!"#$%"&$%'$()*(+,-.'/'/()*( 0$1&2"%*(3".'4'$/$( 5'#".#-(

Texto completo

(1)

!"#$%"&$%'$()*(+,-.'/'/()*(

0$1&2"%*(3".'4'$/$(

5'#".#-

(

!"#$%!&'"%($%)*&+,+-.%/01."23%

0+*&+,+-.432#5,0-+-$5"+1$16

%

!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%

=*.,2"9+"+432#5,0-+-$5"+1$16%

(2)

Agenda

•  Realidades

•  Análisis de malware •  Captura de malware

•  Sandnets públicas e inicios •  Desarrollo de Xibalbá

(3)
(4)

Realidades

•  $274,000 USD Millones

•  Gastos producidos por actividades derivadas del crimen cibernético •  $114,000 USD Millones

•  Dinero robado por c r i m i n a l e s cibernéticos

•  388,000 USD Millones •  Gasto total

(5)

Realidades

•  Durante el último año

•  431 millones de adultos sufrieron ataques cibernéticos

•  1+ más de un millón de usuarios se convirtieron en víctimas diariamente

•  14 víctimas cada segundo

(6)

Realidades

•  México ocupa el 3er lugar de ataques bancarios a nivel regional 1.  Brasil 5.99% 2.  Colombia 2.3% 3.  México 1.73% 4.  Ecuador 1.72% 5.  Guatemala 1.5% 6.  Chile 1.35% 7.  Argentina 1.13% 8.  Perú 0.62%

(7)

¿Por qué es importante analizar

malware?

!  La fuga de información puede llevar a la quiebra

a las empresas

!  54% del cibercrimen global corresponde al

malware

!  El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el

malware más distribuido para usuarios de banca electrónica

(8)

¿Por qué es importante analizar

malware?

Tan solo en el mes de Agosto del 2011:

!  193,989,043 de redes fueron atacadas por

malware.

!  Existieron alrededor de 64,742,608 ataques vía web.

!  Fueron detectados 258,090,156 programas

maliciosos en computadoras personales.

(9)

¿Por qué es importante analizar

malware?

!  Más de 5 millones de usuarios de redes sociales

han experimentado algún tipo de abuso en sus cuentas.

!  Archivos de Office o PDF adjuntos y links

contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware

(10)

Tipos de Análisis de Códigos

Maliciosos

(11)

Tipos de Análisis de Códigos Maliciosos

Análisis Dinámico

!  Basándose en el comportamiento que

presenta cuando una muestra es ejecutada en el sistema

!  Tiempo estimado de análisis. Una hora

Análisis Estático

!  Analizando las rutinas de ejecución o el

código en ensamblador de la muestra

(12)

Tipos de Análisis de Códigos Maliciosos

Análisis dinámico

!  Consiste en identificar los cambios que se llevaron

a cabo en el equipo cuando algún código malicioso se ejecutó

!  Se consideran los siguientes elementos:

!  Modificaciones en el Sistema de Archivos

!  Modificaciones en el registro de Windows

!  Actividad de Procesos

(13)

Tipos de Análisis de Códigos Maliciosos

Análisis estático

!  Se realiza para obtener un mejor entendimiento

de lo que realiza el malware

!  Se lleva a cabo una búsqueda de cadenas

!  El proceso de ingeniería inversa se lleva a cabo

utilizando herramientas como

!  Desempaquetadores

!  Desensambladores

(14)
(15)

Captura de Códigos Maliciosos

! 

Segmentos de red IPv4 de la UNAM

!  Dos segmentos clase B, más de 120,000

IPs públicas

! 

Tráfico no dirigido se considera malicioso

! 

Se desarrolla el proyecto Darknet

! 

Cientos de muestras posiblemente

maliciosas

(16)

Captura de Códigos Maliciosos

! 

Usuarios externos a través de diversos

medios:

! 

Correo electrónico (

malware@seguridad.unam.mx

)

! 

Sistema de incidentes

! 

Redes sociales

(17)
(18)

Sandnets públicas y primero inicios

!  Sandnets (redes de arena)

!  Las muestras son ejecutadas en un ambiente

controlado

!  Se simulan los servicios más comunes de Internet

!  En ocasiones se le permite salida a Internet a la

(19)

Sandnets públicas y primero inicios

!  DSC UNAM. Comenzó a desarrollar un laboratorio

de análisis

!  VMWare

(20)

Sandnets públicas y primero inicios

!  Se hace uso de Sandnets públicas

!  ThreatExpert http://threatexpert.com/

!  NormanSandbox http://www.norman.com/security_center/security_tools !  Joebox http://www.joebox.org/

!  Anubis http://anubis.iseclab.org/ !  Xandora http://report.xandora.net/

(21)

Sandnets públicas y primero inicios

!  Las muestras cada vez son más sofisticadas

!  Hacen uso de empaquetadores para hacer el

análisis de malware más complejo

!  Ofuscan cadenas

!  Antidebbugers

!  Antidesensambladores

(22)
(23)

Desarrollo del Laboratorio de Análisis

de Software Malicioso

(24)

Desarrollo del Laboratorio de Análisis

de Software Malicioso

•  UNAM-CERT, ha desarrollado una Sandnet apoyándose

con TRUMAN, acrónimo en inglés de The Reusable Unknown

(25)

Desarrollo del Laboratorio de Análisis

de Software Malicioso

(26)

Desarrollo del Laboratorio de Análisis

de Software Malicioso

•  Modificaciones en la estructura original de TRUMAN: •  Estructura multi-cliente •  O p t i m i z a c i ó n e n e l procesamiento de muestras •  VPNs •  Mejoramiento en el análisis de tráfico de red

(27)

Beneficios Obtenidos

!  Aumento del volumen de muestras analizadas

!  Reducción del tiempo de análisis por muestra:

±15 min

!  Repositorio centralizado de muestras y sus análisis

respectivos

!  Incremento en la probabilidad de ejecución de

(28)

Nuevos retos

!  Reducción del tiempo de análisis por muestra

!  Integración de nuevas herramientas

!  Vera. Reverse Engineering Malware in

(29)

Nuevos retos

!  Integración de nuevas herramientas

(30)

!"#$%&'()*+,

!"#$%&'#()(*+),#-").*/012"-3)* (%*456#,-* 7#&%,,#2"*8%"%&).*(%*923:01-*;*(%* <%,"-.-=>)'*(%*?"@-&3),#2"*;* 9-30"#,),#2"A* B0C(#&%,,#2"*(%*B%=0&#()(*(%*.)* ?"@-&3),#2"D* 9(D*!"#$%&'#1)&#)A*9-;-),E"* 456#,-*7DFDA*456#,-* 9DGD*HIJKH* <%.LJMNNOKMP* ?"=D*?$E"*4)0&#,#-*/.$)&)(-* Q#3-"%'* #).$)&)(-R'%=0&#()(D0")3D36* ?"=D*G)C.-*/"1-"#-*Q-&%"S)")*80T5&&%S* :.-&%"S)")R'%=0&#()(D0")3D36* , "#-.$/(-,0)12)#$, BB?U!+/4*V*9WX<*

Figure

Actualización...

Referencias

Actualización...

Related subjects :