técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox

Tecnicas para el desarrollo de malwarefuncionamiento de los antivirus y sandbox

Juan A. Salas Santillana

1Student of Computer ScienceUniversidad Catolica San Pablo

2SysAdminAQPHost.com

3Misticom.com

LimaHack, 2013

Disclaimer

La informacion, ası como las tecnicas y herramientas presentadas,deberan ser utilizadas con fines educativos, de investigacion, o parala defensa de sus organizaciones.Limahack, ni sus miembros y/o organizadores, no son responsablespor el uso que se de a este conocimiento..El autor de la presentacion (ya sea que haya fabricado, disenado,desarrollado, facilitado, distribuido u obtiene para su utilizacionuno o mas mecanismos, programas informativos, dispositivos,contrasenas, codigos de acceso o cualquier otro dato informaticono lo ha realizado para la comision de los delitos previstos en laLey de delitos informaticos, tampoco ofrece ni presta servicio quecontribuya a dicho proposito..Por lo cual se excluye de cualquier delito que sea cometido con locomentado en la presentacion.

Outline

Introduccion

Api de WindowsI/ORegistro

Implementando exploitsAnalisis de vulnerabilidades

Enganar a los antivirus y sandbox

Funcionamiento de un motor antivirus y sandbox

Tools a presentar

Introduccion

I Es un tipo de software que tiene como objetivo infiltrarse odanar una computadora o Sistema de informacion sin elconsentimiento de su propietario.

I Desde 2003, la mayor parte de los virus y gusanos han sidodisenados para tomar control de computadoras para suexplotacion en el mercado negro.

Introduccion

I Es un tipo de software que tiene como objetivo infiltrarse odanar una computadora o Sistema de informacion sin elconsentimiento de su propietario.

I Desde 2003, la mayor parte de los virus y gusanos han sidodisenados para tomar control de computadoras para suexplotacion en el mercado negro.

Outline

Introduccion

Tools a presentar

I CopyFile - CopyFile2.

I CreateFile.

I SetFileAttributes.

I CancelIo

I CreateFile.

I CancelIo

I CreateFile.

I CancelIo

I CreateFile.

I CancelIo

I CreateFile.

I CancelIo

Outline

Introduccion

Tools a presentar

Registro

I HKEY CURRENT ROOT

I HKEY CURRENT USER

I HKEY LOCAL MACHINE

I HKEY USERS

I HKEY CURRENT CONFIG

Registro

I HKEY CURRENT ROOT

I HKEY CURRENT USER

I HKEY USERS

Registro

I HKEY CURRENT ROOT

I HKEY CURRENT USER

I HKEY USERS

Registro

I HKEY CURRENT ROOT

I HKEY CURRENT USER

I HKEY USERS

Registro

I HKEY CURRENT ROOT

I HKEY CURRENT USER

I HKEY USERS

Registros importantes

I HKCU\Software\Microsoft\Windows\CurrentVersion\Run

I HKLM\SOFTWARE Microsoft Windows CurrentVersionRunServices

I HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

I HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess

Outline

Introduccion

Tools a presentar

Escalar privilegios

MS10-092Segun Microsoft: Una vulnerabilidad del Programador de tareaspodrıa permitir la elevacion de privilegios.

I Windows 7, 2008, Vista.

I Permite escalar privilegios.

I Colision de hashes (CRC32)

Escalar privilegios

Demo y codigo.

Propagacion

MS10-046Segun Microsoft: Una vulnerabilidad en el shell de Windows podrıapermitir la ejecucion remota de codigo.

I Windows 7, 2008, Vista, XP.

I Permite ejecucion arbitraria de codigo..

I Enlaces directos.

Propagacion

I Enlaces directos.

Propagacion

I Enlaces directos.

Propagacion

I Enlaces directos.

Propagacion

Demo y codigo.

Identificacion del entorno.

Identificar si nos encontramos en entronos de virtualizacion.Codigo y demo.

Poliformismo

Cifrado de trafico

Inutilizar al antivirus.

Codigo y demo.

Antivirus

Aho-Corasick

Figure: Aho-Corasick

Sandbox

Virtualizacion, Analisis de trafico y memoria, etc.

Sandbox

Aquı se presentara mi Sandbox OpenSource

técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox

Internet