SlideShare una empresa de Scribd logo

Intelligent automated malware analysis

Descargar como PPTX, PDF
T
txalin

Intelligent automated malware analysis

Tecnología
1 de 11
Intelligent automated malware analysis With cuckoo & friends
Índice  Whoami  Introducción  Objetivos  Arquitectura  Demo time  Preguntas
El proyecto que se va a presentar a continuación AVISO NO ESTÁ TERMINADO Y ESTÁ SUJETO A CAMBIOS Y MEJORAS
Whoami  Ingeniero informático  Actualmente trabajando en un equipo de respuesta a incidentes  Siempre en el lado “bueno” (defensa al poder)  Apasionado de la seguridad  Contacto  txalin@gmail.com  Twitter.com/txalin
Introducción ¿Cómo se te ocurren estas cosas?  No me gustan las firmas de los IDS/IPS  No me gustan las firmas de los antivirus  No me gustan las reglas de los firewalls ¡¡¡NO ME GUSTAN LAS COSAS ESTÁTICAS!!!  IDEA: ¿Y si en lugar de confiar en un producto de terceros, me genero yo mis propios patrones?
Objetivos  Coste “cero” (cero pal bolsillo, pero las horas que he metido yo…)  Solución open-source a poder ser  Solución modular y personalizable  Lo mas automatizada posible (que curre la app que para algo la tengo)  Que me permita: 1. Detectar dominios y servidores maliciosos en internet en tiempo real 2. Patrones en los binarios 3. Sea fácil de administrar 4. Output user-friendly
Arquitectura I  Cuckoo: Utilizado para el análisis automático  Dos máquinas virtuales bajo winXPSP2  Técnicas de mitigación de antiVM en una de ellas  Yara para encontrar patrones  Kali + inetsim  Inetsim = Simulador de internet, responde a las peticiones de un host  WinXPSP2 + tools  Análisis de malware que tiene técnicas antiVM avanzadas  Combinado con inetsim para simular internet
Manual environment Automated environment Arquitectura II Cuckoo WinXP Undetectable Kali WinXP + toolsInetsim Internet WinXP Detectable
Problemas encontrados  Técnicas antiVM  Los espabilados: Chequeo de GDT y LDT, chequeo de claves de registro, etc..  Los “no espabilados”: Chequeo con pafish  Comunicación del malware con hosts no maliciosos  Encontrar reglas de yara útiles ( www.yararules.com )  Comportamiento del malware ante VM  Tate quieto  Comunicación al c&c del entorno  Realiza acciones limitadas
Demo time!!!
¿Preguntas?

Recomendados

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticarayfelinojosa
 
La caza del tesoro (merino y monte)
La caza del tesoro (merino y monte)La caza del tesoro (merino y monte)
La caza del tesoro (merino y monte)grupoticprimaria
 
Virus Informáticos
Virus InformáticosVirus Informáticos
Virus Informáticosysaojeda
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internetANITA SALGUERO
 
Yohelis
YohelisYohelis
Yohelisyohelisferrer
 
Internet
InternetInternet
InternetNatalia Cardozo
 
Repaso Word
Repaso WordRepaso Word
Repaso WordNicole Jones Romero
 
Seguridad
SeguridadSeguridad
Seguridadvalentina651
 

Recomendados

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticarayfelinojosa
 
La caza del tesoro (merino y monte)
La caza del tesoro (merino y monte)La caza del tesoro (merino y monte)
La caza del tesoro (merino y monte)grupoticprimaria
 
Virus Informáticos
Virus InformáticosVirus Informáticos
Virus Informáticosysaojeda
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internetANITA SALGUERO
 
Yohelis
YohelisYohelis
Yohelisyohelisferrer
 
Internet
InternetInternet
InternetNatalia Cardozo
 
Repaso Word
Repaso WordRepaso Word
Repaso WordNicole Jones Romero
 
Seguridad
SeguridadSeguridad
Seguridadvalentina651
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxFernandoGonzalez668747
 
Guadalajara con
Guadalajara conGuadalajara con
Guadalajara conJaime Restrepo
 
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]Websec México, S.C.
 
Troyanos
TroyanosTroyanos
TroyanosConferencias FIST
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Laura y Marcos | VIRUS
Laura y Marcos | VIRUSLaura y Marcos | VIRUS
Laura y Marcos | VIRUSlauradedios10
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Karina Avila
 
Bryan isaac suriaga
Bryan isaac suriagaBryan isaac suriaga
Bryan isaac suriagaBryan Suriaga
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoF.c. Incomprendido Anntony
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMFrancisco Javier Barrena
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Seguridad en informatica
Seguridad en informaticaSeguridad en informatica
Seguridad en informaticajaimotomagic
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]albertorubiob1d
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]b1dalbadelapena
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]b1dmanusalvatierra
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]albertorubiob1d
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Más contenido relacionado

Similar a Intelligent automated malware analysis

Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]Websec México, S.C.
 
Laura y Marcos | VIRUS
Laura y Marcos | VIRUSLaura y Marcos | VIRUS
Laura y Marcos | VIRUSlauradedios10
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Karina Avila
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoF.c. Incomprendido Anntony
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Seguridad en informatica
Seguridad en informaticaSeguridad en informatica
Seguridad en informaticajaimotomagic
 

Similar a Intelligent automated malware analysis (20)

PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptx
 
Guadalajara con
Guadalajara conGuadalajara con
Guadalajara con
 
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
 
Troyanos
TroyanosTroyanos
Troyanos
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Laura y Marcos | VIRUS
Laura y Marcos | VIRUSLaura y Marcos | VIRUS
Laura y Marcos | VIRUS
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.
 
Bryan isaac suriaga
Bryan isaac suriagaBryan isaac suriaga
Bryan isaac suriaga
 
Pautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernéticoPautas técnicas para estar protegido ante cualquier ataque cibernético
Pautas técnicas para estar protegido ante cualquier ataque cibernético
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Seguridad en informatica
Seguridad en informaticaSeguridad en informatica
Seguridad en informatica
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 
Presentaciongrupo[1]
Presentaciongrupo[1]Presentaciongrupo[1]
Presentaciongrupo[1]
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 

Último (15)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 

Intelligent automated malware analysis

  • 2. Índice  Whoami  Introducción  Objetivos  Arquitectura  Demo time  Preguntas
  • 3. El proyecto que se va a presentar a continuación AVISO NO ESTÁ TERMINADO Y ESTÁ SUJETO A CAMBIOS Y MEJORAS
  • 4. Whoami  Ingeniero informático  Actualmente trabajando en un equipo de respuesta a incidentes  Siempre en el lado “bueno” (defensa al poder)  Apasionado de la seguridad  Contacto  txalin@gmail.com  Twitter.com/txalin
  • 5. Introducción ¿Cómo se te ocurren estas cosas?  No me gustan las firmas de los IDS/IPS  No me gustan las firmas de los antivirus  No me gustan las reglas de los firewalls ¡¡¡NO ME GUSTAN LAS COSAS ESTÁTICAS!!!  IDEA: ¿Y si en lugar de confiar en un producto de terceros, me genero yo mis propios patrones?
  • 6. Objetivos  Coste “cero” (cero pal bolsillo, pero las horas que he metido yo…)  Solución open-source a poder ser  Solución modular y personalizable  Lo mas automatizada posible (que curre la app que para algo la tengo)  Que me permita: 1. Detectar dominios y servidores maliciosos en internet en tiempo real 2. Patrones en los binarios 3. Sea fácil de administrar 4. Output user-friendly
  • 7. Arquitectura I  Cuckoo: Utilizado para el análisis automático  Dos máquinas virtuales bajo winXPSP2  Técnicas de mitigación de antiVM en una de ellas  Yara para encontrar patrones  Kali + inetsim  Inetsim = Simulador de internet, responde a las peticiones de un host  WinXPSP2 + tools  Análisis de malware que tiene técnicas antiVM avanzadas  Combinado con inetsim para simular internet
  • 8. Manual environment Automated environment Arquitectura II Cuckoo WinXP Undetectable Kali WinXP + toolsInetsim Internet WinXP Detectable
  • 9. Problemas encontrados  Técnicas antiVM  Los espabilados: Chequeo de GDT y LDT, chequeo de claves de registro, etc..  Los “no espabilados”: Chequeo con pafish  Comunicación del malware con hosts no maliciosos  Encontrar reglas de yara útiles ( www.yararules.com )  Comportamiento del malware ante VM  Tate quieto  Comunicación al c&c del entorno  Realiza acciones limitadas