Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

CUCKOO SANDBOX
ANÁLISIS DE MALWARE
Mario Parra Alonso

ANÁLISIS DE MALWARE - CUCKOO SANDBOX
AVISO
▸ No me hago responsable del daño que puedan causar los
malwares aquí mostrados.
▸ Estas pruebas se hacen en un circuito cerrado y rodada
por especialistas :P
▸ Durante esta charla no se ha dañado ningún malware. No
puedo decir lo mismo de mi VirtualBox :(.
▸ El objetivo de esta charla es la de enseñar a analizar
malware para protegernos y no morir en el intento.

PING @MPALONSO
▸ Técnico Superior en
Administración de sistemas en Red
▸ Estudiante de Ingeniería
Informática
▸ Proyecto de estudio de ataques y
su localización “Honeytrack”
▸ Miembro del equipo de CTF
Follow The White Rabbit
▸ Python Lover <3
@MPAlonso_https://github.com/anubis7

INDEX
▸ Presentación
▸ Introducción
▸ Tendencias
▸ Estudio del malware (cuckoo sandbox)
▸ Demo

INTRODUCCIÓN
▸ Malware
▸ Historia del Malware
▸ Tipos de malware
▸ Vector de infección
▸ Impacto

MALWARE
▸ Es un tipo de software que tiene como objetivo infiltrarse
en un sistema sin consentimiento de su propietario.
▸ Protección: antivirus, aplicaciones y sistemas actualizados
al día, firewalls, HIDS/NIDS. Pero lo más efectivo es el
conocimiento del usuario.
▸ “Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque ninguna de estas
medidas cubre el eslabón más débil de la cadena de seguridad: la
gente que usa y administra los ordenadores” K.M.

HISTORIA DEL MALWARE
▸ Primer malware: Creeper, infectabas máquinas IBM 360 de ARPANET.
“Im a creeper, catch me!”. Contramedida: “Reaper”.
▸ Finales de los 80: Viernes_13/Jerusalem infección de ﬁcheros .EXE
▸ Finales de los 90: Happy, un gusano que crea una nueva corriente en
el desarrollo de malware.
▸ Año 2000: LoveLetter, Mydoom, Sasser…etc
▸ Desde 2003: malware más soﬁsticados, aparición de spyware..etc
▸ Año 2013 - Actualidad: ransomware (CryptoLocker, Virus de la
Policia…etc)

TIPOS DE MALWARE
▸ Virus clásicos: Viernes13
▸ Gusanos: I<3YOU Blaster
▸ Troyanos: Zeus
▸ Spyware: Perfect_Keylogger KeenValue
▸ Rootkits: T0rn SuckIT

VECTORES DE INFECCIÓN
▸ Fallos en aplicaciones y/o sistemas operativos (buffer
overﬂow…etc)
▸ Carga automática de elementos con JavaScript, emails…
▸ Fallos en protocolos de red
▸ Dispositivos físicos
▸ Usuarios!!!

IMPACTO

AHORA SIN MIEDO, 
ESTUDIAMOS??

SANDBOX
▸ Concepto: es un entorno de prueba separado del entorno de
producción. Ejemplo de virtualización.

MÉTODOS DE EVASIÓN
▸ Ofuscación del código
▸ Crypters
▸ Client
▸ Stub (encargado de desencryptar el código)
▸ Más info sobre: Troyanos, Evasion..etc.
▸ Malware_Magazine_1 : underc0de

ESTUDIO DEL MALWARE (CUCKOO SANDBOX)
▸ Cuckoo Sandbox
▸ Año 2010: nace cuckoo Sandbox como un proyecto del Google
Summer of Code dentro del proyecto Honeynet.
▸ Año 2012: se lanza la web malwr.com que ejecuta una instancia
de Cuckoo Sandbox para obtener una plataforma donde analizar
ﬁcheros maliciosos que suban los usuarios. Like VirusTotal.
▸ Año 2014: nace la organización Cuckoo Fundation organización
sin ánimo de lucro dedicada al crecimiento de Cuckoo Sandbox e
iniciativas similares.

▸ Situación 1: Servidor Cuckoo + 
VM Windows(Máquina de análisis)
▸ Situación 2: Máquina real + VM Cuckoo  
server + VM Windows(Máquina de  
análisis)
▸ Situación 3: Servidor Cuckoo +  
VM Windows XP + VM Windows 7  
+… N)
▸ Conﬁguración de interfaz:
▸ S1: eth(CuckooServer) +
HostOnlyAdapter(WindowsXP)
▸ S2: eth(Internet) + ethBridge(CuckooServer) +
HostOnlyAdapter(WindowsXP)
▸ S3: eth(CuckooServer) + HostOnlyAdapter1(MV
análisis) + HostOnlyAdapter1(MV análisis) + …
ESQUEMA DE RED

INSTALACIÓN
▸ Requisitos previos (python & pip).
▸ VirtualBox + Extension Pack/KVM/VMWare
▸ Docker Container
▸ Paciencia

PASOS GENERALES - EXPECTATIVAS
▸ Instalar software necesario (python, python-pip…etc)
▸ Instalar VirtualBox + ExtensionPack
▸ Crear una VM (Windows preferiblemente):
▸ Python
▸ PIL
▸ Adobe, Word…etc
▸ Interfaz HostOnly
▸ Tomar instantánea de la MV
▸ Conﬁgurar IPTables
▸ Descargar cuckoo
▸ Ejecutar cuckoo.py

ERRORES ENCONTRADOS
▸ pip: No module named
package.version. Reinstalación de
pip.
▸ Versión actual (10.10.6) de Django
(fallo con el TEMPLATE admin) se
recomienda la 1.8.4
(requeriments.txt)
▸ Versión actual de VBox: fallos
varios. MV Intermitente

CONFIGURACIÓN
▸ cuckoo.conf
▸ machine
▸ memory_dump
▸ virtualbox.conf
▸ mode = headless
▸ path = /usr/bin/VBoxManage
▸ machines = “wincuckoo”
▸ reporting.conf
▸ MongoDB
▸ memory.conf
▸ Volatility
▸ [wincuckoo]
▸ label = wincuckoo
▸ plataform = windows
▸ ip = 192.168.56.101

FUNCIONAMIENTO
▸ Subida del archivo
▸ Interfaz Web python manageweb.py runserver0.0.0.0:8080
▸ /utils/submit.py --plataform windows --package exe --machine wincuckoo /
srv/malware/virUs.exe
▸ Análisis
▸ Estático
▸ Red
▸ Strings
▸ Reporte
▸ Dominios
▸ AVScanner

INTERFAZ WEB

ANÁLISIS RECIENTES DE FICHEROS
ANÁLISIS RECIENTES DE URL

MUESTRAS
▸ Fuentes:
▸ GitHub: https://github.com/
ytisf/theZoo/
▸ Foros: Hack-Forums,
indetectables…etc
▸ Google
▸ Caso Forense: volatility

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

PROTECCIÓN
▸ Combinando CuckooSandBox + radare2(por ejemplo) +
Yara
▸ Reportes y Muestras (Hack, Learn & Share)
DETECCIÓN DE CUCKOO SANDBOX
▸ https://github.com/David-Reguera-Garcia-Dreg/
anticuckoo
▸ Reportes y Muestras (Hack, Learn & Share)

CONCLUSIONES
▸ Análisis sin poner en riesgo el sistema.
▸ Es el primer paso para investigar malware.
▸ Posibilidad de poner más de una máquina virtual para el
análisis.
▸ Desarrollo de módulos independientes.
▸ Se requiere conocimientos de reversing y exploiting

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox

Más contenido relacionado

La actualidad más candente (6)

Similar a Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox (20)

Último (17)

Hack&Beers Cadiz Análisis de Malware Cuckoo Sandbox