Ponencia impartida por Álvaro Díaz Hernández (@alvarodh5) en Qurtuba Security Congress 2017.

2. Security Analyst (Deloitte)
Who Am I
@alvarodh5
Escritor en Follow The White Rabbit
Administrador de Underc0de
Estudiante ingeniería informática
Estudiante OSCP

4. ¿Todo el malware es dañino para el
ordenador?

5. ¿Todo el malware es dañino para el
ordenador?
NO

6. Troyano
Virus
Altera el funcionamiento normal, de
diferentes tipos (desde dañar el sistema
a producir molestias). Están casi extintos
Ransomware
Restringe el acceso a determinadas
partes o archivos del sistema
(cifrándolos), solicitando un rescate.
Gusano
Gran capacidad para replicarse,
utilizado principalmente para causar
problemas en la red
Troyano
Acceso completo al equipo, keylogger,
administrador de archivos,
persistencia…
Spyware
Utilizado para espiar a usuarios, roban
diferentes datos tales como datos de
navegación, cookies, contraseñas…

7. ¿Facilidad de Creación?

13. ¿Antivirus for the win?
Cada Antivirus tiene una base de datos en la cual almacena firmas.
Dichas firmas, son fragmentos de códigos que identifican a cada
malware.
De esta forma, cada software que contenga esta firma en su código,
el Antivirus lo bloqueará y lo tomará como amenaza.
También se utilizan los análisis heurísticos, básicamente examinan el
comportamiento de los binarios en busca de un patrón similar al de
algún malware detectado.

14. Tipos de Indetectabilidad
Runtime: Es cuando un binario es ejecutado y no es detectado por el
antivirus.
Scantime: Es indetectable únicamente ante un scanneo. Pero a la hora
de ejecutarlo, el antivirus lo detectará.
FUD: Se denomina FUD (Fully Undetectable) al binario que no se
detecta por los antivirus.

15. El antivirus no es infalible

16. Un crypter es una herramienta que transforma un archivo A en un archivo
B, editando parte del código de A.
Es decir, si tengo un archivo A que es detectado, un crypter puede modificar
parte de su estructura interna dejándolo indetectable a ciertos antivirus.
Claro está, que dicho crypter debe ser indetectable.

18. Los crypters utilizan técnicas de cifrado para ocultar el malware.
Para ello, utilizan un tipo de cifrado y una key.
De esta manera, el antivirus no podrá detectar ninguna amenaza, pues el
binario está cifrado.

19. Partes de un Crypter (CLIENTE)
Un Crypter consta de dos partes, un Cliente y un Stub.
El Cliente es la parte gráfica que permite seleccionar el malware o
archivo y le aplica el cifrado

21. Partes de un Crypter (STUB)
Mientras que el Stub es la parte vital del Crypter.
Este se encarga de ejecutar el algoritmo de descifrado. Para
entenderlo mejor, el siguiente gráfico muestra el resultado final de
como queda un malware

22. Resumiendo
Tenemos nuestro Malware detectado, le pasamos elCrypter, y este le
añade el Stub con el algoritmo de descifrado, la Key para descifrarlo y a
continuación el malware cifrado, obteniendo de esta manera un binario
indetectable.
De esta forma cuando se ejecute, el stub se encarga de copiarlo a la
memoria RAM, descifrar el malware cifrado y ejecutarlo directamente en
memoria, al no pasar por el disco, el antivirus no podrá detectarlo.

23. Objetivo del Crypter
• Dejar el malware FUD
• Unir el malware con otro archivo (BINDER)
• Agregar funcionalidades al malware (anti-sandbox, propagación
etc…).

24. Problem?

25. Tipos de Análisis
•Estático
•Dinámico

26. Estático
Consiste en estudiar el contenido del binario sin ejecutarlo.
Una ventaja frente al análisis dinámico, es que se puede saber
exactamente qué es lo que realiza el malware, determinando sus
consecuencias.

27. Dinámico
Consiste en la ejecución del malware en un entorno controlado
(SandBox), de forma que podamos monitorizar cambios, acceso a
recursos, envío de información etc...
Destacar, que gran cantidad de veces el malware modifica su
comportamiento si detecta que el sistema se trata de una máquina
virtual.

28. Práctica

29. ¿Malware?

30. Análisis Estático

31. Análisis Dinámico

32. RAT??

33. Desinfección

34. Desinfección

35. Desinfección

36. Tendencias de Malware

37. Vectores de Ataque

38. Tendencias de Malware

39. Tendencias de Malware

40. Tendencias de Malware
(RANSOMWARE)

41. Malware en la DEEPWEB

42. @alvarodh5
@alvarodh5
alvarodiazher@gmail.com
¿Preguntas?