Este documento resume una solución automatizada de análisis de malware Open Source llamada Cuckoo Sandbox. Explica cómo Cuckoo funciona usando virtualización para analizar muestras de malware de forma automatizada y a gran escala. También describe los diferentes tipos de información que se pueden obtener de los análisis de Cuckoo, como detección de dominios maliciosos, análisis de redes y cambios en el sistema de archivos. Finalmente, compara las capacidades de Cuckoo frente a amenazas como Citadel y Exploit Kits.

1. Defenses against
malware, automated
analysis using Open
Source technology
Autor: Marc Rivero López
Fecha: Octubre 2012

2. La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación o
utilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21sec está
estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún caso deberá
ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna.
© Grupo S21sec Gestión, S.A.

3. about
• ACSS (Advanced cyber Security
Services)
• Analista ecrime
Datos de contacto:
mrivero@s21sec.com
@seifreed

4. ¿Solución automatizada de Malware?
Solución Open Source
Funcionamiento de Cuckoo
// ÍNDICE Presentación de resultados
Extras en los análisis
* Cuckoo VS Citadel
Cuckoo VS Exploits Kits
Conclusiones

5. // 01 ¿SOLUCIÓN AUTOMATIZADA DE MALWARE?
*

6. MOTIVOS
• Malware en todas las
plataformas poulares
• Muchísima cantidad de
malware

7. ¿Porque un Sandbox?
Ventajas:
•Entorno controlado.
•Análisis por lotes
•Análisis automatizado
•Poder analizar grandes
cantidades de malware
Inconvenientes:
•Fácilmente detectable

8. // 02 SOLUCIÓN OPEN SOURCE
*

9. ¿Porque una solución Open Source?
• Soluciones comerciales
muy caras.
• Poder introducir nuevas
funcionalidades.
etc...

10. Cuckoo Sandbox
• Plataforma para el análisis
de malware
• Capaz de analizar exe,
pdf, doc...
• Usa virtualización para los
análisis
• 100% Open Source

11. // 03 FUNCIONAMENTO DE CUCKOO
*

12. ¿Como funciona la plataforma?

13. Componentes de Cuckoo

14. Análisis de malware
• Configuración de Cuckoo
con el engine de
virtualización
• Daemon a la espera de los
análisis

15. // D
DEMO
*

16. // 04 PRESENTACIÓN DE RESULTADOS
*

17. Resultados...
• Los análisis se irán
mostrando en la parte web
de Cuckoo.

18. Resultados...
• Información sobre el
binario, firmas de yara,
PEiD y Virus Total

19. Resultados...
• Firmas y pantallazos

20. Resultados...
• Análisis estático e
información sobre la
muestra

21. Resultados...
• Cuckoo analizará los
archivos recogidos por la
muestra

22. Resultados...
• Análisis de red

23. Resultados...
• Cambios en el sistema de
ficheros

24. Resultados...
• Mutex

25. Resultados...
• Cambios que ha sufrido el
registro

26. Resultados...
• Información 4detallada
sobre los procesos

27. // 05 EXTRAS EN LOS ANÁLISIS
*

28. API de Virus Total
• Cuckoo consultará el
HASH de la muestra en
Virus Total

29. Conexión a dominios maliciosos
• Cuckoo avisará cuando
una muestra quiera
conectarse a un
dominio malicioso.

30. // 06 CUCKOO VS CITADEL
*

31. Datos falsos
• Algunas versiones de
Citadel contienen
protección de máquina
virtual

32. // 07 CUCKOO VS EXPLOITS KITS
*

33. Cuckoo analiza el Exploit Kit
Para ver esta película, debe
• Cuckoo es capaz de disponer de QuickTime™ y de
un descompresor Photo - JPEG.
analizar URL que
contengan exploits kits
y recoger los archivos.

34. // 08 CONCLUSIONES
*

35. //
¿PREGUNTAS?
*

36. GRACIAS
SPAIN MEXICO BRASIL UK USA
www.s21sec.com