Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]

478 visualizaciones

Publicado el

Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.

En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.

Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?

Publicado en: Tecnología
  • Sé el primero en comentar

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy the bad guys can f*** the world [rootedvlc4]

  1. 1. Anatomy of a modern malware: How easy the bad guys can f*** the world Pablo González @pablogonzalezpe Fran Ramírez @cyberhadesblog @cybercaronte
  2. 2. Nota Legal • La siguiente charla es totalmente educativa e intenta mostrar técnicas de malware orientadas a a la educación, investigación y prevención. • No nos hacemos responsables de un mal uso de las técnicas presentadas en esta charla.
  3. 3. Whoami Ingeniero Informático & Máster Seguridad Informática 2009 – 2013 Informática 64 2013 - ?? Eleven Paths (Telefónica) Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2018 Algunos libros (0xWord): – Metasploit para pentesters – Pentesting con Kali – Ethical Hacking – Got Root – Pentesting con Powershell
  4. 4. Whoami Fundador y escritor en el blog geek www.cyberhades.com (nick: cybercaronte) sobre Seguridad Informática e Historia de la Informática. Co-autor del libro "MicroHistorias: anécdotas y curiosidades de la Informática" de 0xWord y colaborador habitual de la revista One-Hacker. Ingeniero informático con más de 15 años de experiencia como Administrador de Sistemas en una multinacional española, realizando múltiples proyectos internacionales sobre todo en EEUU y Canadá. Desde el año 2017, trabajo como Security Researcher en Telefónica y ElevenPaths.
  5. 5. Los tiempos cambian … En 1997, se necesitaban algunos libros, documentación extra y mucho tiempo para programar un malware: … en 2017 sólo necesitas esto: ... además de muchas horas en BBSes y Fidonet buscando información … www.google.com
  6. 6. .. además, los creadores de malware no son lo que eran …
  7. 7. Hoy día, cualquiera puede crear un malware
  8. 8. Todo está en Internet …
  9. 9. Anatomía de un malware moderno ¿Cómo pueden entonces los chicos malos ”fastidiar” el mundo? Simplemente usando un diseño modular, reuniendo “piezas” y conectándolas
  10. 10. Características de un malware • Propagación • Persistencia • Privilegios • Espionaje
  11. 11. Propagación • Antecedentes: – Elk Cloner (1981). El primer virus, se propagaba vía floppy disk – Blaster (2003). Gusano, vulnerabilidad servicio DCOM RPC – Sasser (2004). Gusano, buffer overflow LSASS • EternalBlue (NSA). Vulnerabilidad protocolo SMB catalogada como CVE-2017-0144. Utilizada en Wannacry.
  12. 12. Privilegios • UAC bypass. Evitar en Windows el User Access Control (UAC). Usando vulnerabilidades, ser administrador partiendo de un usuario normal (grupo Administradores). • Existen herramientas como Win7Elevate y UACme • Fileless bypass UAC. No necesita de un fichero para ejecutarse. Vigila HKCUSoftwareClasses • Escalada total (Sin privilegios) – Tater/HotPotato.
  13. 13. PoC • Propagación. Eternalblue • Privilegios. Bypass UAC – Importante: https://isc.sans.edu/forums/diary/Ma licious+Office+files+using+fileless+UA C+bypass+to+drop+KEYBASE+malwar e/22011/
  14. 14. Persistencia • Fileless attack. No se almacena el fichero ejecutable malicioso en el sistema. Troyano Poweliks oculta el código malicioso en el Registro Windows + PowerShell (codificado). • Rootkit. Phasebot rootkit , C&C para recibir órdenes. Inserta shell code en el registro de Windows. Se vendía por 200$. • Clásico. KCUSoftwareMicrosoftWindowsCurrentVersionRun y RunOnce Funcionamiento Poweliks.CCL. Fuente.
  15. 15. PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless
  16. 16. Espionaje • RAT Remote Administration Tool. C&C GUI, screenshots, webcam, etc… Darkcomet • Mariposa botnet. Una de las más grandes botnets para espiar y extorsionar (además de ataques DoS) Opciones de Darkcomet C&C
  17. 17. PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C.
  18. 18. El malware de moda: Rescate (Ransom) • Cifrado. La información del dispositivo se cifra (por ejemplo, RSA 2048 bit asimétrico) y se pide un rescate por la misma. Cryptolocker fue el primero de los casos más conocidos hasta hoy día, donde aparecen Petya ó Wannacry. Hidden Tear (educación) C&C (Command & Control). Servidor con un software principal para gestionar el ataque almacenando los datos de los equipos como IP, geolocalización, etc pero sobre todo, la clave criptográfica para descifrar los archivos (que se utilizará como moneda de cambio)
  19. 19. PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C. • Ransom. Cifrado
  20. 20. PoC Frankenware • Propagación. Eternalblue • Persistencia. Fileless • Privilegios. Bypass UAC • Espionaje. Troyano, C&C. • Ransom. Cifrado (PowerShell) + + + + =
  21. 21. PoC • Propagación. Eternalblue • Privilegios. Bypass UAC • Persistencia. Fileless • Espionaje. Troyano, C&C. • Ransom. Cifrado • Keylogger
  22. 22. PoC
  23. 23. Como proteger a la nueva sociedad • Esto es sólo el principio … • IoT (Mirai botnet) infectaba cámaras IP. DDOS • Leaks, EternalBlue (NSA) • ¿Cómo proteger a la nueva sociedad?
  24. 24. IA y Machine Learning (ML) • ML para defendernos (análisis de tráfico de red): – Blog 11Paths, redes más seguras con ML. • Creando malware con técnicas de ML • OpenAI + Gym framework para crear malware. Presentado este año en la DEF CON y BlackHat. • Cazando malware con técnicas de ML. Windows Defender ATP.

×