SlideShare ist ein Scribd-Unternehmen logo

¿Nadie piensa en las DLLs?

Als PPTX, PDF herunterladen
N
navajanegra
1 von 30
•Hoy en día se tiene la falsa creencia de que todas las infecciones por malware sólo se propagan a través de ficheros ejecutables y se tiende a olvidar otros posibles métodos de infección como la utilización de DLL‟s. Mediante la manipulación y modificación de éstas, usando técnicas específicas, los atacantes pueden lograr evitar las medidas de seguridad de los antivirus y conseguir la ejecución de código en el sistema. •El objetivo de esta charla es dar a conocer estas técnicas de infección y concienciar acerca de que no sólo con ejecutables se puede infectar un equipo.
¿Nadie piensa en las DLL? Adrián Pulido Aka: WiNSoCk @winsock
Gracias • A toda la organización: • La gente de ITPro.es, Hackplayers y CracksLatinos • En especial a estos dos grandes: @_Angelucho_ @1GbDeInfo
¿Qué ocurre con las librerías? • ¡Nadie piensa en las librerías! • No se entiende qué hacen las librerías • Los antivirus les prestan menos atención • Se cree que sólo nos pueden infectar con un „*.EXE‟
Estadística VirusTotal • ¿En serio 500.000 fotografías?
Detectando el virus
¿Qué es una DLL? • Un contenedor de código y datos. • Pueden ser utilizados por uno o más programas al mismo tiempo. • Permite realizar aplicaciones modulares, segmentando el código en funciones que serán incluidas en la librería o DLL
En el mundo real
0Day Visual Basic 6.0 Y no muestro el MS11-067 de casualidad :P
Búsqueda de 0days • Aplicaciones que aceptan pluggins • Que los cargan en el inicio • Que permiten ser compartidos • Y una vez localizados AVISAR A LA COMUNIDAD! • PD: Si alguno cobra una pasta por un 0day: Winsock@miequipoestaloco.com (Tengo paypal, bitcoins… vamos a medias)
¿Cómo funciona generalmente un ejecutable?
Formas de cargar una libería I • Carga estática: • Carga dinámica: a petición
Formas de cargar una libería II • Desde otro proceso • Desde otra librería • Desde el sistema operativo o o Driver Applnit_DLLs • Buscando como implementar una nueva función o o Plug-in Addons
Diferencias entre las cargas Carga estática: • Permite modificar el código ANTES de ser ejecutado • NO permite el uso de hilos Carga dinámica: • Permite utilizar hilos • Si no carga/existe no falla la aplicación • Se puede camuflar mucho mejor • No sale en un análisis de librerías (estático) • Se puede retrasar la carga
Y una vez cargada…
Demo: No todo tiene que ser .DLL
Quiero a todos más ilusionados que el niño del anuncio
• Funcionamiento normal • Funcionamiento modificado
Inicialización (Precarga)
Demo: Precarga DLL • No existe función • Es ejecutado 2 veces • Es llamado antes que el ejecutable • No acepta hilos*
Demo: Windows 7
Proceso ninja
Libertad de programación • Se puede utilizar un lenguaje de alto nivel • Libertad para programar cualquier cosa • Acceso a toda la memoria del proceso • Captura de credenciales • Posterior envío (HTTP,FTP,…)
Detección de Antivirus I • No se analiza la memoria (si ya está en memoria) • No se analiza si el binario está roto • No detecta si no hace nada maligno • No lo detecta si no hay firma conocida
Detección de Antivirus II • Si estando en memoria carga una librería…
Demo: En memoria
Demo: Wireshark
¡Sorpresa!
Ventajas • Se pueden hacer librerías en lenguajes de alto nivel. • Sólo hay que modificar una librería y afecta a más programas • Modificación de firmas (AV) en caliente • Es menos conocido que los ejecutables • Se puede ocultar mucho mejor que un ejecutable To do’s • Publicar la parte más técnica en el blog: www.miequipoestaloco.com • Una librería “Maestra”, programada para descubrir fallos (0Days) • Una aplicación que busque librerías modificables
¿Y tú, ya piensas en las DLL? @winsock

Empfohlen

Virus Computacional.
Virus Computacional.Virus Computacional.
Virus Computacional.Monickeyy Roldan
 
virus informatico
virus informaticovirus informatico
virus informaticodaniel lazcano
 
Los virus info
Los virus infoLos virus info
Los virus infoFernando Gutiérrez
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirusheydyagudelo.1995
 
Virus informatico
Virus informaticoVirus informatico
Virus informaticoEduardo Morales
 
Camila benitez tic
Camila benitez ticCamila benitez tic
Camila benitez ticCamila Agustina Benitez
 
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....Luis Fernando Aguas Bucheli
 
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...Luis Fernando Aguas Bucheli
 

Empfohlen

Virus Computacional.
Virus Computacional.Virus Computacional.
Virus Computacional.Monickeyy Roldan
 
virus informatico
virus informaticovirus informatico
virus informaticodaniel lazcano
 
Los virus info
Los virus infoLos virus info
Los virus infoFernando Gutiérrez
 
Informatica antivirus
Informatica antivirusInformatica antivirus
Informatica antivirusheydyagudelo.1995
 
Virus informatico
Virus informaticoVirus informatico
Virus informaticoEduardo Morales
 
Camila benitez tic
Camila benitez ticCamila benitez tic
Camila benitez ticCamila Agustina Benitez
 
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....
3-Unidad 1: Introducción a la Plataforma .NET-1.2 Compònentes del Framework ....Luis Fernando Aguas Bucheli
 
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...
6-Unidad 1: Introducción a la Plataforma .NET-1.3 Aplicaciones en C# .NET-Des...Luis Fernando Aguas Bucheli
 
power point protección del ordenador
power point protección del ordenador power point protección del ordenador
power point protección del ordenador Manuel Morales Bustillo
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticosjuanbarragan03
 
Los virus informáticos y los antivirus
Los virus informáticos y los antivirusLos virus informáticos y los antivirus
Los virus informáticos y los antivirusJuan Alejandro Torres
 
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnologíamartinajuliamatias1
 
P10_E2alejandro poveda
P10_E2alejandro povedaP10_E2alejandro poveda
P10_E2alejandro povedaPove2001
 
Usb payload
Usb payloadUsb payload
Usb payloadjilguerillas
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosHuskeee
 
Virus imformaticos
Virus imformaticosVirus imformaticos
Virus imformaticosAshleyGrandes
 
Infecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosInfecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosRamon
 
Actividad n° 11
Actividad n° 11Actividad n° 11
Actividad n° 11Carlos Barros III
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014Instituto Juan Bosco de Huánuco
 
Virus informático
Virus informáticoVirus informático
Virus informáticojockopol
 
Edgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas OperativosEdgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas OperativosEdgarRios12
 
Software Libre
Software LibreSoftware Libre
Software Libredicons92
 
Virus computacionales INFO
Virus computacionales INFOVirus computacionales INFO
Virus computacionales INFOEnriquevlm9835
 
Seguridad informatica marlon
Seguridad informatica marlonSeguridad informatica marlon
Seguridad informatica marlonmarlonbuenohernandez
 
Antivirus
AntivirusAntivirus
Antiviruspekozita
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccionGeorgy Jose Sanchez
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Informática iii
Informática iiiInformática iii
Informática iiipedro de la palma
 
Informatica virus
Informatica virusInformatica virus
Informatica virusSebastianreyesh
 

Weitere ähnliche Inhalte

Was ist angesagt?

Los virus informáticos y los antivirus
Los virus informáticos y los antivirusLos virus informáticos y los antivirus
Los virus informáticos y los antivirusJuan Alejandro Torres
 
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnologíamartinajuliamatias1
 
P10_E2alejandro poveda
P10_E2alejandro povedaP10_E2alejandro poveda
P10_E2alejandro povedaPove2001
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticosHuskeee
 

Was ist angesagt? (8)

power point protección del ordenador
power point protección del ordenador power point protección del ordenador
power point protección del ordenador
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Los virus informáticos y los antivirus
Los virus informáticos y los antivirusLos virus informáticos y los antivirus
Los virus informáticos y los antivirus
 
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
2B Martina Righero, Julia Merlino, Matias Carletta- Tecnología
 
P10_E2alejandro poveda
P10_E2alejandro povedaP10_E2alejandro poveda
P10_E2alejandro poveda
 
Usb payload
Usb payloadUsb payload
Usb payload
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Virus imformaticos
Virus imformaticosVirus imformaticos
Virus imformaticos
 

Ähnlich wie ¿Nadie piensa en las DLLs?

Infecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosInfecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosRamon
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Virus informático
Virus informáticoVirus informático
Virus informáticojockopol
 
Edgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas OperativosEdgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas OperativosEdgarRios12
 
Software Libre
Software LibreSoftware Libre
Software Libredicons92
 
Virus computacionales INFO
Virus computacionales INFOVirus computacionales INFO
Virus computacionales INFOEnriquevlm9835
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Taller Gratuito Virtual de Introducción al Pentesting
Taller Gratuito Virtual de Introducción al PentestingTaller Gratuito Virtual de Introducción al Pentesting
Taller Gratuito Virtual de Introducción al PentestingAlonso Caballero
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Introducción a la Seguridad Informática
Introducción a la Seguridad InformáticaIntroducción a la Seguridad Informática
Introducción a la Seguridad InformáticaAmadeoHerrera
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticaVictir
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticaGarik Hakobyan
 

Ähnlich wie ¿Nadie piensa en las DLLs? (20)

Infecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otrosInfecta a tus usuarios antes de que lo hagan otros
Infecta a tus usuarios antes de que lo hagan otros
 
Actividad n° 11
Actividad n° 11Actividad n° 11
Actividad n° 11
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Ingeniería Social 2014
Ingeniería Social 2014Ingeniería Social 2014
Ingeniería Social 2014
 
Virus informático
Virus informáticoVirus informático
Virus informático
 
Edgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas OperativosEdgar Rios IF-04, Sistemas Operativos
Edgar Rios IF-04, Sistemas Operativos
 
Software Libre
Software LibreSoftware Libre
Software Libre
 
Virus computacionales INFO
Virus computacionales INFOVirus computacionales INFO
Virus computacionales INFO
 
Seguridad informatica marlon
Seguridad informatica marlonSeguridad informatica marlon
Seguridad informatica marlon
 
Antivirus
AntivirusAntivirus
Antivirus
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
 
Informática iii
Informática iiiInformática iii
Informática iii
 
Informatica virus
Informatica virusInformatica virus
Informatica virus
 
Taller Gratuito Virtual de Introducción al Pentesting
Taller Gratuito Virtual de Introducción al PentestingTaller Gratuito Virtual de Introducción al Pentesting
Taller Gratuito Virtual de Introducción al Pentesting
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
Introducción a la Seguridad Informática
Introducción a la Seguridad InformáticaIntroducción a la Seguridad Informática
Introducción a la Seguridad Informática
 
Software
SoftwareSoftware
Software
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 

Mehr von navajanegra

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gamenavajanegra
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testingnavajanegra
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!navajanegra
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Webnavajanegra
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the codenavajanegra
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)navajanegra
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficasnavajanegra
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudnavajanegra
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológicanavajanegra
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nochenavajanegra
 
1100101001001110
11001010010011101100101001001110
1100101001001110navajanegra
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técniconavajanegra
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5navajanegra
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsnavajanegra
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensicnavajanegra
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsnavajanegra
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!navajanegra
 
Show me your intents
Show me your intentsShow me your intents
Show me your intentsnavajanegra
 

Mehr von navajanegra (20)

Cryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a gameCryptography: The mathematics of secret codes is a game
Cryptography: The mathematics of secret codes is a game
 
Automated and unified opensource web application testing
Automated and unified opensource web application testingAutomated and unified opensource web application testing
Automated and unified opensource web application testing
 
Offensive MitM
Offensive MitMOffensive MitM
Offensive MitM
 
Cool Boot: It's cool!
Cool Boot: It's cool!Cool Boot: It's cool!
Cool Boot: It's cool!
 
El lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep WebEl lado oscuro de TOR: La Deep Web
El lado oscuro de TOR: La Deep Web
 
Telephaty: Harness the code
Telephaty: Harness the codeTelephaty: Harness the code
Telephaty: Harness the code
 
Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)Trash Robotic Router Platform (TRRP)
Trash Robotic Router Platform (TRRP)
 
Economías criptográficas
Economías criptográficasEconomías criptográficas
Economías criptográficas
 
Where is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraudWhere is my money? The evolution of Internet fraud
Where is my money? The evolution of Internet fraud
 
Divulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación TecnológicaDivulgación del trabajo de la Brigada de Investigación Tecnológica
Divulgación del trabajo de la Brigada de Investigación Tecnológica
 
Adivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta nocheAdivina quién viene a CDNear esta noche
Adivina quién viene a CDNear esta noche
 
1100101001001110
11001010010011101100101001001110
1100101001001110
 
Anteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis TécnicoAnteproyecto del código procesal penal: Análisis Técnico
Anteproyecto del código procesal penal: Análisis Técnico
 
Zeus-R-Us
Zeus-R-UsZeus-R-Us
Zeus-R-Us
 
Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5Fuzzing browsers by generating malformed HTML/HTML5
Fuzzing browsers by generating malformed HTML/HTML5
 
SDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communicationsSDR: Lowcost receiving in radio communications
SDR: Lowcost receiving in radio communications
 
LIOS: a tool for IOS Forensic
LIOS: a tool for IOS ForensicLIOS: a tool for IOS Forensic
LIOS: a tool for IOS Forensic
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
 
HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!HASH COLLISIONS: Welcome to the (un)real World!
HASH COLLISIONS: Welcome to the (un)real World!
 
Show me your intents
Show me your intentsShow me your intents
Show me your intents
 

¿Nadie piensa en las DLLs?

  • 1. •Hoy en día se tiene la falsa creencia de que todas las infecciones por malware sólo se propagan a través de ficheros ejecutables y se tiende a olvidar otros posibles métodos de infección como la utilización de DLL‟s. Mediante la manipulación y modificación de éstas, usando técnicas específicas, los atacantes pueden lograr evitar las medidas de seguridad de los antivirus y conseguir la ejecución de código en el sistema. •El objetivo de esta charla es dar a conocer estas técnicas de infección y concienciar acerca de que no sólo con ejecutables se puede infectar un equipo.
  • 2. ¿Nadie piensa en las DLL? Adrián Pulido Aka: WiNSoCk @winsock
  • 3. Gracias • A toda la organización: • La gente de ITPro.es, Hackplayers y CracksLatinos • En especial a estos dos grandes: @_Angelucho_ @1GbDeInfo
  • 4. ¿Qué ocurre con las librerías? • ¡Nadie piensa en las librerías! • No se entiende qué hacen las librerías • Los antivirus les prestan menos atención • Se cree que sólo nos pueden infectar con un „*.EXE‟
  • 5. Estadística VirusTotal • ¿En serio 500.000 fotografías?
  • 7. ¿Qué es una DLL? • Un contenedor de código y datos. • Pueden ser utilizados por uno o más programas al mismo tiempo. • Permite realizar aplicaciones modulares, segmentando el código en funciones que serán incluidas en la librería o DLL
  • 8. En el mundo real
  • 9. 0Day Visual Basic 6.0 Y no muestro el MS11-067 de casualidad :P
  • 10. Búsqueda de 0days • Aplicaciones que aceptan pluggins • Que los cargan en el inicio • Que permiten ser compartidos • Y una vez localizados AVISAR A LA COMUNIDAD! • PD: Si alguno cobra una pasta por un 0day: Winsock@miequipoestaloco.com (Tengo paypal, bitcoins… vamos a medias)
  • 12. Formas de cargar una libería I • Carga estática: • Carga dinámica: a petición
  • 13. Formas de cargar una libería II • Desde otro proceso • Desde otra librería • Desde el sistema operativo o o Driver Applnit_DLLs • Buscando como implementar una nueva función o o Plug-in Addons
  • 14. Diferencias entre las cargas Carga estática: • Permite modificar el código ANTES de ser ejecutado • NO permite el uso de hilos Carga dinámica: • Permite utilizar hilos • Si no carga/existe no falla la aplicación • Se puede camuflar mucho mejor • No sale en un análisis de librerías (estático) • Se puede retrasar la carga
  • 15. Y una vez cargada…
  • 16. Demo: No todo tiene que ser .DLL
  • 17. Quiero a todos más ilusionados que el niño del anuncio
  • 20. Demo: Precarga DLL • No existe función • Es ejecutado 2 veces • Es llamado antes que el ejecutable • No acepta hilos*
  • 23. Libertad de programación • Se puede utilizar un lenguaje de alto nivel • Libertad para programar cualquier cosa • Acceso a toda la memoria del proceso • Captura de credenciales • Posterior envío (HTTP,FTP,…)
  • 24. Detección de Antivirus I • No se analiza la memoria (si ya está en memoria) • No se analiza si el binario está roto • No detecta si no hace nada maligno • No lo detecta si no hay firma conocida
  • 25. Detección de Antivirus II • Si estando en memoria carga una librería…
  • 29. Ventajas • Se pueden hacer librerías en lenguajes de alto nivel. • Sólo hay que modificar una librería y afecta a más programas • Modificación de firmas (AV) en caliente • Es menos conocido que los ejecutables • Se puede ocultar mucho mejor que un ejecutable To do’s • Publicar la parte más técnica en el blog: www.miequipoestaloco.com • Una librería “Maestra”, programada para descubrir fallos (0Days) • Una aplicación que busque librerías modificables
  • 30. ¿Y tú, ya piensas en las DLL? @winsock