csc 2011 nov 2011 2 · actividad de procesos ! actividad de red. tipos de análisis de códigos...
TRANSCRIPT
![Page 1: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/1.jpg)
!"#$%"&$%'$()*(+,-.'/'/()*(0$1&2"%*(3".'4'$/$(
5'#".#-(!"#$%!&'"%($%)*&+,+-.%/01."23%
0+*&+,+-.432#5,0-+-$5"+1$16%!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%
=*.,2"9+"+432#5,0-+-$5"+1$16%
![Page 2: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/2.jpg)
Agenda
• Realidades • Análisis de malware
• Captura de malware
• Sandnets públicas e inicios
• Desarrollo de Xibalbá
![Page 3: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/3.jpg)
Realidades
![Page 4: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/4.jpg)
Realidades
• $274,000 USD Millones • Gastos producidos por
actividades derivadas del crimen cibernético
• $114,000 USD Millones • Dinero robado por
c r i m i n a l e s cibernéticos
• 388,000 USD Millones • Gasto total
Fuente: CiberReport 2011. Symantec
![Page 5: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/5.jpg)
Realidades
• Durante el último año • 431 millones de adultos sufrieron
ataques cibernéticos • 1+ más de un millón de usuarios se
convirtieron en víctimas diariamente • 14 víctimas cada segundo
Fuente: CiberReport 2011. Symantec
![Page 6: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/6.jpg)
Realidades
• México ocupa el 3er lugar de ataques bancarios a nivel regional 1. Brasil 5.99% 2. Colombia 2.3% 3. México 1.73% 4. Ecuador 1.72% 5. Guatemala 1.5% 6. Chile 1.35% 7. Argentina 1.13% 8. Perú 0.62%
Fuente: ESET Latinoamerica
![Page 7: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/7.jpg)
¿Por qué es importante analizar malware?
! La fuga de información puede llevar a la quiebra a las empresas
! 54% del cibercrimen global corresponde al malware
! El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el malware más distribuido para usuarios de banca electrónica
![Page 8: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/8.jpg)
¿Por qué es importante analizar malware?
Tan solo en el mes de Agosto del 2011:
! 193,989,043 de redes fueron atacadas por malware.
! Existieron alrededor de 64,742,608 ataques vía web.
! Fueron detectados 258,090,156 programas maliciosos en computadoras personales.
Fuente: SecureList
![Page 9: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/9.jpg)
¿Por qué es importante analizar malware?
! Más de 5 millones de usuarios de redes sociales han experimentado algún tipo de abuso en sus cuentas.
! Archivos de Office o PDF adjuntos y links contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware
Fuente: SecureList
![Page 10: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/10.jpg)
Tipos de Análisis de Códigos Maliciosos
![Page 11: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/11.jpg)
Tipos de Análisis de Códigos Maliciosos
Análisis Dinámico ! Basándose en el comportamiento que presenta cuando una muestra es ejecutada en el sistema ! Tiempo estimado de análisis. Una hora
Análisis Estático
! Analizando las rutinas de ejecución o el código en ensamblador de la muestra ! Tiempo estimado de análisis. Muchas horas "
![Page 12: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/12.jpg)
Tipos de Análisis de Códigos Maliciosos
Análisis dinámico
! Consiste en identificar los cambios que se llevaron a cabo en el equipo cuando algún código malicioso se ejecutó
! Se consideran los siguientes elementos: ! Modificaciones en el Sistema de Archivos ! Modificaciones en el registro de Windows ! Actividad de Procesos ! Actividad de Red
![Page 13: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/13.jpg)
Tipos de Análisis de Códigos Maliciosos
Análisis estático ! Se realiza para obtener un mejor entendimiento de lo que realiza el malware
! Se lleva a cabo una búsqueda de cadenas
! El proceso de ingeniería inversa se lleva a cabo utilizando herramientas como
! Desempaquetadores ! Desensambladores ! Debuggers
![Page 14: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/14.jpg)
Captura de Códigos Maliciosos
![Page 15: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/15.jpg)
Captura de Códigos Maliciosos
! Segmentos de red IPv4 de la UNAM ! Dos segmentos clase B, más de 120,000 IPs públicas
! Tráfico no dirigido se considera malicioso ! Se desarrolla el proyecto Darknet
! Cientos de muestras posiblemente maliciosas ! Aproximadamente 20 muestras únicas
![Page 16: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/16.jpg)
Captura de Códigos Maliciosos
! Usuarios externos a través de diversos medios:
! Correo electrónico ([email protected]) ! Sistema de incidentes ! Redes sociales ! Notificación directa
![Page 17: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/17.jpg)
Sandnets públicas y primeros inicios
![Page 18: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/18.jpg)
Sandnets públicas y primero inicios
! Sandnets (redes de arena)
! Las muestras son ejecutadas en un ambiente controlado
! Se simulan los servicios más comunes de Internet
! En ocasiones se le permite salida a Internet a la muestra
![Page 19: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/19.jpg)
Sandnets públicas y primero inicios
! DSC UNAM. Comenzó a desarrollar un laboratorio de análisis
! VMWare ! SysAnalizer
![Page 20: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/20.jpg)
Sandnets públicas y primero inicios
! Se hace uso de Sandnets públicas ! ThreatExpert http://threatexpert.com/
! NormanSandbox http://www.norman.com/security_center/security_tools ! Joebox http://www.joebox.org/
! Anubis http://anubis.iseclab.org/
! Xandora http://report.xandora.net/
![Page 21: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/21.jpg)
Sandnets públicas y primero inicios
! Las muestras cada vez son más sofisticadas
! Hacen uso de empaquetadores para hacer el análisis de malware más complejo
! Ofuscan cadenas ! Antidebbugers ! Antidesensambladores ! Anti – Sandnets
![Page 22: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/22.jpg)
Sandnets públicas y primero inicios
![Page 23: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/23.jpg)
Desarrollo del Laboratorio de Análisis de Software Malicioso
Xibalbá
![Page 24: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/24.jpg)
Desarrollo del Laboratorio de Análisis de Software Malicioso
• UNAM-CERT, ha desarrollado una Sandnet apoyándose con TRUMAN, acrónimo en inglés de The Reusable Unknown Malware Analysis Net
![Page 25: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/25.jpg)
Desarrollo del Laboratorio de Análisis de Software Malicioso
Funcionamiento de TRUMAN
![Page 26: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/26.jpg)
Desarrollo del Laboratorio de Análisis de Software Malicioso
• Modificaciones en la estructura original de TRUMAN:
• Estructura multi-cliente • O p t i m i z a c i ó n e n e l procesamiento de muestras • VPNs • Mejoramiento en el análisis de tráfico de red
![Page 27: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/27.jpg)
Beneficios Obtenidos
! Aumento del volumen de muestras analizadas ! Reducción del tiempo de análisis por muestra:
±15 min
! Repositorio centralizado de muestras y sus análisis respectivos
! Incremento en la probabilidad de ejecución de las muestras
![Page 28: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/28.jpg)
Nuevos retos
! Reducción del tiempo de análisis por muestra
! Integración de nuevas herramientas ! Vera. Reverse Engineering Malware in Visualize
![Page 29: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/29.jpg)
Nuevos retos
! Integración de nuevas herramientas ! Webviz. Visualización de tráfico
![Page 30: CSC 2011 Nov 2011 2 · Actividad de Procesos ! Actividad de Red. Tipos de Análisis de Códigos Maliciosos Análisis estático ! Se realiza para obtener un mejor entendimiento de](https://reader033.vdocuments.pub/reader033/viewer/2022060208/5f0409057e708231d40bff38/html5/thumbnails/30.jpg)
!"#$%&'()*+,!"#$%&'#()(*+),#-").*/012"-3)*
(%*456#,-*
7#&%,,#2"*8%"%&).*(%*923:01-*;*(%*<%,"-.-=>)'*(%*?"@-&3),#2"*;*
9-30"#,),#2"A*
B0C(#&%,,#2"*(%*B%=0&#()(*(%*.)*?"@-&3),#2"D*
9(D*!"#$%&'#1)&#)A*9-;-),E"*456#,-*7DFDA*456#,-*
9DGD*HIJKH*<%.LJMNNOKMP*
?"=D*?$E"*4)0&#,#-*/.$)&)(-*Q#3-"%'*
#).$)&)(-R'%=0&#()(D0")3D36*
?"=D*G)C.-*/"1-"#-*Q-&%"S)")*80T5&&%S*
:.-&%"S)")R'%=0&#()(D0")3D36*
,
"#-.$/(-,0)12)#$,BB?U!+/4*V*9WX<*