open source malware analysis
DESCRIPTION
La charla trata como te puedes montar tu propio sistema de análisis automatizado de malware, de manera que serás capaz de poder estudiar en un entorno controlado como funciona el malware. En esta linea se explicará como funcionan los ataques MITB y porque es difícil para los usuarios poder detectar este tipo de ataques. También se explicará que existen diversas mafias que se dedican al desarrollo de kits de Explotación que infectan a los usuarios. Y por último como el malware se adelanta y es capaz de detectar que está siendo "observado" y como es capaz de engañar al analistaTRANSCRIPT
Defenses against malware, automated analysis using Open Source technology
Autor: Marc Rivero LópezFecha: Octubre 2012
La información contenida en este documento es propiedad intelectual de S21sec. Cualquier modificación o utilización total o parcial del contenido de este documento sin consentimiento expreso y por escrito de S21sec está estrictamente prohibida. La ausencia de respuesta a cualquier solicitud de consentimiento en ningún caso deberá ser entendida como consentimiento tácito por parte de S21sec autorizando utilización alguna. © Grupo S21sec Gestión, S.A.
about
• ACSS (Advanced cyber Security Services)
• Analista ecrime
Datos de contacto:
[email protected]@seifreed
// ÍNDICE
*
¿Solución automatizada de Malware?
Solución Open Source
Funcionamiento de Cuckoo
Presentación de resultados
Extras en los análisis
Cuckoo VS Citadel
Cuckoo VS Exploits Kits
Conclusiones
*
// ¿SOLUCIÓN AUTOMATIZADA DE MALWARE?01
MOTIVOS
• Malware en todas las plataformas poulares
• Muchísima cantidad de malware
¿Porque un Sandbox?
Ventajas:•Entorno controlado.•Análisis por lotes•Análisis automatizado•Poder analizar grandes cantidades de malware
Inconvenientes:•Fácilmente detectable
*
// SOLUCIÓN OPEN SOURCE02
¿Porque una solución Open Source?
• Soluciones comerciales muy caras.
• Poder introducir nuevas funcionalidades.
etc...
Cuckoo Sandbox
• Plataforma para el análisis de malware
• Capaz de analizar exe, pdf, doc...
• Usa virtualización para los análisis
• 100% Open Source
*
// FUNCIONAMENTO DE CUCKOO03
¿Como funciona la plataforma?
Componentes de Cuckoo
Análisis de malware
• Configuración de Cuckoo con el engine de virtualización
• Daemon a la espera de los análisis
*
//
DEMO
D
*
// PRESENTACIÓN DE RESULTADOS04
Resultados...
• Los análisis se irán mostrando en la parte web de Cuckoo.
Resultados...
• Información sobre el binario, firmas de yara, PEiD y Virus Total
Resultados...
• Firmas y pantallazos
Resultados...
• Análisis estático e información sobre la muestra
Resultados...
• Cuckoo analizará los archivos recogidos por la muestra
Resultados...
• Análisis de red
Resultados...
• Cambios en el sistema de ficheros
Resultados...
• Mutex
Resultados...
• Cambios que ha sufrido el registro
Resultados...
• Información 4detallada sobre los procesos
*
// EXTRAS EN LOS ANÁLISIS05
API de Virus Total
• Cuckoo consultará el HASH de la muestra en Virus Total
Conexión a dominios maliciosos
• Cuckoo avisará cuando una muestra quiera conectarse a un dominio malicioso.
*
// CUCKOO VS CITADEL06
Datos falsos
• Algunas versiones de Citadel contienen protección de máquina virtual
*
// CUCKOO VS EXPLOITS KITS07
Para ver esta película, debedisponer de QuickTime™ y de
un descompresor Photo - JPEG.
Cuckoo analiza el Exploit Kit
• Cuckoo es capaz de analizar URL que contengan exploits kits y recoger los archivos.
*
// CONCLUSIONES08
*
//
¿PREGUNTAS?
GRACIASwww.s21sec.com
SPAIN MEXICO BRASIL UK USA