caso de estudio: análisis forense en un entorno de malware
DESCRIPTION
Charla impartida por Pedro Sánchez de Conexión Inversa, en el I Curso de Verano de Informática Forense en la Facultad de Informática de la Universidad de A Coruña.TRANSCRIPT
![Page 1: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/1.jpg)
Análisis en un entorno de Malware
Pedro Sánchez
![Page 2: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/2.jpg)
Whoami
● He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional.
También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.
Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.
![Page 3: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/3.jpg)
http://conexioninversa.blogspot.com
![Page 4: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/4.jpg)
![Page 5: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/5.jpg)
Escenario actual del malware
![Page 6: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/6.jpg)
Escenario de Amenazas - El Pasado
Virus
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta trasera
Fuentes de ataque
DispositivoExtraíble
Clientes de Mensajería Instantánea
Tipos de amenazas Medios de Proliferación
Adjuntos de correoScript Kiddies
![Page 7: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/7.jpg)
Escenario de Amenazas de Internet - Presente
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puerta trasera
Spyware
Adware
Greyware
Fuentes de ataque
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Clientes de Mensajería Instantánea
Hackers
Aplicaciones Web 2.0
Tipos de amenazas Medios de Proliferación
Adjuntos de Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
![Page 8: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/8.jpg)
El ataque a web sigue siendo el más utilizado Un alto número de ataques provienen de Rusia y ChinaSe ha incrementado los ataques de denegación de servicioSe incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)Las fugas de información están a la orden del día
Panorama
![Page 9: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/9.jpg)
El ataque a web sigue siendo el más utilizado Un alto número de ataques provienen de Rusia y ChinaSe ha incrementado los ataques de denegación de servicioSe incrementan el fraude y se han multiplicado en los dos últimos años por 10 (forensico a PC' portatiles, dispositivos,Moviles, PDA's)Las fugas de información están a la orden del día
Panorama
![Page 10: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/10.jpg)
Casos de MalwareComo se identifican
![Page 11: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/11.jpg)
Análisis bajo demanda del antivirus que se disponga en la propia empresa desde donde se supone que reside la infección. Si el análisis detecta Malware, lo ideal es interpretar o enviar el informe. Si es necesario detección en tiempo real es necesario obtener todo tipo de información, captura de pantalla, error…etc.
Si el archivo lo detecta pero no puede aplicar una acción, enviarlo en formato zip y con una contraseña.
1
![Page 12: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/12.jpg)
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
FTK IMAGER LITE
2
![Page 13: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/13.jpg)
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
BDSI
3
![Page 14: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/14.jpg)
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
GMER
4
![Page 15: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/15.jpg)
Disponer de un entorno limpio, equipo, pendrive con protección, CD / DVD con utilidades para su adquisición bien de datos o del disco duro completo.
Las que me gustan:
SMARTSNIFF
5
![Page 16: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/16.jpg)
Casos de MalwareCasos de libro
![Page 17: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/17.jpg)
Man in the ‘borrego’
Yo a todo digo si
![Page 18: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/18.jpg)
•Autopsia del ataque:
•PASO 1:
1.- El cliente hace 'click' en un vinculo sobre un falso correo
2.- El servidor maligno le hace entrega de una página falsa, que simula al banco. En esta le pide el nombre de usuario y contraseña y lo envía
1 23.- El cliente introduce los datos y pulsa el botón enviar
4.- El servidor maligno 'pilla' los datos y los envía al servidor legitimo
3
4
![Page 19: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/19.jpg)
•PASO 2:
7.- El cliente recibe la página con sus datos y un campo más en el que le piden el DNI y lo vuelve a enviar
6.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente y le añade un nuevo campo
5.- El servidor legitimo valida el nombre de usuario y contraseña y muestra la posición global y se la envía al cliente, pasando por el servidor malicioso
1
5
8.- El malo envia el nuevo valor (dni) e intenta hacer una trasferencia automatica
![Page 20: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/20.jpg)
•PASO 3:
11.- El cliente recibe la página con sus datos y un campo más la solicitud de su token
10.- El servidor maligno 'parsea' los datos y los maqueta dinámicamente sobre una pagina en PHP que le será mostrada con todos los datos del cliente
12.- El cliente introduce los nuevos datos y pulsa el botón enviar
9.- Dado que este cliente es VIP y dispone Token de un solo uso le solicita el uso del mismo
513.- El malo envia el nuevo valor (token) y realiza una transferencia automaticamente
![Page 21: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/21.jpg)
El dinero que vuela
![Page 22: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/22.jpg)
¿Quieren verlo?
![Page 23: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/23.jpg)
Análisis de Malware con Volatility(por ejemplo)
![Page 24: Caso de Estudio: Análisis Forense en un entorno de Malware](https://reader036.vdocuments.co/reader036/viewer/2022062303/5575d423d8b42a917e8b4b4b/html5/thumbnails/24.jpg)
El malware tiene muchas formas
gRaCiAs a tOs y t0AsConexioninversa