Tag Archive for Malware

Matias Katz | 22:40 hrs.
2 comments

Campus Party Colombia 2012 – Parte 3

Nota: Esta es la continuación de dos posts anteriores sobre el mismo evento:

http://www.matiaskatz.com/campus-party-colombia-2012-parte-1/
http://www.matiaskatz.com/campus-party-colombia-2012-parte-2/

En este mega post incluiré los eventos ocurridos los días Miércoles, Jueves, Viernes y Sábado. No es por nada, simplemente tuve fiaca d eescribir los últimos días :D

Durante los últimos días de evento estuve muy enfocado en adelantar trabajo para una presentación importante que voy a dar en Julio, por lo que no presté mucha atención a las charlas.

Sin embargo, paseé bastante por los pasillos del salón y saqué muchas fotos copadas, para llevarme de recuerdo y compartir con ustedes.

Primero, pasé por la sección de modding:

Hermosos cases hechos a base de objetos contundentes, con un increible nivel artístico.

Luego, a socializar un poquito con las promotoras de la exposición:

Y a seguir viendo cosas raras:

Luego tocó el turno a Andrez Lamouroux de dar su charla “La piña Wi-Fi”, en donde explicó en detalle el proyecto que les comenté hace unas semanas:

Después, fue el turno del fenomenal Alfonso Deluque, quien nos mostró como es posible descifrar un malware para ver su contenido y analizarlo completamente:

Luego, como todas las noches, el evento se tornó…. Freaky.

Ocurren cosas como ésta:

O ésta:

O en el peor de los casos… ésta:

Y nunca está de más un poco de fútbol:

Un Street Fighter en Xbox 360 con super joysticks espectaculares que simulan los de los videojuegos:

Un campeonato de Gears of War de 4 jugadores en simultáneo en monitores de 40 pulgadas:

O un simple partidito de Poker entre amigos:


En fin… la noche en la Campus Party es rara :D

Aquí tienen un video de 5 minutos mostrando la magnitud de este evento, y lo maravilloso que es:

Durante todo el evento estuve entregando stickers de Mkit a los asistentes que me lo fueron pidiendo. Ayer a la noche me fui de paseo por el salón sacándole foto a las laptops donde habían pegado los stickers.

Encontre muchísimas :D
 

El sábado a la mañana, a las 10 am para ser más específico, arrancó mi charla “Creando un empaquetador indetectable en menos de 4 minutos”, en la cual mostré que tan facilmente se puede logar evadir los controles del software antivirus.

A pesar de ser un sábado a las 10 am, la charla tuvo muchísimos asistentes. Salió de 10, nos divertimos y las demos salieron perfectas :D

Les dejo el video de la charla para que la disfruten:

Hoy durante todo el sábado estuve charlando con amigos, programando, y empezando la tan dolorosa despedida.

A la tardecita hice un desafío de análisis forense sobre VoIP desarrollado por Giovanni Cruz ForeroDaniel Rodriguez, en el cual tuvimos que identificar llamadas a Burkina Faso por un agente infiltrado. Muy divertido :D

Bueno, estimados lectores… Temo que debo emprender la retirada de este post. Ha sido una semana intensa, entretenida y llena de contenidos. Aprendi muchas cosas, hice nuevas amistades, y me divertí haciéndolo.

Les dejo como contenido final un resumen de la Campus Party en la que (misteriosamente) tengo una aparición importante:

También les dejo unos saludos especiales para Buenos Aires, de parte de unas de las chicas mas lindas de la conferencia :D

La verdad, fue uno de los mejores eventos a los que tuve el privilegio de asistir. Estoy muy contento de haber venido, y muy agradecido a la organización por haberme invitado.

Espero poder volver el próximo año.

Es un evento 100% recomendable. El estar aquí despierta y estimula las 24 hs del día, durante toda la semana, al animal geek que tenemos dentro.

Saludos para todos, nos vemos en el próximo post!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 17:52 hrs.
3 comments

Campus Party Colombia 2012 – Parte 2

Nota: Esta es la continuación de un post anterior sobre el mismo evento.

Continuando con los posts sobre este fantástico evento, voy a contarles sobre el día de ayer, Miércoles 27.

El día empezó tranquilo, hubieron pocas charlas pero el hall estuvo bastante movido.

En el post anterior les mostré un video del hall, pero como era el primer día mucha gente todavía no había venido. Es por eso que subí otro video, esta vez con el hall de eventos lleno en un 80% para que vean la magnitud de este evento. 5000 campuseros, haciendo su vida tranquilamente, con internet, musica, comida, bebida y amigos:

Bueno, continuando con el dia…

Luego de un buen almuerzo (frijoles, carne y arroz, plato típico de la zona)

Y de visitar a unas lindas promotoras

Fue momento de iniciar mi primera charla en la Campus, la cual comenzó a las 16:10, con un pequeño atraso.

El título de la charla es “Hackeando con Facebook”, fue la misma que di anteriormente en Buenos Aires y en Manizales, Colombia.

Logré mostrar vulnerabilidades en el diseño de Facebook, que permiten realizar fácilmente un ataque de ingeniería social utilizando como herramienta de ataque, esta plataforma.

La charla es un resumen de las investigaciones realizadas con el Blog de Mkit, en conjunto con Gustavo Ogawa, researcher de nuestra empresa.

Para ver los resultados de la investigación, pueden entrar aquí.

Para mi asombro, la charla fue presenciada por mucha gente. Y cuando digo mucha, quiero decir MUCHA :)

Pero para que explicarles, si puedo mostrarles!

La charla fue todo un éxito. Algunas demos no querían salir, pero finalmente pude hacer todo :)

Les dejo el video de la charla:

La verdad es que fue todo un espectáculo. La gente se volvió loca al ver los resultados de las demos.

Desde el final de mi charla, hasta hoy inclusive, se ven decenas de chicos y chicas con sus laptops tratando de replicar los ataques.

También se me acercan muchos con la laptop en la mano mostrándome donde se quedaron trabados, y pidiéndome consejos sobre como seguir.

Algunos pudieron hacer parte, algunos pudieron hacer todos.

La verdad es que ver a tanta gente incorporando los conceptos de mi charla, y tratando de replicarlos, me llena de satisfacción.

Al finalizar el día tuvimos una misteriosa visita de un ente muy conocido…

Un miembro de Anonymous!!

Estuvo paseando por los pasillos, hackeando computadoras con su mente :D

Pero no se fue sin antes sacarse una foto para la comunidad de la Campus Party Colombia 2012:

Y mandó también un saludo al departamento de policía de Bogotá:

(Cualquier similitud con una persona específica que puedan conocer, es pura casualidad :P )

Un segundo día de Campus Party es-pec-ta-cu-lar. Y todavía falta muchísimo mas!!

Mañana subiré un nuevo post, sobre hoy, Jueves 28.

Edit: Aquí está el tercer resumen del evento.

Saludos!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 14:39 hrs.
5 comments

Campus Party Colombia 2012 – Parte 1

Estoy muy contento de compartir con ustedes el hecho de que por primera vez en mi vida fui invitado a disertar en una Campus Party.

Pero antes que nada…. Qué es una Cabarcamp, Bogota, Campus Party, Charla, Colombia, event, Evento, Facebook, Hacking, Malware, Talk, Trainingmpus Party?

Este evento es totalmente diferente del resto de los eventos.

En la Campus.. la gente ACAMPA!!

Los asistentes hacen colas largas, llevando con ellos bolsos, mochilas, bolsas de dormir, y sus computadoras, ya sean laptop, desktop, o server.

Además, traen consolas Xbox 360, PS3, kits de guitarra y batería para Guitar Hero, y hasta televisores de 32 a 40 pulgadas.

El auditorio es gigante, entran 5000 personas:

Un muy copado escenario, con bandas tocando todas las noches:

Y una sección “Arte” en la cual la gente arma los mas raros y espectaculares gabinetes:

(Si, eso que figura en la foto es un gabinete :D )

Obviamente, nunca faltan los PWNs

También un buen rato divertido usando la Pineapple:

O la presencia como todos los años del fenomenal Jon “Maddog” Hall

Les dejo un pequeño videito de como se vive aca:

Otro videito mas:

Hubo un excelente cierre de dia con la participación de Akira Yamaoka, el creador del Soundtrack para el juego Silent Hill, dando un recital en guitarra en vivo!! :D

La única charla que fui a ver ayer es la de mi amigo Giovanni Cruz, quien habló sobre un Framework para gestionar respuesta a incidentes sobre plataformas VoIP (la especialidad de Giovanni).

Hoy me toca dar la primera de mis charlas. A las 16 hs (GMT-5) voy a hablar sobre Ingeniería Social usando Facebook.

Si lo quieren ver en vivo, por streaming, ingresen aquí:  http://live.campus-party.org/

Link de la Campus Party:  http://www.campus-party.com.co/

Mañana publicaré otro post, sobre los eventos de hoy :D

Edit: Aquí está el link al segundo post

Saludos!

Category: Seguridad | Tags: , , , , , , , , , , ,
Matias Katz | 13:50 hrs.
No comments

Pautas para el Análisis de Malware

Introducción

El proceso de Análisis de Malware que se propone en este post se divide en 5 etapas o pasos, aclaro que los mismos pueden variar dependiendo del Researcher (Investigador) y en medida de la experiencia que tenga uno, como ya es sabido la curva de aprendizaje es grande y más en este campo donde el malware es evolutivo, esto conlleva a que el Investigador se encuentre constantemente en un proceso de adquisición de conocimientos.-

Otro punto que se destaca es tratar de establecer algunas pautas importantes en la investigación, ya que no se cuenta con estos tipos de documentos al alcance de todos, igualmente esta orientados a los que se inician en este campo y no poseen una guía de cómo llevar adelante su investigación.-

Pautas

1. Creación de un ambiente controlado

El ambiente controlado es el laboratorio en sí mismo y en donde se va llevar a cabo la investigación y análisis del malware, lo podemos considerar el punto más importante de las pautas ya que sin este no podemos empezar a trabajar.  ¿Qué compone el laboratorio?, esto depende mucho de la forma de trabajar, pero lo ideal es tener dos o más maquinas estas pueden ser virtuales utilizando herramientas como VMwareó VirtualBox una de ellas va a ser la víctima, su sistema operativo tiene que ser inocuo preferentemente alguno basado en tecnología NT y el ó los otros que son los que van a estudiar el comportamiento de la víctima en algún sistema operativo de la familia de Unix ó GNU/Linux. La red que une a estas maquinas debe estar aislado del resto, por eso es recomendable el uso de maquinas y redes virtuales ya que estén proveen un mejor control.  Las herramientas a utilizar deben estar instaladas en las respectivas maquinas, en la victima también se pueden instalar herramientas de análisis in situ y en las de control por lo general se utilizan para sniffear la de red y ver que trafico se genera. También hay que tener en cuenta, es que elPE (Portable Ejecutable) ó Binario ya tiene que estar en la maquina host (Victima).

De esta manera quedaría establecida el laboratorio básico para el análisis, a este se lo puede variar dependiendo de las necesidades.-

2. Línea base del medio ambiente

Esta pauta acompaña a la anterior y también es de suma importancia, ya que esta tiene que estar en óptimas condiciones porque de no ser así todo el procedimiento de aquí en adelante no dará un resultado confiable y certero, débenos saber que la línea de base o instantánea se toma en dos momentos. Primero antes de ejecutar el Malware y luego de la ejecución de este.  La regla Gral. dice que la diferencia entre la línea de base y la instantánea final deberá dar los cambios producidos por el Malware.-

La información que comprende a la base de línea de la maquina victima podría ser:

Sistema de archivos, Registro, Procesos, Puertos Abiertos Usuarios y Grupos y los recursos compartidos. Para esta tarea nos podemos valer de herramientas como Winalysis,  Installrite, Sysinternals y FPort.-

También podemos considerar una Línea de Base las capturas realizadas por las maquinas que se encargaron de sniffear la red, tanto cuando no hay trafico hasta cuando es generado, lo que sí, debemos saber identificar es el tráfico normal que se puede provocar a fin de identificar el trafico generado por el Malware. Para esta tarea se puede utilizar cualquier software de sniffeo de red como ser wireshark.

A esto le podemos agregar una captura de los puertos de la Maquina Victima que están abierto, para realizar este proceso su puede utilizar el ya conocido Nmap.-

3. La recogida de información

En este punto es donde ya nos ponemos a trabajar con el Malware ejecutándolo y recolectando la información de la actividad que este desarrolla. Podemos decir que vamos a tener dos tipos de recolección de información uno seria la Recolección Estática y la otra Recolección Dinámica

3.1 Recolección Estática

En este punto vamos a obtener toda la información del Malware sin ejecutarlo, como ser código HTML, script, si este posee interfaz gráfica ejecución de comandos, también podemos obtener el nombre del archivo o si posee algún número de versión, etc.  También podemos ver sus cadenas siempre que estas sean legibles para ello podemos usar programas destinados a tal fin.-

3.2 Recolección Dinámica

Este el momento en donde ejecutamos el Malware y empezamos a obtener información de las tareas que analiza mediante las herramientas de sniffing para ver que conexiones intenta realizar hacia la nube como hacia otras Maquinas. En realidad lo que debemos hacer en este momento es tomar otra captura como en el punto de línea base. Acá podemos hacer usos de distintos tipos de herramientas como ser Winalysis y InstallRite destinadas para tal propósito, así mismo las herramientas de la suite Sysinternals como ser el Process Explorer, que nos da la posibilidad de ver que es lo que ejecuta el malware en memoria y con las herramientas Filemon y Regmon también incluidas en la suite Sysinternals podemos monitorear el file system y el registro y ver los cambios producidos en estos.-

Toda la información acá recolectada es la usaremos para realizar el análisis posterior y aclaro que esta puede ser repetitiva, es decir que realizaremos este proceso cuantas veces creamos necesarios.-

4. Análisis de la información

Este puede ser el que mayor tiempo lleve, ya que quizás tengamos un volumen de información importante y es acá cuando tenemos que empezar a unir las piezas, analizando una y otra vez la información obtenida de los procesos anteriores. En muchos casos es posible que tengamos que repetir las pautas anteriores nuevamente como para comprobar o alimentar de mayor información esta etapa o utilizando la ingeniería inversa.-

5. La documentación de los resultados

Documentar los resultados del análisis es crucial, ya que permite ser aprovechados para futuros análisis, y más aun a compartir los resultados obtenidos, ayudando a otros a mitigar el problema del malware. No hay una regla de oro que diga como documentar el análisis, así que queda en cada uno como documentarlo.-

Para el desarrollo de estas pautas me base en experiencias propias y el documento de Symantec www.symantec.com/connect/articles/malware-analysis-administrators,  escrito por  S. G. Masood.-

Fuente: Cristian Amicelli Rivero, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , ,
Matias Katz | 12:50 hrs.
4 comments

Charla gratuita sobre malware y cibercrimen (Presencial y a Distancia)

Continuando con la serie de Cursos Gratuitos de Seguridad Informática, Cristian Borghello (Director de la comunidad Segu-Info) dará en las oficinas de Mkit Argentina una charla gratuita sobre Malware y cibercrimen, presentando el Curso completo que comenzará el 24 de Agosto

La charla será el próximo lunes 15 de agosto de 18.30 a 20.30 hs (-03:00 Arg.) de forma presencial y virtual.

  • Para asistir en forma virtual puede realizarse el ingreso 30 minutos antes del comienzo de la charla. En esa lugar hay una “sala de espera de LiveMeeting” y cuando el evento comience, ingresarán automáticamente al mismo.
  • Para asistir en forma presencial en la Ciudad de Buenos Aires y, como los cupos son limitados, se debe realizar un registro previo, enviando un correo a cursos[ARROBA]segu-info.com.ar. Allí se informará la forma de acceder a la charla.

Para presenciar el evento en forma virtual con cualquier navegador se necesita un plugin de LiveMeeting (instalador de Windows) que recomiendo instalen antes del comienzo. En caso de utilizar Mac/OS o Linux se debe tener instalado JAVA JRE 1.6 y al acceder al evento se instalará Office Live Meeting Web Access y podrán acceder sin problemas.
Además, estamos sorteando media beca para el curso, a quien resuelva el desafío publicado en el Boletín 175 de Segu-Info.

Fuente: Cristian de la Redacción de Segu-Info

Category: Seguridad | Tags: , , , , , , , , , , , ,