técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
TRANSCRIPT
Tecnicas para el desarrollo de malwarefuncionamiento de los antivirus y sandbox
Juan A. Salas Santillana
1Student of Computer ScienceUniversidad Catolica San Pablo
2SysAdminAQPHost.com
3Misticom.com
LimaHack, 2013
Disclaimer
La informacion, ası como las tecnicas y herramientas presentadas,deberan ser utilizadas con fines educativos, de investigacion, o parala defensa de sus organizaciones.Limahack, ni sus miembros y/o organizadores, no son responsablespor el uso que se de a este conocimiento..El autor de la presentacion (ya sea que haya fabricado, disenado,desarrollado, facilitado, distribuido u obtiene para su utilizacionuno o mas mecanismos, programas informativos, dispositivos,contrasenas, codigos de acceso o cualquier otro dato informaticono lo ha realizado para la comision de los delitos previstos en laLey de delitos informaticos, tampoco ofrece ni presta servicio quecontribuya a dicho proposito..Por lo cual se excluye de cualquier delito que sea cometido con locomentado en la presentacion.
Outline
Introduccion
Api de WindowsI/ORegistro
Implementando exploitsAnalisis de vulnerabilidades
Enganar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar
Introduccion
I Es un tipo de software que tiene como objetivo infiltrarse odanar una computadora o Sistema de informacion sin elconsentimiento de su propietario.
I Desde 2003, la mayor parte de los virus y gusanos han sidodisenados para tomar control de computadoras para suexplotacion en el mercado negro.
Introduccion
I Es un tipo de software que tiene como objetivo infiltrarse odanar una computadora o Sistema de informacion sin elconsentimiento de su propietario.
I Desde 2003, la mayor parte de los virus y gusanos han sidodisenados para tomar control de computadoras para suexplotacion en el mercado negro.
Outline
Introduccion
Api de WindowsI/ORegistro
Implementando exploitsAnalisis de vulnerabilidades
Enganar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar
Outline
Introduccion
Api de WindowsI/ORegistro
Implementando exploitsAnalisis de vulnerabilidades
Enganar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar
Registro
I HKEY CURRENT ROOT
I HKEY CURRENT USER
I HKEY LOCAL MACHINE
I HKEY USERS
I HKEY CURRENT CONFIG
Registro
I HKEY CURRENT ROOT
I HKEY CURRENT USER
I HKEY LOCAL MACHINE
I HKEY USERS
I HKEY CURRENT CONFIG
Registro
I HKEY CURRENT ROOT
I HKEY CURRENT USER
I HKEY LOCAL MACHINE
I HKEY USERS
I HKEY CURRENT CONFIG
Registro
I HKEY CURRENT ROOT
I HKEY CURRENT USER
I HKEY LOCAL MACHINE
I HKEY USERS
I HKEY CURRENT CONFIG
Registro
I HKEY CURRENT ROOT
I HKEY CURRENT USER
I HKEY LOCAL MACHINE
I HKEY USERS
I HKEY CURRENT CONFIG
Registros importantes
I HKCU\Software\Microsoft\Windows\CurrentVersion\Run
I HKLM\SOFTWARE Microsoft Windows CurrentVersionRunServices
I HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
I HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Registros importantes
I HKCU\Software\Microsoft\Windows\CurrentVersion\Run
I HKLM\SOFTWARE Microsoft Windows CurrentVersionRunServices
I HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
I HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Registros importantes
I HKCU\Software\Microsoft\Windows\CurrentVersion\Run
I HKLM\SOFTWARE Microsoft Windows CurrentVersionRunServices
I HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
I HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Registros importantes
I HKCU\Software\Microsoft\Windows\CurrentVersion\Run
I HKLM\SOFTWARE Microsoft Windows CurrentVersionRunServices
I HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
I HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Outline
Introduccion
Api de WindowsI/ORegistro
Implementando exploitsAnalisis de vulnerabilidades
Enganar a los antivirus y sandbox
Funcionamiento de un motor antivirus y sandbox
Tools a presentar
Escalar privilegios
MS10-092Segun Microsoft: Una vulnerabilidad del Programador de tareaspodrıa permitir la elevacion de privilegios.
I Windows 7, 2008, Vista.
I Permite escalar privilegios.
I Colision de hashes (CRC32)
Escalar privilegios
MS10-092Segun Microsoft: Una vulnerabilidad del Programador de tareaspodrıa permitir la elevacion de privilegios.
I Windows 7, 2008, Vista.
I Permite escalar privilegios.
I Colision de hashes (CRC32)
Escalar privilegios
MS10-092Segun Microsoft: Una vulnerabilidad del Programador de tareaspodrıa permitir la elevacion de privilegios.
I Windows 7, 2008, Vista.
I Permite escalar privilegios.
I Colision de hashes (CRC32)
Escalar privilegios
MS10-092Segun Microsoft: Una vulnerabilidad del Programador de tareaspodrıa permitir la elevacion de privilegios.
I Windows 7, 2008, Vista.
I Permite escalar privilegios.
I Colision de hashes (CRC32)
Propagacion
MS10-046Segun Microsoft: Una vulnerabilidad en el shell de Windows podrıapermitir la ejecucion remota de codigo.
I Windows 7, 2008, Vista, XP.
I Permite ejecucion arbitraria de codigo..
I Enlaces directos.
Propagacion
MS10-046Segun Microsoft: Una vulnerabilidad en el shell de Windows podrıapermitir la ejecucion remota de codigo.
I Windows 7, 2008, Vista, XP.
I Permite ejecucion arbitraria de codigo..
I Enlaces directos.
Propagacion
MS10-046Segun Microsoft: Una vulnerabilidad en el shell de Windows podrıapermitir la ejecucion remota de codigo.
I Windows 7, 2008, Vista, XP.
I Permite ejecucion arbitraria de codigo..
I Enlaces directos.
Propagacion
MS10-046Segun Microsoft: Una vulnerabilidad en el shell de Windows podrıapermitir la ejecucion remota de codigo.
I Windows 7, 2008, Vista, XP.
I Permite ejecucion arbitraria de codigo..
I Enlaces directos.
Identificacion del entorno.
Identificar si nos encontramos en entronos de virtualizacion.Codigo y demo.