SlideShare ist ein Scribd-Unternehmen logo

FIT 2018 - Malware Avanzado y Respuesta a Incidentes

Als PPT, PDF herunterladen
Egdares Futch H.
Egdares Futch H.

Malware Avanzado y Respuesta a Incidentes, presentación para el Foro de Innovación Tecnológica 2018 de la Universidad Galileo

Technologie
1 von 41
© 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1 Malware Avanzado y Respuesta a Incidentes Respuesta a Incidentes Egdares Futch H. @efutch FIT GT 2018
Bienvenidos
MALWARE AVANZADO
 El malware tradicional consiste en archivos que se escriben directamente al almacenamiento y que al ser ejecutados causan el daño para lo que fueron diseñados  El contrario, el malware avanzado (fileless) no necesita almacenamiento, sino que se ejecuta directamente en memoria RAM con el propósito de evadir antivirus u otro software de seguridad Malware tradicional – Malware avanzado
 Generalmente explota vulnerabilidades en browser y programas como lectores PDF, macros, JavaScript y Flash  Phishing es uno de los vehículos más explotados  Técnicas “Living off the Land” – usar PowerShell o WMI  Hit and Run o Persistentes ¿Cómo funciona el malware Avanzado?
• Explotación remota, como EternalBlue y CodeRed Ataques de memoria • Usar herramientas benignas para causar problemas, como WMI, PowerShell, RDP, Telnet Herramientas de doble uso • Documentos con macros, Javascript, como PDF, Word, PowerShell Archivos ejecutables no tradicionales (Non-PE) • Esconder scripts en el registry, WMI o GPO, como Poweliks Fileless Loadpoint Tipos de ataque “Fileless”
Documentos maliciosos son populares
RESPUESTA A INCIDENTES
Digital Forensics (DF) –El Análisis Forense tradicional, realizado de manera post-mortem –Se hace después de que ocurra un problema Incident Response (IR) –Examen de un sistema corriendo en vivo –Orientado a analizar ataques de malware o intrusiones Digital Forensics vs. Incident Response
 Capturar la memoria de un sistema corriendo  Analizar la memoria  Reconstrucción del estado de la memoria  Reconstrucción del escenario completo con imagen de disco e imagen de memoria  Con el análisis de memoria capturado, es posible que el equipo de IR pueda determinar acciones de los atacantes, como troyanos, backdoors o exfiltración de información. IR – El proceso de análisis de memoria
 Procesos / threads en ejecución  Passwords / llaves  Registry en uso  Chats, información de login  Evidencia de la presencia de malware  Conexiones a la red IR – ¿Qué encontramos en memoria?
 La memoria no se borra tan rápido  Aún con 30 segundos o hasta minutos de haber hecho Shutdown la memoria contiene datos aún  El tiempo se puede prolongar por medio de enfriamiento extremo a -50 grados  ¿Quién podría congelar una computadora así? Ataque “Cold Boot”
 Windows –FTK Imager –Belkasoft Live RAM Capture –WinPmem (incluido en Rekall)  Linux –LiMe –Linux Memory Grabber  OS X –OSXPmem Herramientas para captura de memoria
 Volatility  Rekall  Productos comerciales Herramientas para análisis de memoria
MANEJO DE MEMORIA EN EL SISTEMA OPERATIVO
Virtualización de recursos  Realidad física: procesos comparten el mismo equipo –Necesitamos multiplexar el CPU (CPU Scheduling) –Necesitamos multiplexar la memoria(Memory management)  ¿Por qué preocuparse por administrar memoria? –El estado de trabajo completo de un proceso y/o kernel se define por sus datos en memoria (y registros) –Por lo tanto, no se puede dejar que diferentes procesos usen la misma memora –De la misma manera, no se desea que un proceso tenga acceso a la memoria de otro (protección)
Virtualización de recursos
Virtualización de recursos
Caso Arquitectura x86 32 bits 64 bits
PROCESO DE ANÁLISIS DE MEMORIA
 Proyecto de Google Code  Descargarlo desde http://www.rekall-forensic.com  Multiplataforma Windows y Linux  Consola interactiva o modo batch  Nueva versión genera un webconsole para trabajar de forma GUI Vamos a usar Rekall en Windows
 Ver file shares: net view 127.0.0.1  Ver sesiones: net session  Ver uso de red –Netstat –naob –Netstat –na 5  Ver procesos corriendo: tasklist  Usar wmic: wmic process get name, processed, parentprocessid  Ver servicios fuera de lo normal  Ver items de startup  Ver scheduled tasks Podemos delinear un proceso estándar
 Arquitectura basada en plugins, permiten extender la funcionalidad  Módulos descargables en la página del Proyecto Rekall  Otro software como Volatility también contiene módulos  Importante: cada update de Windows cambia la arquitectura de uso de memoria, y las heramientas de análisis de memoria deben ser actualizadas Módulos de Rekall
 Algunos módulos importantes que estaremos probando: –Imageinfo –Netstat –Pstree –Pslist –Dlllist –Netscan –Filescan –Pedump –Modules Módulos de Rekall: los más importantes
 Veamos netstat  Salida es similar a “netstat –nao | find “ESTABLISHED” Módulos de Rekall: los más importantes
 Pslist, nos muestra la lista de procesos corriendo cuando se obtuvo la imagen  Misma salida que “wmic process get name, parentprocessid, processid” Módulos de Rekall: los más importantes
 Dlllist muestra los DLL cargados por un proceso, así como la línea de comando que la invocó  Salida similar a “tasklist /m /fi “pid eq [pid]” y “wmic process where processid=[pid] get commandline” Módulos de Rekall: los más importantes
 Dlllist muestra los DLL cargados por un proceso, así como la línea de comando que la invocó  Salida similar a “tasklist /m /fi “pid eq [pid]” y “wmic process where processid=[pid] get commandline” Módulos de Rekall: los más importantes
 Determine qué procesos están comunicándose por la red usando el modulo netstat  Use el modulo pslist para referenciar el PID asociado con las conexiones de red establecidas a la lista de procesos corriendo, para determiner el nombre de cada proceso y su conexión  Se debe anotar también el Parent PID (PPID) Identificando procesos por conexión
 Estudiemos ahora cada línea de comando que invocó a cada proceso  Usamos el modulo dlllist para examinar los parámetros con los que fue invocado  Obtenemos también la lista de procesos Determinando línea de comando
ANALIZEMOS MALWARE REAL
Sistema Windows XP Herramientas de análisis preinstaladas Incluye un zoológico de Malware –Folder @REAL@ MALWARE en el Desktop, manejar con cuidado, no usar en redes de oficina o producción –Folder Network Class Files en el Desktop incluye capturas de tráfico de red de ataques reales Máquina virtual “Malware”
Usaremos pestudio para analizar lo que contiene un archivo ejecutable Analiza la interacción con el sistema operativo, verifica su existencia en VirusTotal y otras funcionalidades Probemos ahora con el malware que tenemos en el Zoológico Analicemos un archivo
Análisis de Archivos
Análisis de Archivos: DarkComet
 Usualmente se tienen dispositivos de captura en servidores que están expuestos especialmente al Internet llamados Honeypots  Estas capturas se usan para descubrir malware que podría no ser detectado por nuestro software de seguridad  Equipos de seguridad avanzados, como FireEye, tienen un “sandbox” donde extraen en vivo las descargas de tráfico sospechoso Análisis de red
 Descarga por HTTP de un malware  Rojadirecta, PelisFrikis, eres tú?  Usaremos Wireshark para analizar el tráfico  Aprovechamos la capacidad de Exportar objetos Analicemos un caso: Drive-by download
Análisis de un drive-by download
Análisis de un drive-by download
 Todos los días salen amenazas nuevas  Los atacantes explotan las vulnerabilidades descubiertas Conclusiones
¡MUCHAS GRACIAS! ¿PREGUNTAS? E-Mail: efutch@gmail.com Twitter: @efutch

Empfohlen

Primer parcial Dfso
Primer parcial DfsoPrimer parcial Dfso
Primer parcial DfsoDANIELA GONZALEZ
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Hardware y software
Hardware y softwareHardware y software
Hardware y softwareKevin Daniel Espinoza Ortiz
 
Tematica de la primera y segunda unidad
Tematica de la primera y segunda unidadTematica de la primera y segunda unidad
Tematica de la primera y segunda unidad19210292
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
TC3
TC3TC3
TC3marthamuelas
 
formato archivo
formato archivoformato archivo
formato archivoCristina Arango
 
Trabajo Práctico.
Trabajo Práctico.Trabajo Práctico.
Trabajo Práctico.cdcomputadora12
 

Empfohlen

Primer parcial Dfso
Primer parcial DfsoPrimer parcial Dfso
Primer parcial DfsoDANIELA GONZALEZ
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Hardware y software
Hardware y softwareHardware y software
Hardware y softwareKevin Daniel Espinoza Ortiz
 
Tematica de la primera y segunda unidad
Tematica de la primera y segunda unidadTematica de la primera y segunda unidad
Tematica de la primera y segunda unidad19210292
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
TC3
TC3TC3
TC3marthamuelas
 
formato archivo
formato archivoformato archivo
formato archivoCristina Arango
 
Trabajo Práctico.
Trabajo Práctico.Trabajo Práctico.
Trabajo Práctico.cdcomputadora12
 
Trabajo Práctico.
Trabajo Práctico.Trabajo Práctico.
Trabajo Práctico.cdcomputadora12
 
Trabajo Práctico.
Trabajo Práctico. Trabajo Práctico.
Trabajo Práctico. cdcomputadora12
 
Software de sistema
Software de sistemaSoftware de sistema
Software de sistemaAlejandro Salas Ramirez
 
Tic
TicTic
TicLaura Davila
 
Tic f
Tic fTic f
Tic fLaura Davila
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)ivan1951
 
Unidad 1 ciclo 4
Unidad 1 ciclo 4Unidad 1 ciclo 4
Unidad 1 ciclo 4Jhon Ortiz
 
Flisol2010
Flisol2010Flisol2010
Flisol2010hendrykfer2
 
S.i
S.iS.i
S.ilaracande03
 
NFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfNFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfMarioWilsonCastro1
 
Introducción a los Sistemas Operativos
Introducción a los Sistemas OperativosIntroducción a los Sistemas Operativos
Introducción a los Sistemas OperativosJuan David Pareja Soto
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativospablito1103
 
SOFTWARE
SOFTWARESOFTWARE
SOFTWAREEvelyn Tuquerres
 
Software
SoftwareSoftware
SoftwareRogelio Lovera Olivera
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spywarezapotteco
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Diferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativoDiferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativoMartin Araiza Meza
 
FIT 2020 - Artificial Life
FIT 2020 - Artificial LifeFIT 2020 - Artificial Life
FIT 2020 - Artificial LifeEgdares Futch H.
 
Blockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesBlockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesEgdares Futch H.
 

Weitere ähnliche Inhalte

Ähnlich wie FIT 2018 - Malware Avanzado y Respuesta a Incidentes

Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)ivan1951
 
Unidad 1 ciclo 4
Unidad 1 ciclo 4Unidad 1 ciclo 4
Unidad 1 ciclo 4Jhon Ortiz
 
Introducción a los Sistemas Operativos
Introducción a los Sistemas OperativosIntroducción a los Sistemas Operativos
Introducción a los Sistemas OperativosJuan David Pareja Soto
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativospablito1103
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spywarezapotteco
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Dianaarellano16
 
Diferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativoDiferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativoMartin Araiza Meza
 

Ähnlich wie FIT 2018 - Malware Avanzado y Respuesta a Incidentes (20)

Trabajo Práctico.
Trabajo Práctico.Trabajo Práctico.
Trabajo Práctico.
 
Trabajo Práctico.
Trabajo Práctico. Trabajo Práctico.
Trabajo Práctico.
 
Software de sistema
Software de sistemaSoftware de sistema
Software de sistema
 
Tic
TicTic
Tic
 
Tic f
Tic fTic f
Tic f
 
Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)Diferenciar las funciones del sistema operativo. (DFSO)
Diferenciar las funciones del sistema operativo. (DFSO)
 
Unidad 1 ciclo 4
Unidad 1 ciclo 4Unidad 1 ciclo 4
Unidad 1 ciclo 4
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
S.i
S.iS.i
S.i
 
NFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfNFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdf
 
Introducción a los Sistemas Operativos
Introducción a los Sistemas OperativosIntroducción a los Sistemas Operativos
Introducción a los Sistemas Operativos
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativos
 
SOFTWARE
SOFTWARESOFTWARE
SOFTWARE
 
Software
SoftwareSoftware
Software
 
Rootkits & Spyware
Rootkits & SpywareRootkits & Spyware
Rootkits & Spyware
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.
 
Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.Sistema operativo d.f.s.o.
Sistema operativo d.f.s.o.
 
Diferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativoDiferncia las funciones del sistema operativo
Diferncia las funciones del sistema operativo
 

Mehr von Egdares Futch H.

FIT 2020 - Artificial Life
FIT 2020 - Artificial LifeFIT 2020 - Artificial Life
FIT 2020 - Artificial LifeEgdares Futch H.
 
Blockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesBlockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesEgdares Futch H.
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramientaEgdares Futch H.
 
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminosMachine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminosEgdares Futch H.
 
Herramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones webHerramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones webEgdares Futch H.
 
El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)Egdares Futch H.
 
El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible Egdares Futch H.
 
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaMGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaEgdares Futch H.
 
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La CeibaMGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La CeibaEgdares Futch H.
 
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...Egdares Futch H.
 
The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014Egdares Futch H.
 
Criptografía para las masas
Criptografía para las masasCriptografía para las masas
Criptografía para las masasEgdares Futch H.
 
Más sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonMás sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonEgdares Futch H.
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Egdares Futch H.
 
Apuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de MemoriaApuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de MemoriaEgdares Futch H.
 

Mehr von Egdares Futch H. (20)

FIT 2020 - Artificial Life
FIT 2020 - Artificial LifeFIT 2020 - Artificial Life
FIT 2020 - Artificial Life
 
Blockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesBlockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicaciones
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
 
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminosMachine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
 
Herramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones webHerramientas de Pen Testing de redes y aplicaciones web
Herramientas de Pen Testing de redes y aplicaciones web
 
El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)
 
BPMS vs. workflow
BPMS vs. workflowBPMS vs. workflow
BPMS vs. workflow
 
El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible
 
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaMGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
 
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La CeibaMGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
 
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
 
The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014
 
Unitec virtualización
Unitec virtualizaciónUnitec virtualización
Unitec virtualización
 
Criptografía para las masas
Criptografía para las masasCriptografía para las masas
Criptografía para las masas
 
Más sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonMás sobre el Algoritmo de Peterson
Más sobre el Algoritmo de Peterson
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
 
Apuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de MemoriaApuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de Memoria
 
Memoria virtual
Memoria virtualMemoria virtual
Memoria virtual
 
Deadlocks
DeadlocksDeadlocks
Deadlocks
 
Concurrencia
ConcurrenciaConcurrencia
Concurrencia
 

Kürzlich hochgeladen

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 

Kürzlich hochgeladen (10)

How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

FIT 2018 - Malware Avanzado y Respuesta a Incidentes

  • 1. © 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1 Malware Avanzado y Respuesta a Incidentes Respuesta a Incidentes Egdares Futch H. @efutch FIT GT 2018
  • 4.  El malware tradicional consiste en archivos que se escriben directamente al almacenamiento y que al ser ejecutados causan el daño para lo que fueron diseñados  El contrario, el malware avanzado (fileless) no necesita almacenamiento, sino que se ejecuta directamente en memoria RAM con el propósito de evadir antivirus u otro software de seguridad Malware tradicional – Malware avanzado
  • 5.  Generalmente explota vulnerabilidades en browser y programas como lectores PDF, macros, JavaScript y Flash  Phishing es uno de los vehículos más explotados  Técnicas “Living off the Land” – usar PowerShell o WMI  Hit and Run o Persistentes ¿Cómo funciona el malware Avanzado?
  • 6. • Explotación remota, como EternalBlue y CodeRed Ataques de memoria • Usar herramientas benignas para causar problemas, como WMI, PowerShell, RDP, Telnet Herramientas de doble uso • Documentos con macros, Javascript, como PDF, Word, PowerShell Archivos ejecutables no tradicionales (Non-PE) • Esconder scripts en el registry, WMI o GPO, como Poweliks Fileless Loadpoint Tipos de ataque “Fileless”
  • 9. Digital Forensics (DF) –El Análisis Forense tradicional, realizado de manera post-mortem –Se hace después de que ocurra un problema Incident Response (IR) –Examen de un sistema corriendo en vivo –Orientado a analizar ataques de malware o intrusiones Digital Forensics vs. Incident Response
  • 10.  Capturar la memoria de un sistema corriendo  Analizar la memoria  Reconstrucción del estado de la memoria  Reconstrucción del escenario completo con imagen de disco e imagen de memoria  Con el análisis de memoria capturado, es posible que el equipo de IR pueda determinar acciones de los atacantes, como troyanos, backdoors o exfiltración de información. IR – El proceso de análisis de memoria
  • 11.  Procesos / threads en ejecución  Passwords / llaves  Registry en uso  Chats, información de login  Evidencia de la presencia de malware  Conexiones a la red IR – ¿Qué encontramos en memoria?
  • 12.  La memoria no se borra tan rápido  Aún con 30 segundos o hasta minutos de haber hecho Shutdown la memoria contiene datos aún  El tiempo se puede prolongar por medio de enfriamiento extremo a -50 grados  ¿Quién podría congelar una computadora así? Ataque “Cold Boot”
  • 13.  Windows –FTK Imager –Belkasoft Live RAM Capture –WinPmem (incluido en Rekall)  Linux –LiMe –Linux Memory Grabber  OS X –OSXPmem Herramientas para captura de memoria
  • 14.  Volatility  Rekall  Productos comerciales Herramientas para análisis de memoria
  • 15. MANEJO DE MEMORIA EN EL SISTEMA OPERATIVO
  • 16. Virtualización de recursos  Realidad física: procesos comparten el mismo equipo –Necesitamos multiplexar el CPU (CPU Scheduling) –Necesitamos multiplexar la memoria(Memory management)  ¿Por qué preocuparse por administrar memoria? –El estado de trabajo completo de un proceso y/o kernel se define por sus datos en memoria (y registros) –Por lo tanto, no se puede dejar que diferentes procesos usen la misma memora –De la misma manera, no se desea que un proceso tenga acceso a la memoria de otro (protección)
  • 19. Caso Arquitectura x86 32 bits 64 bits
  • 20. PROCESO DE ANÁLISIS DE MEMORIA
  • 21.  Proyecto de Google Code  Descargarlo desde http://www.rekall-forensic.com  Multiplataforma Windows y Linux  Consola interactiva o modo batch  Nueva versión genera un webconsole para trabajar de forma GUI Vamos a usar Rekall en Windows
  • 22.  Ver file shares: net view 127.0.0.1  Ver sesiones: net session  Ver uso de red –Netstat –naob –Netstat –na 5  Ver procesos corriendo: tasklist  Usar wmic: wmic process get name, processed, parentprocessid  Ver servicios fuera de lo normal  Ver items de startup  Ver scheduled tasks Podemos delinear un proceso estándar
  • 23.  Arquitectura basada en plugins, permiten extender la funcionalidad  Módulos descargables en la página del Proyecto Rekall  Otro software como Volatility también contiene módulos  Importante: cada update de Windows cambia la arquitectura de uso de memoria, y las heramientas de análisis de memoria deben ser actualizadas Módulos de Rekall
  • 24.  Algunos módulos importantes que estaremos probando: –Imageinfo –Netstat –Pstree –Pslist –Dlllist –Netscan –Filescan –Pedump –Modules Módulos de Rekall: los más importantes
  • 25.  Veamos netstat  Salida es similar a “netstat –nao | find “ESTABLISHED” Módulos de Rekall: los más importantes
  • 26.  Pslist, nos muestra la lista de procesos corriendo cuando se obtuvo la imagen  Misma salida que “wmic process get name, parentprocessid, processid” Módulos de Rekall: los más importantes
  • 27.  Dlllist muestra los DLL cargados por un proceso, así como la línea de comando que la invocó  Salida similar a “tasklist /m /fi “pid eq [pid]” y “wmic process where processid=[pid] get commandline” Módulos de Rekall: los más importantes
  • 28.  Dlllist muestra los DLL cargados por un proceso, así como la línea de comando que la invocó  Salida similar a “tasklist /m /fi “pid eq [pid]” y “wmic process where processid=[pid] get commandline” Módulos de Rekall: los más importantes
  • 29.  Determine qué procesos están comunicándose por la red usando el modulo netstat  Use el modulo pslist para referenciar el PID asociado con las conexiones de red establecidas a la lista de procesos corriendo, para determiner el nombre de cada proceso y su conexión  Se debe anotar también el Parent PID (PPID) Identificando procesos por conexión
  • 30.  Estudiemos ahora cada línea de comando que invocó a cada proceso  Usamos el modulo dlllist para examinar los parámetros con los que fue invocado  Obtenemos también la lista de procesos Determinando línea de comando
  • 32. Sistema Windows XP Herramientas de análisis preinstaladas Incluye un zoológico de Malware –Folder @REAL@ MALWARE en el Desktop, manejar con cuidado, no usar en redes de oficina o producción –Folder Network Class Files en el Desktop incluye capturas de tráfico de red de ataques reales Máquina virtual “Malware”
  • 33. Usaremos pestudio para analizar lo que contiene un archivo ejecutable Analiza la interacción con el sistema operativo, verifica su existencia en VirusTotal y otras funcionalidades Probemos ahora con el malware que tenemos en el Zoológico Analicemos un archivo
  • 36.  Usualmente se tienen dispositivos de captura en servidores que están expuestos especialmente al Internet llamados Honeypots  Estas capturas se usan para descubrir malware que podría no ser detectado por nuestro software de seguridad  Equipos de seguridad avanzados, como FireEye, tienen un “sandbox” donde extraen en vivo las descargas de tráfico sospechoso Análisis de red
  • 37.  Descarga por HTTP de un malware  Rojadirecta, PelisFrikis, eres tú?  Usaremos Wireshark para analizar el tráfico  Aprovechamos la capacidad de Exportar objetos Analicemos un caso: Drive-by download
  • 38. Análisis de un drive-by download
  • 39. Análisis de un drive-by download
  • 40.  Todos los días salen amenazas nuevas  Los atacantes explotan las vulnerabilidades descubiertas Conclusiones