- Cryptography and Security
- Methods of Encryption and Decryption
- What is an Algorithm?
- Symmetric Algorithm
- Asymmetric Algorithm
- Hybrid Encryption
- Hashing Algorithm
- Securing the Algorithm or the Key
- Hash Value and Rainbow Table
- Digital Signature
- PKI
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Here is your guide on how to progress through the cyber security career ladder. This resource shows you all the different cyber security roles and the qualifications needed for each!
How to prepare for the CISSP Exam. A presentation created by the (ISC)2 Hellenic Chapter to assist and instruct those in Greece interested in pursuing the CISSP Certification.
The (ISC)2 Hellenic Chapter Team
Hardware Security Modules (HSMs) are widely use for cryptography key management in many areas such as PKI, card payment, trusted platform modules, etc. However they are rarely used in in-house software development.
This presentation will explain about why we need the key management and its fundamental, overview of HSM and how it take parts in key management, HSM selection criterias, and finally, an idea to make a web service wrapper easier to adopt by developers those lack of knowledge in cryptography programming.
- Cryptography and Security
- Methods of Encryption and Decryption
- What is an Algorithm?
- Symmetric Algorithm
- Asymmetric Algorithm
- Hybrid Encryption
- Hashing Algorithm
- Securing the Algorithm or the Key
- Hash Value and Rainbow Table
- Digital Signature
- PKI
OSINT y hacking con buscadores #PalabradehackerYolanda Corral
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para descubrir qué es OSINT o la inteligencia de fuentes abiertas, cuál es el proceso de búsqueda y análisis de información así como las herramientas para llevarlo a cabo haciendo especial hincapié en el hacking con buscadores y las técnicas que se aplican. Más información: http://www.yolandacorral.com/osint-hacking-buscadores-ciberdebate-palabra-hacker
Moderado por la periodista Yolanda Corral y que contó con la participación de los especialistas en seguridad Enrique Rando, Vicente Aguilera, Jhon Jairo Hernández, Miguel Cotanilla y Rafael Otal.
Here is your guide on how to progress through the cyber security career ladder. This resource shows you all the different cyber security roles and the qualifications needed for each!
How to prepare for the CISSP Exam. A presentation created by the (ISC)2 Hellenic Chapter to assist and instruct those in Greece interested in pursuing the CISSP Certification.
The (ISC)2 Hellenic Chapter Team
Hardware Security Modules (HSMs) are widely use for cryptography key management in many areas such as PKI, card payment, trusted platform modules, etc. However they are rarely used in in-house software development.
This presentation will explain about why we need the key management and its fundamental, overview of HSM and how it take parts in key management, HSM selection criterias, and finally, an idea to make a web service wrapper easier to adopt by developers those lack of knowledge in cryptography programming.
Exploiting parameter tempering attack in web applicationVishal Kumar
Web Parameter Tampering attack involve the manipulation of parameter exchanged between a client and a server to modify application data such as user credentials and permissions, prices, and product quantities.
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...MITRE ATT&CK
From ATT&CKcon 3.0
By Jason Wood and Justin Swisher, CrowdStrike
When it comes to understanding and tracking intrusion tradecraft, security teams must have the tools and processes that allow the mapping of hands-on adversary tradecraft. Doing this enables your team to both understand the adversaries and attacks you currently see and observe how these adversaries and attacks evolve over time. This session will explore how a threat hunting team uses MITRE ATT&CK to understand and categorize adversary activity. The team will demonstrate how threat hunters map ATT&CK TTPs by showcasing a recent interactive intrusion against a Linux endpoint and how the framework allowed for granular tracking of tradecraft and enhanced security operations. They will also take a look into the changes in the Linux activity they have observed over time, using the ATT&CK navigator to compare and contrast technique usage. This session will provide insights into how we use MITRE ATT&CK as a powerful resource to track intrusion tradecraft, identify adversary trends, and prepare for attacks of the future.
( ** Cyber Security Training: https://www.edureka.co/cybersecurity-certification-training ** )
This Edureka PPT on "Penetration Testing" will help you understand all about penetration testing, its methodologies, and tools. Below is the list of topics covered in this session:
What is Penetration Testing?
Phases of Penetration Testing
Penetration Testing Types
Penetration Testing Tools
How to perform Penetration Testing on Kali Linux?
Cyber Security Playlist: https://bit.ly/2N2jlNN
Cyber Security Blog Series: https://bit.ly/2AuULkP
Instagram: https://www.instagram.com/edureka_lea...
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Cryptography is both an art and a science – the use of deception and mathematics, to hide, transmit, and receive data. This short course covers Cryptography as it relates to the CISSP certification. The full video course is located here: http://resources.infosecinstitute.com/cryptography-CISSP-use-of-cryptography
Exploiting parameter tempering attack in web applicationVishal Kumar
Web Parameter Tampering attack involve the manipulation of parameter exchanged between a client and a server to modify application data such as user credentials and permissions, prices, and product quantities.
Mapping to MITRE ATT&CK: Enhancing Operations Through the Tracking of Interac...MITRE ATT&CK
From ATT&CKcon 3.0
By Jason Wood and Justin Swisher, CrowdStrike
When it comes to understanding and tracking intrusion tradecraft, security teams must have the tools and processes that allow the mapping of hands-on adversary tradecraft. Doing this enables your team to both understand the adversaries and attacks you currently see and observe how these adversaries and attacks evolve over time. This session will explore how a threat hunting team uses MITRE ATT&CK to understand and categorize adversary activity. The team will demonstrate how threat hunters map ATT&CK TTPs by showcasing a recent interactive intrusion against a Linux endpoint and how the framework allowed for granular tracking of tradecraft and enhanced security operations. They will also take a look into the changes in the Linux activity they have observed over time, using the ATT&CK navigator to compare and contrast technique usage. This session will provide insights into how we use MITRE ATT&CK as a powerful resource to track intrusion tradecraft, identify adversary trends, and prepare for attacks of the future.
( ** Cyber Security Training: https://www.edureka.co/cybersecurity-certification-training ** )
This Edureka PPT on "Penetration Testing" will help you understand all about penetration testing, its methodologies, and tools. Below is the list of topics covered in this session:
What is Penetration Testing?
Phases of Penetration Testing
Penetration Testing Types
Penetration Testing Tools
How to perform Penetration Testing on Kali Linux?
Cyber Security Playlist: https://bit.ly/2N2jlNN
Cyber Security Blog Series: https://bit.ly/2AuULkP
Instagram: https://www.instagram.com/edureka_lea...
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Cryptography is both an art and a science – the use of deception and mathematics, to hide, transmit, and receive data. This short course covers Cryptography as it relates to the CISSP certification. The full video course is located here: http://resources.infosecinstitute.com/cryptography-CISSP-use-of-cryptography
Material Preparado Pela CNBB Nacional, de MoDo especial Pela Equipe de Animação Bíblico - catequética .
Estou salvando Aqui com o intuito de ajudar nd Divulgação.
With over 20 years of success, Cinetransformer is a unique, world-class experiential mobile events & marketing company and a designer/manufacturer of specialty and custom vehicles.
Cinetransformer creates and operates mobile events of virtually any kind, engaging the senses like no other marketing medium can. The result? Powerful emotional connections and memorable experiences that generate audience excitement and buzz!.
Es de vital importancia para la protección y la integración Mundial contra el
Nuevo Orden Mundial, El “CODEX ALIMENTARIUS!” y demás agendas luciferinas para el resto del mundo y los países en vías de desarrollo!!!....
Learn more in Upstart University course "Choosing Your Production Method" >> (http://bit.ly/2croGyL)
Aeroponics is an exciting plant production technique growing in popularity. However, it does have some less than favorable elements. Find out why clogging is such an issue in aeroponics, how it impacts labor, and how to find more information in this presentation.
Distrifood Interview - Enorme kans voor supers in vers-bewerktWouter de Heij
Meer over de toekomst van de supermarkt:
- http://wdeheij.blogspot.nl/2013/03/the-future-of-supermarkets-niks-geen.html
En waarom nieuwe conserveertechnologie het verschil gaat maken:
http://wdeheij.blogspot.nl/2013/03/houdbaarheid-en-mild-conserveren-een.html?q=supermarkt en dus chemie geen toekomst heeft:
http://www.foodlog.nl/artikel/chemische-conseveringsmiddelen/
Waarom RFEM de optimale rekensoftware is voor uw ingenieursJo Gijbels
De rekensoftware RFEM is t.o.v. andere rekensoftware:
1 Gebruiksvriendelijker
2 Produceert sneller resultaten
3 Maakt sneller een rapport van de berekening
4 Gemaakt met Duitse topkwaliteit en wereldwijd gebruikt
5 Lagere onderhoudskosten door vele licenties
6 Ondersteuning via Webinars, Social Media, Blogs
7 Heeft vele extra mogelijkheden t.o.v. andere rekensoftware
Life is long, and so is our travel bucket list. We've got plenty of destinations on our agenda, but in addition to the "wheres," there are many activities we hope to take part in when we travel. Read on for 18 travel goals we think everyone should have on their list, from wandering through ancient ruins to speaking a foreign language.
Somos Expertos en Marketing Estratégico Agropecuario.Nos importan las personas. Tenemos grandes ideas. Todos somos parte de un equipo, encargado de encontrar la solución adecuada para nuestros clientes. No vivimos detrás de un título. No vivimos detrás de una descripción de trabajo. Compartimos una visión. Mostramos el camino. Superamos las barreras. Encontramos las respuestas. Entre sonidos y ruidos, creamos una sola voz.
Somos una suma de talentos y actitudes profesionales potenciados por claves de negocios adquiridas, transformadas en experiencias, habilidades e inteligencia estratégica, con el objetivo de impulsar el crecimiento mirando siempre a los ojos.
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
Taller impartido en las Jornadas STIC XV del CCN-CERT (2021) junto a Wiktor Nykiel.
Taller enfocado en la capacitación de técnicas de cibervigilancia a través de diferentes escenarios y casos prácticos para la detección de amenazas utilizando las fuentes abiertas. El objetivo principal del taller es mostrar una metodología de investigación guiada de un caso real y un entorno de entrenamiento con diferentes escenarios para mejorar las capacidades y procedimientos utilizados para la identificación de amenazas de manera proactiva.
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
Esta presentación hace un repaso sobre la seguridad en plataformas android, donde se profundiza en aspectos como: análisis estático de aplicaciones, análisis dinámico, análisis forense, detección de malware, descubrimiento de vulnerabilidades 0-day y desmantelamiento de centros de control de botnets.
Seguridad actual
•
Que es un hacker?
•
La importancia de nuestros datos
•
OSINT
•
Fases de hacking
•
Ataques
•
Controla tu exposición digital
•
Como convertirse en un profesional de la seguridad
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Adrian Belmonte Martín
Presentacion del Proyecto Fin de Carrera Adrián Belmonte Martín: Botnets: Análisis de estructura y funcionamiento de las redes de ordenadores comprometidos (Mar 2007)
El curso tendrá por objetivo introducir a los asistentes en las pruebas que deben realizarse para detectar, explotar y corregir vulnerabilidades en aplicaciones web. Los principales temas que serán los siguientes:
- Introducción y uso de herramientas (Mantra & BurpSuite)
- Enumeración y análisis de aplicaciones web
- Detección y explotación de vulnerabilidades comunes
- SQL Injection
- Cross-Site Scripting (XSS)
- RFI / LFI
- Credenciales por defecto
- Enumeración de usuarios
- Uso de fuerza bruta
- Otras vulnerabilidades…
- Post-Explotación y acceso al sistema
- Principios para la fortificación de aplicaciones web
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
Ponencia impartida en Cybersecurity Day por Iván Portillo y Wiktor Nykiel bajo el título "Threat Intelligence en el ámbito de la ciberinteligencia y de la informática forense".
Ponencia técnica donde explicamos cómo la ciberinteligencia y el forense pueden estar relacionados por medio de la inteligencia de amenazas a través de casos prácticos.
Similar a Tecnicas avanzadas de ocultamiento de malware (20)
En esta Conferencia explico las técnicas mas utilizadas de ataque a Barcos e Infraestructura; En la conferencia en vivo realicé muchas demostraciones que por motivos de seguridad no se colocan en estas diapositivas.
Slides de mi Conferencia: We Are Digital Puppets Actualizada (Inglés) que dicté en San Francisco CA. Hablo sobre el Tracking y el profiling de personas.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
2. David F. Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC.
• 18+ Años de experiencia en Seguridad
Informática y DFIR
• Hácker Etico – Pentester en diversas Entidades
en el mundo, de ambitos como el Financiero,
Energético, Militar, Inteligencia, Diplomatico,
Minero, entre otros.
• Instructor / Consultor de Fuerzas de
Ciberdefensa, Fuerzas Militares y Policía, en
varios Países.
• CEO de SecPro
3. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
4. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
5. Glosario de Malware
• Stub
• Subprograma que desencripta temporalmente el código viral para su
carga y ejecución en RAM y posteriormente lo encripta de nuevo.
• Mutex
• Cadena de caracteres que permite al malware identificar una victima con
diferentes objetivos: Inmunizarla, Firmarla,etc.
• FUD
• Fully Undetectable (Crypters)
• Crypter
• Aplicación que encripta el malware para dificultar la detección antiviral.
• Cabby/Downloader
• Programa que se descarga primero sin dispara el antivirus y luego
descarga el malware.
• PE
• Portable Executable; formato de los Archivos EXE que determina su Func.
6. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
7. • Detección de Firmas
• Detección de Patrones / Cadenas
• Heurística en Disco (Comportamiento)
• Heurística en Memoria
• Heurística en FileSystems/Archivos
• Heurística en Conectividad
• Sandboxing (Detección Zero Day)
Técnicas de Detección de Malware
8. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
9. Tipos de Análisis de Malware
Análisis Estático
que se realiza por medio de herramientas que
“desensamblan” los componentes del malware, detectan
los encabezados PE, archivos y librerias que invocan, SIN
EJECUTARLO.
• Extracción de Cadenas de Texto
• Detección de Compresión (PE32, UPX, etc)
• Información de Formato PE (Portable Ejecutable)
• text: Código Ejecutable
• .rdata: Datos globales de solo lectura
• .data: Datos que son accedidos en la
ejecución
• .rsrc: Recursos Necesarios para el
ejecutable
• Dependencias
• Vista Hexadecimal
• Vista en Assembler
• TimeStamps
10. Tipos de de Malware
Análisis Dinámico
Análisis que se realiza por medio de herramientas que
monitorean y controlan la operación de la máquina
infectada con el fin de entender y detectar que hace el
malware, una vez se ejecuta.
• Registros en Procesador
• Registros en la Memoria
• Uso de Archivos (Lectura, Escritura, Creación)
• Conectividad de Red
• Cambios en el Registro (Windows (Lectura,
Escritura, Creación)
• Kernel
11. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
12. Técnicas Avanzadas de Ocultamiento
(Ofuscación)
• Uso de VBE (Visual Basic Extensions) Caso: AutoIT –Banco Trj.
• Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
• Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
• Uso de Twitter, GitHub y Esteganografia; Caso: Hammertoss
• Uso del 404 para ocultar tráfico; Caso: W32/Foreign.LXES!tr
• Detección de Entorno de Ejecución; Caso: Carbanak/Anunak
• WMI (Windows Manage. Instrument.); Caso: Troj_Wmighost.A
13. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
14. Scripts Ofuscados de VBE
Caso: AutoIT Banco Trojan
El Archivo Base es: Contrato Assinar.VBE
MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
Se puede decodificar con las mismas Herramientas Microsoft:
https://gallery.technet.microsoft.com/Encode-and-Decode-a-VB-
a480d74c
15. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan
El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
16. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan
El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
http://5.175.145.181/ljurbg/btieste.zip
17. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan
El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
18. Scripts Ofuscados de VBE; Caso: AutoIT Banco Trojan
El Archivo Base es: Contrato Assinar.VBE - MD5: 4bb9a041ab9cdd8398f95c0dd8a364b0
20. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
• Análisis de Entorno
• WMI
21. Uso de Powershell (Malware sin Archivos)
Caso: Vawtrak
El Archivo Base es: Spam de FedEx, American Airlines,
o Similar con Archivo de Word.
Archivo: Receipt number 4345677
MD5: 07BB7A3C3EC68A0734B67D2F9A47098E
22. Uso de Powershell (Malware sin Archivos) Caso: Vawtrak
CON MACROS
SIN MACROS
27. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
28. Uso de Redes de Ocultamiento (TOR / I2P)
Caso: CTB Locker
El Archivo Base es: Spam con supuesta factura o similar
Archivo: endowments.zip / scr
MD5: b155a95104b42e6bd83fd741d562d2a1
Cuando el usuario ejecuta el .scr, se abre un archivo .rtf asi:
29. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
Datos del usuario, Nombre de máquina y lo
mas importante: Llave de Encripción
VICTIMA Red de
Ocultamiento
Ciberdelincuente en
algún lugar del mundo
30. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
31. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
32. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
33. Uso de Redes de Ocultamiento (TOR / I2P) Caso: CTB Locker
34. Uso de Redes de Ocultamiento I2P
http://thehackerway.com/2011/11/28/preservando-el-anonimato-y-extendiendo-su-uso-conceptos-basicos-sobre-el-uso-de-i2p-parte-xxii/
35. Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre
https://www.bluecoat.com/sites/default/files/i2p-dyre.png
36. Uso de Redes de Ocultamiento (TOR / I2P) Caso: Dyre
cowpuncher.drollette.com
i2p-netdb.innovatio.no
i2p.mooo.com
ieb9oopo.mooo.com
link.mx24.eu
netdb.i2p2.no
reseed.i2p-projekt.de
ssl.webpack.de
uk.reseed.i2p2.no
us.reseed.i2p2.no
URL I2P a las que se conecta el Dyre
37. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
38. Uso de Twitter, GitHub y Esteganografia para recibir
Instrucciones del C2 o C&C; Caso: Hammertoss
El Archivo Base es: Variante tDiscover
Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su
función de comunicación se divide en 5 etapas:
Etapa 1: Comunicación con Twitter
El malware busca, de acuerdo a
una agenda de conexión diversas
cuentas en Twitter por su url; Ej.
@d4v1dp3r31r4 y le agrega la
principio y al final caracteres
CRC32, generando una conexión
similar a:
https://www.twitter.com/2bcD4v1
dp3r31r41a
El Ciberdelincuente posee el
mismo algoritmo para generar las
cuentas.
Si el HAMMERTOSS no
encuentra el username:
https://www.twitter.com/2bcD
4v1dp3r31r41a espera a la
siguiente fecha de conexión
para buscarlo y de esa forma
recibir instrucciones.
Utiliza Alta Latencia.
39. Uso de Twitter, GitHub y Esteganografia para recibir Instrucciones del C2 o C&C;
Caso: Hammertoss
El Archivo Base es: Variante tDiscover
Es un tipo de APT creada por el grupo de Hackers Rusos “APT29”; su función de
comunicación se divide en 5 etapas:
Etapa 2: Tweet de una URL
El Tweet da instrucciones a la víctima para
que descargue el contenido de una URL,
incluyendo cualquier imagen; el hashtag le
indica que el offset de los datos es 303 bytes
en la imagen y que los caracteres para
desencriptarla son: “test”
@d4v1dp3r31r4; sigue a
www.archivo1.github.com # 303test
43. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
44. Uso del 404 para ocultar tráfico;
Caso: W32/Foreign.LXES!tr
El Archivo Base es: SYADIBJUUFYK.EXE
MD5: e9e90316682cca0cb2c0d7c9a846c05c
Lo interesante de este malware no es su proceso de infección que
es relativamente común: Crea procesos en el registro, lee algunos
archivos, etc; lo interesante comienza cuando se conecta con su
C&C; Utiliza Ping y Pong para saber si su C&C esta disponible……
45. El Archivo Base es:: SYADIBJUUFYK.EXE
Una vez detecta a su C&C al alcance, el Servidor de control le responde el tráfico
escondido dentro de mensajes de Error HTTP 404:
Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
Mensaje Encriptado del C&C
46. El Archivo Base es:: SYADIBJUUFYK.EXE
Al desencriptar el contenido del trafico, podemos ver las instrucciones:
Uso del 404 para ocultar tráfico;Caso: W32/Foreign.LXES!tr
47. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
48. Detección de Entorno; Caso: Carbanak –
Anunak / W32/Foreign.LXES!tr
Dentro de la Evolución del malware, los desarrolladores en su
búsqueda de la evasión antimalware, implementan nuevas
técnicas;
50. Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:
Detección de Entorno; Caso: Carbanak – Anunak /
W32/Foreign.LXES!tr
API Invocados:
• IsDebuggerPresent
• CheckRemoteDebuggerPresent
Strings Presentes en el API GetUserNameA: Busca estos DLL y los invoca:
Valida que exista el API :
• Wine_get_unix_file_name
Dentro de:
• Kernel32.dll
https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
51. Comportamiento del W32/Foreign.LXES!tr al ser ejecutado:
Detección de Entorno; Caso: Carbanak – Anunak /
W32/Foreign.LXES!tr
Busca estas llaves de registro:
https://blog.fortinet.com/post/hiding-malicious-traffic-under-the-http-404-error
52. Agenda
• Glosario de Malware
• Técnicas de Detección de Malware
• Análisis Estático de Malware
• Análisis Dinámico de Malware
• Técnicas Avanzadas de Ocultamiento:
• Extensiones VBE
• Powershell
• Redes TOR / I2P
• Técnicas Mixtas (twitter,GitHub,etc)
• 404
• Encripción / Descripción on Runtime
Análisis de Entorno
• WMI
53. WMI (Windows Manage. Instrument.); Caso:
Troj_Wmighost.A
Que es WMI – Windows management
instrumentation?
• El WMI es un repositorio, del cual se pueden
leer parámetros de la máquina.
• El WMI puede entregar información tan
importante como usuarios, registro, sistema,
drivers, etc.
• El WMI de Microsoft es el equivalente a WBEM:
Web Based Enterprise Management(java).
60. El Futuro… Ya Está Aquí
http://la.trendmicro.com/media/misc/understanding-wmi-malware-research-paper-en.pdf
• Malware de Diseño Individual
• Malware Hecho a la Medida; (Spear)
Tipo APT
• Malware Modular
• Ultra Alta Latencia (Sparse)
• Explotación de Herramientas de
Automatización de Usuario y de S.O.