Embed Size (px)
DESCRIPTION
Charla impartida por Pedro Sánchez de Conexión Inversa, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.
Citation preview
Análisis en un entorno de Malware
Pedro Sánchez
Whoami
● He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional.
También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.
http://conexioninversa.blogspot.com
Escenario actual del malware
Escenario de Amenazas - El Pasado
Virus
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta trasera
Fuentes de ataque
DispositivoExtraíble
Clientes de Mensajería Instantánea
Tipos de amenazas Medios de Proliferación
Adjuntos de correoScript Kiddies
Escenario de Amenazas de Internet - Presente
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puerta trasera
Spyware
Adware
Greyware
Fuentes de ataque
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Clientes de Mensajería Instantánea
Hackers
Aplicaciones Web 2.0
Tipos de amenazas Medios de Proliferación
Adjuntos de Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
El ataque a web sigue siendo el más utilizado Un alto número de ataques provienen de Rusia y ChinaSe ha incrementado los ataques de denegación de servicioSe incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)Las fugas de información están a la orden del día
Panorama
El ataque a web sigue siendo el más utilizado Un alto número de ataques provienen de Rusia y ChinaSe ha incrementado los ataques de denegación de servicioSe incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)Las fugas de información están a la orden del día
Panorama
Casos de MalwareComo se identifican
Análisis bajo demanda del antivirus que se disponga en la propia empresa desde donde se supone que reside la infección. Si el análisis detecta Malware, lo ideal es interpretar o enviar el informe. Si es necesario detección en tiempo real es necesario obtener todo tipo de información, captura de pantalla, error…etc.
Si el archivo lo detecta pero no puede aplicar una acción, enviarlo en formato zip y con una contraseña.
1
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
FTK IMAGER LITE
2
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
BDSI
3
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
GMER
4
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
SMARTSNIFF
5
Casos de MalwareCasos de libro
Man in the ‘borrego’
Yo a todo digo si
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace 'click' en un vinculo sobre un falso correo
2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña y lo envía
1 23.- El cliente introduce los datos y pulsa el botón enviar
4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo
3
4
•PASO 2:
7.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI y lo vuelve a enviar
6.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente y le añade un nuevo campo
5.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente, pasando por el servidor malicioso
1
5
8.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica
•PASO 3:
11.- El cliente recibe la página con sus datos y un campo más la solicitud de su token
10.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente
12.- El cliente introduce los nuevos datos y pulsa el botón enviar
9.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo
513.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente
El dinero que vuela
¿Quieren verlo?
Análisis de Malware con Volatility(por ejemplo)
El malware tiene muchas formas
gRaCiAs a tOs y t0AsConexioninversa
