hack&beers cadiz análisis de malware cuckoo sandbox

32
CUCKOO SANDBOX ANÁLISIS DE MALWARE Mario Parra Alonso

Upload: mario-alberto-parra-alonso

Post on 20-Mar-2017

180 views

Category:

Internet


1 download

TRANSCRIPT

Page 1: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

CUCKOO SANDBOXANÁLISIS DE MALWARE

Mario Parra Alonso

Page 2: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

AGRADECIMIENTOS

Page 3: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

AVISO▸ No me hago responsable del daño que puedan causar los

malwares aquí mostrados.

▸ Estas pruebas se hacen en un circuito cerrado y rodada por especialistas :P

▸ Durante esta charla no se ha dañado ningún malware. No puedo decir lo mismo de mi VirtualBox :(.

▸ El objetivo de esta charla es la de enseñar a analizar malware para protegernos y no morir en el intento.

Page 4: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

PING @MPALONSO▸ Técnico Superior en

Administración de sistemas en Red

▸ Estudiante de Ingeniería Informática

▸ Proyecto de estudio de ataques y su localización “Honeytrack”

▸ Miembro del equipo de CTF Follow The White Rabbit

▸ Python Lover <3

@MPAlonso_https://github.com/anubis7

Page 5: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

INDEX

▸ Presentación

▸ Introducción

▸ Tendencias

▸ Estudio del malware (cuckoo sandbox)

▸ Demo

Page 6: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

INTRODUCCIÓN

▸ Malware

▸ Historia del Malware

▸ Tipos de malware

▸ Vector de infección

▸ Impacto

Page 7: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

MALWARE▸ Es un tipo de software que tiene como objetivo infiltrarse

en un sistema sin consentimiento de su propietario.

▸ Protección: antivirus, aplicaciones y sistemas actualizados al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el conocimiento del usuario.

▸ “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” K.M.

Page 8: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

HISTORIA DEL MALWARE

▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET. “Im a creeper, catch me!”. Contramedida: “Reaper”.

▸ Finales de los 80: Viernes_13/Jerusalem infección de ficheros .EXE

▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en el desarrollo de malware.

▸ Año 2000: LoveLetter, Mydoom, Sasser…etc

▸ Desde 2003: malware más sofisticados, aparición de spyware..etc

▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la Policia…etc)

Page 9: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

TIPOS DE MALWARE

▸ Virus clásicos: Viernes13

▸ Gusanos: I<3YOU Blaster

▸ Troyanos: Zeus

▸ Spyware: Perfect_Keylogger KeenValue

▸ Rootkits: T0rn SuckIT

Page 10: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

VECTORES DE INFECCIÓN

▸ Fallos en aplicaciones y/o sistemas operativos (buffer overflow…etc)

▸ Carga automática de elementos con JavaScript, emails…

▸ Fallos en protocolos de red

▸ Dispositivos físicos

▸ Usuarios!!!

Page 11: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

IMPACTO

Page 12: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

AHORA SIN MIEDO,ESTUDIAMOS??

Page 13: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

SANDBOX

▸ Concepto: es un entorno de prueba separado del entorno de producción. Ejemplo de virtualización.

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

Page 14: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

MÉTODOS DE EVASIÓN

▸ Ofuscación del código

▸ Crypters

▸ Client

▸ Stub (encargado de desencryptar el código)

▸ Más info sobre: Troyanos, Evasion..etc.

▸ Malware_Magazine_1 : underc0de

Page 15: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

ESTUDIO DEL MALWARE (CUCKOO SANDBOX)▸ Cuckoo Sandbox

▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google Summer of Code dentro del proyecto Honeynet.

▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia de Cuckoo Sandbox para obtener una plataforma donde analizar ficheros maliciosos que suban los usuarios. Like VirusTotal.

▸ Año 2014: nace la organización Cuckoo Fundation organización sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e iniciativas similares.

Page 16: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

▸ Situación 1: Servidor Cuckoo + VM Windows(Máquina de análisis)

▸ Situación 2: Máquina real + VM Cuckoo server + VM Windows(Máquina de análisis)

▸ Situación 3: Servidor Cuckoo + VM Windows XP + VM Windows 7 +… N)

▸ Configuración de interfaz:

▸ S1: eth(CuckooServer) + HostOnlyAdapter(WindowsXP)

▸ S2: eth(Internet) + ethBridge(CuckooServer) + HostOnlyAdapter(WindowsXP)

▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV análisis) + HostOnlyAdapter1(MV análisis) + …

ESQUEMA DE RED

Page 17: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

INSTALACIÓN▸ Requisitos previos (python & pip).

▸ VirtualBox + Extension Pack/KVM/VMWare

▸ Docker Container

▸ Paciencia

Page 18: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

PASOS GENERALES - EXPECTATIVAS▸ Instalar software necesario (python, python-pip…etc)

▸ Instalar VirtualBox + ExtensionPack

▸ Crear una VM (Windows preferiblemente):

▸ Python

▸ PIL

▸ Adobe, Word…etc

▸ Interfaz HostOnly

▸ Tomar instantánea de la MV

▸ Configurar IPTables

▸ Descargar cuckoo

▸ Ejecutar cuckoo.py

Page 19: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

PASOS GENERALES - REALIDAD

Page 20: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

ERRORES ENCONTRADOS

▸ pip: No module named package.version. Reinstalación de pip.

▸ Versión actual (10.10.6) de Django (fallo con el TEMPLATE admin) se recomienda la 1.8.4 (requeriments.txt)

▸ Versión actual de VBox: fallos varios. MV Intermitente

Page 21: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

[SOLUCIONED]

Page 22: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

CONFIGURACIÓN▸ cuckoo.conf

▸ machine

▸ memory_dump

▸ virtualbox.conf

▸ mode = headless

▸ path = /usr/bin/VBoxManage

▸ machines = “wincuckoo”

▸ reporting.conf

▸ MongoDB

▸ memory.conf

▸ Volatility

▸ [wincuckoo]

▸ label = wincuckoo

▸ plataform = windows

▸ ip = 192.168.56.101

Page 23: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

FUNCIONAMIENTO

▸ Subida del archivo

▸ Interfaz Web python manageweb.py runserver0.0.0.0:8080

▸ /utils/submit.py --plataform windows --package exe --machine wincuckoo /srv/malware/virUs.exe

▸ Análisis

▸ Estático

▸ Red

▸ Strings

▸ Reporte

▸ Dominios

▸ AVScanner

Page 24: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

INTERFAZ WEB

Page 25: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

ANÁLISIS RECIENTES DE FICHEROS

ANÁLISIS RECIENTES DE URL

Page 26: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

MUESTRAS

▸ Fuentes:

▸ GitHub: https://github.com/ytisf/theZoo/

▸ Foros: Hack-Forums, indetectables…etc

▸ Google

▸ Caso Forense: volatility

Page 27: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

EMPIEZA EL JUEGO

Page 28: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
Page 29: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

FAIL? - :)

Page 30: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

PROTECCIÓN

▸ Combinando CuckooSandBox + radare2(por ejemplo) + Yara

▸ Reportes y Muestras (Hack, Learn & Share)

DETECCIÓN DE CUCKOO SANDBOX

▸ https://github.com/David-Reguera-Garcia-Dreg/anticuckoo

▸ Reportes y Muestras (Hack, Learn & Share)

Page 31: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

ANÁLISIS DE MALWARE - CUCKOO SANDBOX

CONCLUSIONES

▸ Análisis sin poner en riesgo el sistema.

▸ Es el primer paso para investigar malware.

▸ Posibilidad de poner más de una máquina virtual para el análisis.

▸ Desarrollo de módulos independientes.

▸ Se requiere conocimientos de reversing y exploiting

Page 32: Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

PREGUNTAS