!"#$%"&$%'$()*(+,-.'/'/()*( 0$1&2"%*(3".'4'$/$( 5'#".#-(

!"#$%"&$%'$()*(+,-.'/'/()*(

0$1&2"%*(3".'4'$/$(

5'#".#-

(

!"#$%!&'"%($%)*&+,+-.%/01."23%

0+*&+,+-.432#5,0-+-$5"+1$16

%

!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%

=*.,2"9+"+432#5,0-+-$5"+1$16%

Agenda

•  Realidades

•  Análisis de malware •  Captura de malware

•  Sandnets públicas e inicios •  Desarrollo de Xibalbá

Realidades

•  $274,000 USD Millones

•  Gastos producidos por actividades derivadas del crimen cibernético •  $114,000 USD Millones

•  Dinero robado por c r i m i n a l e s cibernéticos

•  388,000 USD Millones •  Gasto total

Realidades

•  Durante el último año

•  431 millones de adultos sufrieron ataques cibernéticos

•  1+ más de un millón de usuarios se convirtieron en víctimas diariamente

•  14 víctimas cada segundo

Realidades

•  México ocupa el 3er lugar de ataques bancarios a nivel regional 1.  Brasil 5.99% 2.  Colombia 2.3% 3.  México 1.73% 4.  Ecuador 1.72% 5.  Guatemala 1.5% 6.  Chile 1.35% 7.  Argentina 1.13% 8.  Perú 0.62%

¿Por qué es importante analizar

malware?

!  La fuga de información puede llevar a la quiebra

a las empresas

!  54% del cibercrimen global corresponde al

malware

!  El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el

malware más distribuido para usuarios de banca electrónica

¿Por qué es importante analizar

malware?

Tan solo en el mes de Agosto del 2011:

!  193,989,043 de redes fueron atacadas por

malware.

!  Existieron alrededor de 64,742,608 ataques vía web.

!  Fueron detectados 258,090,156 programas

maliciosos en computadoras personales.

¿Por qué es importante analizar

malware?

!  Más de 5 millones de usuarios de redes sociales

han experimentado algún tipo de abuso en sus cuentas.

!  Archivos de Office o PDF adjuntos y links

contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware

Tipos de Análisis de Códigos

Maliciosos

Tipos de Análisis de Códigos Maliciosos

Análisis Dinámico

!  Basándose en el comportamiento que

presenta cuando una muestra es ejecutada en el sistema

!  Tiempo estimado de análisis. Una hora

Análisis Estático

!  Analizando las rutinas de ejecución o el

código en ensamblador de la muestra

Tipos de Análisis de Códigos Maliciosos

Análisis dinámico

!  Consiste en identificar los cambios que se llevaron

a cabo en el equipo cuando algún código malicioso se ejecutó

!  Se consideran los siguientes elementos:

!  Modificaciones en el Sistema de Archivos

!  Modificaciones en el registro de Windows

!  Actividad de Procesos

Tipos de Análisis de Códigos Maliciosos

Análisis estático

!  Se realiza para obtener un mejor entendimiento

de lo que realiza el malware

!  Se lleva a cabo una búsqueda de cadenas

!  El proceso de ingeniería inversa se lleva a cabo

utilizando herramientas como

!  Desempaquetadores

!  Desensambladores

Captura de Códigos Maliciosos

! 

Segmentos de red IPv4 de la UNAM

!  Dos segmentos clase B, más de 120,000

IPs públicas

! 

Tráfico no dirigido se considera malicioso

! 

Se desarrolla el proyecto Darknet

! 

Cientos de muestras posiblemente

maliciosas

Captura de Códigos Maliciosos

! 

Usuarios externos a través de diversos

medios:

! 

Correo electrónico (

malware@seguridad.unam.mx

)

! 

Sistema de incidentes

! 

Redes sociales

Sandnets públicas y primero inicios

!  Sandnets (redes de arena)

!  Las muestras son ejecutadas en un ambiente

controlado

!  Se simulan los servicios más comunes de Internet

!  En ocasiones se le permite salida a Internet a la

Sandnets públicas y primero inicios

!  DSC UNAM. Comenzó a desarrollar un laboratorio

de análisis

!  VMWare

Sandnets públicas y primero inicios

!  Se hace uso de Sandnets públicas

!  ThreatExpert http://threatexpert.com/

!  NormanSandbox http://www.norman.com/security_center/security_tools !  Joebox http://www.joebox.org/

!  Anubis http://anubis.iseclab.org/ !  Xandora http://report.xandora.net/

Sandnets públicas y primero inicios

!  Las muestras cada vez son más sofisticadas

!  Hacen uso de empaquetadores para hacer el

análisis de malware más complejo

!  Ofuscan cadenas

!  Antidebbugers

!  Antidesensambladores

Desarrollo del Laboratorio de Análisis

de Software Malicioso

Desarrollo del Laboratorio de Análisis

de Software Malicioso

•  UNAM-CERT, ha desarrollado una Sandnet apoyándose

con TRUMAN, acrónimo en inglés de The Reusable Unknown

Desarrollo del Laboratorio de Análisis

de Software Malicioso

Desarrollo del Laboratorio de Análisis

de Software Malicioso

•  Modificaciones en la estructura original de TRUMAN: •  Estructura multi-cliente •  O p t i m i z a c i ó n e n e l procesamiento de muestras •  VPNs •  Mejoramiento en el análisis de tráfico de red

Beneficios Obtenidos

!  Aumento del volumen de muestras analizadas

!  Reducción del tiempo de análisis por muestra:

±15 min

!  Repositorio centralizado de muestras y sus análisis

respectivos

!  Incremento en la probabilidad de ejecución de

Nuevos retos

!  Reducción del tiempo de análisis por muestra

!  Integración de nuevas herramientas

!  Vera. Reverse Engineering Malware in

Nuevos retos

!  Integración de nuevas herramientas

!"#$%&'()*+,

!"#$%&'#()(*+),#-").*/012"-3)* (%*456#,-* 7#&%,,#2"*8%"%&).*(%*923:01-*;*(%* <%,"-.-=>)'*(%*?"@-&3),#2"*;* 9-30"#,),#2"A* B0C(#&%,,#2"*(%*B%=0&#()(*(%*.)* ?"@-&3),#2"D* 9(D*!"#$%&'#1)&#)A*9-;-),E"* 456#,-*7DFDA*456#,-* 9DGD*HIJKH* <%.LJMNNOKMP* ?"=D*?$E"*4)0&#,#-*/.$)&)(-* Q#3-"%'* #).$)&)(-R'%=0&#()(D0")3D36* ?"=D*G)C.-*/"1-"#-*Q-&%"S)")*80T5&&%S* :.-&%"S)")R'%=0&#()(D0")3D36* , "#-.$/(-,0)12)#$, BB?U!+/4*V*9WX<*