Edgar Felipe Duarte Porras nos compartió en el #DragonJARCON 2020 una charla titulada "El verdadero poder de la Ingeniería Social" cuya descripción es: "Hay varias razones que hacen que esta amenaza tenga éxito, que incluyen, entre otras: Crear un archivo malicioso NO es ciencia espacial, puede encontrar código abierto o código filtrado en Github e incluso tutoriales en Youtube. Viene en diferentes sabores según sus necesidades, desde registradores de pulsaciones de teclas muy simples, RAT, ransomware hasta botnets altamente modulares que se pueden actualizar sobre la marcha. Si no desea ocuparse de cuestiones técnicas, incluso puede comprar malware como servicio (y viene con soporte 24/7). Desde una perspectiva técnica, comprender lo que hace un malware en una máquina no es tan simple como comprender un phishing. Requiere equipo y habilidades especializadas y, a pesar de tenerlas, puede ser un proceso lento y doloroso porque los estafadores siempre intentarán ocultar sus creaciones. Aunque esto suene aterrador, hay dos detalles importantes que nos aportarán una ventaja en esta ciberguerra, si sabemos cómo explotarlos. Cada vez que un atacante le envía una muestra maliciosa, le proporciona una representación de bajo nivel del código fuente real. Sí, esta no es una representación trivial que se entenderá en 10 minutos, pero si tiene las herramientas y habilidades adecuadas, obtendrá sus secretos. Los humanos somos animales de costumbres. En otras palabras, normalmente intentamos seguir haciendo lo mismo una y otra vez hasta que detectemos una necesidad real de cambio. Lo que esto significa básicamente en un contexto de malware es: \ "Los estafadores seguirán usando el mismo ataque contra usted hasta que descubran que ya no funciona \". Entonces, únase a estas ideas anteriores y pregúntese, ¿qué pasa si revierto uno de los ejemplos? que los estafadores me envían casi todos los días y construyen una automatización que buscará muestras, las procesará y extraerá de ellas la información que considero relevante para alimentar mi Threat Intelligence? Bueno, esa es la idea de esta charla, aprenderá cómo con algunas habilidades y herramientas de código abierto puede construir su propia Inteligencia de Amenazas además de los ataques reales que está detectando a diario. Si te ha gustado dale "Me Gusta" y Suscríbete (http://bit.ly/DragonJARtv) que ayuda mucho! Más de DragonJAR.tv : ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

1. Felipe Duarte
Lead CTI Specialist - Lumu Technologies
@dark0pcodes

2. Descargo de responsabilidad
Las opiniones presentadas en esta charla son de mi propiedad
y no representan a mi empleador o cualquier otra entidad
externa.

3. Acerca del autor
Apasionado por la ingeniería inversa y por
compartir conocimientos con la comunidad.

4. Análisis de Malware
¿Cuál es tu motivación?

5. El arte de la guerra
“Conoce a tu enemigo y conócete a ti
mismo, y saldrás triunfador en mil
batallas”
Sun Tzu

6. La cyber guerra

7. La cyber guerra

8. La cyber guerra

9. La cyber guerra
¿Cómo nos defendemos?

10. La cyber guerra
• Mi AV/EDR/IDS/Firewall es
el mejor.
• Si no veo el ataque es
porque no existe.
• Eliminar la amenaza es
suficiente.

11. La cyber guerra
Alan Turing y su equipo lograron romper el
esquema criptográfico de Enigma, facilitando
el acceso por parte de los aliados a
información clasificada de la Alemania Nazi.
Se estima que la contribución del equipo de
Turing, salvo entre 14 y 21 millones de
personas.

12. El enigma del Malware

13. La estrategia
Recolectar Priorizar Analizar Automatizar
Mejorar

14. La estrategia - Recolectar

15. La estrategia - Priorizar
¿Qué tanto daño me puede
ocasionar?

16. La estrategia - Priorizar

17. La estrategia - Priorizar

18. La estrategia - Analizar
¿Cómo lo desempaqueto?

19. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Cómo lo desempaqueto?

20. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Cómo lo desempaqueto?

21. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Como lo puedo detectar?
¿Cómo lo desempaqueto?

22. La estrategia - Analizar
¿Qué es lo más interesante del ataque?
¿Qué algoritmos usa?
¿Como lo puedo detectar?
¿Qué puedo automatizar?
¿Cómo lo desempaqueto?

23. La estrategia - Automatizar
Extracción de configuración

24. La estrategia - Automatizar
Emulación de red
Extracción de configuración

25. La estrategia - Mejorar
¿Debo actualizar la prioridad de un ataque?
¿Puedo reducir el tiempo de análisis de la muestra?
¿Existen bugs en mi automatización?
¿Puedo agregar más fuentes de información?

26. Ejemplo - Qakbot
unpac.me
Extractor de
configuración
Emulación de
red
Qakbot
empaquetado
Actualizaciones
C2Cs activos
Modulos
Web injects
Extractor de
configuración
Emulador de
red

27. Análisis de Malware
¿Cuál es tu motivación?

28. Análisis de Malware

29. Análisis de Malware

30. La cyber guerra
¿Ganaremos esta guerra?

31. Preguntas

32. Contacto
Felipe Duarte
Lead CTI Specialist - Lumu
Technologies
@dark0pcodes (Twitter y Github)