el HASH de la muestra en Virus Total
  29. 29. Conexión a dominios maliciosos • Cuckoo avisará cuando una muestra quiera conectarse a un dominio malicioso.
  30. 30. // 06 CUCKOO VS CITADEL *
  31. 31. Datos falsos • Algunas versiones de Citadel contienen protección de máquina virtual
  32. 32. // 07 CUCKOO VS EXPLOITS KITS *
  33. 33. Cuckoo analiza el Exploit Kit Para ver esta película, debe• Cuckoo es capaz de disponer de QuickTime™ y de un descompresor Photo - JPEG. analizar URL que contengan exploits kits y recoger los archivos.
  34. 34. // 08 CONCLUSIONES *
  35. 35. // ¿PREGUNTAS? *
  36. 36. GRACIASSPAIN MEXICO BRASIL UK USAwww.s21sec.com

×