3. El proyecto que se va a presentar a continuación
AVISO
NO ESTÁ TERMINADO Y
ESTÁ SUJETO A
CAMBIOS Y MEJORAS
4. Whoami
Ingeniero informático
Actualmente trabajando en un equipo de respuesta a incidentes
Siempre en el lado “bueno” (defensa al poder)
Apasionado de la seguridad
Contacto
txalin@gmail.com
Twitter.com/txalin
5. Introducción
¿Cómo se te ocurren estas cosas?
No me gustan las firmas de los IDS/IPS
No me gustan las firmas de los antivirus
No me gustan las reglas de los firewalls
¡¡¡NO ME GUSTAN LAS COSAS ESTÁTICAS!!!
IDEA: ¿Y si en lugar de confiar en un producto de terceros, me genero yo
mis propios patrones?
6. Objetivos
Coste “cero” (cero pal bolsillo, pero las horas que he metido yo…)
Solución open-source a poder ser
Solución modular y personalizable
Lo mas automatizada posible (que curre la app que para algo la tengo)
Que me permita:
1. Detectar dominios y servidores maliciosos en internet en tiempo real
2. Patrones en los binarios
3. Sea fácil de administrar
4. Output user-friendly
7. Arquitectura I
Cuckoo: Utilizado para el análisis automático
Dos máquinas virtuales bajo winXPSP2
Técnicas de mitigación de antiVM en una de ellas
Yara para encontrar patrones
Kali + inetsim
Inetsim = Simulador de internet, responde a las peticiones de un host
WinXPSP2 + tools
Análisis de malware que tiene técnicas antiVM avanzadas
Combinado con inetsim para simular internet
9. Problemas encontrados
Técnicas antiVM
Los espabilados: Chequeo de GDT y LDT, chequeo de claves de registro, etc..
Los “no espabilados”: Chequeo con pafish
Comunicación del malware con hosts no maliciosos
Encontrar reglas de yara útiles ( www.yararules.com )
Comportamiento del malware ante VM
Tate quieto
Comunicación al c&c del entorno
Realiza acciones limitadas