3. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
AVISO
▸ No me hago responsable del daño que puedan causar los
malwares aquí mostrados.
▸ Estas pruebas se hacen en un circuito cerrado y rodada
por especialistas :P
▸ Durante esta charla no se ha dañado ningún malware. No
puedo decir lo mismo de mi VirtualBox :(.
▸ El objetivo de esta charla es la de enseñar a analizar
malware para protegernos y no morir en el intento.
4. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
PING @MPALONSO
▸ Técnico Superior en
Administración de sistemas en Red
▸ Estudiante de Ingeniería
Informática
▸ Proyecto de estudio de ataques y
su localización “Honeytrack”
▸ Miembro del equipo de CTF
Follow The White Rabbit
▸ Python Lover <3
@MPAlonso_https://github.com/anubis7
5. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INDEX
▸ Presentación
▸ Introducción
▸ Tendencias
▸ Estudio del malware (cuckoo sandbox)
▸ Demo
6. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INTRODUCCIÓN
▸ Malware
▸ Historia del Malware
▸ Tipos de malware
▸ Vector de infección
▸ Impacto
7. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
MALWARE
▸ Es un tipo de software que tiene como objetivo infiltrarse
en un sistema sin consentimiento de su propietario.
▸ Protección: antivirus, aplicaciones y sistemas actualizados
al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el
conocimiento del usuario.
▸ “Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque ninguna de estas
medidas cubre el eslabón más débil de la cadena de seguridad: la
gente que usa y administra los ordenadores” K.M.
8. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
HISTORIA DEL MALWARE
▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET.
“Im a creeper, catch me!”. Contramedida: “Reaper”.
▸ Finales de los 80: Viernes_13/Jerusalem infección de ficheros .EXE
▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en
el desarrollo de malware.
▸ Año 2000: LoveLetter, Mydoom, Sasser…etc
▸ Desde 2003: malware más sofisticados, aparición de spyware..etc
▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la
Policia…etc)
9. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
TIPOS DE MALWARE
▸ Virus clásicos: Viernes13
▸ Gusanos: I<3YOU Blaster
▸ Troyanos: Zeus
▸ Spyware: Perfect_Keylogger KeenValue
▸ Rootkits: T0rn SuckIT
10. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
VECTORES DE INFECCIÓN
▸ Fallos en aplicaciones y/o sistemas operativos (buffer
overflow…etc)
▸ Carga automática de elementos con JavaScript, emails…
▸ Fallos en protocolos de red
▸ Dispositivos físicos
▸ Usuarios!!!
13. SANDBOX
▸ Concepto: es un entorno de prueba separado del entorno de
producción. Ejemplo de virtualización.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
14. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
MÉTODOS DE EVASIÓN
▸ Ofuscación del código
▸ Crypters
▸ Client
▸ Stub (encargado de desencryptar el código)
▸ Más info sobre: Troyanos, Evasion..etc.
▸ Malware_Magazine_1 : underc0de
15. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ESTUDIO DEL MALWARE (CUCKOO SANDBOX)
▸ Cuckoo Sandbox
▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google
Summer of Code dentro del proyecto Honeynet.
▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia
de Cuckoo Sandbox para obtener una plataforma donde analizar
ficheros maliciosos que suban los usuarios. Like VirusTotal.
▸ Año 2014: nace la organización Cuckoo Fundation organización
sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e
iniciativas similares.
16. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
▸ Situación 1: Servidor Cuckoo +
VM Windows(Máquina de análisis)
▸ Situación 2: Máquina real + VM Cuckoo
server + VM Windows(Máquina de
análisis)
▸ Situación 3: Servidor Cuckoo +
VM Windows XP + VM Windows 7
+… N)
▸ Configuración de interfaz:
▸ S1: eth(CuckooServer) +
HostOnlyAdapter(WindowsXP)
▸ S2: eth(Internet) + ethBridge(CuckooServer) +
HostOnlyAdapter(WindowsXP)
▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV
análisis) + HostOnlyAdapter1(MV análisis) + …
ESQUEMA DE RED
20. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ERRORES ENCONTRADOS
▸ pip: No module named
package.version. Reinstalación de
pip.
▸ Versión actual (10.10.6) de Django
(fallo con el TEMPLATE admin) se
recomienda la 1.8.4
(requeriments.txt)
▸ Versión actual de VBox: fallos
varios. MV Intermitente
30. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
PROTECCIÓN
▸ Combinando CuckooSandBox + radare2(por ejemplo) +
Yara
▸ Reportes y Muestras (Hack, Learn & Share)
DETECCIÓN DE CUCKOO SANDBOX
▸ https://github.com/David-Reguera-Garcia-Dreg/
anticuckoo
▸ Reportes y Muestras (Hack, Learn & Share)
31. ANÁLISIS DE MALWARE - CUCKOO SANDBOX
CONCLUSIONES
▸ Análisis sin poner en riesgo el sistema.
▸ Es el primer paso para investigar malware.
▸ Posibilidad de poner más de una máquina virtual para el
análisis.
▸ Desarrollo de módulos independientes.
▸ Se requiere conocimientos de reversing y exploiting