SlideShare une entreprise Scribd logo

Análisis malware

Securinf.com Seguridad Informatica - Tecnoweb2.com
Securinf.com Seguridad Informatica - Tecnoweb2.com
1  sur  32
Télécharger pour lire hors ligne
Análisis de Malware David Moreno Gaviria Comunidad DragonJAR Encuentro de Tecnologías de la Información - SecurInf V.3
 La Comunidad DragonJAR  Definiciones e Historia del Malware  Implementación de entornos para el Análisis de Malware / Herramientas  ¿Por qué se hace necesario la implementación de este tipo de entornos?  Implicaciones legales del Análisis de Malware  Fases implicadas en el Análisis de Malware:  Tipos de Análisis  Perfilamiento del Malware / Detalles  Comprobaciones criptográficas  Comparación de firmas  Escaneos  Examinación  Extracción y Análisis de Datos  Revelación de datos  Correlación de resultados  Investigación y profundización  Conclusiones y recomendaciones
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware - Securinf • ¿Qué es el Malware? • Tipología del Malware • BackDoor • BootNet • Exploit • Gusano • Hoax • Keylogger • Phishing • Rouge • Rootkit • Spam • Spyware • Troyano • Virus • Análisis de Malware
Análisis de Malware - Securinf
Análisis de Malware - Securinf Implementación de un entorno de Laboratorio Seguro Requerimientos mínimos: • Máquinas virtuales / Físicas (Mínimo 3) • Varios S.O • Interfaces de Red • Metodología • Documentación • Debugger • Monitores de procesos • Monitores de sistemas • Monitores de archivos • Monitores de instalaciones • Monitores de red • Editor hexadecimal • AV’s • Des/Ensambladores
Montaje de un entorno de Laboratorio Seguro para el Análisis de Malware Algunas Herramientas: • OllyDbg • IDA Pro • PEiD • GNU Debugger (GDB) • Editor Hexadecimal • Syser • Microsoft Debugging Tools • Process Explorer • Process Monitor • RegMon • FileMon • PortMon • System Information for Windows • FCIV • Malcode Analyst Pack • SSDEEP • FileAlyzer • InstallWatch • RegShot
Análisis de Malware - Securinf
Análisis de Malware - Securinf ¿Por qué implementarlos? • Bases sólidas del funcionamiento y operatividad del Malware. • Contramedidas al Malware. • Fácil inicio para aprendices • Portables • Simulación de entornos reales. • Implicaciones legales. • Implementación / pruebas de herramientas AV’s.
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware - Securinf Obtener archivo Investigar Detalles Correlacionar Hash Revelar Comparación Extraer Clasificación Examinar Escaneo
Análisis de Malware - Securinf Obtener archivo • Muestras/Listas de Malware (Dominios) • Internet (Postales, Webs infectadas) • USB/CD/DVD (Video)
Análisis de Malware - Securinf Instantáneas del Sistema
Análisis de Malware - Securinf Detalles del Sistema: • Sistema Operativo • Service Pack • Actualizaciones de Seguridad • Dispositivos • Software Instalado SIW System Information for Windows www.gtopala.com
Análisis de Malware - Securinf Fases Implicadas: Comprobaciones Criptográficas • Algoritmo MD5 (Reducción) • FCIV (File Checksum Integrity Verifier) http://support.microsoft.com/kb/841290 • Malcode Analyst Pack http://labs.idefense.com/software/ • WinVI http://www.winvi.de (Video)
Análisis de Malware - Securinf Fases Implicadas: Comprobaciones Criptográficas / Alteraciones / Variantes. Computing Context Triggered Piecewise Hashes (CTPH) • SSDEEP http://ssdeep.sourceforge.net (Video)
Fases Implicadas: Clasificación de Archivos • Extensión del Archivo (no recomendable) • File Signature (Firma del archivo) 20 bytes del archivo Windows Bitmap (.bmp) > Hex: 42 4D > BM Ej Ext MW: .exe, .dll, .com, .pif, .ocx, .drv, etc. • WinVI http://www.winvi.de • File Signature Table http://www.garykessler.net/library/file_sigs .html • Exeinfo www.geocities.com/exeinfo_PE/ (Video)
Análisis de Malware - Securinf Fases Implicadas: Detección de Empaquetados • RDG Packer Detector www.rdgsoft.8k.com (Video)
Fases Implicadas: Escaneo con AV’s Anti Virus Locales: • AVIRA http://www.free-av.com/ • Norton AV http://www.symantec.com/norton/antivirus • Kaspersky http://www.kaspersky.com/ • ESET Smart Security http://www.eset-la.com/smartsecurity/ • McAfee http://www.mcafee.com/es/ Anti Virus Online: • Virus Total http://www.virustotal.com/es. • VirSCAN http://virscan.org/ (Video)
Análisis de Malware - Securinf Fases Implicadas: Información Embebida - Strings • Malcode Analyst Pack http://labs.idefense.com/software/ (Video)
Análisis de Malware - Securinf Fases Implicadas: Dependencias • OllyDBG http://www.ollydbg.de/ (Video)
Análisis de Malware - Securinf Fases Implicadas: Metadatos • FileAlyzer http://www.safer- networking.org/en/filealyzer/index.html (Video)
Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Monitoreo de instalación • InstallWatch http://www.epsilonsquared.com/installwat ch.htm (Video)
Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Instantáneas del sistema (Registro) • RegShot http://sourceforge.net/projects/regshot/ (Video)
Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Ejecución Automática de Archivos / Ocultos • MSCONFIG (Video)
Análisis de Malware - Securinf Fases Implicadas: Análisis de archivos generados / Ejecución Comprobación de firmas • SSDEEP http://ssdeep.sourceforge.net (Video)
Análisis de Malware - Securinf Fases Implicadas: Análisis de Ejecución simple / Análisis Dinámico • SysAnalyzer http://labs.idefense.com/software/malcode.php (Video)
Análisis de Malware - Securinf Fases Implicadas: Análisis de Ejecución simple / Análisis Dinámico Análisis de Red • SysAnalyzer http://labs.idefense.com/software/malcode.php • WireShark http://www.wireshark.org/ (Video)
Análisis de Malware - Securinf
Análisis de Malware David Moreno Gaviria Comunidad DragonJAR Encuentro de Tecnologías de la Información - SecurInf V.3

Recommandé

ANTIVIRUS
ANTIVIRUSANTIVIRUS
ANTIVIRUS
ejqs26
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
RootedCON
 
Qt everywhere
Qt everywhereQt everywhere
Qt everywhere
Nokia
 
Zone franche urbane (ZFU) - profili fiscali
Zone franche urbane (ZFU) - profili fiscali Zone franche urbane (ZFU) - profili fiscali
Zone franche urbane (ZFU) - profili fiscali
Agenzia delle Entrate Emilia-Romagna
 
Brunswick Group Survey Findings on New Media Usage by the Investment Community
Brunswick Group Survey Findings on New Media Usage by the Investment CommunityBrunswick Group Survey Findings on New Media Usage by the Investment Community
Brunswick Group Survey Findings on New Media Usage by the Investment Community
Darrell Heaps
 
Flurry Presents Apps by the Numbers
Flurry Presents Apps by the NumbersFlurry Presents Apps by the Numbers
Flurry Presents Apps by the Numbers
Mark Silva
 
Joyas del Franquismo
Joyas del FranquismoJoyas del Franquismo
Joyas del Franquismo
bretemas
 

Recommandé

ANTIVIRUS
ANTIVIRUSANTIVIRUS
ANTIVIRUS
ejqs26
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
Sebastián Guerrero - Ke ase Android? [Rooted CON 2013]
RootedCON
 
Qt everywhere
Qt everywhereQt everywhere
Qt everywhere
Nokia
 
Zone franche urbane (ZFU) - profili fiscali
Zone franche urbane (ZFU) - profili fiscali Zone franche urbane (ZFU) - profili fiscali
Zone franche urbane (ZFU) - profili fiscali
Agenzia delle Entrate Emilia-Romagna
 
Brunswick Group Survey Findings on New Media Usage by the Investment Community
Brunswick Group Survey Findings on New Media Usage by the Investment CommunityBrunswick Group Survey Findings on New Media Usage by the Investment Community
Brunswick Group Survey Findings on New Media Usage by the Investment Community
Darrell Heaps
 
Flurry Presents Apps by the Numbers
Flurry Presents Apps by the NumbersFlurry Presents Apps by the Numbers
Flurry Presents Apps by the Numbers
Mark Silva
 
Joyas del Franquismo
Joyas del FranquismoJoyas del Franquismo
Joyas del Franquismo
bretemas
 
Social Media Pharma
Social Media PharmaSocial Media Pharma
Social Media Pharma
InsightsDigital
 
Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques
Encryption in the Public Cloud: 16 Bits of Advice for Security TechniquesEncryption in the Public Cloud: 16 Bits of Advice for Security Techniques
Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques
Trend Micro
 
Searcharter - Startup Weekend Bari / 28-30 Sept '12
Searcharter - Startup Weekend Bari / 28-30 Sept '12Searcharter - Startup Weekend Bari / 28-30 Sept '12
Searcharter - Startup Weekend Bari / 28-30 Sept '12
Gianni L'Abbate
 
2 $3 million_krehbiel
2 $3 million_krehbiel2 $3 million_krehbiel
2 $3 million_krehbiel
Brandon Williams
 
GrinUGR - A view on Digital Humanities and Social Sciences
GrinUGR - A view on Digital Humanities and Social SciencesGrinUGR - A view on Digital Humanities and Social Sciences
GrinUGR - A view on Digital Humanities and Social Sciences
Esteban Romero Frías
 
Italian request to declassified Bilateral Infrastructure Agreement
Italian request to declassified Bilateral Infrastructure AgreementItalian request to declassified Bilateral Infrastructure Agreement
Italian request to declassified Bilateral Infrastructure Agreement
Luca Rinaldi
 
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successoCosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Ninja Marketing
 
Cheuvreux Hollande
Cheuvreux HollandeCheuvreux Hollande
Cheuvreux Hollande
Le Point
 
溪流觀察記錄
溪流觀察記錄溪流觀察記錄
溪流觀察記錄
guest77a30
 
Mer: A year after
Mer: A year afterMer: A year after
Mer: A year after
Carsten Munk
 
Casetteburkina2
Casetteburkina2Casetteburkina2
Casetteburkina2
eleonora9380
 
Exchange 2010 Unified Messaging
Exchange 2010 Unified MessagingExchange 2010 Unified Messaging
Exchange 2010 Unified Messaging
Harold Wong
 
Cisco Global Cloud Index (GCI) 2014 Whitepaper
Cisco Global Cloud Index (GCI) 2014 Whitepaper Cisco Global Cloud Index (GCI) 2014 Whitepaper
Cisco Global Cloud Index (GCI) 2014 Whitepaper
Cisco Service Provider
 
Volkswagen
VolkswagenVolkswagen
Volkswagen
Luxemburger Wort
 
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
VMworld
 
Provvedimento Commissariamento Set Up Live
Provvedimento Commissariamento Set Up LiveProvvedimento Commissariamento Set Up Live
Provvedimento Commissariamento Set Up Live
Luca Rinaldi
 
AVG Small Business Digital Policy Guide
AVG Small Business Digital Policy GuideAVG Small Business Digital Policy Guide
AVG Small Business Digital Policy Guide
AVG Technologies
 
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
Iván Portillo
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
fernandojh
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
Ramón Salado Lucena
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
tantascosasquenose
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Contenu connexe

En vedette

Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successoCosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Ninja Marketing
 
Cheuvreux Hollande
Cheuvreux HollandeCheuvreux Hollande
Cheuvreux Hollande
Le Point
 
溪流觀察記錄
溪流觀察記錄溪流觀察記錄
溪流觀察記錄
guest77a30
 

En vedette (17)

Social Media Pharma
Social Media PharmaSocial Media Pharma
Social Media Pharma
 
Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques
Encryption in the Public Cloud: 16 Bits of Advice for Security TechniquesEncryption in the Public Cloud: 16 Bits of Advice for Security Techniques
Encryption in the Public Cloud: 16 Bits of Advice for Security Techniques
 
Searcharter - Startup Weekend Bari / 28-30 Sept '12
Searcharter - Startup Weekend Bari / 28-30 Sept '12Searcharter - Startup Weekend Bari / 28-30 Sept '12
Searcharter - Startup Weekend Bari / 28-30 Sept '12
 
2 $3 million_krehbiel
2 $3 million_krehbiel2 $3 million_krehbiel
2 $3 million_krehbiel
 
GrinUGR - A view on Digital Humanities and Social Sciences
GrinUGR - A view on Digital Humanities and Social SciencesGrinUGR - A view on Digital Humanities and Social Sciences
GrinUGR - A view on Digital Humanities and Social Sciences
 
Italian request to declassified Bilateral Infrastructure Agreement
Italian request to declassified Bilateral Infrastructure AgreementItalian request to declassified Bilateral Infrastructure Agreement
Italian request to declassified Bilateral Infrastructure Agreement
 
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successoCosa fare, ma soprattutto cosa non fare, per creare una startup di successo
Cosa fare, ma soprattutto cosa non fare, per creare una startup di successo
 
Cheuvreux Hollande
Cheuvreux HollandeCheuvreux Hollande
Cheuvreux Hollande
 
溪流觀察記錄
溪流觀察記錄溪流觀察記錄
溪流觀察記錄
 
Mer: A year after
Mer: A year afterMer: A year after
Mer: A year after
 
Casetteburkina2
Casetteburkina2Casetteburkina2
Casetteburkina2
 
Exchange 2010 Unified Messaging
Exchange 2010 Unified MessagingExchange 2010 Unified Messaging
Exchange 2010 Unified Messaging
 
Cisco Global Cloud Index (GCI) 2014 Whitepaper
Cisco Global Cloud Index (GCI) 2014 Whitepaper Cisco Global Cloud Index (GCI) 2014 Whitepaper
Cisco Global Cloud Index (GCI) 2014 Whitepaper
 
Volkswagen
VolkswagenVolkswagen
Volkswagen
 
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
VMworld 2013: Symantec’s Real-World Experience with a VMware Software-Defined...
 
Provvedimento Commissariamento Set Up Live
Provvedimento Commissariamento Set Up LiveProvvedimento Commissariamento Set Up Live
Provvedimento Commissariamento Set Up Live
 
AVG Small Business Digital Policy Guide
AVG Small Business Digital Policy GuideAVG Small Business Digital Policy Guide
AVG Small Business Digital Policy Guide
 

Similaire à Análisis malware

Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Microbiologiaparte1
Microbiologiaparte1Microbiologiaparte1
Microbiologiaparte1
Sigma Corp
 

Similaire à Análisis malware (20)

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Examen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptxExamen CBROPS CISCO 200 201.pptx
Examen CBROPS CISCO 200 201.pptx
 
Intro Guía de Testing OWASP
Intro Guía de Testing OWASPIntro Guía de Testing OWASP
Intro Guía de Testing OWASP
 
Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4Curso basicoseguridadweb slideshare4
Curso basicoseguridadweb slideshare4
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_des
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 
9. auditoría de sistemas y calidad de software
9. auditoría de sistemas y calidad de software9. auditoría de sistemas y calidad de software
9. auditoría de sistemas y calidad de software
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
097 coursev1
097 coursev1097 coursev1
097 coursev1
 
Herramientas
HerramientasHerramientas
Herramientas
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Microbiologiaparte1
Microbiologiaparte1Microbiologiaparte1
Microbiologiaparte1
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Calidad de software y TDD
Calidad de software y TDDCalidad de software y TDD
Calidad de software y TDD
 

Plus de Securinf.com Seguridad Informatica - Tecnoweb2.com

Plus de Securinf.com Seguridad Informatica - Tecnoweb2.com (20)

Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Emprendiendo con software libre-
Emprendiendo con software libre- Emprendiendo con software libre-
Emprendiendo con software libre-
 
Jsl Colombia 2010 - Seguridad Informatica
Jsl Colombia 2010 - Seguridad InformaticaJsl Colombia 2010 - Seguridad Informatica
Jsl Colombia 2010 - Seguridad Informatica
 
Jsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perezJsl ponencias v2_diego_salazar_perez
Jsl ponencias v2_diego_salazar_perez
 
Criptografia-GSeguridad
Criptografia-GSeguridadCriptografia-GSeguridad
Criptografia-GSeguridad
 
Linux seguro - Fedora Colombia
Linux seguro - Fedora ColombiaLinux seguro - Fedora Colombia
Linux seguro - Fedora Colombia
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Python workshop
Python workshopPython workshop
Python workshop
 
De Presa A Cazador
De Presa A Cazador De Presa A Cazador
De Presa A Cazador
 
Web 20 vision a la industria
Web 20 vision a la industriaWeb 20 vision a la industria
Web 20 vision a la industria
 
Open solaris
Open solarisOpen solaris
Open solaris
 
Hacking withinnails pdfcompleto
Hacking withinnails pdfcompletoHacking withinnails pdfcompleto
Hacking withinnails pdfcompleto
 
Sftp rodrigo carreño
Sftp rodrigo carreñoSftp rodrigo carreño
Sftp rodrigo carreño
 
Instalacion drupal 1
Instalacion drupal 1Instalacion drupal 1
Instalacion drupal 1
 
Instalacion drupal 1
Instalacion drupal 1Instalacion drupal 1
Instalacion drupal 1
 
C:\Fake Path\Cauca
C:\Fake Path\CaucaC:\Fake Path\Cauca
C:\Fake Path\Cauca
 
Presentacion Joomla CMS
Presentacion Joomla CMSPresentacion Joomla CMS
Presentacion Joomla CMS
 
Securinf Barcamp
Securinf BarcampSecurinf Barcamp
Securinf Barcamp
 
Ciberneticavs Sistem Abiertos
Ciberneticavs Sistem AbiertosCiberneticavs Sistem Abiertos
Ciberneticavs Sistem Abiertos
 

Análisis malware

  • 1. Análisis de Malware David Moreno Gaviria Comunidad DragonJAR Encuentro de Tecnologías de la Información - SecurInf V.3
  • 2.  La Comunidad DragonJAR  Definiciones e Historia del Malware  Implementación de entornos para el Análisis de Malware / Herramientas  ¿Por qué se hace necesario la implementación de este tipo de entornos?  Implicaciones legales del Análisis de Malware  Fases implicadas en el Análisis de Malware:  Tipos de Análisis  Perfilamiento del Malware / Detalles  Comprobaciones criptográficas  Comparación de firmas  Escaneos  Examinación  Extracción y Análisis de Datos  Revelación de datos  Correlación de resultados  Investigación y profundización  Conclusiones y recomendaciones
  • 3. Análisis de Malware - Securinf
  • 4. Análisis de Malware - Securinf
  • 5. Análisis de Malware - Securinf • ¿Qué es el Malware? • Tipología del Malware • BackDoor • BootNet • Exploit • Gusano • Hoax • Keylogger • Phishing • Rouge • Rootkit • Spam • Spyware • Troyano • Virus • Análisis de Malware
  • 6. Análisis de Malware - Securinf
  • 7. Análisis de Malware - Securinf Implementación de un entorno de Laboratorio Seguro Requerimientos mínimos: • Máquinas virtuales / Físicas (Mínimo 3) • Varios S.O • Interfaces de Red • Metodología • Documentación • Debugger • Monitores de procesos • Monitores de sistemas • Monitores de archivos • Monitores de instalaciones • Monitores de red • Editor hexadecimal • AV’s • Des/Ensambladores
  • 8. Montaje de un entorno de Laboratorio Seguro para el Análisis de Malware Algunas Herramientas: • OllyDbg • IDA Pro • PEiD • GNU Debugger (GDB) • Editor Hexadecimal • Syser • Microsoft Debugging Tools • Process Explorer • Process Monitor • RegMon • FileMon • PortMon • System Information for Windows • FCIV • Malcode Analyst Pack • SSDEEP • FileAlyzer • InstallWatch • RegShot
  • 9. Análisis de Malware - Securinf
  • 10. Análisis de Malware - Securinf ¿Por qué implementarlos? • Bases sólidas del funcionamiento y operatividad del Malware. • Contramedidas al Malware. • Fácil inicio para aprendices • Portables • Simulación de entornos reales. • Implicaciones legales. • Implementación / pruebas de herramientas AV’s.
  • 11. Análisis de Malware - Securinf
  • 12. Análisis de Malware - Securinf
  • 13. Análisis de Malware - Securinf Obtener archivo Investigar Detalles Correlacionar Hash Revelar Comparación Extraer Clasificación Examinar Escaneo
  • 14. Análisis de Malware - Securinf Obtener archivo • Muestras/Listas de Malware (Dominios) • Internet (Postales, Webs infectadas) • USB/CD/DVD (Video)
  • 15. Análisis de Malware - Securinf Instantáneas del Sistema
  • 16. Análisis de Malware - Securinf Detalles del Sistema: • Sistema Operativo • Service Pack • Actualizaciones de Seguridad • Dispositivos • Software Instalado SIW System Information for Windows www.gtopala.com
  • 17. Análisis de Malware - Securinf Fases Implicadas: Comprobaciones Criptográficas • Algoritmo MD5 (Reducción) • FCIV (File Checksum Integrity Verifier) http://support.microsoft.com/kb/841290 • Malcode Analyst Pack http://labs.idefense.com/software/ • WinVI http://www.winvi.de (Video)
  • 18. Análisis de Malware - Securinf Fases Implicadas: Comprobaciones Criptográficas / Alteraciones / Variantes. Computing Context Triggered Piecewise Hashes (CTPH) • SSDEEP http://ssdeep.sourceforge.net (Video)
  • 19. Fases Implicadas: Clasificación de Archivos • Extensión del Archivo (no recomendable) • File Signature (Firma del archivo) 20 bytes del archivo Windows Bitmap (.bmp) > Hex: 42 4D > BM Ej Ext MW: .exe, .dll, .com, .pif, .ocx, .drv, etc. • WinVI http://www.winvi.de • File Signature Table http://www.garykessler.net/library/file_sigs .html • Exeinfo www.geocities.com/exeinfo_PE/ (Video)
  • 20. Análisis de Malware - Securinf Fases Implicadas: Detección de Empaquetados • RDG Packer Detector www.rdgsoft.8k.com (Video)
  • 21. Fases Implicadas: Escaneo con AV’s Anti Virus Locales: • AVIRA http://www.free-av.com/ • Norton AV http://www.symantec.com/norton/antivirus • Kaspersky http://www.kaspersky.com/ • ESET Smart Security http://www.eset-la.com/smartsecurity/ • McAfee http://www.mcafee.com/es/ Anti Virus Online: • Virus Total http://www.virustotal.com/es. • VirSCAN http://virscan.org/ (Video)
  • 22. Análisis de Malware - Securinf Fases Implicadas: Información Embebida - Strings • Malcode Analyst Pack http://labs.idefense.com/software/ (Video)
  • 23. Análisis de Malware - Securinf Fases Implicadas: Dependencias • OllyDBG http://www.ollydbg.de/ (Video)
  • 24. Análisis de Malware - Securinf Fases Implicadas: Metadatos • FileAlyzer http://www.safer- networking.org/en/filealyzer/index.html (Video)
  • 25. Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Monitoreo de instalación • InstallWatch http://www.epsilonsquared.com/installwat ch.htm (Video)
  • 26. Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Instantáneas del sistema (Registro) • RegShot http://sourceforge.net/projects/regshot/ (Video)
  • 27. Análisis de Malware - Securinf Fases Implicadas: Monitoreo de ejecución simple / Análisis Dinámico Ejecución Automática de Archivos / Ocultos • MSCONFIG (Video)
  • 28. Análisis de Malware - Securinf Fases Implicadas: Análisis de archivos generados / Ejecución Comprobación de firmas • SSDEEP http://ssdeep.sourceforge.net (Video)
  • 29. Análisis de Malware - Securinf Fases Implicadas: Análisis de Ejecución simple / Análisis Dinámico • SysAnalyzer http://labs.idefense.com/software/malcode.php (Video)
  • 30. Análisis de Malware - Securinf Fases Implicadas: Análisis de Ejecución simple / Análisis Dinámico Análisis de Red • SysAnalyzer http://labs.idefense.com/software/malcode.php • WireShark http://www.wireshark.org/ (Video)
  • 31. Análisis de Malware - Securinf
  • 32. Análisis de Malware David Moreno Gaviria Comunidad DragonJAR Encuentro de Tecnologías de la Información - SecurInf V.3