!"#$%"&$%'$ )* +,-.'/'/ )* 0$1&2"%* 3".'4'$/$ 5'#".#- !"#$ !&'" ($ )*&+,+-. /01."23 0+*&+,+-.432#5,0-+-$5"+1$16 !"#$ 7+8*. )$ /.,2"9+"+ :5;0<,,29 =*.,2"9+"+432#5,0-+-$5"+1$16
!"#$%"&$%'$()*(+,-.'/'/()*(0$1&2"%*(3".'4'$/$(
5'#".#-(!"#$%!&'"%($%)*&+,+-.%/01."23%
0+*&+,+-.432#5,0-+-$5"+1$16%!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%
=*.,2"9+"+432#5,0-+-$5"+1$16%
Agenda
• Realidades • Análisis de malware
• Captura de malware
• Sandnets públicas e inicios
• Desarrollo de Xibalbá
Realidades
Realidades
• $274,000 USD Millones • Gastos producidos por
actividades derivadas del crimen cibernético
• $114,000 USD Millones • Dinero robado por
c r i m i n a l e s cibernéticos
• 388,000 USD Millones • Gasto total
Fuente: CiberReport 2011. Symantec
Realidades
• Durante el último año • 431 millones de adultos sufrieron
ataques cibernéticos • 1+ más de un millón de usuarios se
convirtieron en víctimas diariamente • 14 víctimas cada segundo
Fuente: CiberReport 2011. Symantec
Realidades
• México ocupa el 3er lugar de ataques bancarios a nivel regional 1. Brasil 5.99% 2. Colombia 2.3% 3. México 1.73% 4. Ecuador 1.72% 5. Guatemala 1.5% 6. Chile 1.35% 7. Argentina 1.13% 8. Perú 0.62%
Fuente: ESET Latinoamerica
¿Por qué es importante analizar malware?
! La fuga de información puede llevar a la quiebra a las empresas
! 54% del cibercrimen global corresponde al malware
! El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el malware más distribuido para usuarios de banca electrónica
¿Por qué es importante analizar malware?
Tan solo en el mes de Agosto del 2011:
! 193,989,043 de redes fueron atacadas por malware.
! Existieron alrededor de 64,742,608 ataques vía web.
! Fueron detectados 258,090,156 programas maliciosos en computadoras personales.
Fuente: SecureList
¿Por qué es importante analizar malware?
! Más de 5 millones de usuarios de redes sociales han experimentado algún tipo de abuso en sus cuentas.
! Archivos de Office o PDF adjuntos y links contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware
Fuente: SecureList
Tipos de Análisis de Códigos Maliciosos
Tipos de Análisis de Códigos Maliciosos
Análisis Dinámico ! Basándose en el comportamiento que presenta cuando una muestra es ejecutada en el sistema ! Tiempo estimado de análisis. Una hora
Análisis Estático
! Analizando las rutinas de ejecución o el código en ensamblador de la muestra ! Tiempo estimado de análisis. Muchas horas "
Tipos de Análisis de Códigos Maliciosos
Análisis dinámico
! Consiste en identificar los cambios que se llevaron a cabo en el equipo cuando algún código malicioso se ejecutó
! Se consideran los siguientes elementos: ! Modificaciones en el Sistema de Archivos ! Modificaciones en el registro de Windows ! Actividad de Procesos ! Actividad de Red
Tipos de Análisis de Códigos Maliciosos
Análisis estático ! Se realiza para obtener un mejor entendimiento de lo que realiza el malware
! Se lleva a cabo una búsqueda de cadenas
! El proceso de ingeniería inversa se lleva a cabo utilizando herramientas como
! Desempaquetadores ! Desensambladores ! Debuggers
Captura de Códigos Maliciosos
Captura de Códigos Maliciosos
! Segmentos de red IPv4 de la UNAM ! Dos segmentos clase B, más de 120,000 IPs públicas
! Tráfico no dirigido se considera malicioso ! Se desarrolla el proyecto Darknet
! Cientos de muestras posiblemente maliciosas ! Aproximadamente 20 muestras únicas
Captura de Códigos Maliciosos
! Usuarios externos a través de diversos medios:
! Correo electrónico ([email protected]) ! Sistema de incidentes ! Redes sociales ! Notificación directa
Sandnets públicas y primeros inicios
Sandnets públicas y primero inicios
! Sandnets (redes de arena)
! Las muestras son ejecutadas en un ambiente controlado
! Se simulan los servicios más comunes de Internet
! En ocasiones se le permite salida a Internet a la muestra
Sandnets públicas y primero inicios
! DSC UNAM. Comenzó a desarrollar un laboratorio de análisis
! VMWare ! SysAnalizer
Sandnets públicas y primero inicios
! Se hace uso de Sandnets públicas ! ThreatExpert http://threatexpert.com/
! NormanSandbox http://www.norman.com/security_center/security_tools ! Joebox http://www.joebox.org/
! Anubis http://anubis.iseclab.org/
! Xandora http://report.xandora.net/
Sandnets públicas y primero inicios
! Las muestras cada vez son más sofisticadas
! Hacen uso de empaquetadores para hacer el análisis de malware más complejo
! Ofuscan cadenas ! Antidebbugers ! Antidesensambladores ! Anti – Sandnets
Sandnets públicas y primero inicios
Desarrollo del Laboratorio de Análisis de Software Malicioso
Xibalbá
Desarrollo del Laboratorio de Análisis de Software Malicioso
• UNAM-CERT, ha desarrollado una Sandnet apoyándose con TRUMAN, acrónimo en inglés de The Reusable Unknown Malware Analysis Net
Desarrollo del Laboratorio de Análisis de Software Malicioso
Funcionamiento de TRUMAN
Desarrollo del Laboratorio de Análisis de Software Malicioso
• Modificaciones en la estructura original de TRUMAN:
• Estructura multi-cliente • O p t i m i z a c i ó n e n e l procesamiento de muestras • VPNs • Mejoramiento en el análisis de tráfico de red
Beneficios Obtenidos
! Aumento del volumen de muestras analizadas ! Reducción del tiempo de análisis por muestra:
±15 min
! Repositorio centralizado de muestras y sus análisis respectivos
! Incremento en la probabilidad de ejecución de las muestras
Nuevos retos
! Reducción del tiempo de análisis por muestra
! Integración de nuevas herramientas ! Vera. Reverse Engineering Malware in Visualize
Nuevos retos
! Integración de nuevas herramientas ! Webviz. Visualización de tráfico
!"#$%&'()*+,!"#$%&'#()(*+),#-").*/012"-3)*
(%*456#,-*
7#&%,,#2"*8%"%&).*(%*923:01-*;*(%*<%,"-.-=>)'*(%*?"@-&3),#2"*;*
9-30"#,),#2"A*
B0C(#&%,,#2"*(%*B%=0&#()(*(%*.)*?"@-&3),#2"D*
9(D*!"#$%&'#1)&#)A*9-;-),E"*456#,-*7DFDA*456#,-*
9DGD*HIJKH*<%.LJMNNOKMP*
?"=D*?$E"*4)0&#,#-*/.$)&)(-*Q#3-"%'*
#).$)&)(-R'%=0&#()(D0")3D36*
?"=D*G)C.-*/"1-"#-*Q-&%"S)")*80T5&&%S*
:.-&%"S)")R'%=0&#()(D0")3D36*
,
"#-.$/(-,0)12)#$,BB?U!+/4*V*9WX<*