Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
2. Nota Legal
• La siguiente charla es totalmente educativa e
intenta mostrar técnicas de malware orientadas a
a la educación, investigación y prevención.
• No nos hacemos responsables de un mal uso de
las técnicas presentadas en esta charla.
3. Whoami
Ingeniero Informático & Máster Seguridad Informática
2009 – 2013 Informática 64
2013 - ?? Eleven Paths (Telefónica)
Co-fundador de Flu Project
Founder hackersClub
MVP Microsoft 2017-2018
Algunos libros (0xWord):
– Metasploit para pentesters
– Pentesting con Kali
– Ethical Hacking
– Got Root
– Pentesting con Powershell
5. Los tiempos cambian …
En 1997, se necesitaban algunos libros, documentación
extra y mucho tiempo para programar un malware:
… en 2017 sólo necesitas esto:
... además de
muchas horas en
BBSes y Fidonet
buscando
información …
www.google.com
11. Propagación
• Antecedentes:
– Elk Cloner (1981). El primer virus, se propagaba vía floppy disk
– Blaster (2003). Gusano, vulnerabilidad servicio DCOM RPC
– Sasser (2004). Gusano, buffer overflow LSASS
• EternalBlue (NSA). Vulnerabilidad protocolo SMB catalogada como
CVE-2017-0144. Utilizada en Wannacry.
12. Privilegios
• UAC bypass. Evitar en Windows el User Access Control (UAC).
Usando vulnerabilidades, ser administrador partiendo de un
usuario normal (grupo Administradores).
• Existen herramientas como Win7Elevate y UACme
• Fileless bypass UAC. No necesita de un fichero para ejecutarse.
Vigila HKCUSoftwareClasses
• Escalada total (Sin privilegios) – Tater/HotPotato.
14. Persistencia
• Fileless attack. No se almacena el fichero ejecutable malicioso en
el sistema. Troyano Poweliks oculta el código malicioso en el
Registro Windows + PowerShell (codificado).
• Rootkit. Phasebot rootkit , C&C para recibir órdenes. Inserta shell
code en el registro de Windows. Se vendía por 200$.
• Clásico. KCUSoftwareMicrosoftWindowsCurrentVersionRun y RunOnce
Funcionamiento
Poweliks.CCL. Fuente.
16. Espionaje
• RAT Remote Administration Tool. C&C GUI,
screenshots, webcam, etc… Darkcomet
• Mariposa botnet. Una de las más grandes
botnets para espiar y extorsionar (además de
ataques DoS)
Opciones de Darkcomet C&C
18. El malware de moda: Rescate (Ransom)
• Cifrado. La información del dispositivo se cifra (por ejemplo,
RSA 2048 bit asimétrico) y se pide un rescate por la misma.
Cryptolocker fue el primero de los casos más conocidos hasta
hoy día, donde aparecen Petya ó Wannacry. Hidden Tear
(educación)
C&C (Command & Control).
Servidor con un software
principal para gestionar el
ataque almacenando los
datos de los equipos como IP,
geolocalización, etc pero
sobre todo, la clave
criptográfica para descifrar
los archivos (que se utilizará
como moneda de cambio)
24. IA y Machine Learning (ML)
• ML para defendernos (análisis de tráfico de red):
– Blog 11Paths, redes más seguras con ML.
• Creando malware con técnicas de
ML
• OpenAI + Gym framework para
crear malware. Presentado este año
en la DEF CON y BlackHat.
• Cazando malware con
técnicas de ML.
Windows Defender ATP.