Felipe Duarte, especialista en ciberinteligencia, presenta una charla sobre el análisis de malware y la ciber guerra, enfatizando la importancia de conocer al enemigo y a uno mismo en estrategias de defensa. Se discuten tácticas para recolectar, priorizar, analizar y automatizar la información sobre amenazas, con ejemplos como el malware Qakbot. Se plantean preguntas sobre cómo mejorar la detección y análisis de ataques informáticos.

1. Felipe Duarte
Lead CTI Specialist - Lumu Technologies
@dark0pcodes

2. Descargo de responsabilidad
Las opiniones presentadas en esta charla son de mi propiedad
y no representan a mi empleador o cualquier otra entidad
externa.

3. Acerca del autor
Apasionado por la ingeniería inversa y por
compartir conocimientos con la comunidad.

4. Análisis de Malware
¿Cuál es tu motivación?

5. El arte de la guerra
“Conoce a tu enemigo y conócete a ti
mismo, y saldrás triunfador en mil
batallas”
Sun Tzu

6. La cyber guerra

7. La cyber guerra

8. La cyber guerra

9. La cyber guerra
¿Cómo nos defendemos?

10. La cyber guerra
• Mi AV/EDR/IDS/Firewall es
el mejor.
• Si no veo el ataque es
porque no existe.
• Eliminar la amenaza es
suficiente.

11. La cyber guerra
Alan Turing y su equipo lograron romper el
esquema criptográfico de Enigma, facilitando
el acceso por parte de los aliados a
información clasificada de la Alemania Nazi.
Se estima que la contribución del equipo de
Turing, salvo entre 14 y 21 millones de
personas.

12. El enigma del Malware

13. La estrategia
Recolectar Priorizar Analizar Automatizar
Mejorar

14. La estrategia - Recolectar

15. La estrategia - Priorizar
¿Qué tanto daño me puede
ocasionar?

16. La estrategia - Priorizar

17. La estrategia - Priorizar

18. La estrategia - Analizar
¿Cómo lo desempaqueto?

19. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Cómo lo desempaqueto?

20. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Cómo lo desempaqueto?

21. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Como lo puedo detectar?
¿Cómo lo desempaqueto?

22. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Como lo puedo detectar?
¿Qué puedo automatizar?
¿Cómo lo desempaqueto?

23. La estrategia - Automatizar
Extracción de configuración

24. La estrategia - Automatizar
Emulación de red
Extracción de configuración

25. La estrategia - Mejorar
¿Debo actualizar la prioridad de un ataque?
¿Puedo reducir el tiempo de análisis de la muestra?
¿Existen bugs en mi automatización?
¿Puedo agregar más fuentes de información?

26. Ejemplo - Qakbot
unpac.me
Extractor de
configuración
Emulación de
red
Qakbot
empaquetado
Actualizaciones
C2Cs activos
Modulos
Web injects
Extractor de
configuración
Emulador de
red

27. Análisis de Malware
¿Cuál es tu motivación?

28. Análisis de Malware

29. Análisis de Malware

30. La cyber guerra
¿Ganaremos esta guerra?

31. Preguntas

32. Contacto
Felipe Duarte
Lead CTI Specialist - Lumu
Technologies
@dark0pcodes (Twitter y Github)