SlideShare una empresa de Scribd logo

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

M
Mario Alberto Parra Alonso

Slides de la charla del 7 de Marzo de 2017 para el evento Hack&Beers de Cádiz. Enfocado al estudio de malware.

Internet
1 de 32
Descargar para leer sin conexión
CUCKOO SANDBOX ANÁLISIS DE MALWARE Mario Parra Alonso
AGRADECIMIENTOS
ANÁLISIS DE MALWARE - CUCKOO SANDBOX AVISO ▸ No me hago responsable del daño que puedan causar los malwares aquí mostrados. ▸ Estas pruebas se hacen en un circuito cerrado y rodada por especialistas :P ▸ Durante esta charla no se ha dañado ningún malware. No puedo decir lo mismo de mi VirtualBox :(. ▸ El objetivo de esta charla es la de enseñar a analizar malware para protegernos y no morir en el intento.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX PING @MPALONSO ▸ Técnico Superior en Administración de sistemas en Red ▸ Estudiante de Ingeniería Informática ▸ Proyecto de estudio de ataques y su localización “Honeytrack” ▸ Miembro del equipo de CTF Follow The White Rabbit ▸ Python Lover <3 @MPAlonso_https://github.com/anubis7
ANÁLISIS DE MALWARE - CUCKOO SANDBOX INDEX ▸ Presentación ▸ Introducción ▸ Tendencias ▸ Estudio del malware (cuckoo sandbox) ▸ Demo
ANÁLISIS DE MALWARE - CUCKOO SANDBOX INTRODUCCIÓN ▸ Malware ▸ Historia del Malware ▸ Tipos de malware ▸ Vector de infección ▸ Impacto
ANÁLISIS DE MALWARE - CUCKOO SANDBOX MALWARE ▸ Es un tipo de software que tiene como objetivo infiltrarse en un sistema sin consentimiento de su propietario. ▸ Protección: antivirus, aplicaciones y sistemas actualizados al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el conocimiento del usuario. ▸ “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” K.M.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX HISTORIA DEL MALWARE ▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET. “Im a creeper, catch me!”. Contramedida: “Reaper”. ▸ Finales de los 80: Viernes_13/Jerusalem infección de ficheros .EXE ▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en el desarrollo de malware. ▸ Año 2000: LoveLetter, Mydoom, Sasser…etc ▸ Desde 2003: malware más sofisticados, aparición de spyware..etc ▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la Policia…etc)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX TIPOS DE MALWARE ▸ Virus clásicos: Viernes13 ▸ Gusanos: I<3YOU Blaster ▸ Troyanos: Zeus ▸ Spyware: Perfect_Keylogger KeenValue ▸ Rootkits: T0rn SuckIT
ANÁLISIS DE MALWARE - CUCKOO SANDBOX VECTORES DE INFECCIÓN ▸ Fallos en aplicaciones y/o sistemas operativos (buffer overflow…etc) ▸ Carga automática de elementos con JavaScript, emails… ▸ Fallos en protocolos de red ▸ Dispositivos físicos ▸ Usuarios!!!
ANÁLISIS DE MALWARE - CUCKOO SANDBOX IMPACTO
AHORA SIN MIEDO,
 ESTUDIAMOS??
SANDBOX ▸ Concepto: es un entorno de prueba separado del entorno de producción. Ejemplo de virtualización. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ANÁLISIS DE MALWARE - CUCKOO SANDBOX MÉTODOS DE EVASIÓN ▸ Ofuscación del código ▸ Crypters ▸ Client ▸ Stub (encargado de desencryptar el código) ▸ Más info sobre: Troyanos, Evasion..etc. ▸ Malware_Magazine_1 : underc0de
ANÁLISIS DE MALWARE - CUCKOO SANDBOX ESTUDIO DEL MALWARE (CUCKOO SANDBOX) ▸ Cuckoo Sandbox ▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google Summer of Code dentro del proyecto Honeynet. ▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia de Cuckoo Sandbox para obtener una plataforma donde analizar ficheros maliciosos que suban los usuarios. Like VirusTotal. ▸ Año 2014: nace la organización Cuckoo Fundation organización sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e iniciativas similares.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX ▸ Situación 1: Servidor Cuckoo +
 VM Windows(Máquina de análisis) ▸ Situación 2: Máquina real + VM Cuckoo 
 server + VM Windows(Máquina de 
 análisis) ▸ Situación 3: Servidor Cuckoo + 
 VM Windows XP + VM Windows 7 
 +… N) ▸ Configuración de interfaz: ▸ S1: eth(CuckooServer) + HostOnlyAdapter(WindowsXP) ▸ S2: eth(Internet) + ethBridge(CuckooServer) + HostOnlyAdapter(WindowsXP) ▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV análisis) + HostOnlyAdapter1(MV análisis) + … ESQUEMA DE RED
ANÁLISIS DE MALWARE - CUCKOO SANDBOX INSTALACIÓN ▸ Requisitos previos (python & pip). ▸ VirtualBox + Extension Pack/KVM/VMWare ▸ Docker Container ▸ Paciencia
ANÁLISIS DE MALWARE - CUCKOO SANDBOX PASOS GENERALES - EXPECTATIVAS ▸ Instalar software necesario (python, python-pip…etc) ▸ Instalar VirtualBox + ExtensionPack ▸ Crear una VM (Windows preferiblemente): ▸ Python ▸ PIL ▸ Adobe, Word…etc ▸ Interfaz HostOnly ▸ Tomar instantánea de la MV ▸ Configurar IPTables ▸ Descargar cuckoo ▸ Ejecutar cuckoo.py
PASOS GENERALES - REALIDAD
ANÁLISIS DE MALWARE - CUCKOO SANDBOX ERRORES ENCONTRADOS ▸ pip: No module named package.version. Reinstalación de pip. ▸ Versión actual (10.10.6) de Django (fallo con el TEMPLATE admin) se recomienda la 1.8.4 (requeriments.txt) ▸ Versión actual de VBox: fallos varios. MV Intermitente
[SOLUCIONED]
ANÁLISIS DE MALWARE - CUCKOO SANDBOX CONFIGURACIÓN ▸ cuckoo.conf ▸ machine ▸ memory_dump ▸ virtualbox.conf ▸ mode = headless ▸ path = /usr/bin/VBoxManage ▸ machines = “wincuckoo” ▸ reporting.conf ▸ MongoDB ▸ memory.conf ▸ Volatility ▸ [wincuckoo] ▸ label = wincuckoo ▸ plataform = windows ▸ ip = 192.168.56.101
ANÁLISIS DE MALWARE - CUCKOO SANDBOX FUNCIONAMIENTO ▸ Subida del archivo ▸ Interfaz Web python manageweb.py runserver0.0.0.0:8080 ▸ /utils/submit.py --plataform windows --package exe --machine wincuckoo / srv/malware/virUs.exe ▸ Análisis ▸ Estático ▸ Red ▸ Strings ▸ Reporte ▸ Dominios ▸ AVScanner
ANÁLISIS DE MALWARE - CUCKOO SANDBOX INTERFAZ WEB
ANÁLISIS DE MALWARE - CUCKOO SANDBOX ANÁLISIS RECIENTES DE FICHEROS ANÁLISIS RECIENTES DE URL
ANÁLISIS DE MALWARE - CUCKOO SANDBOX MUESTRAS ▸ Fuentes: ▸ GitHub: https://github.com/ ytisf/theZoo/ ▸ Foros: Hack-Forums, indetectables…etc ▸ Google ▸ Caso Forense: volatility
EMPIEZA EL JUEGO
FAIL? - :)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX PROTECCIÓN ▸ Combinando CuckooSandBox + radare2(por ejemplo) + Yara ▸ Reportes y Muestras (Hack, Learn & Share) DETECCIÓN DE CUCKOO SANDBOX ▸ https://github.com/David-Reguera-Garcia-Dreg/ anticuckoo ▸ Reportes y Muestras (Hack, Learn & Share)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX CONCLUSIONES ▸ Análisis sin poner en riesgo el sistema. ▸ Es el primer paso para investigar malware. ▸ Posibilidad de poner más de una máquina virtual para el análisis. ▸ Desarrollo de módulos independientes. ▸ Se requiere conocimientos de reversing y exploiting
PREGUNTAS

Recomendados

Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 
Fuerza Bruta con HYDRA y montando un ssh
Fuerza Bruta con HYDRA y montando un sshFuerza Bruta con HYDRA y montando un ssh
Fuerza Bruta con HYDRA y montando un sshTensor
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Como proteger nuestro WordPress de ataques de fuerza en bruto
Como proteger nuestro WordPress de ataques de fuerza en brutoComo proteger nuestro WordPress de ataques de fuerza en bruto
Como proteger nuestro WordPress de ataques de fuerza en brutoPedro Santos
 

Recomendados

Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Deep dive into digital forensics and incident response - (ISC)2 latam congres...
Deep dive into digital forensics and incident response - (ISC)2 latam congres...Mateo Martinez
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrackapohlo
 
Fuerza Bruta con HYDRA y montando un ssh
Fuerza Bruta con HYDRA y montando un sshFuerza Bruta con HYDRA y montando un ssh
Fuerza Bruta con HYDRA y montando un sshTensor
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Como proteger nuestro WordPress de ataques de fuerza en bruto
Como proteger nuestro WordPress de ataques de fuerza en brutoComo proteger nuestro WordPress de ataques de fuerza en bruto
Como proteger nuestro WordPress de ataques de fuerza en brutoPedro Santos
 
Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]RootedCON
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uSSantiago Vicente
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticasTensor
 
Usando Docker con sistemas Asterisk
Usando Docker con sistemas AsteriskUsando Docker con sistemas Asterisk
Usando Docker con sistemas AsteriskElio Rojano
 
Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreEmilio Casbas
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
CuckoosandboxTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.Germán Fonseca
 
Diapositivas grupo 233009_22
Diapositivas grupo 233009_22 Diapositivas grupo 233009_22
Diapositivas grupo 233009_22 3122099207
 
Vagrant
VagrantVagrant
Vagrantbetabeers
 
Mitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virusMitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virusGilmar Campana Quispe
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Vagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrolloVagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrolloScalia
 
Presentacion re y_des_09072003
Presentacion re y_des_09072003Presentacion re y_des_09072003
Presentacion re y_des_09072003Alonso Caballero
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaChema Alonso
 
Herramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad InformáticaHerramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad InformáticaDiego Fernando Marin
 
Virus informatico
Virus informaticoVirus informatico
Virus informaticojudith vilca alejos
 
Virus informatico
Virus informaticoVirus informatico
Virus informaticoNASH Salas
 

Más contenido relacionado

La actualidad más candente

Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Carlos Alderete
 
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]RootedCON
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticasTensor
 
Usando Docker con sistemas Asterisk
Usando Docker con sistemas AsteriskUsando Docker con sistemas Asterisk
Usando Docker con sistemas AsteriskElio Rojano
 

La actualidad más candente (6)

Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1Trabajo de seguridad informatica 1
Trabajo de seguridad informatica 1
 
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
Antonio López & Javier Medina - FuckWALL - Bypassing firewalls [RootedCON 2010]
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uS
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 
Usando Docker con sistemas Asterisk
Usando Docker con sistemas AsteriskUsando Docker con sistemas Asterisk
Usando Docker con sistemas Asterisk
 

Similar a Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreEmilio Casbas
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
CuckoosandboxTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.Germán Fonseca
 
Diapositivas grupo 233009_22
Diapositivas grupo 233009_22 Diapositivas grupo 233009_22
Diapositivas grupo 233009_22 3122099207
 
Mitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virusMitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virusGilmar Campana Quispe
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Vagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrolloVagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrolloScalia
 
Presentacion re y_des_09072003
Presentacion re y_des_09072003Presentacion re y_des_09072003
Presentacion re y_des_09072003Alonso Caballero
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaChema Alonso
 
Herramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad InformáticaHerramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad InformáticaDiego Fernando Marin
 
Virus informatico
Virus informaticoVirus informatico
Virus informaticoNASH Salas
 
Seguridad y Hacking en Linux
Seguridad y Hacking en LinuxSeguridad y Hacking en Linux
Seguridad y Hacking en LinuxAlonso Caballero
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaTm-CS
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonDani Adastra
 

Similar a Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox (20)

Auditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software LibreAuditoría de Seguridad con Software Libre
Auditoría de Seguridad con Software Libre
 
Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
Cuckoosandbox
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.German fonseca q_antivirus_actividad.3.1.
German fonseca q_antivirus_actividad.3.1.
 
Diapositivas grupo 233009_22
Diapositivas grupo 233009_22 Diapositivas grupo 233009_22
Diapositivas grupo 233009_22
 
Vagrant
VagrantVagrant
Vagrant
 
Mitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virusMitos y-realidades-linux-y-los-virus
Mitos y-realidades-linux-y-los-virus
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Vagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrolloVagrant: virtualizando entornos de desarrollo
Vagrant: virtualizando entornos de desarrollo
 
Presentacion re y_des_09072003
Presentacion re y_des_09072003Presentacion re y_des_09072003
Presentacion re y_des_09072003
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
 
Herramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad InformáticaHerramientas de Software Libre para Seguridad Informática
Herramientas de Software Libre para Seguridad Informática
 
Virus informatico
Virus informaticoVirus informatico
Virus informatico
 
Virus informatico
Virus informaticoVirus informatico
Virus informatico
 
Seguridad y Hacking en Linux
Seguridad y Hacking en LinuxSeguridad y Hacking en Linux
Seguridad y Hacking en Linux
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y Defensa
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
SecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con PythonSecAdmin 2017: Hacking con Python
SecAdmin 2017: Hacking con Python
 

Último

rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdfFAUSTODANILOCRUZCAST
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxRodriguezLucero
 
Historia de la Medicina y bases para desarrollo de ella
Historia de la Medicina y bases para desarrollo de ellaHistoria de la Medicina y bases para desarrollo de ella
Historia de la Medicina y bases para desarrollo de ellajuancamilo3111391
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx241532171
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
MODELO CARACTERIZACION DE PROCESOS SENA.
MODELO CARACTERIZACION DE PROCESOS SENA.MODELO CARACTERIZACION DE PROCESOS SENA.
MODELO CARACTERIZACION DE PROCESOS SENA.imejia2411
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 

Último (13)

rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdf
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
 
Historia de la Medicina y bases para desarrollo de ella
Historia de la Medicina y bases para desarrollo de ellaHistoria de la Medicina y bases para desarrollo de ella
Historia de la Medicina y bases para desarrollo de ella
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
MODELO CARACTERIZACION DE PROCESOS SENA.
MODELO CARACTERIZACION DE PROCESOS SENA.MODELO CARACTERIZACION DE PROCESOS SENA.
MODELO CARACTERIZACION DE PROCESOS SENA.
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

  • 1. CUCKOO SANDBOX ANÁLISIS DE MALWARE Mario Parra Alonso
  • 3. ANÁLISIS DE MALWARE - CUCKOO SANDBOX AVISO ▸ No me hago responsable del daño que puedan causar los malwares aquí mostrados. ▸ Estas pruebas se hacen en un circuito cerrado y rodada por especialistas :P ▸ Durante esta charla no se ha dañado ningún malware. No puedo decir lo mismo de mi VirtualBox :(. ▸ El objetivo de esta charla es la de enseñar a analizar malware para protegernos y no morir en el intento.
  • 4. ANÁLISIS DE MALWARE - CUCKOO SANDBOX PING @MPALONSO ▸ Técnico Superior en Administración de sistemas en Red ▸ Estudiante de Ingeniería Informática ▸ Proyecto de estudio de ataques y su localización “Honeytrack” ▸ Miembro del equipo de CTF Follow The White Rabbit ▸ Python Lover <3 @MPAlonso_https://github.com/anubis7
  • 5. ANÁLISIS DE MALWARE - CUCKOO SANDBOX INDEX ▸ Presentación ▸ Introducción ▸ Tendencias ▸ Estudio del malware (cuckoo sandbox) ▸ Demo
  • 6. ANÁLISIS DE MALWARE - CUCKOO SANDBOX INTRODUCCIÓN ▸ Malware ▸ Historia del Malware ▸ Tipos de malware ▸ Vector de infección ▸ Impacto
  • 7. ANÁLISIS DE MALWARE - CUCKOO SANDBOX MALWARE ▸ Es un tipo de software que tiene como objetivo infiltrarse en un sistema sin consentimiento de su propietario. ▸ Protección: antivirus, aplicaciones y sistemas actualizados al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el conocimiento del usuario. ▸ “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” K.M.
  • 8. ANÁLISIS DE MALWARE - CUCKOO SANDBOX HISTORIA DEL MALWARE ▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET. “Im a creeper, catch me!”. Contramedida: “Reaper”. ▸ Finales de los 80: Viernes_13/Jerusalem infección de ficheros .EXE ▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en el desarrollo de malware. ▸ Año 2000: LoveLetter, Mydoom, Sasser…etc ▸ Desde 2003: malware más sofisticados, aparición de spyware..etc ▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la Policia…etc)
  • 9. ANÁLISIS DE MALWARE - CUCKOO SANDBOX TIPOS DE MALWARE ▸ Virus clásicos: Viernes13 ▸ Gusanos: I<3YOU Blaster ▸ Troyanos: Zeus ▸ Spyware: Perfect_Keylogger KeenValue ▸ Rootkits: T0rn SuckIT
  • 10. ANÁLISIS DE MALWARE - CUCKOO SANDBOX VECTORES DE INFECCIÓN ▸ Fallos en aplicaciones y/o sistemas operativos (buffer overflow…etc) ▸ Carga automática de elementos con JavaScript, emails… ▸ Fallos en protocolos de red ▸ Dispositivos físicos ▸ Usuarios!!!
  • 11. ANÁLISIS DE MALWARE - CUCKOO SANDBOX IMPACTO
  • 13. SANDBOX ▸ Concepto: es un entorno de prueba separado del entorno de producción. Ejemplo de virtualización. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
  • 14. ANÁLISIS DE MALWARE - CUCKOO SANDBOX MÉTODOS DE EVASIÓN ▸ Ofuscación del código ▸ Crypters ▸ Client ▸ Stub (encargado de desencryptar el código) ▸ Más info sobre: Troyanos, Evasion..etc. ▸ Malware_Magazine_1 : underc0de
  • 15. ANÁLISIS DE MALWARE - CUCKOO SANDBOX ESTUDIO DEL MALWARE (CUCKOO SANDBOX) ▸ Cuckoo Sandbox ▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google Summer of Code dentro del proyecto Honeynet. ▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia de Cuckoo Sandbox para obtener una plataforma donde analizar ficheros maliciosos que suban los usuarios. Like VirusTotal. ▸ Año 2014: nace la organización Cuckoo Fundation organización sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e iniciativas similares.
  • 16. ANÁLISIS DE MALWARE - CUCKOO SANDBOX ▸ Situación 1: Servidor Cuckoo +
 VM Windows(Máquina de análisis) ▸ Situación 2: Máquina real + VM Cuckoo 
 server + VM Windows(Máquina de 
 análisis) ▸ Situación 3: Servidor Cuckoo + 
 VM Windows XP + VM Windows 7 
 +… N) ▸ Configuración de interfaz: ▸ S1: eth(CuckooServer) + HostOnlyAdapter(WindowsXP) ▸ S2: eth(Internet) + ethBridge(CuckooServer) + HostOnlyAdapter(WindowsXP) ▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV análisis) + HostOnlyAdapter1(MV análisis) + … ESQUEMA DE RED
  • 17. ANÁLISIS DE MALWARE - CUCKOO SANDBOX INSTALACIÓN ▸ Requisitos previos (python & pip). ▸ VirtualBox + Extension Pack/KVM/VMWare ▸ Docker Container ▸ Paciencia
  • 18. ANÁLISIS DE MALWARE - CUCKOO SANDBOX PASOS GENERALES - EXPECTATIVAS ▸ Instalar software necesario (python, python-pip…etc) ▸ Instalar VirtualBox + ExtensionPack ▸ Crear una VM (Windows preferiblemente): ▸ Python ▸ PIL ▸ Adobe, Word…etc ▸ Interfaz HostOnly ▸ Tomar instantánea de la MV ▸ Configurar IPTables ▸ Descargar cuckoo ▸ Ejecutar cuckoo.py
  • 19. PASOS GENERALES - REALIDAD
  • 20. ANÁLISIS DE MALWARE - CUCKOO SANDBOX ERRORES ENCONTRADOS ▸ pip: No module named package.version. Reinstalación de pip. ▸ Versión actual (10.10.6) de Django (fallo con el TEMPLATE admin) se recomienda la 1.8.4 (requeriments.txt) ▸ Versión actual de VBox: fallos varios. MV Intermitente
  • 22. ANÁLISIS DE MALWARE - CUCKOO SANDBOX CONFIGURACIÓN ▸ cuckoo.conf ▸ machine ▸ memory_dump ▸ virtualbox.conf ▸ mode = headless ▸ path = /usr/bin/VBoxManage ▸ machines = “wincuckoo” ▸ reporting.conf ▸ MongoDB ▸ memory.conf ▸ Volatility ▸ [wincuckoo] ▸ label = wincuckoo ▸ plataform = windows ▸ ip = 192.168.56.101
  • 23. ANÁLISIS DE MALWARE - CUCKOO SANDBOX FUNCIONAMIENTO ▸ Subida del archivo ▸ Interfaz Web python manageweb.py runserver0.0.0.0:8080 ▸ /utils/submit.py --plataform windows --package exe --machine wincuckoo / srv/malware/virUs.exe ▸ Análisis ▸ Estático ▸ Red ▸ Strings ▸ Reporte ▸ Dominios ▸ AVScanner
  • 24. ANÁLISIS DE MALWARE - CUCKOO SANDBOX INTERFAZ WEB
  • 25. ANÁLISIS DE MALWARE - CUCKOO SANDBOX ANÁLISIS RECIENTES DE FICHEROS ANÁLISIS RECIENTES DE URL
  • 26. ANÁLISIS DE MALWARE - CUCKOO SANDBOX MUESTRAS ▸ Fuentes: ▸ GitHub: https://github.com/ ytisf/theZoo/ ▸ Foros: Hack-Forums, indetectables…etc ▸ Google ▸ Caso Forense: volatility
  • 28.
  • 30. ANÁLISIS DE MALWARE - CUCKOO SANDBOX PROTECCIÓN ▸ Combinando CuckooSandBox + radare2(por ejemplo) + Yara ▸ Reportes y Muestras (Hack, Learn & Share) DETECCIÓN DE CUCKOO SANDBOX ▸ https://github.com/David-Reguera-Garcia-Dreg/ anticuckoo ▸ Reportes y Muestras (Hack, Learn & Share)
  • 31. ANÁLISIS DE MALWARE - CUCKOO SANDBOX CONCLUSIONES ▸ Análisis sin poner en riesgo el sistema. ▸ Es el primer paso para investigar malware. ▸ Posibilidad de poner más de una máquina virtual para el análisis. ▸ Desarrollo de módulos independientes. ▸ Se requiere conocimientos de reversing y exploiting