SlideShare una empresa de Scribd logo
1 de 29
Descargar para leer sin conexión
Hunting Malware using
process behavior
@ramado78 – Rooted Madrid 0x2020
Introducción
DEMO
Introducción
Técnicas y actores avanzados
Trabajan en memoria sin tocar disco
Usan los procesos legítimos del propio equipo
Cuando crean algún proceso es de una imagen de
disco legítima
Pueden inyectarse en procesos sin ni siquiera crear
un hilo remoto (APC)
Su malware solo se ejecutan en los equipos víctima
Suplantan la jerarquía de procesos
Introducción
Estrategias de hunting
Correlación temporal de sucesos
Relación de jerarquía de los procesos
Comportamiento habitual o línea base
Introducción
Instrumentación / Monitorización
SYSMON de SysInternals
Focaliza en entornos Microsoft Windows
Necesitamos poder monitorizar que sucede, que
hacen los procesos del equipo
Sysmon identifica 22 tipos de actividad
Instrumentación/Monitorización
Capa de correlación
Problema!!
Eventos
atómicos sin
relación
Solución!!
Capa de
correlación
Sysmon Process Correlator Engine
• Desarrollo en Python
• Licencia GNU GPL
• Implementa 2 motores de correlación
• Baseline Engine
• Hierarchy Engine
• Fuente de datos
• Ficheros .evtx de sysmon
• Eventlog de la máquina (incluso en
tiempo real)
• Alertas Eventlog y/o stdout
• Detecta comportamiento anómalo de los
procesos
• Proceso de Hunting buscando
actividad maliciosa en ficheros .evtx
descargados de equipos sospechosos
• Entornos sandbox como
complemento de detección
• Forense
• Complemento de monitorización
activa para Blue Team
• Testeo previo de reglas de correlación
en SIEM
• Búsqueda eventos en ficheros .evtx
Capacidades Usos
(Sysmon Processes Correlation Engine)
Sysmon Process Correlator Engine – Baseline Engine
• Establece una base de comportamiento de los principales procesos del
sistema, en especial aquellos susceptibles a ser inyectados.
• Línea base parte de un proceso de investigación con metodología empírica (No ML)
de un conjunto de máquinas con diferentes SO de Microsoft.
• El resultado es un catalogo de comportamiento modelado en eventos de
Sysmon
• Se establece un puntaje de confianza para cada uno de ellos, si alguno realiza una
acción fuera de la línea base pierde puntos. 0 puntos ->Alerta
BASELINE ENGINE
Características
OBJETIVO
Detectar procesos
legítimos con código
inyectado
Sysmon Process Correlator Engine – Baseline Engine
BASELINE ENGINE
Funcionamiento
Tipo Acción
Sysmon
Ej. (1) Process
Create
Baseline Eng.
Comprueba
OK
Atributos no
habituales
Resta
confianza al
proceso
Características ID 1
• Imagen
• Padre
• Path
• Integridad
• Sesión
• …
Baseline
Rules
No hay alerta
OK
Comprueba
puntos
Quedan
puntos? NO Alerta
Sysmon Process Correlator Engine – Baseline Engine
Modelado explorer.exe
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
Comportamiento
General
Atributo Valor
Momento de ejecución Cuando un usuario inicia sesión interactiva, por lo tanto en cualquier
momento.
Tiempo de vida TTL Normalmente minutos u horas incluso días. Podemos encontrar alguna
ejecución que dura milésimas (<1s), que el SO mata por no ejecutar
otra instancia de shell.
Creación de procesos hijo Numerosa y diferente, anormal a partir de 20 en 1 hora
Instancias de ejecución 1 por usuario y sesión, si esta esta iniciada. Es posible llegar a tener 2
por usuario, si se activa “Abrir ventanas de carpeta en un proceso
independiente” (hija de svchost, no userinit) [1]
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 1
Process Create
Atributo Valor
En general
muy pocos
eventos
Imagen disco C:Windowsexplorer.exe
Procesos Padre C:WindowsSystem32userinit.exe (Normal)
C:WindowsSystem32winlogon.exe (Cuando Crash)
C:Windowsexplorer.exe (Muy rara vez)
C:WindowsSystem32svchost.exe (Muy rara vez, se instancia un objeto
mediante DCOM, al habilitar “Abrir ventanas de carpeta en un proceso
independiente”)
Directorio de ejecución C:Windows
Usuario Diferente siempre de System
Sesión Diferente siempre de 0
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 1
Process Create
Atributo Valor
En general
muy pocos
eventos
Integridad Media
(PE) Imagen Descripción Windows Explorer
(PE) Compañía Microsoft Corporation
(PE) Nombre original EXPLORER.EXE
Instancias de ejecución 1 por usuario y sesión si esta esta iniciada y 2 si se habilita “Abrir
ventanas de carpeta en un proceso independiente”
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 2
File Creation Time
Changed
Atributo Valor Frecuencia
En general
muy pocos
eventos
Nombre fichero
destino
Por debajo de la jerarquía de la carpeta de usuario en especial
en AppData Ej. C:Users[USUARIO]AppData …
Menos de 30 al
día
ID Sysmon 3
Conexión
Atributo Valor Frecuencia
En general
muy pocos
eventos
(Iniciadas por el)
Puerto destino
"80", "443", "3128“ (Proxy si se usa) Menos de 12 al
día
(Recibidas por el)
Puerto destino
No es normal que levante sockets a la escucha, por lo que no
deberíamos ver intentos de conexión hacia el explorer.exe
(Iniciadas por el)
IP destino
IPs de Microsoft
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 7
Carga módulos
Atributo Valor
En general
pocos
eventos
Path de la imagen en disco
de la DLL
Varias localizaciones, debido a extensiones, pero mayormente de:
C:Windows
C:Program Files
C:Program Files (x86)
C:PROGRA~1
OneDrive
Firma Status Valid
ID Sysmon 8
Create Remote
Thread
Atributo Valor Frecuencia
En general
muy pocos
eventos
Crea hilos remotos No debería generar eventos de este tipo
Recibe creación de hilos de C:WindowsSystem32wbemWmiPrvSE.exe 1 por ejecución
de explorer
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 9
Escritura RAW
Atributo Valor Frecuencia
Acceso habitual Dispositivo DeviceHarddiskVolume Menos de 100 al día
ID Sysmon 11
Creación ficheros
Atributo Valor Frecuencia
Normal que se produzca Menos de 100 al día
ID Sysmon 12
Object create and
delete
Atributo Valor Frecuencia
Normal que se produzca Alta
ID Sysmon 10
Open process
Atributo Valor Frecuencia
Normal que se produzca Alta
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 13
Value Set
Atributo Valor Frecuencia
Normal que se produzca Alta
ID Sysmon 14
Key and Value
Rename
Atributo Valor Frecuencia
No debería generar Nunca
ID Sysmon 15
ADS Create
Atributo Valor Frecuencia
No debería generar Nunca
Sysmon Process Correlator Engine – Baseline Engine
Modelado comportamiento explorer.exe
ID Sysmon 18
PIPE CONNECT
Atributo Valor Frecuencia
Pocos eventos Nombre PIPE srvsvc
MsFteWds
wkssvc
TDLN
Menos de 20 a la hora
ID Sysmon 17
Create PIPE
Atributo Valor Frecuencia
No debería generar Nunca
Introducción
DEMO
Sysmon Process Correlator Engine – Hierarchy Engine
• Permite detectar situaciones anómalas basadas en la jerarquía de los procesos
(relación Padre->Hijo) y sus acciones asociadas.
• Construye el árbol de ejecución de procesos y asigna las acciones que estos van
haciendo al PID correspondiente.
• Permite detectar situaciones reiteradas de un comportamiento (N veces un
hecho)
• Presenta una visión rápida de la cadena de sucesos de una amenaza alertada
HIERARCHY ENGINE
Características
OBJETIVO
Detectar ejecuciones de
código malicioso basado
en la cadena de acciones
Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Ataque de Phising
{"RuleID":8, "Rulename":"Successful phising attack", "Content": [
{"1c":{"Image":"EMAIL_AGENTS"}},
{"1":{"Image":"OFFICE_PROCESS"},"3":{"Image":"OFFICE_PROCESS"}},
{"1c":{"Image":"SCRIPTING_ENGINES_AND_SHELLS"}}
]},
Conecta
Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Ataque de Phising
{"RuleID":8, "Rulename":"Successful phising attack", "Content": [
{"1c":{"Image":"OFFICE_PROCESS"}
{"3c":{"Image":“*“, “DstIP”:”INTERNET”}}
]},
Todavía más generalizable
Conecta
Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Inyecciones de código
mal gestionadas
{"RuleID":17, "Rulename":"Possible bogus injected code in System process because too many werfaults", "Content": [
{"1c":{"Image":"wininit.exe"}},
{"N":2, "Seconds":86400},
{"1c":{"Image":“*"}},
{"1":{"Image":"werfault.exe"}}
]},
{"RuleID":18, "Rulename":"Too many explorer crashes, possible bogus injected code", "Content": [
{"1c":{"Image":"winlogon.exe"}},
{"N":3, "Seconds":86400},
{"1":{"Image":"explorer.exe"}}
]},
Sysmon Process Correlator Engine – Hierarchy Engine
Ejemplos de reglas
Elevaciones de privs
{"RuleID":19, "Rulename":"System process on user session (priv scalation)", "Content": [
{"1c":{"-TerminalSessionId":"0", "User":"System","-Image":"SYSTEM_PROCESS_ON_USER_SESSION"}}
]},
{"RuleID":20, "Rulename":"User process create system process", "Content": [
{"1c":{"-TerminalSessionId":"0", "-User":"System"}},
{"1":{"User":"System"}}
]},
{"RuleID":21, "Rulename":"Accessing to a System token from sesion 1 (priv scalation)", "Content": [
{"1c":{"User":"system"},"110c":{"-SourceUser":"system", GrantedAccess":"PROCESS_QUERY_INFORMATION"}}
]}
[2]
Introducción
DEMO
Sysmon Process Correlator Engine – Hierarchy Engine
Detección Real Parent
2: CreateRemoteThread
EventID 8
'NewThreadId': '10916'
1: Copia código malicioso
3: Create process
Proceso Malicioso
PID 1234
Explorer.exe PID 3113
cmd.exe /c format c:
EventID 1
ProcessID:666
Parent PID 3113
EventID 10
'ThreadId': '10916‘
‘TargetProcessId’:666
Real Parent PID 1234
Referencias
• [1] https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf
• [2] https://posts.specterops.io/understanding-and-defending-against-access-token-theft-finding-alternatives-to-winlogon-exe-80696c8a73b
REFERENCIAS
https://lab52.io/
https://www.securityartwork.es/
WEBS MEDIA
@ramado78
ramado@s2grupo.es
BARCELONA BOGOTÁ
Llull, 321,
08019
T. (+34) 933 030 060
Calle 89, nº 12-59,
T. (+57) 317 647 10 96
info@s2grupo.es
www.s2grupo.es
www.securityartwork.es
www.lab52.es
MADRID
Velázquez, 150, 2ª
planta, 28002
T. (+34) 902 882 992
MÉXICO, D.F.
Monte Athos 420
D.F., 11000
México
T. (+52) 15521280681
VALENCIA
Ramiro de Maeztu 7,
46022
T. (+34) 902 882 992

Más contenido relacionado

La actualidad más candente

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webDani Adastra
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 

La actualidad más candente (20)

Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con Nmap
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Honeypots2006 2007
Honeypots2006 2007Honeypots2006 2007
Honeypots2006 2007
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
 
Present3
Present3Present3
Present3
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones webIntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 

Similar a Hunting Malware using process behavior

Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows TAR Security
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesEgdares Futch H.
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]Websec México, S.C.
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security ScanHelpSystems
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosspankito
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida   seguridad en desarrollo fullstackHack & beers lleida   seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020HelpSystems
 
PPT SESION 11.pdf
PPT SESION 11.pdfPPT SESION 11.pdf
PPT SESION 11.pdfNinaLagos1
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Alejandro Ramos
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Pablo Alvarez Doval
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iHelpSystems
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMEventos Creativos
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDEPedro J. Molina
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iHelpSystems
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerSolarWinds
 

Similar a Hunting Malware using process behavior (20)

Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows Sysmon : Supervisa y registra las actividades en entornos Windows
Sysmon : Supervisa y registra las actividades en entornos Windows
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security Scan
 
Securiza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigosSecuriza tu red con Snort y sus amigos
Securiza tu red con Snort y sus amigos
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida   seguridad en desarrollo fullstackHack & beers lleida   seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020El Estado de la Seguridad de IBM i en 2020
El Estado de la Seguridad de IBM i en 2020
 
BSides Panama 2022
BSides Panama 2022BSides Panama 2022
BSides Panama 2022
 
PPT SESION 11.pdf
PPT SESION 11.pdfPPT SESION 11.pdf
PPT SESION 11.pdf
 
Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0Resolución de concursos de la NoConName 2010 v1.0
Resolución de concursos de la NoConName 2010 v1.0
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
 
Generacion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm iGeneracion simplificada de reportes de cumplimiento en ibm i
Generacion simplificada de reportes de cumplimiento en ibm i
 
01 semana-arena
01 semana-arena01 semana-arena
01 semana-arena
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Un caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAMUn caso Forense: La Red y la Memoria RAM
Un caso Forense: La Red y la Memoria RAM
 
Securizando por construcción mediante MDE
Securizando por construcción mediante MDESecurizando por construcción mediante MDE
Securizando por construcción mediante MDE
 
Security Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM iSecurity Scan, el primer paso para proteger su IBM i
Security Scan, el primer paso para proteger su IBM i
 
Webcast en español: Log & Event Manager
Webcast en español: Log & Event ManagerWebcast en español: Log & Event Manager
Webcast en español: Log & Event Manager
 

Más de RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]RootedCON
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

Más de RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Último

CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdflauralizcano0319
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskbydaniela5
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaElizabethLpezSoto
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.radatoro1
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfJoseAlejandroPerezBa
 

Último (20)

CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestría
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
TinkerCAD y figuras en 3D. Uso del programa TinkerCAD para crear fuguras.
 
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdfTENDENCIAS DE IA Inteligencia artificial generativa.pdf
TENDENCIAS DE IA Inteligencia artificial generativa.pdf
 

Hunting Malware using process behavior

  • 1. Hunting Malware using process behavior @ramado78 – Rooted Madrid 0x2020
  • 3. Introducción Técnicas y actores avanzados Trabajan en memoria sin tocar disco Usan los procesos legítimos del propio equipo Cuando crean algún proceso es de una imagen de disco legítima Pueden inyectarse en procesos sin ni siquiera crear un hilo remoto (APC) Su malware solo se ejecutan en los equipos víctima Suplantan la jerarquía de procesos
  • 4. Introducción Estrategias de hunting Correlación temporal de sucesos Relación de jerarquía de los procesos Comportamiento habitual o línea base
  • 5. Introducción Instrumentación / Monitorización SYSMON de SysInternals Focaliza en entornos Microsoft Windows Necesitamos poder monitorizar que sucede, que hacen los procesos del equipo Sysmon identifica 22 tipos de actividad
  • 7. Sysmon Process Correlator Engine • Desarrollo en Python • Licencia GNU GPL • Implementa 2 motores de correlación • Baseline Engine • Hierarchy Engine • Fuente de datos • Ficheros .evtx de sysmon • Eventlog de la máquina (incluso en tiempo real) • Alertas Eventlog y/o stdout • Detecta comportamiento anómalo de los procesos • Proceso de Hunting buscando actividad maliciosa en ficheros .evtx descargados de equipos sospechosos • Entornos sandbox como complemento de detección • Forense • Complemento de monitorización activa para Blue Team • Testeo previo de reglas de correlación en SIEM • Búsqueda eventos en ficheros .evtx Capacidades Usos (Sysmon Processes Correlation Engine)
  • 8. Sysmon Process Correlator Engine – Baseline Engine • Establece una base de comportamiento de los principales procesos del sistema, en especial aquellos susceptibles a ser inyectados. • Línea base parte de un proceso de investigación con metodología empírica (No ML) de un conjunto de máquinas con diferentes SO de Microsoft. • El resultado es un catalogo de comportamiento modelado en eventos de Sysmon • Se establece un puntaje de confianza para cada uno de ellos, si alguno realiza una acción fuera de la línea base pierde puntos. 0 puntos ->Alerta BASELINE ENGINE Características OBJETIVO Detectar procesos legítimos con código inyectado
  • 9. Sysmon Process Correlator Engine – Baseline Engine BASELINE ENGINE Funcionamiento Tipo Acción Sysmon Ej. (1) Process Create Baseline Eng. Comprueba OK Atributos no habituales Resta confianza al proceso Características ID 1 • Imagen • Padre • Path • Integridad • Sesión • … Baseline Rules No hay alerta OK Comprueba puntos Quedan puntos? NO Alerta
  • 10. Sysmon Process Correlator Engine – Baseline Engine Modelado explorer.exe
  • 11. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe Comportamiento General Atributo Valor Momento de ejecución Cuando un usuario inicia sesión interactiva, por lo tanto en cualquier momento. Tiempo de vida TTL Normalmente minutos u horas incluso días. Podemos encontrar alguna ejecución que dura milésimas (<1s), que el SO mata por no ejecutar otra instancia de shell. Creación de procesos hijo Numerosa y diferente, anormal a partir de 20 en 1 hora Instancias de ejecución 1 por usuario y sesión, si esta esta iniciada. Es posible llegar a tener 2 por usuario, si se activa “Abrir ventanas de carpeta en un proceso independiente” (hija de svchost, no userinit) [1]
  • 12. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe
  • 13. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Imagen disco C:Windowsexplorer.exe Procesos Padre C:WindowsSystem32userinit.exe (Normal) C:WindowsSystem32winlogon.exe (Cuando Crash) C:Windowsexplorer.exe (Muy rara vez) C:WindowsSystem32svchost.exe (Muy rara vez, se instancia un objeto mediante DCOM, al habilitar “Abrir ventanas de carpeta en un proceso independiente”) Directorio de ejecución C:Windows Usuario Diferente siempre de System Sesión Diferente siempre de 0
  • 14. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 1 Process Create Atributo Valor En general muy pocos eventos Integridad Media (PE) Imagen Descripción Windows Explorer (PE) Compañía Microsoft Corporation (PE) Nombre original EXPLORER.EXE Instancias de ejecución 1 por usuario y sesión si esta esta iniciada y 2 si se habilita “Abrir ventanas de carpeta en un proceso independiente”
  • 15. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 2 File Creation Time Changed Atributo Valor Frecuencia En general muy pocos eventos Nombre fichero destino Por debajo de la jerarquía de la carpeta de usuario en especial en AppData Ej. C:Users[USUARIO]AppData … Menos de 30 al día ID Sysmon 3 Conexión Atributo Valor Frecuencia En general muy pocos eventos (Iniciadas por el) Puerto destino "80", "443", "3128“ (Proxy si se usa) Menos de 12 al día (Recibidas por el) Puerto destino No es normal que levante sockets a la escucha, por lo que no deberíamos ver intentos de conexión hacia el explorer.exe (Iniciadas por el) IP destino IPs de Microsoft
  • 16. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 7 Carga módulos Atributo Valor En general pocos eventos Path de la imagen en disco de la DLL Varias localizaciones, debido a extensiones, pero mayormente de: C:Windows C:Program Files C:Program Files (x86) C:PROGRA~1 OneDrive Firma Status Valid ID Sysmon 8 Create Remote Thread Atributo Valor Frecuencia En general muy pocos eventos Crea hilos remotos No debería generar eventos de este tipo Recibe creación de hilos de C:WindowsSystem32wbemWmiPrvSE.exe 1 por ejecución de explorer
  • 17. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 9 Escritura RAW Atributo Valor Frecuencia Acceso habitual Dispositivo DeviceHarddiskVolume Menos de 100 al día ID Sysmon 11 Creación ficheros Atributo Valor Frecuencia Normal que se produzca Menos de 100 al día ID Sysmon 12 Object create and delete Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 10 Open process Atributo Valor Frecuencia Normal que se produzca Alta
  • 18. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 13 Value Set Atributo Valor Frecuencia Normal que se produzca Alta ID Sysmon 14 Key and Value Rename Atributo Valor Frecuencia No debería generar Nunca ID Sysmon 15 ADS Create Atributo Valor Frecuencia No debería generar Nunca
  • 19. Sysmon Process Correlator Engine – Baseline Engine Modelado comportamiento explorer.exe ID Sysmon 18 PIPE CONNECT Atributo Valor Frecuencia Pocos eventos Nombre PIPE srvsvc MsFteWds wkssvc TDLN Menos de 20 a la hora ID Sysmon 17 Create PIPE Atributo Valor Frecuencia No debería generar Nunca
  • 21. Sysmon Process Correlator Engine – Hierarchy Engine • Permite detectar situaciones anómalas basadas en la jerarquía de los procesos (relación Padre->Hijo) y sus acciones asociadas. • Construye el árbol de ejecución de procesos y asigna las acciones que estos van haciendo al PID correspondiente. • Permite detectar situaciones reiteradas de un comportamiento (N veces un hecho) • Presenta una visión rápida de la cadena de sucesos de una amenaza alertada HIERARCHY ENGINE Características OBJETIVO Detectar ejecuciones de código malicioso basado en la cadena de acciones
  • 22. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"EMAIL_AGENTS"}}, {"1":{"Image":"OFFICE_PROCESS"},"3":{"Image":"OFFICE_PROCESS"}}, {"1c":{"Image":"SCRIPTING_ENGINES_AND_SHELLS"}} ]}, Conecta
  • 23. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Ataque de Phising {"RuleID":8, "Rulename":"Successful phising attack", "Content": [ {"1c":{"Image":"OFFICE_PROCESS"} {"3c":{"Image":“*“, “DstIP”:”INTERNET”}} ]}, Todavía más generalizable Conecta
  • 24. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Inyecciones de código mal gestionadas {"RuleID":17, "Rulename":"Possible bogus injected code in System process because too many werfaults", "Content": [ {"1c":{"Image":"wininit.exe"}}, {"N":2, "Seconds":86400}, {"1c":{"Image":“*"}}, {"1":{"Image":"werfault.exe"}} ]}, {"RuleID":18, "Rulename":"Too many explorer crashes, possible bogus injected code", "Content": [ {"1c":{"Image":"winlogon.exe"}}, {"N":3, "Seconds":86400}, {"1":{"Image":"explorer.exe"}} ]},
  • 25. Sysmon Process Correlator Engine – Hierarchy Engine Ejemplos de reglas Elevaciones de privs {"RuleID":19, "Rulename":"System process on user session (priv scalation)", "Content": [ {"1c":{"-TerminalSessionId":"0", "User":"System","-Image":"SYSTEM_PROCESS_ON_USER_SESSION"}} ]}, {"RuleID":20, "Rulename":"User process create system process", "Content": [ {"1c":{"-TerminalSessionId":"0", "-User":"System"}}, {"1":{"User":"System"}} ]}, {"RuleID":21, "Rulename":"Accessing to a System token from sesion 1 (priv scalation)", "Content": [ {"1c":{"User":"system"},"110c":{"-SourceUser":"system", GrantedAccess":"PROCESS_QUERY_INFORMATION"}} ]} [2]
  • 27. Sysmon Process Correlator Engine – Hierarchy Engine Detección Real Parent 2: CreateRemoteThread EventID 8 'NewThreadId': '10916' 1: Copia código malicioso 3: Create process Proceso Malicioso PID 1234 Explorer.exe PID 3113 cmd.exe /c format c: EventID 1 ProcessID:666 Parent PID 3113 EventID 10 'ThreadId': '10916‘ ‘TargetProcessId’:666 Real Parent PID 1234
  • 28. Referencias • [1] https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf • [2] https://posts.specterops.io/understanding-and-defending-against-access-token-theft-finding-alternatives-to-winlogon-exe-80696c8a73b REFERENCIAS https://lab52.io/ https://www.securityartwork.es/ WEBS MEDIA @ramado78 ramado@s2grupo.es
  • 29. BARCELONA BOGOTÁ Llull, 321, 08019 T. (+34) 933 030 060 Calle 89, nº 12-59, T. (+57) 317 647 10 96 info@s2grupo.es www.s2grupo.es www.securityartwork.es www.lab52.es MADRID Velázquez, 150, 2ª planta, 28002 T. (+34) 902 882 992 MÉXICO, D.F. Monte Athos 420 D.F., 11000 México T. (+52) 15521280681 VALENCIA Ramiro de Maeztu 7, 46022 T. (+34) 902 882 992