En esta plática se explicará como montar un laboratorio de análisis de malware. Incluyendo todo el proceso, desde la captura hasta el análisis.
Se capturará el malware “in the wild” utilizando Dionaea, posteriormente se mostrará el proceso para analizar dinamicamente el malware utilizando Cuckoo Sandbox en una “Internet controlada”.
No pertenezco a ninguna casa antivirus, así que los reportes se quedan en privado para cuestiones académicas. Y cuando el virus lo amerita, pues le hacemos algo de “reversing” para conocer más sobre él.
La idea es integrar las herramientas para generar análisis semi-automáticos de los virus que caen en el sensor.
Se publicará la nueva versión de la herramienta Arania. Arania nos sirve para detectar ataques de RFI (Remote File Inclusion) buscando en los logs del servidor, en este caso si descarga la herramienta y busca una “segunda inclusión”, para obtener el código completo.
GUADALAJARACON 2012
http://www.guadalajaracon.org
Guadalajara, Jalisco, México - 20 y 21 de abril del 2012
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Laboratorio de Análisis de Malware [GuadalajaraCON 2012]
1. Laboratorio de Análisis de Malware
@hugo_glez
This work is licensed under the Creative Commons
Attribution-NonCommercial-ShareAlike 3.0 Unported License.
To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
3. ● No hago análisis de malware por motivos
económicos/profesionales, tiene que ver más
con investigación y cuestiones académicas.
● El público objetivo es básico a intermedio,
habrá sesiones de análisis avanzado.
5. Mi punto es:
● Conocer sobre el malware y su
comportamiento.
● Ayudar en la automatización del análisis de
malware.
● Contribuir a la seguridad en Internet.
● Resolver problemas del estado de la práctica y
del estado del arte. (cripto)
6. Mi punto es:
● Conocer sobre el malware y su
comportamiento.
● Ayudar en la automatización del análisis de
malware.
● Contribuir a la seguridad en Internet.
● Resolver problemas del estado de la práctica y
del estado del arte. (cripto)
● ¡Conseguir trabajo en un laboratorio de
antivirus!
7. Laboratorio
● El laboratorio es un lugar dotado de los medios
necesarios para realizar investigaciones,
experimentos, prácticas y trabajos de carácter
científico, tecnológico o técnico; está equipado con
instrumentos de medida o equipos con que se realizan
experimentos, investigaciones o prácticas diversas,
según la rama de la ciencia a la que se dedique.
– Se puede asegurar que no se producen influencias extrañas
(a las conocidas o previstas) que alteren el resultado del
experimento o medición: control.
– Se garantiza que el experimento o medición es repetible, es
decir, cualquier otro laboratorio podría repetir el proceso y
obtener el mismo resultado: normalización.
● http://es.wikipedia.org/wiki/Laboratorio
21. Arquitectura genérica
Captura: Análisis: Resultados:
Nepenthes Estático Más análisis
Strings
Dionaea Decompilar Reporte
Desensamblar
Spampot Clasificación
Dinámico
ContagioDUMP Depurar (Ollydbg, IDA) Comparación
USB en el ciber Comportamiento Método de limpieza
Ejecutarlo
Listas Máquina Virtual Firma para AV
Máquina Real
Otras fuentes. Conocimiento !!
Otros ?
27. Conclusiones
● Estudiar malware por diversión !
● Existen muchas herramientas que ayudan, pero
todavía falta mejorar la automatización, la
interacción entre ellas.
● El malware actual es ingeniería aplicada!
Criptografía, canales de comunicaciones, anti-
depuración, anti-virtualización, nuevas
protecciones.
● Wadalec, Duqu / Stuxnet.
● Android malware.