SlideShare una empresa de Scribd logo

Oscar Juarez - Iniciación al análisis de malware [rooted2018]

Descargar como PPTX, PDF
RootedCON
RootedCON

El documento presenta una introducción al análisis de malware en Windows y Android. Explica los tipos de malware más comunes, herramientas de análisis estático y dinámico como desmontadores, debuggers y sandbox, y técnicas de análisis como identificar persistencia, trucos contra análisis, y seguir el flujo del malware. El objetivo es proporcionar una guía básica para iniciar el análisis de malware en estos sistemas operativos.

Tecnología
1 de 25
Iniciación al Análisis de Malware (Windows y Android)
Iniciación al análisis de malware - @roskyfrosky 2 Who am I? • Oscar Juárez Rufián • Analista de Malware y Hacker ético • @roskyfrosky en la red • @oscar665 en Virustotal • https://blog.roskyfrosky.com • Jugador de CTF’s
Iniciación al análisis de malware - @roskyfrosky 3 ¿Qué es el malware? Término que engloba todo tipo de programa o código informático malicioso o no deseado por el usuario, cuya función es dañar un sistema provocando el mal funcionamiento del mismo.
Iniciación al análisis de malware - @roskyfrosky 4 Tipos de Malware I • Virus: código que se replica/propaga por los sistemas con intervención del usuario. • Gusano: código que se replica/propagar por los sistemas sin intervención del usuario. • Bot: proceso que interactúa con otro sistema de manera automática • Troyano: malware que se camufla como si fuera un programa legítimo. • Ransomware: malware que mantiene secuestrado los datos del usuario de manera criptográfica. • Rootkit: programa que trata de enmascarar su existencia o la de otro software que permita acceso de manera privilegiada y continua a un sistema. • Backdoor: programa que permite a un atacante tener acceso remoto o enviar un comando a una máquina infectada.
Iniciación al análisis de malware - @roskyfrosky 5 Tipos de Malware II • RAT: troyano de acceso remoto similar al backdoor. • Info Stealer: ladrón de información como contraseñas, información personal,etc… • HackTool: herramientas o programas que pueden ser utilizados para realizar ataques informáticos generalmente de carácter no malicioso. • Hoax: programa que muestra falsos avisos sobre malware o AV. • Dropper/Downloader: programa que descarga otro malware. • Adware: malware que muestra publicidad de manera constante y molesta. • PUP/PUA: programas potencialmente no deseados (toolbars y similares).
Iniciación al análisis de malware - @roskyfrosky 6 Herramientas Desensambladores • IDA • Radare Debuggers • Ollydbg • Inmunity • Windbg • X64dbg Decompiladores: • DnSpy • Jadx Otras herramientas: • Yara • Wireshark • CFF Explorer • SysInternal • Regshot • …
Iniciación al análisis de malware - @roskyfrosky 7 Recursos Online Sandbox Online • Virustotal • Hybrid-Análisis • Joe-Sandbox • Malwr.com (Offline a veces) • APP Any Run • Koodous.com (Android) IOCs • Spamhaus • Otx AlienVault • Maltiverse • Blueliv • Abuse CH Others • YaraRules Online
Iniciación al análisis de malware - @roskyfrosky 8 Windows - PE Headers
Iniciación al análisis de malware - @roskyfrosky 9 Windows - Packers • Runtime Packers → Software que se autoextrae durante la ejecución con el objetivo de dificultar su análisis y dejar menos huella en la máquina infectada. • ASPack • ASProtect • Cexe • Enigma Protector • EXE Bundle • EXE Stealth • eXPressor • Kkrunchy • PESpin • Petite • RLPack Basic • UPX • Themida • VMProtect • Xcomp • LoadLibraryA, GetProcAddress,CreateProcess,WriteProcessMemory…
Iniciación al análisis de malware - @roskyfrosky 10 Windows - Crypters Crypter → Software que puede cifrar, ofuscar y manipular el contenido de otro programa con el fin de evadir los AV. Terminología o Builder: genera fichero cifrado o Stub: Descifra y ejecuta Tipos o Scantime: copia a disco (detección Not Run) o Runtime: copia a memoria (detección Run)
Iniciación al análisis de malware - @roskyfrosky 11 Windows - AntiVM/AntiAnálisis • Número de Cores • Nombre de la máquina • Tamaño del HDD • Claves del registro • Movimiento del ratón • Mac Address • Tiempo encendido PAFISH • Lenguaje del SO y/o teclado • Procesos Corriendo • Nombre de la muestra • Sleep • isDebuggerPresent • “IP de salida” • Nº documentos abiertos
Iniciación al análisis de malware - @roskyfrosky 12 Windows - Persistencia I HKCU → Nivel Usuario HKLM → Nivel System ❑ AutoStart • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionRun • HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun ❑ BootExecute Key • HKLMSYSTEMControlSet002ControlSession Manager → autocheck autochk* ❑ WinLogon Process • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit→userinit.exe • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell → Winlogon
Iniciación al análisis de malware - @roskyfrosky 13 Windows - Persistencia II ❑ Startup Keys • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders ❑ Services • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices ❑ Browser Helper Objects(BHO) • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects ❑ AppInit DLL’s • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
Iniciación al análisis de malware - @roskyfrosky 14 Windows - Primeros pasos • Identificación tipo de archivo • Conseguir información básica del PE • Generación de IOC (hashes) • Búsqueda en recursos online de esos IOC • Sandbox online • Detección de Antivirus
Iniciación al análisis de malware - @roskyfrosky 15 Windows - Análisis estático • Unpack si procede • Extracción de Strings → ¿pdb? • Ejecución de Yara • Enumeración de funciones que utiliza • Desensamblado/Decompilado • Comprensión del flujo • Búsqueda de información relevante
Iniciación al análisis de malware - @roskyfrosky 16 Windows - Análisis Dinámico • Procesos que crea • Creación/Modificación de ficheros • Captura cambios Regedit • Captura del tráfico
Iniciación al análisis de malware - @roskyfrosky 17 Windows Demo Time
Iniciación al análisis de malware - @roskyfrosky 18 Android - Estructura
Iniciación al análisis de malware - @roskyfrosky 19 Android - Trick Anti-Análisis/VM • Ofuscación del código • Número de teléfono → 15555215554, 15555215556... • Id Dispositivo → e21833235b6eef10, 012345678912345 • Ficheros → libc_malloc_debug_qemu.so , qemu_trace... • Pipes → /dev/socket/qemud , /dev/qemu_pipe... • Fingerprint → generic/unknown • Model → google_sdk, Emulator, Android SDK • … https://github.com/strazzere/anti-emulator
Iniciación al análisis de malware - @roskyfrosky 20 Android - Primeros pasos • Generación de IOC (hashes) • Búsqueda en recursos online de esos IOC • Subir Sandbox online ( Depende) • Detección de Antivirus • Extracción de Strings • Búsqueda de Strings si los hubiese
Iniciación al análisis de malware - @roskyfrosky 21 Android - Análisis estático • Decompilación de la APK • Desofuscación si procede • Enumeración de los permisos • Comprender el flujo • Búsqueda de datos importantes/configuración
Iniciación al análisis de malware - @roskyfrosky 22 Android - Análisis Dinámico • Captura del tráfico • Ejecución en emulador • Comprobación de funcionalidades(Si las hubiese) • Análisis del tráfico o hallazgos
Iniciación al análisis de malware - @roskyfrosky 23
Iniciación al análisis de malware - @roskyfrosky 24 ¿Preguntas?
Iniciación al análisis de malware - @roskyfrosky 25 ¡Muchas Gracias!

Recomendados

Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
RootedCON
 
Android forensics
Android forensicsAndroid forensics
Android forensics
limahack
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Forense android
Forense androidForense android
Forense android
Rafael Seg
 

Recomendados

Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
RootedCON
 
Android forensics
Android forensicsAndroid forensics
Android forensics
limahack
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Forense android
Forense androidForense android
Forense android
Rafael Seg
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
RootedCON
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
RootedCON
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
Websec México, S.C.
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
Alejandro Ramos
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
Tensor
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
Tensor
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
Gonzalo Vigo
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
Ramiro Estigarribia Canese
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detected
Bitup Alicante
 
#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
Marcos Fuentes
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
Gary Esteban Meliman Martinez
 
Virus
VirusVirus
Virus
Edgar Aldana Ramos
 
Aplicaciones de protección y seguridad.
Aplicaciones de protección y seguridad.Aplicaciones de protección y seguridad.
Aplicaciones de protección y seguridad.
Jessica Arana Aguilar
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
pseudor00t overflow
 

Más contenido relacionado

La actualidad más candente

CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
RootedCON
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
Alejandro Ramos
 

La actualidad más candente (17)

Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
Enrique Blanco & Pablo González - Autoencoders, GANS y otros chicos del montó...
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentest
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detected
 

Similar a Oscar Juarez - Iniciación al análisis de malware [rooted2018]

3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 

Similar a Oscar Juarez - Iniciación al análisis de malware [rooted2018] (20)

#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR#RootedCON18: De cero a #DFIR
#RootedCON18: De cero a #DFIR
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Virus
VirusVirus
Virus
 
Aplicaciones de protección y seguridad.
Aplicaciones de protección y seguridad.Aplicaciones de protección y seguridad.
Aplicaciones de protección y seguridad.
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
Malware
Malware Malware
Malware
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spyware
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
Amenazas en linea
Amenazas en lineaAmenazas en linea
Amenazas en linea
 
Amenazas en linea
Amenazas en lineaAmenazas en linea
Amenazas en linea
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 

Más de RootedCON

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (11)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Oscar Juarez - Iniciación al análisis de malware [rooted2018]

  • 1. Iniciación al Análisis de Malware (Windows y Android)
  • 2. Iniciación al análisis de malware - @roskyfrosky 2 Who am I? • Oscar Juárez Rufián • Analista de Malware y Hacker ético • @roskyfrosky en la red • @oscar665 en Virustotal • https://blog.roskyfrosky.com • Jugador de CTF’s
  • 3. Iniciación al análisis de malware - @roskyfrosky 3 ¿Qué es el malware? Término que engloba todo tipo de programa o código informático malicioso o no deseado por el usuario, cuya función es dañar un sistema provocando el mal funcionamiento del mismo.
  • 4. Iniciación al análisis de malware - @roskyfrosky 4 Tipos de Malware I • Virus: código que se replica/propaga por los sistemas con intervención del usuario. • Gusano: código que se replica/propagar por los sistemas sin intervención del usuario. • Bot: proceso que interactúa con otro sistema de manera automática • Troyano: malware que se camufla como si fuera un programa legítimo. • Ransomware: malware que mantiene secuestrado los datos del usuario de manera criptográfica. • Rootkit: programa que trata de enmascarar su existencia o la de otro software que permita acceso de manera privilegiada y continua a un sistema. • Backdoor: programa que permite a un atacante tener acceso remoto o enviar un comando a una máquina infectada.
  • 5. Iniciación al análisis de malware - @roskyfrosky 5 Tipos de Malware II • RAT: troyano de acceso remoto similar al backdoor. • Info Stealer: ladrón de información como contraseñas, información personal,etc… • HackTool: herramientas o programas que pueden ser utilizados para realizar ataques informáticos generalmente de carácter no malicioso. • Hoax: programa que muestra falsos avisos sobre malware o AV. • Dropper/Downloader: programa que descarga otro malware. • Adware: malware que muestra publicidad de manera constante y molesta. • PUP/PUA: programas potencialmente no deseados (toolbars y similares).
  • 6. Iniciación al análisis de malware - @roskyfrosky 6 Herramientas Desensambladores • IDA • Radare Debuggers • Ollydbg • Inmunity • Windbg • X64dbg Decompiladores: • DnSpy • Jadx Otras herramientas: • Yara • Wireshark • CFF Explorer • SysInternal • Regshot • …
  • 7. Iniciación al análisis de malware - @roskyfrosky 7 Recursos Online Sandbox Online • Virustotal • Hybrid-Análisis • Joe-Sandbox • Malwr.com (Offline a veces) • APP Any Run • Koodous.com (Android) IOCs • Spamhaus • Otx AlienVault • Maltiverse • Blueliv • Abuse CH Others • YaraRules Online
  • 8. Iniciación al análisis de malware - @roskyfrosky 8 Windows - PE Headers
  • 9. Iniciación al análisis de malware - @roskyfrosky 9 Windows - Packers • Runtime Packers → Software que se autoextrae durante la ejecución con el objetivo de dificultar su análisis y dejar menos huella en la máquina infectada. • ASPack • ASProtect • Cexe • Enigma Protector • EXE Bundle • EXE Stealth • eXPressor • Kkrunchy • PESpin • Petite • RLPack Basic • UPX • Themida • VMProtect • Xcomp • LoadLibraryA, GetProcAddress,CreateProcess,WriteProcessMemory…
  • 10. Iniciación al análisis de malware - @roskyfrosky 10 Windows - Crypters Crypter → Software que puede cifrar, ofuscar y manipular el contenido de otro programa con el fin de evadir los AV. Terminología o Builder: genera fichero cifrado o Stub: Descifra y ejecuta Tipos o Scantime: copia a disco (detección Not Run) o Runtime: copia a memoria (detección Run)
  • 11. Iniciación al análisis de malware - @roskyfrosky 11 Windows - AntiVM/AntiAnálisis • Número de Cores • Nombre de la máquina • Tamaño del HDD • Claves del registro • Movimiento del ratón • Mac Address • Tiempo encendido PAFISH • Lenguaje del SO y/o teclado • Procesos Corriendo • Nombre de la muestra • Sleep • isDebuggerPresent • “IP de salida” • Nº documentos abiertos
  • 12. Iniciación al análisis de malware - @roskyfrosky 12 Windows - Persistencia I HKCU → Nivel Usuario HKLM → Nivel System ❑ AutoStart • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionRun • HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun ❑ BootExecute Key • HKLMSYSTEMControlSet002ControlSession Manager → autocheck autochk* ❑ WinLogon Process • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Userinit→userinit.exe • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell → Winlogon
  • 13. Iniciación al análisis de malware - @roskyfrosky 13 Windows - Persistencia II ❑ Startup Keys • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders • HKLM / HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders ❑ Services • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce • HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices ❑ Browser Helper Objects(BHO) • HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects ❑ AppInit DLL’s • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
  • 14. Iniciación al análisis de malware - @roskyfrosky 14 Windows - Primeros pasos • Identificación tipo de archivo • Conseguir información básica del PE • Generación de IOC (hashes) • Búsqueda en recursos online de esos IOC • Sandbox online • Detección de Antivirus
  • 15. Iniciación al análisis de malware - @roskyfrosky 15 Windows - Análisis estático • Unpack si procede • Extracción de Strings → ¿pdb? • Ejecución de Yara • Enumeración de funciones que utiliza • Desensamblado/Decompilado • Comprensión del flujo • Búsqueda de información relevante
  • 16. Iniciación al análisis de malware - @roskyfrosky 16 Windows - Análisis Dinámico • Procesos que crea • Creación/Modificación de ficheros • Captura cambios Regedit • Captura del tráfico
  • 17. Iniciación al análisis de malware - @roskyfrosky 17 Windows Demo Time
  • 18. Iniciación al análisis de malware - @roskyfrosky 18 Android - Estructura
  • 19. Iniciación al análisis de malware - @roskyfrosky 19 Android - Trick Anti-Análisis/VM • Ofuscación del código • Número de teléfono → 15555215554, 15555215556... • Id Dispositivo → e21833235b6eef10, 012345678912345 • Ficheros → libc_malloc_debug_qemu.so , qemu_trace... • Pipes → /dev/socket/qemud , /dev/qemu_pipe... • Fingerprint → generic/unknown • Model → google_sdk, Emulator, Android SDK • … https://github.com/strazzere/anti-emulator
  • 20. Iniciación al análisis de malware - @roskyfrosky 20 Android - Primeros pasos • Generación de IOC (hashes) • Búsqueda en recursos online de esos IOC • Subir Sandbox online ( Depende) • Detección de Antivirus • Extracción de Strings • Búsqueda de Strings si los hubiese
  • 21. Iniciación al análisis de malware - @roskyfrosky 21 Android - Análisis estático • Decompilación de la APK • Desofuscación si procede • Enumeración de los permisos • Comprender el flujo • Búsqueda de datos importantes/configuración
  • 22. Iniciación al análisis de malware - @roskyfrosky 22 Android - Análisis Dinámico • Captura del tráfico • Ejecución en emulador • Comprobación de funcionalidades(Si las hubiese) • Análisis del tráfico o hallazgos
  • 23. Iniciación al análisis de malware - @roskyfrosky 23
  • 24. Iniciación al análisis de malware - @roskyfrosky 24 ¿Preguntas?
  • 25. Iniciación al análisis de malware - @roskyfrosky 25 ¡Muchas Gracias!