101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware...
Transcript of 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware...
![Page 1: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/1.jpg)
101 Sombras del Malware
Israel Aráoz SevericheC|EH,C|HFI, LA27001
@iara0z
![Page 2: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/2.jpg)
Agenda
• Situación Actual• Objetivo del Análisis de Malware• Tipos de Análisis• Estático• Dinámico• Preguntas
![Page 3: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/3.jpg)
Nslookup Israel.araoz
• Ing. Sistemas• Esp. Seguridad Informática• Certfied Ethical Hacker • Computer Hacking Forensic
Investigator • PECB Lead Auditor ISO 27001• Miembro ACK Security
![Page 4: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/4.jpg)
Situación Actual
![Page 5: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/5.jpg)
Situación Actual
![Page 6: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/6.jpg)
Situación Actual
![Page 7: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/7.jpg)
Situación Actual
![Page 8: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/8.jpg)
Situación Actual
![Page 9: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/9.jpg)
Situación Actual
![Page 10: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/10.jpg)
Objetivo del Análisis de Malware• Proporcionar Información que permita
responder cuestiones en relación a una intrusión en una red, incidentes de seguridad, ataques dirigidos.
• Determinar lo que un binario sospecho puede llegar hacer como:– Modificación al S.O (User Space , Kernel Space)– Trafico de Red (Dropper)– Permisos– Secuestro de Información (Criptoanálisis)
![Page 11: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/11.jpg)
Tipos de Análisis del Malware• Análisis Dinámico• Análisis Estático
![Page 12: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/12.jpg)
Identificando el Ejecutable
Ejecutable Original(Cadena y otras
información visible)
Ejecutable Original(Cadena y otras
información visible)
Ejecutable Empaquetado
(Cadena y otras información visible)
Ejecutable Empaquetado
(Cadena y otras información visible)
EmpaquetadoEmpaquetado
![Page 13: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/13.jpg)
Hashing
![Page 14: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/14.jpg)
Identificando dependencias (DLL, funciones y otras cosas…)
![Page 15: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/15.jpg)
DLL Comunes DLL Descripción
Kernel32.dll
Diferentes funcionalidad como manipulación de memoria, archivos y hardware.
Advapi32.dll
Proporciona acceso a Registro de Windows y a la Gestor de Servicios del S.O
Use32.dll Acceso a la Interfaz de usuario, tales como botones, barra de desplazamiento, componentes para controlar y responder a las acciones del Usuario.
Gdi32.dll Manipulación de gráficos
Ntdll.dll Interfaz al Kernel de Windows, es utilizado para funciones no comunes , acceso a manipulación de procesos. (Rootkit)
Wsock32.dll Ws2_32.dll
Acceso a funcionalidades de red , conexión , creación de socket, transferencia de archivos.
Wininet.dll
Funciones “higher-level” protocolos como FTP,HTTP and NTP
![Page 16: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/16.jpg)
PE - Ejecutable de WindowsEjecutable
Descripción
.text Código del ejecutable (Instrucciones del CPU)
.rdata Datos de solo lectura, accedidos de forma global por el programa.
.data Almacena los datos globales accedidos durante la ejecución de la aplicación.
.idata Almacena información de importación de funciones.
.edata Almacena información de exportación de funciones.
.pdata Solo para ejecutables de 64 bits y almacena información sobre excepciones.
.rsrc Almacena recursos necesarios del ejecutable (Iconos, Imágenes y cadenas)
.reloc Información sobre archivos DLL
![Page 17: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/17.jpg)
PEView
![Page 18: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/18.jpg)
Cuando lo básico no alcanza..
![Page 19: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/19.jpg)
Implementando un entorno seguro• Un entorno virtual minimiza el riesgo
de infección en un análisis.
S.O AnfitriónS.O Anfitrión
O.S InvitadoO.S Invitado
Aplicación VirtualAplicación Virtual
Aplicación VirtualAplicación Virtual
Maquina Virtual de Análisis
Maquina Virtual de Análisis
Maquinas VirtualesMaquinas Virtuales
O.S AnfitriónO.S Anfitrión
Virtual NET
Virtual NET
Internet
Internet
![Page 20: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/20.jpg)
Comparando Llaves del Registro• Generar un archivo con la
configuración actual del Editor de Registro.
• Ejecutar el Malware• Generar la segunda Imagen del
editor de registro
![Page 21: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/21.jpg)
ApateDNS
![Page 22: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/22.jpg)
InetSIM
![Page 23: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/23.jpg)
Análisis Dinámico
Entorno Virtual
Maquina Virtual (Windows)
Dirección IP : 192.168.1.1
Servidor DNS : 127.0.0.1DNS Request
HTTP GET
Maquina Virtual (Windows)
Dirección IP : 192.168.1.1
Servidor DNS : 127.0.0.1DNS Request
HTTP GET
Maquina Virtual(Linux)InetSim
Dirección IP : 192.168.0.100
Maquina Virtual(Linux)InetSim
Dirección IP : 192.168.0.100
HTTPS:443FTP:21
HTTP:80
HTTPS:443FTP:21
HTTP:80
DNS: 53ApateDNS
Redirect192.168.1.1
0
DNS: 53ApateDNS
Redirect192.168.1.1
0
![Page 24: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/24.jpg)
TCP Stream
![Page 25: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/25.jpg)
Explorador de Procesos
![Page 26: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/26.jpg)
Existen algunas condiciones previas en materia de “lectura”
Para este tipo de Análisis….
![Page 27: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/27.jpg)
Entendiendo….
![Page 28: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/28.jpg)
Como lo ve el Ruso o Koreano
(Programador del Malware)
int c; printf("Hello.\n"); exit(0);
Como lo ve el Ruso o Koreano
(Programador del Malware)
int c; printf("Hello.\n"); exit(0);
Como lo ve el Analista de Malware
Push ebpMove ebp, espSub esp, 0x40
Como lo ve el Analista de Malware
Push ebpMove ebp, espSub esp, 0x40
Como lo veo la CPU
558B EC8B EC 40
Como lo veo la CPU
558B EC8B EC 40
![Page 29: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/29.jpg)
Stack…
• Data : Segmento de la memoria donde se almacenan valores “estáticos” o valores Globales (Constantes, variables Globales)
• Code : Este segmento controla lo “que hace” el programa, Instrucciones ejecutadas por la “CPU”
![Page 30: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/30.jpg)
Stack
• Heap : Segmento de la memoria que almacena información “dinámica”, variables que solo son utilizadas en determinadas funciones.
• “Stack” : Utilizada para almacenar variables locales, parámetros de funciones y controlar el flujo de la ejecución del ejecutable
![Page 31: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/31.jpg)
La memoria Principal
![Page 32: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/32.jpg)
Ensamblador
• Registros (EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI)
• Saltos Condicionales(JNZ, JZ, JE,JNZ)• Banderas (ZF,CF,SF,TF)
![Page 33: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/33.jpg)
IDA Pro
![Page 34: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/34.jpg)
Pasando de C a Ensamblador
![Page 35: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/35.jpg)
Pasando de C a Ensamblador
![Page 36: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/36.jpg)
Pregunta 1
• ¿Cuales son los 2 tipos de Análisis ?
![Page 37: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/37.jpg)
Pregunta 2
• Nombre de la Herramienta utilizada para resolver peticiones DNS de manera “falsa”
![Page 38: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/38.jpg)
Pregunta 3
• ¿Para que sirve la herramienta InetSIM?
![Page 39: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/39.jpg)
¿Preguntas ?
![Page 40: 101 Sombras del Malware - OWASP › › 101_Sombras_del_Malware.pdf · 101 Sombras del Malware Israel Aráoz Severiche C|EH,C|HFI, LA27001 @iara0z](https://reader035.fdocuments.co/reader035/viewer/2022070820/5f1d9491fd6f74081d08bc47/html5/thumbnails/40.jpg)
GRACIAS!