Historia de la Medicina y bases para desarrollo de ella
Qurtuba 2k17 ¡Malware a Mi!
1.
2. Security Analyst (Deloitte)
Who Am I
@alvarodh5
Escritor en Follow The White Rabbit
Administrador de Underc0de
Estudiante ingeniería informática
Estudiante OSCP
6. Troyano
Virus
Altera el funcionamiento normal, de
diferentes tipos (desde dañar el sistema
a producir molestias). Están casi extintos
Ransomware
Restringe el acceso a determinadas
partes o archivos del sistema
(cifrándolos), solicitando un rescate.
Gusano
Gran capacidad para replicarse,
utilizado principalmente para causar
problemas en la red
Troyano
Acceso completo al equipo, keylogger,
administrador de archivos,
persistencia…
Spyware
Utilizado para espiar a usuarios, roban
diferentes datos tales como datos de
navegación, cookies, contraseñas…
13. ¿Antivirus for the win?
Cada Antivirus tiene una base de datos en la cual almacena firmas.
Dichas firmas, son fragmentos de códigos que identifican a cada
malware.
De esta forma, cada software que contenga esta firma en su código,
el Antivirus lo bloqueará y lo tomará como amenaza.
También se utilizan los análisis heurísticos, básicamente examinan el
comportamiento de los binarios en busca de un patrón similar al de
algún malware detectado.
14. Tipos de Indetectabilidad
Runtime: Es cuando un binario es ejecutado y no es detectado por el
antivirus.
Scantime: Es indetectable únicamente ante un scanneo. Pero a la hora
de ejecutarlo, el antivirus lo detectará.
FUD: Se denomina FUD (Fully Undetectable) al binario que no se
detecta por los antivirus.
16. Un crypter es una herramienta que transforma un archivo A en un archivo
B, editando parte del código de A.
Es decir, si tengo un archivo A que es detectado, un crypter puede modificar
parte de su estructura interna dejándolo indetectable a ciertos antivirus.
Claro está, que dicho crypter debe ser indetectable.
17.
18. Los crypters utilizan técnicas de cifrado para ocultar el malware.
Para ello, utilizan un tipo de cifrado y una key.
De esta manera, el antivirus no podrá detectar ninguna amenaza, pues el
binario está cifrado.
19. Partes de un Crypter (CLIENTE)
Un Crypter consta de dos partes, un Cliente y un Stub.
El Cliente es la parte gráfica que permite seleccionar el malware o
archivo y le aplica el cifrado
20.
21. Partes de un Crypter (STUB)
Mientras que el Stub es la parte vital del Crypter.
Este se encarga de ejecutar el algoritmo de descifrado. Para
entenderlo mejor, el siguiente gráfico muestra el resultado final de
como queda un malware
22. Resumiendo
Tenemos nuestro Malware detectado, le pasamos elCrypter, y este le
añade el Stub con el algoritmo de descifrado, la Key para descifrarlo y a
continuación el malware cifrado, obteniendo de esta manera un binario
indetectable.
De esta forma cuando se ejecute, el stub se encarga de copiarlo a la
memoria RAM, descifrar el malware cifrado y ejecutarlo directamente en
memoria, al no pasar por el disco, el antivirus no podrá detectarlo.
23. Objetivo del Crypter
• Dejar el malware FUD
• Unir el malware con otro archivo (BINDER)
• Agregar funcionalidades al malware (anti-sandbox, propagación
etc…).
26. Estático
Consiste en estudiar el contenido del binario sin ejecutarlo.
Una ventaja frente al análisis dinámico, es que se puede saber
exactamente qué es lo que realiza el malware, determinando sus
consecuencias.
27. Dinámico
Consiste en la ejecución del malware en un entorno controlado
(SandBox), de forma que podamos monitorizar cambios, acceso a
recursos, envío de información etc...
Destacar, que gran cantidad de veces el malware modifica su
comportamiento si detecta que el sistema se trata de una máquina
virtual.
Malware (Inglés) Malicious Software
A priori, cuando la gente escucha la palabra malware lo asocia a troyano, ransomware, gusano, pero…
A priori, cuando la gente escucha la palabra malware lo asocia a troyano, ransomware, gusano, pero…
Por ejemplo el keylogger o el stealer, ya que solo roban información sin dañar al equipo.
Keylogger Registra Teclado
Stealer Obtiene información, acceso a sitios web, contraseñas, credit card…
Mencionar que hay otros tipos de malware como adware, botnet, rootkit (camuflaje una vez has penetrado en el sistema) incluso downloaders
Primer virus Creeper (IBM Serie 360) “Mensaje soy una enredadera, pillame si puedes”
Primer Antivirus Reaper (segador)
Gusanos Gastan ancho de banda y ralentizan todo.
¿Alguien ha creado un malware? Ransomware? RAT?
¿Alguno conoce NanoCore?
Bueno, pues para que veáis lo simple que es en este caso crear un RAT.
Para crear el server ponemos la dirección IP o NO-IP o lo que queramos del cliente para que se pueda conectar e incluso podemos añadiir una de backup por si la principal cae.
Que nos ofrece el server? Pues todo, administración remota de ficheros, control del registro, procesos, incluso una terminal.
Keylogger, webcam etc…
¿Pero esto nos protege de todo?
Es una capa extra de proteccion
Hay muchos tipos de evasión de antivirus… Podemos utilizar un crypter, polimorfismo o incluso tools propias :D
Crypter más básico
Crypter más avanzado que te permite elegir tipo de cifrado, facilitan propragación, anti sandbox…
¿Con esto es suficiente?
O bien también existe Hybrid-Analysis que utiliza una Falcon Sandbox
Por comportamiento, puerto utilizado (por defecto), sin contraseña aparente, packer etc etc, podemos llegar a la conclusión de que se trata de njRAT
Como se puede observar en la gráfica, año tras año las cifras de malware aumentan.
Sobre los vectores de ataque, priorizan ataques vía email, sobre todo porque juegan con la ingeniería social de la víctima.
Nombrar Troyanos y Ransomware
De los más famosos CryptoWall y TeslaCrypt
Gran cantidad de servicios, Alquiler de BotNet, Ransomware as a Service, compra de tarjetas de crédito…