!"#$%"&$%'$()*(+,-.'/'/()*(
0$1&2"%*(3".'4'$/$(
5'#".#-(
!"#$%!&'"%($%)*&+,+-.%/01."23%
0+*&+,+-.432#5,0-+-$5"+1$16%
!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%
=*.,2"9+"+432#5,0-+-$5"+1$16%Agenda
• Realidades
• Análisis de malware • Captura de malware
• Sandnets públicas e inicios • Desarrollo de Xibalbá
Realidades
• $274,000 USD Millones
• Gastos producidos por actividades derivadas del crimen cibernético • $114,000 USD Millones
• Dinero robado por c r i m i n a l e s cibernéticos
• 388,000 USD Millones • Gasto total
Realidades
• Durante el último año
• 431 millones de adultos sufrieron ataques cibernéticos
• 1+ más de un millón de usuarios se convirtieron en víctimas diariamente
• 14 víctimas cada segundo
Realidades
• México ocupa el 3er lugar de ataques bancarios a nivel regional 1. Brasil 5.99% 2. Colombia 2.3% 3. México 1.73% 4. Ecuador 1.72% 5. Guatemala 1.5% 6. Chile 1.35% 7. Argentina 1.13% 8. Perú 0.62%
¿Por qué es importante analizar
malware?
! La fuga de información puede llevar a la quiebra
a las empresas
! 54% del cibercrimen global corresponde al
malware
! El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el
malware más distribuido para usuarios de banca electrónica
¿Por qué es importante analizar
malware?
Tan solo en el mes de Agosto del 2011:
! 193,989,043 de redes fueron atacadas por
malware.
! Existieron alrededor de 64,742,608 ataques vía web.
! Fueron detectados 258,090,156 programas
maliciosos en computadoras personales.
¿Por qué es importante analizar
malware?
! Más de 5 millones de usuarios de redes sociales
han experimentado algún tipo de abuso en sus cuentas.
! Archivos de Office o PDF adjuntos y links
contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware
Tipos de Análisis de Códigos
Maliciosos
Tipos de Análisis de Códigos Maliciosos
Análisis Dinámico
! Basándose en el comportamiento que
presenta cuando una muestra es ejecutada en el sistema
! Tiempo estimado de análisis. Una hora
Análisis Estático
! Analizando las rutinas de ejecución o el
código en ensamblador de la muestra
Tipos de Análisis de Códigos Maliciosos
Análisis dinámico
! Consiste en identificar los cambios que se llevaron
a cabo en el equipo cuando algún código malicioso se ejecutó
! Se consideran los siguientes elementos:
! Modificaciones en el Sistema de Archivos
! Modificaciones en el registro de Windows
! Actividad de Procesos
Tipos de Análisis de Códigos Maliciosos
Análisis estático
! Se realiza para obtener un mejor entendimiento
de lo que realiza el malware
! Se lleva a cabo una búsqueda de cadenas
! El proceso de ingeniería inversa se lleva a cabo
utilizando herramientas como
! Desempaquetadores
! Desensambladores
Captura de Códigos Maliciosos
!
Segmentos de red IPv4 de la UNAM
! Dos segmentos clase B, más de 120,000
IPs públicas
!
Tráfico no dirigido se considera malicioso
!
Se desarrolla el proyecto Darknet
!
Cientos de muestras posiblemente
maliciosas
Captura de Códigos Maliciosos
!
Usuarios externos a través de diversos
medios:
!
Correo electrónico (
malware@seguridad.unam.mx)
!
Sistema de incidentes
!
Redes sociales
Sandnets públicas y primero inicios
! Sandnets (redes de arena)
! Las muestras son ejecutadas en un ambiente
controlado
! Se simulan los servicios más comunes de Internet
! En ocasiones se le permite salida a Internet a la
Sandnets públicas y primero inicios
! DSC UNAM. Comenzó a desarrollar un laboratorio
de análisis
! VMWare
Sandnets públicas y primero inicios
! Se hace uso de Sandnets públicas
! ThreatExpert http://threatexpert.com/
! NormanSandbox http://www.norman.com/security_center/security_tools ! Joebox http://www.joebox.org/
! Anubis http://anubis.iseclab.org/ ! Xandora http://report.xandora.net/
Sandnets públicas y primero inicios
! Las muestras cada vez son más sofisticadas
! Hacen uso de empaquetadores para hacer el
análisis de malware más complejo
! Ofuscan cadenas
! Antidebbugers
! Antidesensambladores
Desarrollo del Laboratorio de Análisis
de Software Malicioso
Desarrollo del Laboratorio de Análisis
de Software Malicioso
• UNAM-CERT, ha desarrollado una Sandnet apoyándose
con TRUMAN, acrónimo en inglés de The Reusable Unknown
Desarrollo del Laboratorio de Análisis
de Software Malicioso
Desarrollo del Laboratorio de Análisis
de Software Malicioso
• Modificaciones en la estructura original de TRUMAN: • Estructura multi-cliente • O p t i m i z a c i ó n e n e l procesamiento de muestras • VPNs • Mejoramiento en el análisis de tráfico de red
Beneficios Obtenidos
! Aumento del volumen de muestras analizadas
! Reducción del tiempo de análisis por muestra:
±15 min
! Repositorio centralizado de muestras y sus análisis
respectivos
! Incremento en la probabilidad de ejecución de
Nuevos retos
! Reducción del tiempo de análisis por muestra
! Integración de nuevas herramientas
! Vera. Reverse Engineering Malware in
Nuevos retos
! Integración de nuevas herramientas