Laboratorio de Anlisis de Malware @hugo_glez

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/

Acerca de:
http://atit.upslp.edu.mx/~hugo/

No hago anlisis de malware por motivos econmicos/profesionales, tiene que ver ms con investigacin y cuestiones acadmicas. El pblico objetivo es bsico a intermedio, habr sesiones de anlisis avanzado.

 Para qu analizar malware ?

Mi punto es:

Conocer sobre el malware y su comportamiento. Ayudar en la automatizacin del anlisis de malware. Contribuir a la seguridad en Internet. Resolver problemas del estado de la prctica y del estado del arte. (cripto)

Mi punto es:

Conocer sobre el malware y su comportamiento. Ayudar en la automatizacin del anlisis de malware. Contribuir a la seguridad en Internet. Resolver problemas del estado de la prctica y del estado del arte. (cripto) Conseguir trabajo en un laboratorio de antivirus!

Laboratorio

El laboratorio es un lugar dotado de los medios necesarios para realizar investigaciones, experimentos, prcticas y trabajos de carcter cientfico, tecnolgico o tcnico; est equipado con instrumentos de medida o equipos con que se realizan experimentos, investigaciones o prcticas diversas, segn la rama de la ciencia a la que se dedique.

Se puede asegurar que no se producen influencias extraas (a las conocidas o previstas) que alteren el resultado del experimento o medicin: control. Se garantiza que el experimento o medicin es repetible, es decir, cualquier otro laboratorio podra repetir el proceso y

obtener el mismo resultado: normalizacin.

http://es.wikipedia.org/wiki/Laboratorio

Laboratorio de anlisis de malware

Con software libre !!

Mtodo cientfico

Observacin Induccin Hiptesis Experimentacin Demostracin Tesis o Teora (Conclusiones)

Objetivo:

Aprender ms sobre el malware Publicar ...

Recoleccin de malware Anlisis

Esttico Dinmico De comportamiento

Resultados

Arquitectura genrica

Captura:

Anlisis:

Resultados:

Arquitectura genrica
Captura:
Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes.

Dionaea
http://dionaea.carnivore.it

Video

Arquitectura genrica
Anlisis:
Esttico Strings Decompilar Desensamblar Dinmico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Mquina Virtual Mquina Real Otros ?

Cuckoo

Video

Arquitectura genrica
Resultados:
Ms anlisis Reporte Clasificacin Comparacin Mtodo de limpieza Firma para AV Conocimiento !!

Ponga aqu lo que le agrade

Arquitectura genrica
Captura:
Nepenthes Dionaea Spampot ContagioDUMP USB en el ciber Listas Otras fuentes. Otros ? Dinmico Depurar (Ollydbg, IDA) Comportamiento Ejecutarlo Mquina Virtual Mquina Real

Anlisis:
Esttico Strings Decompilar Desensamblar

Resultados:
Ms anlisis Reporte Clasificacin Comparacin Mtodo de limpieza Firma para AV Conocimiento !!

Spampot

Casos

InetSim http://www.inetsim.org/index.html

Android malware

Ejemplos

Dionaea + cuckoo = reportes Dionaea + Vbox (capture tcpdumps) = cluster Contagiodump + vbox (MacOS)

Conclusiones

Estudiar malware por diversin ! Existen muchas herramientas que ayudan, pero todava falta mejorar la automatizacin, la interaccin entre ellas. El malware actual es ingeniera aplicada! Criptografa, canales de comunicaciones, antidepuracin, anti-virtualizacin, nuevas protecciones. Wadalec, Duqu / Stuxnet. Android malware.

 Preguntas ?

@hugo_glez

Reto de analisis forense para android en: http://atit.upslp.edu.mx/~hugo/guadalajaracon/