SlideShare ist ein Scribd-Unternehmen logo

Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

Websec México, S.C.
Websec México, S.C.

En esta plática se explicará como montar un laboratorio de análisis de malware. Incluyendo todo el proceso, desde la captura hasta el análisis. Se capturará el malware “in the wild” utilizando Dionaea, posteriormente se mostrará el proceso para analizar dinamicamente el malware utilizando Cuckoo Sandbox en una “Internet controlada”. No pertenezco a ninguna casa antivirus, así que los reportes se quedan en privado para cuestiones académicas. Y cuando el virus lo amerita, pues le hacemos algo de “reversing” para conocer más sobre él. La idea es integrar las herramientas para generar análisis semi-automáticos de los virus que caen en el sensor. Se publicará la nueva versión de la herramienta Arania. Arania nos sirve para detectar ataques de RFI (Remote File Inclusion) buscando en los logs del servidor, en este caso si descarga la herramienta y busca una “segunda inclusión”, para obtener el código completo. GUADALAJARACON 2012 http://www.guadalajaracon.org Guadalajara, Jalisco, México - 20 y 21 de abril del 2012

Technologie
1 von 29
Downloaden Sie, um offline zu lesen
Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
Acerca de: http://atit.upslp.edu.mx/~hugo/
● No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas. ● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
¿ Para qué analizar malware ?
Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto) ● ¡Conseguir trabajo en un laboratorio de antivirus!
Laboratorio ● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
Laboratorio de análisis de malware Con software libre !!
Método científico ● Observación ● Inducción ● Hipótesis ● Experimentación ● Demostración ● Tesis o Teoría (Conclusiones)
Objetivo: Aprender más sobre el malware Publicar ...
● Recolección de malware ● Análisis ● Estático ● Dinámico ● De comportamiento ● Resultados
Arquitectura genérica Captura: Análisis: Resultados:
Arquitectura genérica Captura: Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes.
Dionaea http://dionaea.carnivore.it
Video
Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
Cuckoo
Video
Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
Ponga aquí lo que le agrade
Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación Dinámico ContagioDUMP Depurar (Ollydbg, IDA) Comparación USB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina Real Otras fuentes. Conocimiento !! Otros ?
Spampot
Casos ● InetSim http://www.inetsim.org/index.html
Android malware
Ejemplos ● Dionaea + cuckoo = reportes ● Dionaea + Vbox (capture tcpdumps) = cluster ● Contagiodump + vbox (MacOS)
Conclusiones ● Estudiar malware por diversión ! ● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas. ● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones. ● Wadalec, Duqu / Stuxnet. ● Android malware.
¿ Preguntas ? @hugo_glez
Reto de analisis forense para android en: http://atit.upslp.edu.mx/~hugo/guadalajaracon/

Empfohlen

Guadalajara con
Guadalajara conGuadalajara con
Guadalajara conJaime Restrepo
 
Labs
LabsLabs
LabsSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Criptografía vs esteganografía [GuadalajaraCON 2012]
Criptografía vs esteganografía [GuadalajaraCON 2012]Criptografía vs esteganografía [GuadalajaraCON 2012]
Criptografía vs esteganografía [GuadalajaraCON 2012]Websec México, S.C.
 
Detectando intrusiones en la red [GuadalajaraCON 2012]
Detectando intrusiones en la red [GuadalajaraCON 2012]Detectando intrusiones en la red [GuadalajaraCON 2012]
Detectando intrusiones en la red [GuadalajaraCON 2012]Websec México, S.C.
 
Cazando Predadores en Internet [GuadalajaraCON 2012]
Cazando Predadores en Internet [GuadalajaraCON 2012]Cazando Predadores en Internet [GuadalajaraCON 2012]
Cazando Predadores en Internet [GuadalajaraCON 2012]Websec México, S.C.
 
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]Websec México, S.C.
 
Escaneo de puertos distribuido [GuadalajaraCON 2012]
Escaneo de puertos distribuido [GuadalajaraCON 2012]Escaneo de puertos distribuido [GuadalajaraCON 2012]
Escaneo de puertos distribuido [GuadalajaraCON 2012]Websec México, S.C.
 
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]Hide and Find Rootkits in Linux [GuadalajaraCON 2012]
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]Websec México, S.C.
 

Empfohlen

Guadalajara con
Guadalajara conGuadalajara con
Guadalajara conJaime Restrepo
 
Labs
LabsLabs
LabsSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Criptografía vs esteganografía [GuadalajaraCON 2012]
Criptografía vs esteganografía [GuadalajaraCON 2012]Criptografía vs esteganografía [GuadalajaraCON 2012]
Criptografía vs esteganografía [GuadalajaraCON 2012]Websec México, S.C.
 
Detectando intrusiones en la red [GuadalajaraCON 2012]
Detectando intrusiones en la red [GuadalajaraCON 2012]Detectando intrusiones en la red [GuadalajaraCON 2012]
Detectando intrusiones en la red [GuadalajaraCON 2012]Websec México, S.C.
 
Cazando Predadores en Internet [GuadalajaraCON 2012]
Cazando Predadores en Internet [GuadalajaraCON 2012]Cazando Predadores en Internet [GuadalajaraCON 2012]
Cazando Predadores en Internet [GuadalajaraCON 2012]Websec México, S.C.
 
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]
Rompiendo llaves RSA explícitamente con OpenSSL [GuadalajaraCON 2012]Websec México, S.C.
 
Escaneo de puertos distribuido [GuadalajaraCON 2012]
Escaneo de puertos distribuido [GuadalajaraCON 2012]Escaneo de puertos distribuido [GuadalajaraCON 2012]
Escaneo de puertos distribuido [GuadalajaraCON 2012]Websec México, S.C.
 
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]Hide and Find Rootkits in Linux [GuadalajaraCON 2012]
Hide and Find Rootkits in Linux [GuadalajaraCON 2012]Websec México, S.C.
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoMario Alberto Parra Alonso
 
Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysistxalin
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
Antivirus
AntivirusAntivirus
AntivirusYuliana Martinez
 
097 coursev1
097 coursev1097 coursev1
097 coursev1eli_122264
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Bladimir Baez Baez Lizarazo
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00tpseudor00t overflow
 
Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
software testing
software testingsoftware testing
software testingAndrés Grosso
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Antivirus
AntivirusAntivirus
AntivirusBryan Garcia
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Karina Avila
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 

Weitere ähnliche Inhalte

Ähnlich wie Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysistxalin
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free securityAntonio Toriz
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Bladimir Baez Baez Lizarazo
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirusXjabedmjX
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Karina Avila
 

Ähnlich wie Laboratorio de Análisis de Malware [GuadalajaraCON 2012] (20)

Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Intelligent automated malware analysis
Intelligent automated malware analysisIntelligent automated malware analysis
Intelligent automated malware analysis
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Introducción al pentesting free security
Introducción al pentesting free securityIntroducción al pentesting free security
Introducción al pentesting free security
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Antivirus
AntivirusAntivirus
Antivirus
 
097 coursev1
097 coursev1097 coursev1
097 coursev1
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]Presentacion virus y_antivirus_por_baldimir_baez[1]
Presentacion virus y_antivirus_por_baldimir_baez[1]
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Hacking Etico by pseudor00t
Hacking Etico by pseudor00tHacking Etico by pseudor00t
Hacking Etico by pseudor00t
 
Modulo 5
Modulo 5Modulo 5
Modulo 5
 
software testing
software testingsoftware testing
software testing
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Poniendo a prueba el antivirus
Poniendo a prueba el antivirusPoniendo a prueba el antivirus
Poniendo a prueba el antivirus
 
Antivirus
AntivirusAntivirus
Antivirus
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.Virus , Antivirus, Algoritmos.
Virus , Antivirus, Algoritmos.
 

Mehr von Websec México, S.C.

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonWebsec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Websec México, S.C.
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are backWebsec México, S.C.
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Websec México, S.C.
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeWebsec México, S.C.
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapWebsec México, S.C.
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...Websec México, S.C.
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PaleWebsec México, S.C.
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonWebsec México, S.C.
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Websec México, S.C.
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaWebsec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Websec México, S.C.
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranWebsec México, S.C.
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaWebsec México, S.C.
 

Mehr von Websec México, S.C. (20)

Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino CalderonEstadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
Estadisticas de redes 802.11 en Mexico (2013) por Paulino Calderon
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Old fox new tricks malicious macros are back
Old fox new tricks malicious macros are backOld fox new tricks malicious macros are back
Old fox new tricks malicious macros are back
 
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Explotación de vulnerabilidades recientes de Windows - Agosto 2017
 
Mi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of CodeMi experiencia en el programa Google Summer of Code
Mi experiencia en el programa Google Summer of Code
 
Escribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de NmapEscribiendo firmas para el sistema de detección de versiones de Nmap
Escribiendo firmas para el sistema de detección de versiones de Nmap
 
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...El porqué está fallando tu programa de seguridad informática por Paulino Cald...
El porqué está fallando tu programa de seguridad informática por Paulino Cald...
 
Pwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon PalePwning corporate networks in a single day by Paulino Calderon Pale
Pwning corporate networks in a single day by Paulino Calderon Pale
 
CPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino CalderonCPMX7 Pwneando redes informáticas por Paulino Calderon
CPMX7 Pwneando redes informáticas por Paulino Calderon
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Explotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis ColungaExplotación práctica de señales de radio por Luis Colunga
Explotación práctica de señales de radio por Luis Colunga
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
OSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickopsOSINT vs CIBERCRIMEN por nickops
OSINT vs CIBERCRIMEN por nickops
 
Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk Recuperacion de defaces con versionador Git por Alevsk
Recuperacion de defaces con versionador Git por Alevsk
 
Seguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel BeltranSeguridad en Bitcoin por Luis Daniel Beltran
Seguridad en Bitcoin por Luis Daniel Beltran
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis ColungaCPMX5 - Las nuevas generaciones de redes por Luis Colunga
CPMX5 - Las nuevas generaciones de redes por Luis Colunga
 

Kürzlich hochgeladen

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Kürzlich hochgeladen (13)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

Laboratorio de Análisis de Malware [GuadalajaraCON 2012]

  • 1. Laboratorio de Análisis de Malware @hugo_glez This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/
  • 3. No hago análisis de malware por motivos económicos/profesionales, tiene que ver más con investigación y cuestiones académicas. ● El público objetivo es básico a intermedio, habrá sesiones de análisis avanzado.
  • 4. ¿ Para qué analizar malware ?
  • 5. Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto)
  • 6. Mi punto es: ● Conocer sobre el malware y su comportamiento. ● Ayudar en la automatización del análisis de malware. ● Contribuir a la seguridad en Internet. ● Resolver problemas del estado de la práctica y del estado del arte. (cripto) ● ¡Conseguir trabajo en un laboratorio de antivirus!
  • 7. Laboratorio ● El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prácticas y trabajos de carácter científico, tecnológico o técnico; está equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prácticas diversas, según la rama de la ciencia a la que se dedique. – Se puede asegurar que no se producen influencias extrañas (a las conocidas o previstas) que alteren el resultado del experimento o medición: control. – Se garantiza que el experimento o medición es repetible, es decir, cualquier otro laboratorio podría repetir el proceso y obtener el mismo resultado: normalización. ● http://es.wikipedia.org/wiki/Laboratorio
  • 8. Laboratorio de análisis de malware Con software libre !!
  • 9. Método científico ● Observación ● Inducción ● Hipótesis ● Experimentación ● Demostración ● Tesis o Teoría (Conclusiones)
  • 10. Objetivo: Aprender más sobre el malware Publicar ...
  • 11. Recolección de malware ● Análisis ● Estático ● Dinámico ● De comportamiento ● Resultados
  • 12. Arquitectura genérica Captura: Análisis: Resultados:
  • 13. Arquitectura genérica Captura: Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes.
  • 15. Video
  • 16. Arquitectura genérica Análisis: Estático Strings Decompilar Desensamblar Dinámico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Máquina Virtual Máquina Real Otros ?
  • 18. Video
  • 19. Arquitectura genérica Resultados: Más análisis Reporte Clasificación Comparación Método de limpieza Firma para AV Conocimiento !!
  • 20. Ponga aquí lo que le agrade
  • 21. Arquitectura genérica Captura: Análisis: Resultados: Nepenthes Estático Más análisis Strings Dionaea Decompilar Reporte Desensamblar Spampot Clasificación Dinámico ContagioDUMP Depurar (Ollydbg, IDA) Comparación USB en el ciber Comportamiento Método de limpieza Ejecutarlo Listas Máquina Virtual Firma para AV Máquina Real Otras fuentes. Conocimiento !! Otros ?
  • 23. Casos ● InetSim http://www.inetsim.org/index.html
  • 25.
  • 26. Ejemplos ● Dionaea + cuckoo = reportes ● Dionaea + Vbox (capture tcpdumps) = cluster ● Contagiodump + vbox (MacOS)
  • 27. Conclusiones ● Estudiar malware por diversión ! ● Existen muchas herramientas que ayudan, pero todavía falta mejorar la automatización, la interacción entre ellas. ● El malware actual es ingeniería aplicada! Criptografía, canales de comunicaciones, anti- depuración, anti-virtualización, nuevas protecciones. ● Wadalec, Duqu / Stuxnet. ● Android malware.
  • 28. ¿ Preguntas ? @hugo_glez
  • 29. Reto de analisis forense para android en: http://atit.upslp.edu.mx/~hugo/guadalajaracon/