SlideShare una empresa de Scribd logo

Tecnicas avanzadas de ocultamiento de malware

Secpro - Security Professionals
Secpro - Security Professionals

Conferencia en donde explico algunas de las técnicas mas avanzadas utilizadas por el malware para Ocultarse

Tecnología
1 de 61
Descargar para leer sin conexión
Técnicas Avanzadas De Ocultamiento de Malware David F. Pereira
David F. Pereira CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC. • 18+ Años de experiencia en Seguridad Informática y DFIR • Hácker Etico – Pentester en diversas Entidades en el mundo, de ambitos como el Financiero, Energético, Militar, Inteligencia, Diplomatico, Minero, entre otros. • Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. • CEO de SecPro
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Glosario de Malware • Stub • Subprograma que desencripta temporalmente el código viral para su carga y ejecución en RAM y posteriormente lo encripta de nuevo. • Mutex • Cadena de caracteres que permite al malware identificar una victima con diferentes objetivos: Inmunizarla, Firmarla,etc. • FUD • Fully Undetectable (Crypters) • Crypter • Aplicación que encripta el malware para dificultar la detección antiviral. • Cabby/Downloader • Programa que se descarga primero sin dispara el antivirus y luego descarga el malware. • PE • Portable Executable; formato de los Archivos EXE que determina su Func.
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
• Detección de Firmas • Detección de Patrones / Cadenas • Heurística en Disco (Comportamiento) • Heurística en Memoria • Heurística en FileSystems/Archivos • Heurística en Conectividad • Sandboxing (Detección Zero Day) Técnicas de Detección de Malware
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Tipos de Análisis de Malware Análisis Estático que se realiza por medio de herramientas que “desensamblan” los componentes del malware, detectan los encabezados PE, archivos y librerias que invocan, SIN EJECUTARLO. • Extracción de Cadenas de Texto • Detección de Compresión (PE32, UPX, etc) • Información de Formato PE (Portable Ejecutable) • text: Código Ejecutable • .rdata: Datos globales de solo lectura • .data: Datos que son accedidos en la ejecución • .rsrc: Recursos Necesarios para el ejecutable • Dependencias • Vista Hexadecimal • Vista en Assembler • TimeStamps
Tipos de de Malware Análisis Dinámico Análisis que se realiza por medio de herramientas que monitorean y controlan la operación de la máquina infectada con el fin de entender y detectar que hace el malware, una vez se ejecuta. • Registros en Procesador • Registros en la Memoria • Uso de Archivos (Lectura, Escritura, Creación) • Conectividad de Red • Cambios en el Registro (Windows (Lectura, Escritura, Creación) • Kernel
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Técnicas Avanzadas de Ocultamiento (Ofuscación) • Uso de VBE (Visual Basic Extensions) Caso: AutoIT –Banco Trj. • Uso de Powershell (Malware sin Archivos) Caso: Vawtrak • Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker • Uso de Twitter, GitHub y Esteganografia; Caso: Hammertoss • Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr • Detección de Entorno de Ejecución; Caso: Carbanak/Anunak • WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Scripts Ofuscados de VBE Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0 Se puede decodificar con las mismas Herramientas Microsoft: https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB- a480d74c
Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0 http://5.175.145.181/ljurbg/btieste.zip
Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
AutoIT Scripting https://www.autoitscript.com/site/autoit/
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime • Análisis de Entorno • WMI
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak El Archivo Base es: Spam de FedEx, American Airlines, o Similar con Archivo de Word. Archivo: Receipt number 4345677 MD5: 07BB7A3C3EC68A0734B67D2F9A47098E
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak CON MACROS SIN MACROS
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker El Archivo Base es: Spam con supuesta factura o similar Archivo: endowments.zip / scr MD5: b155a95104b42e6bd83fd741d562d2a1 Cuando el usuario ejecuta el .scr, se abre un archivo .rtf asi:
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker Datos del usuario, Nombre de máquina y lo mas importante: Llave de Encripción VICTIMA Red de Ocultamiento Ciberdelincuente en algún lugar del mundo
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Uso de Redes de Ocultamiento I2P http://thehackerway.com/2011/11/28/preservando-el-anonimato-y-extendiendo-su-uso-conceptos-basicos-sobre-el-uso-de-i2p-parte-xxii/
Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre https://www.bluecoat.com/sites/default/files/i2p-dyre.png
Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre cowpuncher.drollette.com i2p-netdb.innovatio.no i2p.mooo.com ieb9oopo.mooo.com link.mx24.eu netdb.i2p2.no reseed.i2p-projekt.de ssl.webpack.de uk.reseed.i2p2.no us.reseed.i2p2.no URL I2P a las que se conecta el Dyre
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas: Etapa 1: Comunicación con Twitter El malware busca, de acuerdo a una agenda de conexión diversas cuentas en Twitter por su url; Ej. @d4v1dp3r31r4 y le agrega la principio y al final caracteres CRC32, generando una conexión similar a: https://www.twitter.com/2bcD4v1 dp3r31r41a El Ciberdelincuente posee el mismo algoritmo para generar las cuentas. Si el HAMMERTOSS no encuentra el username: https://www.twitter.com/2bcD 4v1dp3r31r41a espera a la siguiente fecha de conexión para buscarlo y de esa forma recibir instrucciones. Utiliza Alta Latencia.
Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas: Etapa 2: Tweet de una URL El Tweet da instrucciones a la víctima para que descargue el contenido de una URL, incluyendo cualquier imagen; el hashtag le indica que el offset de los datos es 303 bytes en la imagen y que los caracteres para desencriptarla son: “test” @d4v1dp3r31r4; sigue a www.archivo1.github.com # 303test
Etapa 3: Ir a GitHub y descargar una imagen Hammertoss utiliza el Internet Explorer Application COM para visitar la URL y descargar la imagen al cache del IExplorer Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
Etapa 4: Esteganografia El HAMMERTOSS descarga la imagen al Cache de Iexplorer y de allí la toma para Desencriptarla basándose en la información del Hashtag previamente recibido, para obtener la instrucciones del Ciberatacante. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
Etapa 5: Ejecución de Comandos y Exfiltración El atacante utiliza PowerShell: powershell –ExecutionPolicy bypass -WindowStyle hidden – encodedCommand para ejecutar comandos y subir la información a un Cloud y luego la descarga. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr El Archivo Base es: SYADIBJUUFYK.EXE MD5: e9e90316682cca0cb2c0d7c9a846c05c Lo interesante de este malware no es su proceso de infección que es relativamente común: Crea procesos en el registro, lee algunos archivos, etc; lo interesante comienza cuando se conecta con su C&C; Utiliza Ping y Pong para saber si su C&C esta disponible……
El Archivo Base es:: SYADIBJUUFYK.EXE Una vez detecta a su C&C al alcance, el Servidor de control le responde el tráfico escondido dentro de mensajes de Error HTTP 404: Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr Mensaje Encriptado del C&C
El Archivo Base es:: SYADIBJUUFYK.EXE Al desencriptar el contenido del trafico, podemos ver las instrucciones: Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr Dentro de la Evolución del malware, los desarrolladores en su búsqueda de la evasión antimalware, implementan nuevas técnicas;
Malware como el Anunak y similares, leen parámetros de ejecución y variables de entorno de la máquina a fin de detectar si están siendo ejecutados dentro de un Sandbox, Emulación o Virtualización. También Pueden usar técnicas de Runtime Control. Algunos parámetros son: • Dirección MAC de la Tarjeta de Red • de las tablas de descripción • Llaves de Registro que son únicas en Máquinas Virtuales • Búsqueda de Procesos y Servicios Específicos • Búsqueda de Herramientas como VMware Tools • Comportamiento de los Puertos de Red • Comparación de Valores almacenados Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr
Comportamiento del W32/Foreign.LXES!tr al ser ejecutado: Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr API Invocados: • IsDebuggerPresent • CheckRemoteDebuggerPresent Strings Presentes en el API GetUserNameA: Busca estos DLL y los invoca: Valida que exista el API : • Wine_get_unix_file_name Dentro de: • Kernel32.dll https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
Comportamiento del W32/Foreign.LXES!tr al ser ejecutado: Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr Busca estas llaves de registro: https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Que es WMI – Windows management instrumentation? • El WMI es un repositorio, del cual se pueden leer parámetros de la máquina. • El WMI puede entregar información tan importante como usuarios, registro, sistema, drivers, etc. • El WMI de Microsoft es el equivalente a WBEM: Web Based Enterprise Management(java).
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Arquitectura WMI http://blogs.technet.com/b/plataformas/archive/2009/04/12/introducci-n-a-la-soluci-n-de-problemas-de-wmi.aspx
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Correlación de Instancias de Clases WMI del Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf Filemonitor_Consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf Filetrans_Consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf WMIScriptKids_consumer
WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf ProbeScriptKids_Consumer
El Futuro… Ya Está Aquí http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf • Malware de Diseño Individual • Malware Hecho a la Medida; (Spear) Tipo APT • Malware Modular • Ultra Alta Latencia (Sparse) • Explotación de Herramientas de Automatización de Usuario y de S.O.
Preguntas? David F. Pereira Q. david.pereira@secpro.org @d4v1dp3r31r4

Recomendados

Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
Secpro - Security Professionals
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
Secpro - Security Professionals
 
Cryptography and PKI
Cryptography and PKICryptography and PKI
Cryptography and PKI
Rabei Hassan
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
Yolanda Corral
 
CISSP - Chapter 2 - Asset Security
CISSP - Chapter 2 - Asset SecurityCISSP - Chapter 2 - Asset Security
CISSP - Chapter 2 - Asset Security
Karthikeyan Dhayalan
 
Cyber security career development paths
Cyber security career development pathsCyber security career development paths
Cyber security career development paths
Chelsea Jarvie
 
How to Prepare for the CISSP Exam
How to Prepare for the CISSP ExamHow to Prepare for the CISSP Exam
How to Prepare for the CISSP Exam
koidis
 
Secure Your Encryption with HSM
Secure Your Encryption with HSMSecure Your Encryption with HSM
Secure Your Encryption with HSM
Narudom Roongsiriwong, CISSP
 

Recomendados

Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
Secpro - Security Professionals
 
Ciberinteligencia2
Ciberinteligencia2Ciberinteligencia2
Ciberinteligencia2
Secpro - Security Professionals
 
Cryptography and PKI
Cryptography and PKICryptography and PKI
Cryptography and PKI
Rabei Hassan
 
OSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #PalabradehackerOSINT y hacking con buscadores #Palabradehacker
OSINT y hacking con buscadores #Palabradehacker
Yolanda Corral
 
CISSP - Chapter 2 - Asset Security
CISSP - Chapter 2 - Asset SecurityCISSP - Chapter 2 - Asset Security
CISSP - Chapter 2 - Asset Security
Karthikeyan Dhayalan
 
Cyber security career development paths
Cyber security career development pathsCyber security career development paths
Cyber security career development paths
Chelsea Jarvie
 
How to Prepare for the CISSP Exam
How to Prepare for the CISSP ExamHow to Prepare for the CISSP Exam
How to Prepare for the CISSP Exam
koidis
 
Secure Your Encryption with HSM
Secure Your Encryption with HSMSecure Your Encryption with HSM
Secure Your Encryption with HSM
Narudom Roongsiriwong, CISSP
 
Exploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web applicationExploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web application
Vishal Kumar
 
Windows internals Essentials
Windows internals EssentialsWindows internals Essentials
Windows internals Essentials
John Ombagi
 
CA_Module_1.pptx
CA_Module_1.pptxCA_Module_1.pptx
CA_Module_1.pptx
YazanSalileh
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
Nezar Alazzabi
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
Secpro - Security Professionals
 
Cryptography its history application and beyond
Cryptography its history application and beyondCryptography its history application and beyond
Cryptography its history application and beyond
kinleay
 
CISSP - Security Assessment
CISSP - Security AssessmentCISSP - Security Assessment
CISSP - Security Assessment
Karthikeyan Dhayalan
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
MITRE ATT&CK
 
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Edureka!
 
Security architecture, engineering and operations
Security architecture, engineering and operationsSecurity architecture, engineering and operations
Security architecture, engineering and operations
Piyush Jain
 
Criptografia 1
Criptografia 1Criptografia 1
Criptografia 1
Tensor
 
Introduction To PKI Technology
Introduction To PKI TechnologyIntroduction To PKI Technology
Introduction To PKI Technology
Sylvain Maret
 
Rootkit
RootkitRootkit
Rootkit
tech2click
 
Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2
infosecedu
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingTharindu Kalubowila
 
Cyber Kill Chain.pptx
Cyber Kill Chain.pptxCyber Kill Chain.pptx
Cyber Kill Chain.pptx
Vivek Chauhan
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Brian Huff
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)
MHumaamAl
 
CISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical securityCISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical security
Karthikeyan Dhayalan
 
Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
Secpro - Security Professionals
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
Secpro - Security Professionals
 

Más contenido relacionado

La actualidad más candente

Exploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web applicationExploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web application
Vishal Kumar
 
Windows internals Essentials
Windows internals EssentialsWindows internals Essentials
Windows internals Essentials
John Ombagi
 
CA_Module_1.pptx
CA_Module_1.pptxCA_Module_1.pptx
CA_Module_1.pptx
YazanSalileh
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
Nezar Alazzabi
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
Secpro - Security Professionals
 
Cryptography its history application and beyond
Cryptography its history application and beyondCryptography its history application and beyond
Cryptography its history application and beyond
kinleay
 
CISSP - Security Assessment
CISSP - Security AssessmentCISSP - Security Assessment
CISSP - Security Assessment
Karthikeyan Dhayalan
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
MITRE ATT&CK
 
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Edureka!
 
Security architecture, engineering and operations
Security architecture, engineering and operationsSecurity architecture, engineering and operations
Security architecture, engineering and operations
Piyush Jain
 
Criptografia 1
Criptografia 1Criptografia 1
Criptografia 1
Tensor
 
Introduction To PKI Technology
Introduction To PKI TechnologyIntroduction To PKI Technology
Introduction To PKI Technology
Sylvain Maret
 
Rootkit
RootkitRootkit
Rootkit
tech2click
 
Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2
infosecedu
 
Cyber Kill Chain.pptx
Cyber Kill Chain.pptxCyber Kill Chain.pptx
Cyber Kill Chain.pptx
Vivek Chauhan
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Brian Huff
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)
MHumaamAl
 
CISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical securityCISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical security
Karthikeyan Dhayalan
 

La actualidad más candente (20)

Exploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web applicationExploiting parameter tempering attack in web application
Exploiting parameter tempering attack in web application
 
Windows internals Essentials
Windows internals EssentialsWindows internals Essentials
Windows internals Essentials
 
CA_Module_1.pptx
CA_Module_1.pptxCA_Module_1.pptx
CA_Module_1.pptx
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Introduction to penetration testing
Introduction to penetration testingIntroduction to penetration testing
Introduction to penetration testing
 
Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)Se puede colapsar un pais (enfoque ciber)
Se puede colapsar un pais (enfoque ciber)
 
Cryptography its history application and beyond
Cryptography its history application and beyondCryptography its history application and beyond
Cryptography its history application and beyond
 
CISSP - Security Assessment
CISSP - Security AssessmentCISSP - Security Assessment
CISSP - Security Assessment
 
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...
 
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
Penetration Testing Tutorial | Penetration Testing Tools | Cyber Security Tra...
 
Security architecture, engineering and operations
Security architecture, engineering and operationsSecurity architecture, engineering and operations
Security architecture, engineering and operations
 
Criptografia 1
Criptografia 1Criptografia 1
Criptografia 1
 
Introduction To PKI Technology
Introduction To PKI TechnologyIntroduction To PKI Technology
Introduction To PKI Technology
 
Rootkit
RootkitRootkit
Rootkit
 
Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2Cissp d5-cryptography v2012-mini coursev2
Cissp d5-cryptography v2012-mini coursev2
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Cyber Kill Chain.pptx
Cyber Kill Chain.pptxCyber Kill Chain.pptx
Cyber Kill Chain.pptx
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
 
Cis controls v8_guide (1)
Cis controls v8_guide (1)Cis controls v8_guide (1)
Cis controls v8_guide (1)
 
CISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical securityCISSP - Chapter 3 - Physical security
CISSP - Chapter 3 - Physical security
 

Destacado

Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
Secpro - Security Professionals
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
Secpro - Security Professionals
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
Secpro - Security Professionals
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
Secpro - Security Professionals
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
Secpro - Security Professionals
 
Mes da biblia livro de jonas
Mes da biblia livro de jonasMes da biblia livro de jonas
Mes da biblia livro de jonas
Pe. David Pereira de Jesus
 
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
Igor Golovin
 
Cinetransformer - Brochure ENG 2016
Cinetransformer - Brochure ENG 2016Cinetransformer - Brochure ENG 2016
Cinetransformer - Brochure ENG 2016
Cinetransformer
 
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
Ayuntamiento de Málaga
 
La constituyente economica
La constituyente economicaLa constituyente economica
La constituyente economica
Producciones IDENTIDAD CERO
 
Thoughts
ThoughtsThoughts
Thoughts
William Lewis
 
Convenioanti t-rex-p-p-2016 - recargado
Convenioanti t-rex-p-p-2016 - recargadoConvenioanti t-rex-p-p-2016 - recargado
Convenioanti t-rex-p-p-2016 - recargado
Producciones IDENTIDAD CERO
 
Why is clogging an issue in aeroponics?
Why is clogging an issue in aeroponics?Why is clogging an issue in aeroponics?
Why is clogging an issue in aeroponics?
Upstart University
 
Distrifood Interview - Enorme kans voor supers in vers-bewerkt
Distrifood Interview - Enorme kans voor supers in vers-bewerktDistrifood Interview - Enorme kans voor supers in vers-bewerkt
Distrifood Interview - Enorme kans voor supers in vers-bewerkt
Wouter de Heij
 
Waarom RFEM de optimale rekensoftware is voor uw ingenieurs
Waarom RFEM de optimale rekensoftware is voor uw ingenieursWaarom RFEM de optimale rekensoftware is voor uw ingenieurs
Waarom RFEM de optimale rekensoftware is voor uw ingenieurs
Jo Gijbels
 
3 Simple Steps To Master Your Local Marketing
3 Simple Steps To Master Your Local Marketing 3 Simple Steps To Master Your Local Marketing
3 Simple Steps To Master Your Local Marketing
Cassie Hicks SocialMedia/Digital Marketing Strategist
 
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
Anthony DellaPelle, Esq., CRE
 
18 Travel Goals Everyone Should Have
18 Travel Goals Everyone Should Have18 Travel Goals Everyone Should Have
18 Travel Goals Everyone Should Have
ImOnHolidays
 
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
Mariano Larrazabal. Marketing Agropecuario. Agromarketing
 

Destacado (20)

Peligros del mundo virtual
Peligros del mundo virtualPeligros del mundo virtual
Peligros del mundo virtual
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
Nuevas modalidades de fraude atm
Nuevas modalidades de fraude atmNuevas modalidades de fraude atm
Nuevas modalidades de fraude atm
 
Charla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsxCharla control parental e IoT v2. Etek.ppsx
Charla control parental e IoT v2. Etek.ppsx
 
Mac
MacMac
Mac
 
Mes da biblia livro de jonas
Mes da biblia livro de jonasMes da biblia livro de jonas
Mes da biblia livro de jonas
 
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
1.4.1 Интервью с продукт-менеджером компании ДКС Антоном Дьяконовым
 
Cinetransformer - Brochure ENG 2016
Cinetransformer - Brochure ENG 2016Cinetransformer - Brochure ENG 2016
Cinetransformer - Brochure ENG 2016
 
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
EL AYUNTAMIENTO SE SUMA AL PARO INTERNACIONAL DE MUJERES Y A LOS 5 MINUTOS SI...
 
La constituyente economica
La constituyente economicaLa constituyente economica
La constituyente economica
 
Thoughts
ThoughtsThoughts
Thoughts
 
Convenioanti t-rex-p-p-2016 - recargado
Convenioanti t-rex-p-p-2016 - recargadoConvenioanti t-rex-p-p-2016 - recargado
Convenioanti t-rex-p-p-2016 - recargado
 
Why is clogging an issue in aeroponics?
Why is clogging an issue in aeroponics?Why is clogging an issue in aeroponics?
Why is clogging an issue in aeroponics?
 
Distrifood Interview - Enorme kans voor supers in vers-bewerkt
Distrifood Interview - Enorme kans voor supers in vers-bewerktDistrifood Interview - Enorme kans voor supers in vers-bewerkt
Distrifood Interview - Enorme kans voor supers in vers-bewerkt
 
Waarom RFEM de optimale rekensoftware is voor uw ingenieurs
Waarom RFEM de optimale rekensoftware is voor uw ingenieursWaarom RFEM de optimale rekensoftware is voor uw ingenieurs
Waarom RFEM de optimale rekensoftware is voor uw ingenieurs
 
3 Simple Steps To Master Your Local Marketing
3 Simple Steps To Master Your Local Marketing 3 Simple Steps To Master Your Local Marketing
3 Simple Steps To Master Your Local Marketing
 
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
Natural Disasters and the Law: The Aftermath of Superstorm Sandy and Its Imp...
 
18 Travel Goals Everyone Should Have
18 Travel Goals Everyone Should Have18 Travel Goals Everyone Should Have
18 Travel Goals Everyone Should Have
 
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
Hola Somos Bialar ! Expertos en Marketing Estratégico Agropecuario.
 

Similar a Tecnicas avanzadas de ocultamiento de malware

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
Luis Fernando Aguas Bucheli
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
Luis Fernando Aguas Bucheli
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
Internet Security Auditors
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
RootedCON
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
Alejandro Quesada
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
Jose Manuel Ortega Candel
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
RootedCON
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
Carlos Antonio Leal Saballos
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTING
Hacking Bolivia
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Adrian Belmonte Martín
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
Eduardo Arriols Nuñez
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
La primera pieza del ataque Footprinting
La primera pieza del ataque FootprintingLa primera pieza del ataque Footprinting
La primera pieza del ataque Footprinting
Alvaro Machaca Tola
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
Jhonny D. Maracay
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
Luis Fernando Aguas Bucheli
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
Iván Portillo
 

Similar a Tecnicas avanzadas de ocultamiento de malware (20)

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Conferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAELConferencia Ethical Hacking- UISRAEL
Conferencia Ethical Hacking- UISRAEL
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
La primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTINGLa primera pieza del ataque FOOTPRINTING
La primera pieza del ataque FOOTPRINTING
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
La primera pieza del ataque Footprinting
La primera pieza del ataque FootprintingLa primera pieza del ataque Footprinting
La primera pieza del ataque Footprinting
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
 

Más de Secpro - Security Professionals

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Secpro - Security Professionals
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
Secpro - Security Professionals
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
Secpro - Security Professionals
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
Secpro - Security Professionals
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
Secpro - Security Professionals
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Secpro - Security Professionals
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
Secpro - Security Professionals
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
Secpro - Security Professionals
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
Secpro - Security Professionals
 

Más de Secpro - Security Professionals (9)

Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publicaTecnicas de Ataque a Infraestructura Critica Maritima V. publica
Tecnicas de Ataque a Infraestructura Critica Maritima V. publica
 
Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos Impacto del cibercrimen en los sectores económicos
Impacto del cibercrimen en los sectores económicos
 
We are Digital Puppets
We are Digital PuppetsWe are Digital Puppets
We are Digital Puppets
 
Entendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus VulnerabilidadesEntendiendo IoT y sus Vulnerabilidades
Entendiendo IoT y sus Vulnerabilidades
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoS
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Machine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurityMachine learning: the next step in cybersecurity
Machine learning: the next step in cybersecurity
 
Spectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saberSpectre y Meltdown; Que debemos saber
Spectre y Meltdown; Que debemos saber
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 

Último

Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 

Último (20)

Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 

Tecnicas avanzadas de ocultamiento de malware

  • 2. David F. Pereira CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI, QGSS, ECIH, EDRP, NFS, OPSEC. • 18+ Años de experiencia en Seguridad Informática y DFIR • Hácker Etico – Pentester en diversas Entidades en el mundo, de ambitos como el Financiero, Energético, Militar, Inteligencia, Diplomatico, Minero, entre otros. • Instructor / Consultor de Fuerzas de Ciberdefensa, Fuerzas Militares y Policía, en varios Países. • CEO de SecPro
  • 3. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 4. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 5. Glosario de Malware • Stub • Subprograma que desencripta temporalmente el código viral para su carga y ejecución en RAM y posteriormente lo encripta de nuevo. • Mutex • Cadena de caracteres que permite al malware identificar una victima con diferentes objetivos: Inmunizarla, Firmarla,etc. • FUD • Fully Undetectable (Crypters) • Crypter • Aplicación que encripta el malware para dificultar la detección antiviral. • Cabby/Downloader • Programa que se descarga primero sin dispara el antivirus y luego descarga el malware. • PE • Portable Executable; formato de los Archivos EXE que determina su Func.
  • 6. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 7. • Detección de Firmas • Detección de Patrones / Cadenas • Heurística en Disco (Comportamiento) • Heurística en Memoria • Heurística en FileSystems/Archivos • Heurística en Conectividad • Sandboxing (Detección Zero Day) Técnicas de Detección de Malware
  • 8. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 9. Tipos de Análisis de Malware Análisis Estático que se realiza por medio de herramientas que “desensamblan” los componentes del malware, detectan los encabezados PE, archivos y librerias que invocan, SIN EJECUTARLO. • Extracción de Cadenas de Texto • Detección de Compresión (PE32, UPX, etc) • Información de Formato PE (Portable Ejecutable) • text: Código Ejecutable • .rdata: Datos globales de solo lectura • .data: Datos que son accedidos en la ejecución • .rsrc: Recursos Necesarios para el ejecutable • Dependencias • Vista Hexadecimal • Vista en Assembler • TimeStamps
  • 10. Tipos de de Malware Análisis Dinámico Análisis que se realiza por medio de herramientas que monitorean y controlan la operación de la máquina infectada con el fin de entender y detectar que hace el malware, una vez se ejecuta. • Registros en Procesador • Registros en la Memoria • Uso de Archivos (Lectura, Escritura, Creación) • Conectividad de Red • Cambios en el Registro (Windows (Lectura, Escritura, Creación) • Kernel
  • 11. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 12. Técnicas Avanzadas de Ocultamiento (Ofuscación) • Uso de VBE (Visual Basic Extensions) Caso: AutoIT –Banco Trj. • Uso de Powershell (Malware sin Archivos) Caso: Vawtrak • Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker • Uso de Twitter, GitHub y Esteganografia; Caso: Hammertoss • Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr • Detección de Entorno de Ejecución; Caso: Carbanak/Anunak • WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
  • 13. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 14. Scripts Ofuscados de VBE Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0 Se puede decodificar con las mismas Herramientas Microsoft: https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB- a480d74c
  • 15. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
  • 16. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0 http://5.175.145.181/ljurbg/btieste.zip
  • 17. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
  • 18. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
  • 20. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime • Análisis de Entorno • WMI
  • 21. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak El Archivo Base es: Spam de FedEx, American Airlines, o Similar con Archivo de Word. Archivo: Receipt number 4345677 MD5: 07BB7A3C3EC68A0734B67D2F9A47098E
  • 22. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak CON MACROS SIN MACROS
  • 23. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
  • 24. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
  • 25. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
  • 26. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
  • 27. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 28. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker El Archivo Base es: Spam con supuesta factura o similar Archivo: endowments.zip / scr MD5: b155a95104b42e6bd83fd741d562d2a1 Cuando el usuario ejecuta el .scr, se abre un archivo .rtf asi:
  • 29. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker Datos del usuario, Nombre de máquina y lo mas importante: Llave de Encripción VICTIMA Red de Ocultamiento Ciberdelincuente en algún lugar del mundo
  • 30. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
  • 31. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
  • 32. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
  • 33. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
  • 34. Uso de Redes de Ocultamiento I2P http://thehackerway.com/2011/11/28/preservando-el-anonimato-y-extendiendo-su-uso-conceptos-basicos-sobre-el-uso-de-i2p-parte-xxii/
  • 35. Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre https://www.bluecoat.com/sites/default/files/i2p-dyre.png
  • 36. Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre cowpuncher.drollette.com i2p-netdb.innovatio.no i2p.mooo.com ieb9oopo.mooo.com link.mx24.eu netdb.i2p2.no reseed.i2p-projekt.de ssl.webpack.de uk.reseed.i2p2.no us.reseed.i2p2.no URL I2P a las que se conecta el Dyre
  • 37. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 38. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas: Etapa 1: Comunicación con Twitter El malware busca, de acuerdo a una agenda de conexión diversas cuentas en Twitter por su url; Ej. @d4v1dp3r31r4 y le agrega la principio y al final caracteres CRC32, generando una conexión similar a: https://www.twitter.com/2bcD4v1 dp3r31r41a El Ciberdelincuente posee el mismo algoritmo para generar las cuentas. Si el HAMMERTOSS no encuentra el username: https://www.twitter.com/2bcD 4v1dp3r31r41a espera a la siguiente fecha de conexión para buscarlo y de esa forma recibir instrucciones. Utiliza Alta Latencia.
  • 39. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas: Etapa 2: Tweet de una URL El Tweet da instrucciones a la víctima para que descargue el contenido de una URL, incluyendo cualquier imagen; el hashtag le indica que el offset de los datos es 303 bytes en la imagen y que los caracteres para desencriptarla son: “test” @d4v1dp3r31r4; sigue a www.archivo1.github.com # 303test
  • 40. Etapa 3: Ir a GitHub y descargar una imagen Hammertoss utiliza el Internet Explorer Application COM para visitar la URL y descargar la imagen al cache del IExplorer Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
  • 41. Etapa 4: Esteganografia El HAMMERTOSS descarga la imagen al Cache de Iexplorer y de allí la toma para Desencriptarla basándose en la información del Hashtag previamente recibido, para obtener la instrucciones del Ciberatacante. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
  • 42. Etapa 5: Ejecución de Comandos y Exfiltración El atacante utiliza PowerShell: powershell –ExecutionPolicy bypass -WindowStyle hidden – encodedCommand para ejecutar comandos y subir la información a un Cloud y luego la descarga. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C; Caso: Hammertoss El Archivo Base es: Variante tDiscover Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de comunicación se divide en 5 etapas:
  • 43. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 44. Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr El Archivo Base es: SYADIBJUUFYK.EXE MD5: e9e90316682cca0cb2c0d7c9a846c05c Lo interesante de este malware no es su proceso de infección que es relativamente común: Crea procesos en el registro, lee algunos archivos, etc; lo interesante comienza cuando se conecta con su C&C; Utiliza Ping y Pong para saber si su C&C esta disponible……
  • 45. El Archivo Base es:: SYADIBJUUFYK.EXE Una vez detecta a su C&C al alcance, el Servidor de control le responde el tráfico escondido dentro de mensajes de Error HTTP 404: Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr Mensaje Encriptado del C&C
  • 46. El Archivo Base es:: SYADIBJUUFYK.EXE Al desencriptar el contenido del trafico, podemos ver las instrucciones: Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
  • 47. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 48. Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr Dentro de la Evolución del malware, los desarrolladores en su búsqueda de la evasión antimalware, implementan nuevas técnicas;
  • 49. Malware como el Anunak y similares, leen parámetros de ejecución y variables de entorno de la máquina a fin de detectar si están siendo ejecutados dentro de un Sandbox, Emulación o Virtualización. También Pueden usar técnicas de Runtime Control. Algunos parámetros son: • Dirección MAC de la Tarjeta de Red • de las tablas de descripción • Llaves de Registro que son únicas en Máquinas Virtuales • Búsqueda de Procesos y Servicios Específicos • Búsqueda de Herramientas como VMware Tools • Comportamiento de los Puertos de Red • Comparación de Valores almacenados Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr
  • 50. Comportamiento del W32/Foreign.LXES!tr al ser ejecutado: Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr API Invocados: • IsDebuggerPresent • CheckRemoteDebuggerPresent Strings Presentes en el API GetUserNameA: Busca estos DLL y los invoca: Valida que exista el API : • Wine_get_unix_file_name Dentro de: • Kernel32.dll https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
  • 51. Comportamiento del W32/Foreign.LXES!tr al ser ejecutado: Detección de Entorno; Caso: Carbanak – Anunak / W32/Foreign.LXES!tr Busca estas llaves de registro: https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
  • 52. Agenda • Glosario de Malware • Técnicas de Detección de Malware • Análisis Estático de Malware • Análisis Dinámico de Malware • Técnicas Avanzadas de Ocultamiento: • Extensiones VBE • Powershell • Redes TOR / I2P • Técnicas Mixtas (twitter,GitHub,etc) • 404 • Encripción / Descripción on Runtime Análisis de Entorno • WMI
  • 53. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Que es WMI – Windows management instrumentation? • El WMI es un repositorio, del cual se pueden leer parámetros de la máquina. • El WMI puede entregar información tan importante como usuarios, registro, sistema, drivers, etc. • El WMI de Microsoft es el equivalente a WBEM: Web Based Enterprise Management(java).
  • 54. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Arquitectura WMI http://blogs.technet.com/b/plataformas/archive/2009/04/12/introducci-n-a-la-soluci-n-de-problemas-de-wmi.aspx
  • 55. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A Correlación de Instancias de Clases WMI del Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
  • 56. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf Filemonitor_Consumer
  • 57. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf Filetrans_Consumer
  • 58. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf WMIScriptKids_consumer
  • 59. WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf ProbeScriptKids_Consumer
  • 60. El Futuro… Ya Está Aquí http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf • Malware de Diseño Individual • Malware Hecho a la Medida; (Spear) Tipo APT • Malware Modular • Ultra Alta Latencia (Sparse) • Explotación de Herramientas de Automatización de Usuario y de S.O.
  • 61. Preguntas? David F. Pereira Q. david.pereira@secpro.org @d4v1dp3r31r4