!"#$%"&$%'$()*(+,-.'/'/()*(0$1&2"%*(3".'4'$/$(

5'#".#-(!"#$%!&'"%($%)*&+,+-.%/01."23%

0+*&+,+-.432#5,0-+-$5"+1$16%!"#$%7+8*.%)$%/.,2"9+"+%:5;0<,,29%

=*.,2"9+"+432#5,0-+-$5"+1$16%

Agenda

•  Realidades •  Análisis de malware

•  Captura de malware

•  Sandnets públicas e inicios

•  Desarrollo de Xibalbá

Realidades

Realidades

•  $274,000 USD Millones •  Gastos producidos por

actividades derivadas del crimen cibernético

•  $114,000 USD Millones •  Dinero robado por

c r i m i n a l e s cibernéticos

•  388,000 USD Millones •  Gasto total

Fuente: CiberReport 2011. Symantec

Realidades

•  Durante el último año •  431 millones de adultos sufrieron

ataques cibernéticos •  1+ más de un millón de usuarios se

convirtieron en víctimas diariamente •  14 víctimas cada segundo

Fuente: CiberReport 2011. Symantec

Realidades

•  México ocupa el 3er lugar de ataques bancarios a nivel regional 1.  Brasil 5.99% 2.  Colombia 2.3% 3.  México 1.73% 4.  Ecuador 1.72% 5.  Guatemala 1.5% 6.  Chile 1.35% 7.  Argentina 1.13% 8.  Perú 0.62%

Fuente: ESET Latinoamerica

¿Por qué es importante analizar malware?

!  La fuga de información puede llevar a la quiebra a las empresas

!  54% del cibercrimen global corresponde al malware

!  El troyano "ZeuS" (Trojan-Spy.Win32.Zbot) ha sido el malware más distribuido para usuarios de banca electrónica

¿Por qué es importante analizar malware?

Tan solo en el mes de Agosto del 2011:

!  193,989,043 de redes fueron atacadas por malware.

!  Existieron alrededor de 64,742,608 ataques vía web.

!  Fueron detectados 258,090,156 programas maliciosos en computadoras personales.

Fuente: SecureList

¿Por qué es importante analizar malware?

!  Más de 5 millones de usuarios de redes sociales han experimentado algún tipo de abuso en sus cuentas.

!  Archivos de Office o PDF adjuntos y links contenidos dentro del mensaje de correos electrónicos, son las principales formas de propagación de malware

Fuente: SecureList

Tipos de Análisis de Códigos Maliciosos

Tipos de Análisis de Códigos Maliciosos

Análisis Dinámico !  Basándose en el comportamiento que presenta cuando una muestra es ejecutada en el sistema !  Tiempo estimado de análisis. Una hora

Análisis Estático

!  Analizando las rutinas de ejecución o el código en ensamblador de la muestra !  Tiempo estimado de análisis. Muchas horas "

Tipos de Análisis de Códigos Maliciosos

Análisis dinámico

!  Consiste en identificar los cambios que se llevaron a cabo en el equipo cuando algún código malicioso se ejecutó

!  Se consideran los siguientes elementos: !  Modificaciones en el Sistema de Archivos !  Modificaciones en el registro de Windows !  Actividad de Procesos !  Actividad de Red

Tipos de Análisis de Códigos Maliciosos

Análisis estático !  Se realiza para obtener un mejor entendimiento de lo que realiza el malware

!  Se lleva a cabo una búsqueda de cadenas

!  El proceso de ingeniería inversa se lleva a cabo utilizando herramientas como

!  Desempaquetadores !  Desensambladores !  Debuggers

Captura de Códigos Maliciosos

Captura de Códigos Maliciosos

! Segmentos de red IPv4 de la UNAM !  Dos segmentos clase B, más de 120,000 IPs públicas

! Tráfico no dirigido se considera malicioso ! Se desarrolla el proyecto Darknet

! Cientos de muestras posiblemente maliciosas ! Aproximadamente 20 muestras únicas

Captura de Códigos Maliciosos

! Usuarios externos a través de diversos medios:

! Correo electrónico (malware@seguridad.unam.mx) ! Sistema de incidentes ! Redes sociales ! Notificación directa

Sandnets públicas y primeros inicios

Sandnets públicas y primero inicios

!  Sandnets (redes de arena)

!  Las muestras son ejecutadas en un ambiente controlado

!  Se simulan los servicios más comunes de Internet

!  En ocasiones se le permite salida a Internet a la muestra

Sandnets públicas y primero inicios

!  DSC UNAM. Comenzó a desarrollar un laboratorio de análisis

!  VMWare !  SysAnalizer

Sandnets públicas y primero inicios

!  Se hace uso de Sandnets públicas !  ThreatExpert http://threatexpert.com/

!  NormanSandbox http://www.norman.com/security_center/security_tools !  Joebox http://www.joebox.org/

!  Anubis http://anubis.iseclab.org/

!  Xandora http://report.xandora.net/

Sandnets públicas y primero inicios

!  Las muestras cada vez son más sofisticadas

!  Hacen uso de empaquetadores para hacer el análisis de malware más complejo

!  Ofuscan cadenas !  Antidebbugers !  Antidesensambladores !  Anti – Sandnets

Sandnets públicas y primero inicios

Desarrollo del Laboratorio de Análisis de Software Malicioso

Xibalbá

Desarrollo del Laboratorio de Análisis de Software Malicioso

•  UNAM-CERT, ha desarrollado una Sandnet apoyándose con TRUMAN, acrónimo en inglés de The Reusable Unknown Malware Analysis Net

Desarrollo del Laboratorio de Análisis de Software Malicioso

Funcionamiento de TRUMAN

Desarrollo del Laboratorio de Análisis de Software Malicioso

•  Modificaciones en la estructura original de TRUMAN:

•  Estructura multi-cliente •  O p t i m i z a c i ó n e n e l procesamiento de muestras •  VPNs •  Mejoramiento en el análisis de tráfico de red

Beneficios Obtenidos

!  Aumento del volumen de muestras analizadas !  Reducción del tiempo de análisis por muestra:

±15 min

!  Repositorio centralizado de muestras y sus análisis respectivos

!  Incremento en la probabilidad de ejecución de las muestras

Nuevos retos

!  Reducción del tiempo de análisis por muestra

!  Integración de nuevas herramientas !  Vera. Reverse Engineering Malware in Visualize

Nuevos retos

!  Integración de nuevas herramientas !  Webviz. Visualización de tráfico

!"#$%&'()*+,!"#$%&'#()(*+),#-").*/012"-3)*

(%*456#,-*

7#&%,,#2"*8%"%&).*(%*923:01-*;*(%*<%,"-.-=>)'*(%*?"@-&3),#2"*;*

9-30"#,),#2"A*

B0C(#&%,,#2"*(%*B%=0&#()(*(%*.)*?"@-&3),#2"D*

9(D*!"#$%&'#1)&#)A*9-;-),E"*456#,-*7DFDA*456#,-*

9DGD*HIJKH*<%.LJMNNOKMP*

?"=D*?$E"*4)0&#,#-*/.$)&)(-*Q#3-"%'*

#).$)&)(-R'%=0&#()(D0")3D36*

?"=D*G)C.-*/"1-"#-*Q-&%"S)")*80T5&&%S*

:.-&%"S)")R'%=0&#()(D0")3D36*

,

"#-.$/(-,0)12)#$,BB?U!+/4*V*9WX<*