Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
-
Upload
mario-alberto-parra-alonso -
Category
Internet
-
view
180 -
download
1
Transcript of Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox
CUCKOO SANDBOXANÁLISIS DE MALWARE
Mario Parra Alonso
AGRADECIMIENTOS
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
AVISO▸ No me hago responsable del daño que puedan causar los
malwares aquí mostrados.
▸ Estas pruebas se hacen en un circuito cerrado y rodada por especialistas :P
▸ Durante esta charla no se ha dañado ningún malware. No puedo decir lo mismo de mi VirtualBox :(.
▸ El objetivo de esta charla es la de enseñar a analizar malware para protegernos y no morir en el intento.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
PING @MPALONSO▸ Técnico Superior en
Administración de sistemas en Red
▸ Estudiante de Ingeniería Informática
▸ Proyecto de estudio de ataques y su localización “Honeytrack”
▸ Miembro del equipo de CTF Follow The White Rabbit
▸ Python Lover <3
@MPAlonso_https://github.com/anubis7
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INDEX
▸ Presentación
▸ Introducción
▸ Tendencias
▸ Estudio del malware (cuckoo sandbox)
▸ Demo
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INTRODUCCIÓN
▸ Malware
▸ Historia del Malware
▸ Tipos de malware
▸ Vector de infección
▸ Impacto
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
MALWARE▸ Es un tipo de software que tiene como objetivo infiltrarse
en un sistema sin consentimiento de su propietario.
▸ Protección: antivirus, aplicaciones y sistemas actualizados al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el conocimiento del usuario.
▸ “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” K.M.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
HISTORIA DEL MALWARE
▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET. “Im a creeper, catch me!”. Contramedida: “Reaper”.
▸ Finales de los 80: Viernes_13/Jerusalem infección de ficheros .EXE
▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en el desarrollo de malware.
▸ Año 2000: LoveLetter, Mydoom, Sasser…etc
▸ Desde 2003: malware más sofisticados, aparición de spyware..etc
▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la Policia…etc)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
TIPOS DE MALWARE
▸ Virus clásicos: Viernes13
▸ Gusanos: I<3YOU Blaster
▸ Troyanos: Zeus
▸ Spyware: Perfect_Keylogger KeenValue
▸ Rootkits: T0rn SuckIT
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
VECTORES DE INFECCIÓN
▸ Fallos en aplicaciones y/o sistemas operativos (buffer overflow…etc)
▸ Carga automática de elementos con JavaScript, emails…
▸ Fallos en protocolos de red
▸ Dispositivos físicos
▸ Usuarios!!!
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
IMPACTO
AHORA SIN MIEDO,ESTUDIAMOS??
SANDBOX
▸ Concepto: es un entorno de prueba separado del entorno de producción. Ejemplo de virtualización.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
MÉTODOS DE EVASIÓN
▸ Ofuscación del código
▸ Crypters
▸ Client
▸ Stub (encargado de desencryptar el código)
▸ Más info sobre: Troyanos, Evasion..etc.
▸ Malware_Magazine_1 : underc0de
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ESTUDIO DEL MALWARE (CUCKOO SANDBOX)▸ Cuckoo Sandbox
▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google Summer of Code dentro del proyecto Honeynet.
▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia de Cuckoo Sandbox para obtener una plataforma donde analizar ficheros maliciosos que suban los usuarios. Like VirusTotal.
▸ Año 2014: nace la organización Cuckoo Fundation organización sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e iniciativas similares.
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
▸ Situación 1: Servidor Cuckoo + VM Windows(Máquina de análisis)
▸ Situación 2: Máquina real + VM Cuckoo server + VM Windows(Máquina de análisis)
▸ Situación 3: Servidor Cuckoo + VM Windows XP + VM Windows 7 +… N)
▸ Configuración de interfaz:
▸ S1: eth(CuckooServer) + HostOnlyAdapter(WindowsXP)
▸ S2: eth(Internet) + ethBridge(CuckooServer) + HostOnlyAdapter(WindowsXP)
▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV análisis) + HostOnlyAdapter1(MV análisis) + …
ESQUEMA DE RED
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INSTALACIÓN▸ Requisitos previos (python & pip).
▸ VirtualBox + Extension Pack/KVM/VMWare
▸ Docker Container
▸ Paciencia
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
PASOS GENERALES - EXPECTATIVAS▸ Instalar software necesario (python, python-pip…etc)
▸ Instalar VirtualBox + ExtensionPack
▸ Crear una VM (Windows preferiblemente):
▸ Python
▸ PIL
▸ Adobe, Word…etc
▸ Interfaz HostOnly
▸ Tomar instantánea de la MV
▸ Configurar IPTables
▸ Descargar cuckoo
▸ Ejecutar cuckoo.py
PASOS GENERALES - REALIDAD
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ERRORES ENCONTRADOS
▸ pip: No module named package.version. Reinstalación de pip.
▸ Versión actual (10.10.6) de Django (fallo con el TEMPLATE admin) se recomienda la 1.8.4 (requeriments.txt)
▸ Versión actual de VBox: fallos varios. MV Intermitente
[SOLUCIONED]
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
CONFIGURACIÓN▸ cuckoo.conf
▸ machine
▸ memory_dump
▸ virtualbox.conf
▸ mode = headless
▸ path = /usr/bin/VBoxManage
▸ machines = “wincuckoo”
▸ reporting.conf
▸ MongoDB
▸ memory.conf
▸ Volatility
▸ [wincuckoo]
▸ label = wincuckoo
▸ plataform = windows
▸ ip = 192.168.56.101
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
FUNCIONAMIENTO
▸ Subida del archivo
▸ Interfaz Web python manageweb.py runserver0.0.0.0:8080
▸ /utils/submit.py --plataform windows --package exe --machine wincuckoo /srv/malware/virUs.exe
▸ Análisis
▸ Estático
▸ Red
▸ Strings
▸ Reporte
▸ Dominios
▸ AVScanner
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
INTERFAZ WEB
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
ANÁLISIS RECIENTES DE FICHEROS
ANÁLISIS RECIENTES DE URL
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
MUESTRAS
▸ Fuentes:
▸ GitHub: https://github.com/ytisf/theZoo/
▸ Foros: Hack-Forums, indetectables…etc
▸ Caso Forense: volatility
EMPIEZA EL JUEGO
FAIL? - :)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
PROTECCIÓN
▸ Combinando CuckooSandBox + radare2(por ejemplo) + Yara
▸ Reportes y Muestras (Hack, Learn & Share)
DETECCIÓN DE CUCKOO SANDBOX
▸ https://github.com/David-Reguera-Garcia-Dreg/anticuckoo
▸ Reportes y Muestras (Hack, Learn & Share)
ANÁLISIS DE MALWARE - CUCKOO SANDBOX
CONCLUSIONES
▸ Análisis sin poner en riesgo el sistema.
▸ Es el primer paso para investigar malware.
▸ Posibilidad de poner más de una máquina virtual para el análisis.
▸ Desarrollo de módulos independientes.
▸ Se requiere conocimientos de reversing y exploiting
PREGUNTAS