1. Análisis de un Ataque con Vector Client-Side:
Trafico y Comportamientos
Luis Eduardo Melendez Campis C|EH, ACE, BNF, BIS, BNS
Campus Party 2012
2. Datos de Contacto
Twitter: @v3l3r0f0nt3
Blog: v3l3r0f0nt3.blogspot.com
Email: melendezcampis@gmail.com
3. Objetivos y Nivel de la Charla
Objetivos
Conceptualizar las generalidades que rodean al vector de
ataque Client-Side (Definición, tipología, patrones de
comportamiento, etc…).
Conocer algunas herramientas para el análisis de trafico y
de malware que son utiles al momento de realizar un
Triaje de casos que involucren ataques Client-Side
Nivel
Basico
4. Pero…. ¿Qué es un Vector de Ataque?
Variante A1
…Según Richard Bejtlich, un
Ataque A
vector de ataque es una
ruta o un medio que un A2
Variante
intruso puede utilizar para
acceder o comprometer a
un servidor o servicio…
Vector de Ataque Variante B1
Ataque B
Variante B2
Ataque C
5. Vectores de Ataque – Vectores Base
Server Side Attack Vector
Client Side Attack Vector
6. Client-Side Attack Vector
Considerado por muchos
expertos como una de las
amenazas emergentes de
mayor impacto y desarrollo.
Aprovecha el eslabón mas
débil de la cadena de
aseguramiento «El Usuario».
Principalmente usado para:
– Masificación de Botnets
– Recopilación de Información
– Propagación Masiva de
Malware
– Penetración y Control del
Objetivo
7. Client-Side Attack Vector
Javascripts PDF Archivos Troyanizados
ActiveX
Código de Explotación
Binarios
Archivos Ofimáticos (.doc, .docx , .xls, .ppt, etc…)
Canal Cubierto
Información Critica / Control Total del
Objetivo
10. Tipos de Ataques Client-Side
Según el medio de inoculación del exploit:
HTTP Client-Side Exploitation
Format File Client-Side Exploitation
Binary Client-Side Exploitation
Según el método que utilice para tomar control del
cliente:
Por Explotación de una Vulnerabilidad
Por Troyanizacion (Reverse Troyan)
16. ¿Qué Buscar al Analizar un Ataque Client-Side?
Mecanismos de Inoculación
Direcciones IP inolucradas
Dominios Implicados
Redirecciones de Trafico
Archivos Troyanizados
Archivos/Codigos Exploit
Procedimientos de Explotacion In-Situ
Vulnerabilidad Objetivo
17. Algunas Fuentes de Información
Cache y Temporales de Internet del Cliente
Capturas de Trafico
Archivos Recuperados
18. Análisis de Trafico
Identificar Recuperar
Patrones de Participantes Archivos Datos de Sesiones
Comportamiento en
la Red
19. Análisis de Malware
Análisis Estático Análisis Dinámico
Revisar el código y caminar a Esta técnica consiste en ejecutar
través de él para entender de el posible malware en un
mejor forma lo que el malware ambiente controlado, y
esta haciendo. monitorear el comportamiento
de este.
Se busca identificar un patrón de
comportamiento, compuesto por
acciones como, crear claves del
registro, abrir puertos,
comunicarse con servidores
remotos, etc.
Este tipo de análisis es más
rápido y sencillo de realizar.
20. Algunas Herramientas Útiles
Análisis de Trafico Análisis de Malware Dinamico
Wireshark Malzilla
NetworkMinner Buster SandBox Analizer
JSDetox
PDFStreamBuster