Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware. En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente. Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?

1. Anatomy of a modern malware:
How easy the bad guys can f***
the world
Pablo González
@pablogonzalezpe
Fran Ramírez
@cyberhadesblog @cybercaronte

2. Nota Legal
• La siguiente charla es totalmente educativa e
intenta mostrar técnicas de malware orientadas a
a la educación, investigación y prevención.
• No nos hacemos responsables de un mal uso de
las técnicas presentadas en esta charla.

3. Whoami
Ingeniero Informático & Máster Seguridad Informática
2009 – 2013 Informática 64
2013 - ?? Eleven Paths (Telefónica)
Co-fundador de Flu Project
Founder hackersClub
MVP Microsoft 2017-2018
Algunos libros (0xWord):
– Metasploit para pentesters
– Pentesting con Kali
– Ethical Hacking
– Got Root
– Pentesting con Powershell

4. Whoami
Fundador y escritor en el blog geek
www.cyberhades.com (nick: cybercaronte)
sobre Seguridad Informática e Historia de la
Informática.
Co-autor del libro "MicroHistorias:
anécdotas y curiosidades de la
Informática" de 0xWord y colaborador
habitual de la revista One-Hacker.
Ingeniero informático con más de 15 años de experiencia como Administrador
de Sistemas en una multinacional española, realizando múltiples proyectos
internacionales sobre todo en EEUU y Canadá. Desde el año 2017, trabajo como
Security Researcher en Telefónica y ElevenPaths.

5. Los tiempos cambian …
En 1997, se necesitaban algunos libros, documentación
extra y mucho tiempo para programar un malware:
… en 2017 sólo necesitas esto:
... además de
muchas horas en
BBSes y Fidonet
buscando
información …
www.google.com

6. .. además, los creadores de
malware no son lo que eran …

7. Hoy día, cualquiera puede
crear un malware

8. Todo está en Internet …

9. Anatomía de un malware moderno
¿Cómo pueden entonces los chicos malos ”fastidiar” el mundo?
Simplemente usando un diseño modular, reuniendo “piezas” y conectándolas

10. Características de un malware
• Propagación
• Persistencia
• Privilegios
• Espionaje

11. Propagación
• Antecedentes:
– Elk Cloner (1981). El primer virus, se propagaba vía floppy disk
– Blaster (2003). Gusano, vulnerabilidad servicio DCOM RPC
– Sasser (2004). Gusano, buffer overflow LSASS
• EternalBlue (NSA). Vulnerabilidad protocolo SMB catalogada como
CVE-2017-0144. Utilizada en Wannacry.

12. Privilegios
• UAC bypass. Evitar en Windows el User Access Control (UAC).
Usando vulnerabilidades, ser administrador partiendo de un
usuario normal (grupo Administradores).
• Existen herramientas como Win7Elevate y UACme
• Fileless bypass UAC. No necesita de un fichero para ejecutarse.
Vigila HKCUSoftwareClasses
• Escalada total (Sin privilegios) – Tater/HotPotato.

13. PoC
• Propagación. Eternalblue
• Privilegios. Bypass UAC
– Importante:
https://isc.sans.edu/forums/diary/Ma
licious+Office+files+using+fileless+UA
C+bypass+to+drop+KEYBASE+malwar
e/22011/

14. Persistencia
• Fileless attack. No se almacena el fichero ejecutable malicioso en
el sistema. Troyano Poweliks oculta el código malicioso en el
Registro Windows + PowerShell (codificado).
• Rootkit. Phasebot rootkit , C&C para recibir órdenes. Inserta shell
code en el registro de Windows. Se vendía por 200$.
• Clásico. KCUSoftwareMicrosoftWindowsCurrentVersionRun y RunOnce
Funcionamiento
Poweliks.CCL. Fuente.

15. PoC
• Propagación. Eternalblue
• Privilegios. Bypass UAC
• Persistencia. Fileless

16. Espionaje
• RAT Remote Administration Tool. C&C GUI,
screenshots, webcam, etc… Darkcomet
• Mariposa botnet. Una de las más grandes
botnets para espiar y extorsionar (además de
ataques DoS)
Opciones de Darkcomet C&C

17. PoC
• Propagación. Eternalblue
• Privilegios. Bypass UAC
• Persistencia. Fileless
• Espionaje. Troyano, C&C.

18. El malware de moda: Rescate (Ransom)
• Cifrado. La información del dispositivo se cifra (por ejemplo,
RSA 2048 bit asimétrico) y se pide un rescate por la misma.
Cryptolocker fue el primero de los casos más conocidos hasta
hoy día, donde aparecen Petya ó Wannacry. Hidden Tear
(educación)
C&C (Command & Control).
Servidor con un software
principal para gestionar el
ataque almacenando los
datos de los equipos como IP,
geolocalización, etc pero
sobre todo, la clave
criptográfica para descifrar
los archivos (que se utilizará
como moneda de cambio)

19. PoC
• Propagación. Eternalblue
• Privilegios. Bypass UAC
• Persistencia. Fileless
• Espionaje. Troyano, C&C.
• Ransom. Cifrado

20. PoC Frankenware
• Propagación. Eternalblue
• Persistencia. Fileless
• Privilegios. Bypass UAC
• Espionaje. Troyano, C&C.
• Ransom. Cifrado (PowerShell)
+ + + + =

21. PoC
• Propagación. Eternalblue
• Privilegios. Bypass UAC
• Persistencia. Fileless
• Espionaje. Troyano, C&C.
• Ransom. Cifrado
• Keylogger

22. PoC

23. Como proteger a la nueva sociedad
• Esto es sólo el principio …
• IoT (Mirai botnet) infectaba cámaras IP. DDOS
• Leaks, EternalBlue (NSA)
• ¿Cómo proteger a la nueva sociedad?

24. IA y Machine Learning (ML)
• ML para defendernos (análisis de tráfico de red):
– Blog 11Paths, redes más seguras con ML.
• Creando malware con técnicas de
ML
• OpenAI + Gym framework para
crear malware. Presentado este año
en la DEF CON y BlackHat.
• Cazando malware con
técnicas de ML.
Windows Defender ATP.