SlideShare una empresa de Scribd logo
1 de 50
Descargar para leer sin conexión
Rootkit
Necurs
No es un bug,
es una feature!
@elmaisbuscado
Ingeniero Informático UPM
Máster Ciberseguridad UC3M
Analista de malware Telefónica (CSIRT-SCC)
Roberto Santos
@jvrrascon
Ingeniero Informático – Universidad de Jaén
Analista de malware Telefónica (CSIRT-SCC)
Javier Rascón
Índice
Infección
Estudio del rootkit
Funcionamiento interno
Técnicas de ocultación
Remediación
Conclusiones
Infección
Síntomas, suposiciones y
dropper
Cliente se pone en contacto con
CSIRT-SCC en junio de 2019:
• Muchos equipos han empezado a reiniciarse sin causa aparente.
• Antivirus corporativo ha detectado un ejecutable ‘swaqp.exe’ como
sospechoso.
Infección
Primeros datos y suposiciones
• Nombre sospechoso
• Poco detectado
• Buena señal  Falso positivo
• Mala señal  Malware recién salido del horno
• Baja entropía
• Descarga un ejecutable desde un dominio desconocido…
• … pero está firmado por Microsoft
• … que resulta ser una actualización LEGÍTIMA: KB3033929
• ¿Software del departamento de IT para automatizar tareas?
• Muy “ruidoso” para ser malware
Infección
Posible dropper
IP local
Nombre de dominio
Equipo usa NAT
Versión del SO
¡Tarjeta gráfica!
Recopilación
RESULTS
ANALYSISInsertado por los ¿atacantes? en
una tarea programada a través de
una infección anterior
No crea persistencia
ObtainUserAgentString
Envío de información del equipo infectado
Comunicación procesos - driver
• Versión del SO < Windows 7 o Windows Server 2008 R2
• No se continúa la ¿infección? ejecución
• Si la versión de ‘crypt32.dll’ no es la que el malware espera:
• Instalación de KB3033929
• Reinicio del sistema
• Descarga de un ejecutable con firmas SHA-1 y SHA-256
legítimas de Lizas Limited
• Antiguas versiones de ‘crypt32.dll’ no daban el soporte a SHA-256.
• Crea servicio asociado al ejecutable firmado descargado
Posible dropper
Estudio del
Rootkit
Funcionamiento interno
Análisis del Driver
• Información del ejecutable muestra que se trata
de un driver
• De nuevo, baja entropía
• Doble desempaquetado
• Después del primer desempaquetado empieza a
aparecer código útil que interactúa con el código
del segundo desempaquetado
• Comprueba si es instalado para ejecutarse al
arranque (BOOT)
• Si no, se copia se instala con otro nombre y con
arranque ‘on boot’. Borra el actual servicio.
Imagen general del ataque
Comunicación procesos - driver
• Escritura en ciertos valores del registro (Antes IOCTL)
• Basada en comandos
• Cuando un proceso quiere comunicarse con el rootkit, tiene que escribir en el
registro cumpliendo las siguientes condiciones:
• Clave: HKLMSYSTEM
• Valor: THID del hilo que está escribiendo
• Datos:
• Tipo :BINARY
• Tamaño: ≥ 4 bytes
• Simulación de
escritura
Comunicación procesos - driver
• Algunos comandos solicitan información
• La buscarán en un valor del registro con su mismo Thread ID pero
precedido por una ‘o’ (¿output?)
BLAK
Comunicación procesos - driver
Comunicación usuario-driver
Código Acción
0x224014 Obtener información básica del rootkit:
Hora de instalación, número de ejecuciones, nombre...
0x22402c Obtener Ejecutable a inyectar en userSpace
0x224030 Obtener un duplicado del HANDLE del evento de actualización del
rootkit
0x224054 Obtener S03 (Lista negra de procesos)
0x224078 Eliminación / Actualización de S04 (Lista negra de entidades
firmantes)
0x2240A0 Eliminación / Actualización de S05 (Lista negra VERSION)
0x2240A4 Obtener S05 (Lista negra VERSION)
0x228000 Finalizar ejecución
0x228004 Actualización del propio rootkit
Comunicación usuario-driver
Código Acción
0x22800C Añadir Hilo a la lista de hilos infectados
0x228010 Quitar Hilo de lista de hilos infectados
0x228028 Actualización de código infectado en services.exe
0x228034 Actualización de un parámetro de configuración no usado
0x228038 Inyección de ejecutable. Copia el contenido del ejecutable malicioso en la
memoria del proceso víctima y después se modifica el EntryPoint de ésta.
Se utiliza infectProcess_changesEP para llevar a cabo la infección.
0x22803C Inyección de ejecutable. Copia el contenido del ejecutable malicioso en la
memoria del proceso víctima y después se crea un hilo remoto al código
inyectado.
0x2280F0 Añadir PID a listaPIDsProtegidos
0x2280F4 Eliminar PID de listaPIDsProtegidos
Almacenamiento
• Almacenamiento de información persistente en el registro
• Información cifrada con AES
• HKLMSystemCurrentControlSetServices<service name>
• Binarios
• S01: Binario del rootkit
• S02: DLL inyectada en modo usuario
• Información de la instalación (¿MaaS?)
• S07: Hora y fecha de instalación
• S08: Número de veces que el driver ha sido iniciado
Almacenamiento
• Registro
• S06: Valores de registro protegidos
• Listas negras
• S03: Nombres de proceso (137 -> +700)
• S04: Texto de firmas (33 -> 150~)
• S05: Texto recurso VERSION (Nueva: 75)
• S11: Nombres de archivo Caso Real (Forense)
Almacenamiento
Caso Real (Forense)
S03 – Nombres de proceso
• proce.thacker-2.39-
setup.exe
• flister.exe
• cmcark.exe
• HookShark.exe
• RegReveal.exe
• mbr.exe
• catchme.exe
• aswmbr.exe
• Pavark.exe
• PCKAVService.exe
• STOPzilla.exe
• SZServer.exe
• RsMgrSvc.exe
• RsTray.exe
• QQPCTray.exe
• QQPCRTP.exe
• EEYEEVNT.exe
• Blink.exe
• blinksvc.exe
• twssrv.exe
• twister.exe
• mskrn.exe
• msgui.exe
• grizzlysvc.exe
• grizzlyav.exe
• AdAwareService.exe
• AdAwareTray.exe
• AVScanningService.exe
• AVWatchService.exe
• AAV_Service_Vista.exe
• AAV_Guard.exe
• AutoCare.exe
• ASCService.exe
• AdvancedSystemProte
ctor.exe
• guardxkickoff.exe
• guardxkickoff_64.exe
• guardxservice.exe
• guardxservice_x64.exe
• vba32ldr.exe
• vba32ldrgui.exe
• sfc.exe
• iptray.exe
• FortiSettings.exe
• FortiTray.exe
• FortiESNAC.exe
• nanoav.exe
• nanoav64.exe
• nanosvc.exe
• msseces.exe
• MsMpEng.exe
• ARWSRVC.exe
• BDSSVC.exe
• qhpisvr.exe
• REPRSVC.exe
• ASDSvc.exe
• ASDUp.exe
• VipreAAPSvc.exe
• SBAMSvc.exe
• SBAMTray.exe
• ALMon.exe
• ALsvc.exe
• McsAgent.exe
• MBAMService.exe
• mbamtray.exe
• MFEConsole.exe
• nortonsecurity.exe
• ccSvcHst.exe
• SISIPSService.exe
• ZIS.exe
• ZISCore.exe
• avguard.exe
• Avira.ServiceHost.exe
• avgnt.exe
• econser.exe
• avpmapp.exe
• ZAPrivacyService.exe
• vsmon.exe
• K7CrvSvc.exe
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7TSecurity.exe
• BullGuard.exe
• BullGuardCore.exe
• fsulprothoster.exe
• fshoster64.exe
• fshoster.exe
• AgentSvc.exe
• PSANHost.exe
• PSUAService.exe
• avss.exe
• axengine.exe
• avcom.exe
• coreServiceShell.exe
• coreFrameworkHost.ex
e
• uiWatchDog.exe
• McCSPServiceHost.exe
• McUICnt.exe
• ModuleCoreService.exe
• GDFwSvcx.exe
• ekrn.exe
• avp.exe
• bdservicehost.exe
• dwservice.exe
• spideragent.exe
• AVGSvc.exe
• afwServ.exe
• AvastSvc.exe
• a2service.exe
• QHWatchdog.exe
• QHActiveDefense.exe
• WRSA.exe
• cis.exe
• ccavsrv.exe
• eeCtrl.sys
• eraser.sys
• SRTSP.sys
• SRTSPIT.sys
• SRTSP64.SYS
• a2gffx86.sys
• a2gffx64.sys
• a2gffi64.sys
• a2acc.sys
• a2acc64.sys
• mbam.sys
• eamonm.sys
• MaxProtector.sys
• SDActMon.sys
• tmevtmgr.sys
• tmpreflt.sys
• vcMFilter.sys
• drivesentryfilterdriver2l
ite.sys
• mpFilter.sys
• PSINPROC.SYS
• PSINFILE.SYS
• amfsm.sys
• amm8660.sys
• amm6460.sys
• caavFltr.sys
• ino_fltr.sys
• avmf.sys
• PLGFltr.sys
• AshAvScan.sys
• csaav.sys
• SegF.sys
• eeyehv.sys
• eeyehv64.sys
• NovaShield.sys
• BdFileSpy.sys
• tkfsft.sys
• tkfsft64.sys
• tkfsavxp.sys
• tkfsavxp64.sys
• SMDrvNt.sys
• ATamptNt.sys
• V3Flt2k.sys
• V3MifiNt.sys
• V3Ift2k.sys
• V3IftmNt.sys
• ArfMonNt.sys
• AhnRghLh.sys
• AszFltNt.sys
• OMFltLh.sys
• V3Flu2k.sys
• vcdriv.sys
• vcreg.sys
• vchle.sys
• NxFsMon.sys
• AntiLeakFilter.sys
• NanoAVMF.sys
• shldflt.sys
• nprosec.sys
• nregsec.sys
• issregistry.sys
S03 – Nombres de proceso (y II)
• THFilter.sys
• pervac.sys
• avgmfx86.sys
• avgmfx64.sys
• avgmfi64.sys
• avgmfrs.sys
• fortimon2.sys
• fortirmon.sys
• fortishield.sys
• savonaccess.sys
• OADevice.sys
• pwipf6.sys
• EstRkmon.sys
• EstRkr.sys
• dwprot.sys
• Spiderg3.sys
• STKrnl64.sys
• UFDFilter.sys
• SCFltr.sys
• fildds.sys
• fsfilter.sys
• fpav_rtp.sys
• cwdriver.sys
• Rtw.sys
• HookSys.sys
• snscore.sys
• ssvhook.sys
• strapvista.sys
• strapvista64.sys
• sascan.sys
• savant.sys
• vradfil2.sys
• fsgk.sys
• PCTCore64.sys
• PCTCore.sys
• ikfilesec.sys
• ZxFsFilt.sys
• antispyfilter.sys
• PZDrvXP.sys
• ggc.sys
• catflt.sys
• kmkuflt.sys
• mfencoas.sys
• mfehidk.sys
• cmdguard.sys
• K7Sentry.sys
• nvcmflt.sys
• issfltr.sys
• AVCKF.SYS
• bdfsfltr.sys
• bdfm.sys
• AVC3.SYS
• aswmonflt.sys
• HookCentre.sys
• PktIcpt.sys
• MiniIcpt.sys
• avgntflt.sys
• klbg.sys
• kldback.sys
• kldlinf.sys
• kldtool.sys
• klif.sys
• lbd.sys
• rvsmon.sys
• ssfmonm.sys
• KmxAgent.sys
• KmxAMRT.sys
• KmxAMVet.sys
• KmxStart.sys
• ahnflt2k.sys
• AhnRec2k.sys
• AntiyFW.sys
• v3engine.sys
• Vba32dNT.sys
• kprocesshacker.sys
• gdbehave2.sys
• gdkbb32.sys
• gdwfpcd32.sys
• grd.sys
• avgidsdrivera.sys
• avgidsha.sys
• avgldx64.sys
• avgloga.sys
• avgrkx64.sys
• avgtdia.sys
• avgdiska.sys
• avguniva.sys
• avgidsdriverx.sys
• avgidshx.sys
• avgidsshimx.sys
• avgldx86.sys
• avglogx.sys
• avgrkx86.sys
• avgtdix.sys
• bhdrvx64.sys
• ccsetx64.sys
• eectrl64.sys
• idsvia64.sys
• eng64.sys
• ex64.sys
• smr510.sys
• symefasi.sys
• eraserutilrebootdrv.sys
• bhdrvx86.sys
• ccsetx86.sys
• idsvix86.sys
• srtspx.sys
• symevent.sys
• ironx86.sys
• symnets.sys
• gfiark.sys
• gfiutil.sys
• sbwtis.sys
• sbapifs.sys
• webexaminer64.sys
• tmactmon.sys
• tmcomm.sys
• tmebc64.sys
• tmeevw.sys
• tmel.sys
• tmxpflt.sys
• tmnciesc.sys
• tmusa.sys
• vsapint.sys
• tmtdi.sys
• kl1.sys
• klflt.sys
• klfltdev.sys
• klhk.sys
• klim6.sys
• klpd.sys
• kltdi.sys
• klwtp.sys
• kneps.sys
• sdcfilter.sys
• sntp.sys
• sophosed.sys
• mfeapfk.sys
• mfeavfk.sys
• mferkdet.sys
• mfewfpk.sys
• mfebopk.sys
• mfeaack.sys
• mfeclftk.sys
• mfedisk.sys
• mfefirek.sys
• mfehck.sys
• mfenlfk.sys
• mfeplk.sys
• mfeepmpk.sys
• mfeepnfcp.sys
• mfencbdc.sys
• mfencrk.sys
• mpnwmon.sys
• WdBoot.sys
• WdFilter.sys
• WdNisDrv.sys
• aswfsblk.sys
• aswrdr.sys
• aswsp.sys
• aswtdi.sys
• srtspx64.sys
• symds64.sys
• symefa64.sys
• symevent64x86.sys
• ironx64.sys
• avipbb.sys
• ssmdrv.sys
• avkmgr.sys
• avnetflt.sys
• mbamchameleon.sys
• mbamswissarmy.sys
• mwac.sys
• edevmon.sys
• ehdrv.sys
• epfwwfpr.sys
• epfw.sys
• epfwndis.sys
• epfwwfp.sys
• epfwlwf.sys
• eamon.sys
• immunetnetworkmonit
or.sys
• immunetprotect.sys
• immunetselfprotect.sy
s
• 360AntiHacker64.sys
• 360AvFlt.sys
• 360Box64.sys
• 360Camera64.sys
• 360FsFlt.sys
• 360netmon.sys
• bapidrv64.sys
• fsvista.sys
• fshs.sys
• fsbts.sys
• fses.sys
S03 – Nombres de proceso (y III)
• fsdfw.sys
• fsni64.sys
• bddevflt.sys
• bdfwfpf.sys
• gzflt.sys
• bdupflt.sys
• ignis.sys
• atc.sys
• bdfndisf.sys
• bdftdif.sys
• bdselfpr.sys
• trufos.sys
• avdisk.sys
• econceal.sys
• mwfsmflt.sys
• procobsrvesx.sys
• nnsalpc.sys
• nnshttp.sys
• nnshttps.sys
• nnsids.sys
• nnspicc.sys
• nnspop3.sys
• nnsprot.sys
• nnsprv.sys
• nnssmtp.sys
• nnsstrm.sys
• nnstlsc.sys
• psinaflt.sys
• psinknc.sys
• psinprot.sys
• psinreg.sys
• pskmad.sys
• dvctprov.sys
• nnsnahsl.sys
• nnspihsw.sys
• psindvct.sys
• wrkrn.sys
• wrurlflt.sys
• ahnactnt.sys
• ahnrghnt.sys
• amonlwlh.sys
• amontdlh.sys
• ahawkent.sys
• tffregnt.sys
• ascrts.sys
• cdm2drnt.sys
• medcored.sys
• medvpdrv.sys
• tnfwnt.sys
• tnhipsnt.sys
• tnnipsnt.sys
• tsfltdrv.sys
• tmebc32.sys
• aswarpot.sys
• aswbidsdrivera.sys
• aswbidsha.sys
• aswbloga.sys
• aswbuniva.sys
• aswhdske.sys
• aswhwid.sys
• aswrdr2.sys
• aswrvrt.sys
• aswsnx.sys
• aswstm.sys
• aswvmm.sys
• k7fwhlpr.sys
• avasdmft.sys
• tpsec.sys
• dsio.sys
• tdifw.sys
• tdimapper.sys
• tppfhook.sys
• kldisk.sys
• klbackupflt.sys
• #klbackupdisk.sys
• #avast
• aswbidsdriverx.sys
• aswbidshx.sys
• aswblogx.sys
• aswbunivx.sys
• #avg
• avgarpot.sys
• avgbidsdrivera.sys
• avgbidsha.sys
• avgbloga.sys
• avgmonflt.sys
• avgnetsec.sys
• avgrdr2.sys
• avgsp.sys
• avgsnx.sys
• avgstm.sys
• avgvmm.sys
• #NOD32
• #mcafee
• cfwids.sys
• mcpvdrv.sys
• mfesapsn.sys
• #avira
• avdevprot.sys
• avusbflt.sys
• #norton sec deluxe
• EraserUtilDrvI32.sys
• SYMEFASI64.sys
• #bitdef
• avchv.sys
• #Trendmicro
• tmlwf.sys
• tmwfp.sys
• #fsecure
• #trustport
• axflt.sys
• #vipre
• sbwfw.sys
• #sophos
• #panda
• panda_url_filteringd.sys
• #GDATA
• gdwfpcd64.sys
• TS4nt.sys
• #Symantec Endpoint
14
• SISIPSDriver.sys
• SysPlant.sys
• Teefer.sys
• avgbuniva.sys
• avgNetNd6.sys
• #mbytes
• mbae64.sys
• #kaspersky total
security
• cm_km.sys
• #emsisoft
• epp.sys
• eppwfp.sys
• # last edit
• #360
• 360FsFlt_win10.sys
• BAPIDRV.sys
• BAPIDRV_win10.sys
• BAPIDRV64_win10.sys
• DsArk.sys
• DsArk_win10.sys
• dsark64.sys
• DsArk64_win10.sys
• qutmdrv.sys
• qutmdrv_win10.sys
• EfiMon.sys
• 360AvFlt_win10.sys
• 360avflt64.sys
• 360AvFlt64_win10.sys
• 360AntiHacker.sys
• 360AntiHacker_win10.s
ys
• 360AntiHacker64_win1
0.sys
• 360Box.sys
• 360Box_win10.sys
• 360Box64_win10.sys
• 360Camera.sys
• 360Camera_win10.sys
• 360Camera64_win10.s
ys
• qutmipc.sys
• qutmipc_win10.sys
• 360netmon_50.sys
• 360netmon_60.sys
• 360netmon_wfp.sys
• 360netmon_x64_wfp.s
ys
• 360netmon_x64.sys
• 360SelfProtection.sys
• 360SelfProtection_win1
0.sys
• hookport.sys
• hookport_win10.sys
• # avast
• MorphiDriver.sys
• aswbdiska.sys
• aswNetNd6.sys
• aswNetSec.sys
• #bullguard
• BdAgent.sys
• BdSpy.sys
• BdNet.sys
• BdSentry.sys
• #Ahn Lab v3
• CdmDrvNt.sys
• ISPrxEnt.sys
• ISFWEnt.sys
• ISIPSEnt.sys
• ISPIBEnt.sys
• AhnSZE.sys
• #comodo
• cmderd.sys
• cmdhlp.sys
• inspect.sys
• isedrv.sys
• #clamv - immunitet
• CiscoAMPCEFWDriver.s
ys
• CiscoAMPHeurDriver.sy
s
• #fortinet
• FortiFilter.sys
S03 – Nombres de proceso (y IV)
• fortiapd.sys
• ftvnic.sys
• ftsvnic.sys
• pppop64.sys
• #dr web
• DrWebLwf.sys
• dwdg.sys
• dw_wfp.sys
• #ikarus
• NTGUARD_X64.sys
• #vba32
• Vba32d64.sys
• Vba32m64.sys
• #quick heal
• atkldrvr.sys
• wsnf.sys
• WSFILTER.sys
• webssx.sys
• bdsflt.sys
• bdsnm.sys
• arwflt.sys
• emltdi.sys
• #ZOne alarm
• ISWKL.sys
• vsdatant.sys
• #Zillya
• zef.sys
• zsc.sys
• znf.sys
• aswTap.sys
• avgbdiska.sys
• avgHwid.sys
• avgRvrt.sys
• cmdboot.sys
• cmdcss_vista.sys
• cmdcss_win7.sys
• cmdcss_win8.sys
• cmdcss_xp.sys
• isedrv_vista.sys
• isedrv_win7.sys
• isedrv_win8.sys
• isedrv_xp.sys
• #Kaspersky
• klbackupdisk.sys
• klelam.sys
• klkbdflt2.sys
• klpnpflt.sys
• klwfp.sys
• kltap.sys
• #BitDefender
• bddci.sys
• bdelam.sys
• bdprivmon.sys
• bdsyslogphysicalmemo
rydumper.sys
• bdvedisk.sys
• trufosalt.sys
• eelam.sys
• ekbdflt.sys
• epfwtdi.sys
• EpfwTdiR.sys
• mfeclnrk.sys
• HipShieldK.sys
• tmumh.sys
• BdBoot.sys
• #Emisoft
• fwndislwf32.sys
• fwndislwf64.sys
• fwwfp732.sys
• fwwfp764.sys
• #F-Secure
• fselms.sys
• fsulgk.sys
• fsbts_x64.sys
• aftap0901.sys
• PSBoot.sys
• K7FWFilt.sys
• K7RKScan.sys
• K7TdiHlp.sys
• #eScan
• avdisk64.sys
• econceal.lwf.Vista64.sy
s
• econceal.lwf.Win7_64.s
ys
• econceal.lwf.Win8_64.s
ys
• econceal.vista64.sys
• ESWfp64.sys
• mwfsmfltx.sys
• MWRM64.sys
• PROCOBSRVES.sys
• #ZoneAlarm
• icsak.sys
• kl2.sys
• klim5.sys
• kltdf.sys
• #Malwarebytes
• farflt.sys
• #Norton Security
• eraser64.sys
• symevnt.sys
• #Symantec Endpoint
Protection
• SyDvCtrl64.sys
• WGX64.sys
• SISIDSRegDrv32_post-
vista.sys
• SISIDSRegDrv64_post-
vista.sys
• SISIPSDeviceFilter32_p
ost-vista.sys
• SISIPSDeviceFilter64_p
ost-vista.sys
• SISIPSDriver32_post-
vista.sys
• SISIPSDriver64_post-
vista.sys
• SISIPSFileFilter32_post-
vista.sys
• SISIPSFileFilter64_post-
vista.sys
• SISIPSNetFilter32_post-
vista.sys
• SISIPSNetFilter64_post-
vista.sys
• #MSE
• NisDrvWFP.sys
• BSFS.sys
• CONIO.sys
• ELAMDRV.sys
• ELRKTRM.sys
• EMLSSX.sys
• KBFLTR.sys
• llio.sys
• mscank.sys
• WEBSSX8.sys
• wstif.sys
• #AhnLab V3
• athpexnt.sys
• MeDVpHkD.sys
• gfiark32.sys
• gfiark64.sys
• gfiutl32.sys
• gfiutl64.sys
• VipreELAM.sys
• sbfw.sys
• sbhips.sys
• SBTIS.sys
• sbfwht.sys
• SbFwIm.sys
• SBTISHT.sys
• sbaphd.sys
• sbapifsl.sys
• #ALYac
• ALYac40.exe
• EstPdc.sys
• EstRtw.sys
• EstFwt.sys
• #VirusChaser
• VC90Setup_P_DESKTO
P_All_x64.exe
• sga_ntf_x64.sys
• sga_ntf_x86.sys
• eps_sys_x64.sys
• eps_sys_10_x64.sys
• eps_min_xp64.sys
• eps_min_x64.sys
• eps_min_10_x64.sys
• #AhnLab
• V3Lite_Setup.exe
• hsbdrvnt.sys
• mkd2bthf.sys
• mkd2nadr.sys
• #ViRobot
• ViRobot7x64_Trial.exe
• ViRobot7x86_Trial.exe
• ViRobotAPTShieldSetu
p_Free.exe
• tewebproect.sys
• tkctrl2k.sys
• tkfsav.sys
• tkfsft.sys
• tkfwfv.sys
• tkfwvt.sys
• tkidsvt.sys
• tkpcfthk.sys
• tkrgac2k.sys
• tkrgftxp.sys
• EstCst.sys
• EstPdc.sys
• AhnFltNt.sys
• AhnRecNT.sys
• AMonTDLH.sys
• AMonTDnt.sys
• AnfdIOnt.sys
• AnfdTDnt.sys
• Cdm2DrNt.sys
• AhnFlt2k.sys
• AMonCDw7.sys
• amoncdw8.sys
• AMonHKnt.sys
S04 – Texto de firmas
• # antirootkits
• # Bitdefender Internet Security
(signature: bdelam.sys)
• Anti-malware Publisher
• # Process Hacker (signature:
.sys, .exe)
• Wen Jia Liu
• Check Point Software
Technologies Ltd
• GRISOFT, s.r.o.
• Avira GmbH
• Avira Operations GmbH & Co. KG
• BITDEFENDER LLC
• BitDefender SRL
• Doctor Web Ltd
• ESET, spol. s r.o.
• FRISK Software International Ltd
• Kaspersky Lab
• Panda Software International
• Check Point Software
Technologies
• BullGuard Ltd
• antimalware
• NovaShield Inc
• CJSC Returnil Software
• Anti-Virus
• Sophos Plc
• Comodo Security Solutions
• Quick Heal Technologies
• G DATA Software
• Beijing Rising
• Immunet Corporation
• K7 Computing
• Sunbelt Software
• Beijing Jiangmin
• VirusBuster Ltd
• KProcessHacker
• Microsoft Malware Protection
• KSLDriver.sys
• STOPzilla
• Essentware
• Filseclab
• Lavasoft
• IKARUS
• VirusBlokAda
• Immunet
• FortiClient
• Quick Heal
• VIPRE
• AhnLab
• Malwarebytes
• Malwarebytes Corporation
• Sophos
• BullGuard
• F-Secure
• TrustPort
• Trend Micro
• McAfee
• G Data
• Kaspersky
• AVAST
• Emsisoft
• Qihoo 360
• Webroot
• Bitdefender
• Trend Micro, Inc.
• McAfee, Inc.
• X-Wire Technology
• Sophos Ltd
• Protection Technology, Ltd.
• Daniel Terhell
• F-Secure Corporation
• ALWIL Software
• Antiy Technology Co. Ltd
S04 – Texto de firmas (y II)
• Antiy Labs
• Kernel Detective
• Safe'nSec
• S.N.Safe
• HookAnalyser
• IceSword
• Brock Williams
• Unhooker
• Process Walker
• RootkitDetect
• CsrWalker
• F-Secure BlackLight
• Avast! Antirootkit
• SysInspector
• DiamondCS
• Norton Power Eraser
• Detects and Delete
• SanityCheck
• Sophos Limited
• X-Wiretechnology
• Malwarebytes Anti-Rootkit
• RootkitBuster
• RootkitRemover
• Mcafee Labs Rootkit
• RootRpeal
• Epoolsoft Windows Information
• FilterMon
• RootQuest
• Andres Tarasco
• kX-Ray
• NIAP XRay
• DarkSpy
• CardMagic
• SUYI Studio
• Yas Anti
• Tuluka kernel
• (C) Orkbluit
• Orkblutt
• Find_Hidden
• ESTsecurity Corp.
• SGA Co.,LTD
• ESTsoft Corp
• www.sgacorp.kr
• AhnLab, Inc.
• Hauri, Inc
• QIHU 360 SOFTWARE CO.
LIMITED
• AVAST Software s.r.o.
• AVG Technologies USA, Inc.
• Panda Security S.L.
• VIPRE Security (ThreatTrack
Security, Inc.)
• NANO Security Ltd
• Webroot Inc.
• Emsisoft Ltd
• G DATA Software AG
• BullGuard Ltd.
• Check Point Software
Technologies Ltd.
• Quick Heal Technologies Limited
• TrustPort, a.s.
• IS3, Inc.
• MicroWorld Technologies Inc.
• Total Defense Inc
• Adaware Software
• FRISK Software International
• K7 Computing Pvt Ltd
• Doctor Web Ltd.
• SPAMMfighter ApS
• Security Softvare Limeted
• VIRUSBLOKADA ODO
• Fortinet Technologies (Canada)
inc.
• ALLIT Service LLC
• Adlice
S05 – Texto recurso VERSION
• # Calctlator (version:
C:WindowsSystem32calc.exe)
• # Bitdefender Internet Security
(version: bdagent.exe,
bdredline.exe)
• Bitdefender
• # Procmon.exe from Sysinternals
(version: .sys)
• Process Monitor Driver
• Atool
• Antiy Labs
• AVZ
• TDSS
• cmcark.exe
• EP_X0FF
• CsrWalker
• DrWeb
• Igor Daniloff
• Rootkit
• DarkSpy
• CardMagic
• FilterMon
• Daniel Pistelli
• flister.exe
• Gmer
• HookAnalyser
• HookShark.exe
• IceSword
• System Analyzing
• kX-Ray
• Brock Williams
• NIAP XRay
• NIAP
• RootkitDetect
• Process Walker
• USEC Radix
• RegReveal.exe
• Unhooker
• Detector For Windows
• Andres Tarasco
• RootQuest
• ComSentry
• RootRepeal
• AD 2007
• SafetyCheck
• SUYI Studio
• SysProt
• TrueX64
• By diyhack
• Tuluka kernel
• Libertad. All
• Yas Anti
• mbr.exe
• Find_Hidden
• F-Secure BlackLight
• (C) Orkbluit
• catchme.exe
• Avast! Antirootkit
• ALWIL Software
• aswmbr.exe
• SysInspector
• ESET, spol.
• DiamondCS
• Symantec
• Norton Power Eraser
• Safe'nSec
• S.N.Safe
• SanityCheck
• Detects and Delete
• X-Wiretechnology
• Sophos Limited
• Pavark.exe
• Malwarebytes Anti-Rootkit
• RootkitBuster
• Trend Micro
• Mcafee Labs Rootkit
• RootkitRemover
• RootRpeal
• Epoolsoft Windows Information
• Anti~mal~ware tool
• API Monitor Installer
• Telerik Fiddler Web
Estudio del
Rootkit
Técnicas de protección
Técnicas de protección
Tipos
Técnicas de protección
Conceptos Previos
• Lista de procesos protegidos
• Proceso Cómplice
• Funciones de Callback
• Funciones legítimas del sistema
• Patchguard x64
NTSTATUS ExCallbackFunction(
PVOID CallbackContext,
PVOID Argument1, // REG_NOTIFY_CLASS-typed value
// Qué operación se ha producido
PVOID Argument2 // Tipo según Arg1
// Identifica la clave / valor
)
• CmRegisterCallback
• Protección de claves de Registro
• Recepción de comandos
Técnicas de protección
Registro
NTSTATUS ExCallbackFunction(
PVOID CallbackContext,
PVOID Argument1,
// REG_NOTIFY_CLASS-typed value
// Qué operación se ha producido
PVOID Argument2
// Estructura relacionada
con la operación
// Identifica la clave / valor
)
NTSTATUS ExCallbackFunction(
PVOID CallbackContext,
PVOID Argument1,
// REG_NOTIFY_CLASS-typed value
// Qué operación se ha producido
PVOID Argument2
// Estructura relacionada
con la operación
// Identifica la clave / valor
)
Técnicas de protección
Registro
• ObRegisterCallback sobre creación o duplicado de HANDLEs de procesos
o hilos
• Se comprueba si el HANDLE es para un proceso o un hilo
Técnicas de protección
Procesos protegidos
Se impide a procesos no
confiables operar sobre
procesos que forman parte
del ataque
Técnicas de protección
Evasión contra herramientas antimalware
Interceptación de
nuevos binarios en
memoria
Decisión sobre
parcheado
Comprobación de sus
propiedades contra las
blacklists
Parcheado del
binario
Ejecución normalEjecución MZ modificado
Técnicas de protección
Evasión contra herramientas antimalware (Modo usuario)
• PsSetCreateProcessNotifyRoutineEx
• KeStackAttachProcess
• Acceso a la memoria del proceso de usuario
• Se comprueba si el proceso debe ser ejecutado
Técnicas de protección
Evasión contra herramientas antimalware (Modo usuario)
Muchos drivers y componentes del sistema pueden registrar
funciones de notificación sobre creación de procesos, como son
PsSetCreateProcessNotifyRoutine(Ex, Ex2) [...] Estas funciones
además permiten deshabilitar o bloquear la creación de
procesos. Esto provee a los fabricantes de
soluciones antimalware una manera
de añadir mejoras de seguridad al
sistema operativo, ya sea mediante blacklists de hashes u
otras técnicas.
~Windows Internals, 7th Ed.
Técnicas de protección
Evasión contra herramientas antimalware (Modo kernel)
• PsSetLoadImageNotifyRoutine
Técnicas de protección
Evasión contra herramientas antimalware (Modo kernel)
• PsSetLoadImageNotifyRoutine
Técnicas de protección
Evasión contra herramientas antimalware (Modo kernel)
• PsSetLoadImageNotifyRoutine
Técnicas de protección
Proceso cómplice (Inyección)
• Se mantiene un proceso cómplice en modo usuario
• Services.exe o Lsass.exe
• Buffer XOREADO que oculta el código del proceso cómplice
• Se crea un hilo remoto desde modo
kernel
• KeStackAttachProcess
• NtCreateThreadEx
• Lorem ipsum dolor sit
amet, consectetur
adipiscing elit. Donec
sollicitudin dolor a ex
rhoncus pharetra.
PsSetCreateProcessNotifyRoutineEx
Monitorización de nuevos procesos
Técnicas de protección
Proceso cómplice (Inyección)
Remediación
No podemos parar
el proceso
Remediación
Consideraciones
El compromiso se
produce en ring 0
Los equipos
funcionan con
normalidad
No podemos parar
el servicio
No podemos
borrar el archivo
El driver también
se carga en MODO
SEGURO
No podemos
ejecutar
herramientas
antimalware
No podemos parar
el proceso
Remediación
Consideraciones
El compromiso se
produce en ring 0
Los equipos
funcionan con
normalidad
No podemos parar
el servicio
No podemos
borrar el archivo
El driver también
se carga en MODO
SEGURO
No podemos
ejecutar
herramientas
antimalware
No podemos hacer
nada!!
Remediación
Consideraciones
A NO SER…A NO SER…
• Podemos intentar enviar comandos al rootkit
• Nos haremos pasar por un proceso infectado
• Deberían estar protegidos pero…
Remediación
• Podemos intentar enviar comandos al rootkit
• Nos haremos pasar por un proceso infectado
• Deberían estar protegidos pero…
Demo time – NeCure y NeCsists
https://github.com/elmaisbuscado/NecursUtilities
BLAK
Conclusiones
Conclusiones
Extracción de lista
de comandos
completa y
actualizada
Se persigue el
beneficio
económico
Desarrollo de
herramientas
En el incidente
fue un minero,
pero…

Más contenido relacionado

La actualidad más candente

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonWebsec México, S.C.
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13peter69
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una BackdoorNEGOCIOS PROPIOS
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]RootedCON
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapWebsec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmWebsec México, S.C.
 
El control de la informacion
El control de la informacionEl control de la informacion
El control de la informacionElio Rojano
 

La actualidad más candente (20)

Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
Daniel González & Helena Jalain - DevSecOps y la caída de Babilonia: cómo olv...
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Bsides Latam 2019
Bsides Latam 2019Bsides Latam 2019
Bsides Latam 2019
 
Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013Técnicas de escaneo masivo - 11/2013
Técnicas de escaneo masivo - 11/2013
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
 
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
Abraham Pasamar & Carlos Fernández - Purple brain, purple brain ... [rooted2019]
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Penetración con una Backdoor
Penetración con una BackdoorPenetración con una Backdoor
Penetración con una Backdoor
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Taller: Exploración de redes con Nmap
Taller: Exploración de redes con NmapTaller: Exploración de redes con Nmap
Taller: Exploración de redes con Nmap
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
El control de la informacion
El control de la informacionEl control de la informacion
El control de la informacion
 

Similar a rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_javier_rascon

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida   seguridad en desarrollo fullstackHack & beers lleida   seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackMarc Pàmpols
 
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamarEvasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamarINCIDE
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Oskar Laguillo
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]Websec México, S.C.
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Pablo Alvarez Doval
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detectedBitup Alicante
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Adrian Belmonte Martín
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
HerramientasExplotacion-GRUPO5.pptx
HerramientasExplotacion-GRUPO5.pptxHerramientasExplotacion-GRUPO5.pptx
HerramientasExplotacion-GRUPO5.pptxJhoseC1
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa   stuxnetJornada de ciberdefensa   stuxnet
Jornada de ciberdefensa stuxnetAlejandro Ramos
 

Similar a rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_javier_rascon (20)

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida   seguridad en desarrollo fullstackHack & beers lleida   seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamarEvasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
Evasion_AVs_Uso_de_Crypters-MundoHackerDay_2k14_apasamar
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
 
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
LOG craziness: Sistemas SIEM para humanos! [GuadalajaraCON 2013]
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Respuestas
RespuestasRespuestas
Respuestas
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
 
Beep intrusion-detected
Beep intrusion-detectedBeep intrusion-detected
Beep intrusion-detected
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
HerramientasExplotacion-GRUPO5.pptx
HerramientasExplotacion-GRUPO5.pptxHerramientasExplotacion-GRUPO5.pptx
HerramientasExplotacion-GRUPO5.pptx
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
 
Presentacion
PresentacionPresentacion
Presentacion
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa   stuxnetJornada de ciberdefensa   stuxnet
Jornada de ciberdefensa stuxnet
 

Más de RootedCON

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRootedCON
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...RootedCON
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRootedCON
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRootedCON
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.RootedCON
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]RootedCON
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

Más de RootedCON (20)

Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
Rooted2020 el camino-de_hacktiago_tras_los_pasos_de_14_increibles_cibersantua...
 
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalezRooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
Rooted2020 dev secops-into_the_unknown_-_jesus_alcalde_-_daniel_gonzalez
 
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torranoRooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
Rooted2020 atacando la-debilidad_humana_-_ruth_sala_-_carmen_torrano
 
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
Rooted2020 a ver-como_nos_lo_montamos_a_vueltas_con_las_da_os_-_rootedpanel.
 
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
Jordi Ubach - Breaking critical infrastructures [rootedvlc2019]
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 

Último

Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 

Último (20)

Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 

rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_javier_rascon

  • 1. Rootkit Necurs No es un bug, es una feature!
  • 2. @elmaisbuscado Ingeniero Informático UPM Máster Ciberseguridad UC3M Analista de malware Telefónica (CSIRT-SCC) Roberto Santos @jvrrascon Ingeniero Informático – Universidad de Jaén Analista de malware Telefónica (CSIRT-SCC) Javier Rascón
  • 3. Índice Infección Estudio del rootkit Funcionamiento interno Técnicas de ocultación Remediación Conclusiones
  • 5. Cliente se pone en contacto con CSIRT-SCC en junio de 2019: • Muchos equipos han empezado a reiniciarse sin causa aparente. • Antivirus corporativo ha detectado un ejecutable ‘swaqp.exe’ como sospechoso.
  • 6. Infección Primeros datos y suposiciones • Nombre sospechoso • Poco detectado • Buena señal  Falso positivo • Mala señal  Malware recién salido del horno • Baja entropía • Descarga un ejecutable desde un dominio desconocido… • … pero está firmado por Microsoft • … que resulta ser una actualización LEGÍTIMA: KB3033929 • ¿Software del departamento de IT para automatizar tareas? • Muy “ruidoso” para ser malware
  • 7. Infección Posible dropper IP local Nombre de dominio Equipo usa NAT Versión del SO ¡Tarjeta gráfica! Recopilación RESULTS ANALYSISInsertado por los ¿atacantes? en una tarea programada a través de una infección anterior No crea persistencia ObtainUserAgentString Envío de información del equipo infectado
  • 8. Comunicación procesos - driver • Versión del SO < Windows 7 o Windows Server 2008 R2 • No se continúa la ¿infección? ejecución • Si la versión de ‘crypt32.dll’ no es la que el malware espera: • Instalación de KB3033929 • Reinicio del sistema • Descarga de un ejecutable con firmas SHA-1 y SHA-256 legítimas de Lizas Limited • Antiguas versiones de ‘crypt32.dll’ no daban el soporte a SHA-256. • Crea servicio asociado al ejecutable firmado descargado Posible dropper
  • 10. Análisis del Driver • Información del ejecutable muestra que se trata de un driver • De nuevo, baja entropía • Doble desempaquetado • Después del primer desempaquetado empieza a aparecer código útil que interactúa con el código del segundo desempaquetado • Comprueba si es instalado para ejecutarse al arranque (BOOT) • Si no, se copia se instala con otro nombre y con arranque ‘on boot’. Borra el actual servicio.
  • 12. Comunicación procesos - driver • Escritura en ciertos valores del registro (Antes IOCTL) • Basada en comandos • Cuando un proceso quiere comunicarse con el rootkit, tiene que escribir en el registro cumpliendo las siguientes condiciones: • Clave: HKLMSYSTEM • Valor: THID del hilo que está escribiendo • Datos: • Tipo :BINARY • Tamaño: ≥ 4 bytes • Simulación de escritura
  • 13. Comunicación procesos - driver • Algunos comandos solicitan información • La buscarán en un valor del registro con su mismo Thread ID pero precedido por una ‘o’ (¿output?)
  • 15. Comunicación usuario-driver Código Acción 0x224014 Obtener información básica del rootkit: Hora de instalación, número de ejecuciones, nombre... 0x22402c Obtener Ejecutable a inyectar en userSpace 0x224030 Obtener un duplicado del HANDLE del evento de actualización del rootkit 0x224054 Obtener S03 (Lista negra de procesos) 0x224078 Eliminación / Actualización de S04 (Lista negra de entidades firmantes) 0x2240A0 Eliminación / Actualización de S05 (Lista negra VERSION) 0x2240A4 Obtener S05 (Lista negra VERSION) 0x228000 Finalizar ejecución 0x228004 Actualización del propio rootkit
  • 16. Comunicación usuario-driver Código Acción 0x22800C Añadir Hilo a la lista de hilos infectados 0x228010 Quitar Hilo de lista de hilos infectados 0x228028 Actualización de código infectado en services.exe 0x228034 Actualización de un parámetro de configuración no usado 0x228038 Inyección de ejecutable. Copia el contenido del ejecutable malicioso en la memoria del proceso víctima y después se modifica el EntryPoint de ésta. Se utiliza infectProcess_changesEP para llevar a cabo la infección. 0x22803C Inyección de ejecutable. Copia el contenido del ejecutable malicioso en la memoria del proceso víctima y después se crea un hilo remoto al código inyectado. 0x2280F0 Añadir PID a listaPIDsProtegidos 0x2280F4 Eliminar PID de listaPIDsProtegidos
  • 17. Almacenamiento • Almacenamiento de información persistente en el registro • Información cifrada con AES • HKLMSystemCurrentControlSetServices<service name> • Binarios • S01: Binario del rootkit • S02: DLL inyectada en modo usuario • Información de la instalación (¿MaaS?) • S07: Hora y fecha de instalación • S08: Número de veces que el driver ha sido iniciado
  • 18. Almacenamiento • Registro • S06: Valores de registro protegidos • Listas negras • S03: Nombres de proceso (137 -> +700) • S04: Texto de firmas (33 -> 150~) • S05: Texto recurso VERSION (Nueva: 75) • S11: Nombres de archivo Caso Real (Forense)
  • 20. S03 – Nombres de proceso • proce.thacker-2.39- setup.exe • flister.exe • cmcark.exe • HookShark.exe • RegReveal.exe • mbr.exe • catchme.exe • aswmbr.exe • Pavark.exe • PCKAVService.exe • STOPzilla.exe • SZServer.exe • RsMgrSvc.exe • RsTray.exe • QQPCTray.exe • QQPCRTP.exe • EEYEEVNT.exe • Blink.exe • blinksvc.exe • twssrv.exe • twister.exe • mskrn.exe • msgui.exe • grizzlysvc.exe • grizzlyav.exe • AdAwareService.exe • AdAwareTray.exe • AVScanningService.exe • AVWatchService.exe • AAV_Service_Vista.exe • AAV_Guard.exe • AutoCare.exe • ASCService.exe • AdvancedSystemProte ctor.exe • guardxkickoff.exe • guardxkickoff_64.exe • guardxservice.exe • guardxservice_x64.exe • vba32ldr.exe • vba32ldrgui.exe • sfc.exe • iptray.exe • FortiSettings.exe • FortiTray.exe • FortiESNAC.exe • nanoav.exe • nanoav64.exe • nanosvc.exe • msseces.exe • MsMpEng.exe • ARWSRVC.exe • BDSSVC.exe • qhpisvr.exe • REPRSVC.exe • ASDSvc.exe • ASDUp.exe • VipreAAPSvc.exe • SBAMSvc.exe • SBAMTray.exe • ALMon.exe • ALsvc.exe • McsAgent.exe • MBAMService.exe • mbamtray.exe • MFEConsole.exe • nortonsecurity.exe • ccSvcHst.exe • SISIPSService.exe • ZIS.exe • ZISCore.exe • avguard.exe • Avira.ServiceHost.exe • avgnt.exe • econser.exe • avpmapp.exe • ZAPrivacyService.exe • vsmon.exe • K7CrvSvc.exe • K7FWSrvc.exe • K7PSSrvc.exe • K7TSecurity.exe • BullGuard.exe • BullGuardCore.exe • fsulprothoster.exe • fshoster64.exe • fshoster.exe • AgentSvc.exe • PSANHost.exe • PSUAService.exe • avss.exe • axengine.exe • avcom.exe • coreServiceShell.exe • coreFrameworkHost.ex e • uiWatchDog.exe • McCSPServiceHost.exe • McUICnt.exe • ModuleCoreService.exe • GDFwSvcx.exe • ekrn.exe • avp.exe • bdservicehost.exe • dwservice.exe • spideragent.exe • AVGSvc.exe • afwServ.exe • AvastSvc.exe • a2service.exe • QHWatchdog.exe • QHActiveDefense.exe • WRSA.exe • cis.exe • ccavsrv.exe • eeCtrl.sys • eraser.sys • SRTSP.sys • SRTSPIT.sys • SRTSP64.SYS • a2gffx86.sys • a2gffx64.sys • a2gffi64.sys • a2acc.sys • a2acc64.sys • mbam.sys • eamonm.sys • MaxProtector.sys • SDActMon.sys • tmevtmgr.sys • tmpreflt.sys • vcMFilter.sys • drivesentryfilterdriver2l ite.sys • mpFilter.sys • PSINPROC.SYS • PSINFILE.SYS • amfsm.sys • amm8660.sys • amm6460.sys • caavFltr.sys • ino_fltr.sys • avmf.sys • PLGFltr.sys • AshAvScan.sys • csaav.sys • SegF.sys • eeyehv.sys • eeyehv64.sys • NovaShield.sys • BdFileSpy.sys • tkfsft.sys • tkfsft64.sys • tkfsavxp.sys • tkfsavxp64.sys • SMDrvNt.sys • ATamptNt.sys • V3Flt2k.sys • V3MifiNt.sys • V3Ift2k.sys • V3IftmNt.sys • ArfMonNt.sys • AhnRghLh.sys • AszFltNt.sys • OMFltLh.sys • V3Flu2k.sys • vcdriv.sys • vcreg.sys • vchle.sys • NxFsMon.sys • AntiLeakFilter.sys • NanoAVMF.sys • shldflt.sys • nprosec.sys • nregsec.sys • issregistry.sys
  • 21. S03 – Nombres de proceso (y II) • THFilter.sys • pervac.sys • avgmfx86.sys • avgmfx64.sys • avgmfi64.sys • avgmfrs.sys • fortimon2.sys • fortirmon.sys • fortishield.sys • savonaccess.sys • OADevice.sys • pwipf6.sys • EstRkmon.sys • EstRkr.sys • dwprot.sys • Spiderg3.sys • STKrnl64.sys • UFDFilter.sys • SCFltr.sys • fildds.sys • fsfilter.sys • fpav_rtp.sys • cwdriver.sys • Rtw.sys • HookSys.sys • snscore.sys • ssvhook.sys • strapvista.sys • strapvista64.sys • sascan.sys • savant.sys • vradfil2.sys • fsgk.sys • PCTCore64.sys • PCTCore.sys • ikfilesec.sys • ZxFsFilt.sys • antispyfilter.sys • PZDrvXP.sys • ggc.sys • catflt.sys • kmkuflt.sys • mfencoas.sys • mfehidk.sys • cmdguard.sys • K7Sentry.sys • nvcmflt.sys • issfltr.sys • AVCKF.SYS • bdfsfltr.sys • bdfm.sys • AVC3.SYS • aswmonflt.sys • HookCentre.sys • PktIcpt.sys • MiniIcpt.sys • avgntflt.sys • klbg.sys • kldback.sys • kldlinf.sys • kldtool.sys • klif.sys • lbd.sys • rvsmon.sys • ssfmonm.sys • KmxAgent.sys • KmxAMRT.sys • KmxAMVet.sys • KmxStart.sys • ahnflt2k.sys • AhnRec2k.sys • AntiyFW.sys • v3engine.sys • Vba32dNT.sys • kprocesshacker.sys • gdbehave2.sys • gdkbb32.sys • gdwfpcd32.sys • grd.sys • avgidsdrivera.sys • avgidsha.sys • avgldx64.sys • avgloga.sys • avgrkx64.sys • avgtdia.sys • avgdiska.sys • avguniva.sys • avgidsdriverx.sys • avgidshx.sys • avgidsshimx.sys • avgldx86.sys • avglogx.sys • avgrkx86.sys • avgtdix.sys • bhdrvx64.sys • ccsetx64.sys • eectrl64.sys • idsvia64.sys • eng64.sys • ex64.sys • smr510.sys • symefasi.sys • eraserutilrebootdrv.sys • bhdrvx86.sys • ccsetx86.sys • idsvix86.sys • srtspx.sys • symevent.sys • ironx86.sys • symnets.sys • gfiark.sys • gfiutil.sys • sbwtis.sys • sbapifs.sys • webexaminer64.sys • tmactmon.sys • tmcomm.sys • tmebc64.sys • tmeevw.sys • tmel.sys • tmxpflt.sys • tmnciesc.sys • tmusa.sys • vsapint.sys • tmtdi.sys • kl1.sys • klflt.sys • klfltdev.sys • klhk.sys • klim6.sys • klpd.sys • kltdi.sys • klwtp.sys • kneps.sys • sdcfilter.sys • sntp.sys • sophosed.sys • mfeapfk.sys • mfeavfk.sys • mferkdet.sys • mfewfpk.sys • mfebopk.sys • mfeaack.sys • mfeclftk.sys • mfedisk.sys • mfefirek.sys • mfehck.sys • mfenlfk.sys • mfeplk.sys • mfeepmpk.sys • mfeepnfcp.sys • mfencbdc.sys • mfencrk.sys • mpnwmon.sys • WdBoot.sys • WdFilter.sys • WdNisDrv.sys • aswfsblk.sys • aswrdr.sys • aswsp.sys • aswtdi.sys • srtspx64.sys • symds64.sys • symefa64.sys • symevent64x86.sys • ironx64.sys • avipbb.sys • ssmdrv.sys • avkmgr.sys • avnetflt.sys • mbamchameleon.sys • mbamswissarmy.sys • mwac.sys • edevmon.sys • ehdrv.sys • epfwwfpr.sys • epfw.sys • epfwndis.sys • epfwwfp.sys • epfwlwf.sys • eamon.sys • immunetnetworkmonit or.sys • immunetprotect.sys • immunetselfprotect.sy s • 360AntiHacker64.sys • 360AvFlt.sys • 360Box64.sys • 360Camera64.sys • 360FsFlt.sys • 360netmon.sys • bapidrv64.sys • fsvista.sys • fshs.sys • fsbts.sys • fses.sys
  • 22. S03 – Nombres de proceso (y III) • fsdfw.sys • fsni64.sys • bddevflt.sys • bdfwfpf.sys • gzflt.sys • bdupflt.sys • ignis.sys • atc.sys • bdfndisf.sys • bdftdif.sys • bdselfpr.sys • trufos.sys • avdisk.sys • econceal.sys • mwfsmflt.sys • procobsrvesx.sys • nnsalpc.sys • nnshttp.sys • nnshttps.sys • nnsids.sys • nnspicc.sys • nnspop3.sys • nnsprot.sys • nnsprv.sys • nnssmtp.sys • nnsstrm.sys • nnstlsc.sys • psinaflt.sys • psinknc.sys • psinprot.sys • psinreg.sys • pskmad.sys • dvctprov.sys • nnsnahsl.sys • nnspihsw.sys • psindvct.sys • wrkrn.sys • wrurlflt.sys • ahnactnt.sys • ahnrghnt.sys • amonlwlh.sys • amontdlh.sys • ahawkent.sys • tffregnt.sys • ascrts.sys • cdm2drnt.sys • medcored.sys • medvpdrv.sys • tnfwnt.sys • tnhipsnt.sys • tnnipsnt.sys • tsfltdrv.sys • tmebc32.sys • aswarpot.sys • aswbidsdrivera.sys • aswbidsha.sys • aswbloga.sys • aswbuniva.sys • aswhdske.sys • aswhwid.sys • aswrdr2.sys • aswrvrt.sys • aswsnx.sys • aswstm.sys • aswvmm.sys • k7fwhlpr.sys • avasdmft.sys • tpsec.sys • dsio.sys • tdifw.sys • tdimapper.sys • tppfhook.sys • kldisk.sys • klbackupflt.sys • #klbackupdisk.sys • #avast • aswbidsdriverx.sys • aswbidshx.sys • aswblogx.sys • aswbunivx.sys • #avg • avgarpot.sys • avgbidsdrivera.sys • avgbidsha.sys • avgbloga.sys • avgmonflt.sys • avgnetsec.sys • avgrdr2.sys • avgsp.sys • avgsnx.sys • avgstm.sys • avgvmm.sys • #NOD32 • #mcafee • cfwids.sys • mcpvdrv.sys • mfesapsn.sys • #avira • avdevprot.sys • avusbflt.sys • #norton sec deluxe • EraserUtilDrvI32.sys • SYMEFASI64.sys • #bitdef • avchv.sys • #Trendmicro • tmlwf.sys • tmwfp.sys • #fsecure • #trustport • axflt.sys • #vipre • sbwfw.sys • #sophos • #panda • panda_url_filteringd.sys • #GDATA • gdwfpcd64.sys • TS4nt.sys • #Symantec Endpoint 14 • SISIPSDriver.sys • SysPlant.sys • Teefer.sys • avgbuniva.sys • avgNetNd6.sys • #mbytes • mbae64.sys • #kaspersky total security • cm_km.sys • #emsisoft • epp.sys • eppwfp.sys • # last edit • #360 • 360FsFlt_win10.sys • BAPIDRV.sys • BAPIDRV_win10.sys • BAPIDRV64_win10.sys • DsArk.sys • DsArk_win10.sys • dsark64.sys • DsArk64_win10.sys • qutmdrv.sys • qutmdrv_win10.sys • EfiMon.sys • 360AvFlt_win10.sys • 360avflt64.sys • 360AvFlt64_win10.sys • 360AntiHacker.sys • 360AntiHacker_win10.s ys • 360AntiHacker64_win1 0.sys • 360Box.sys • 360Box_win10.sys • 360Box64_win10.sys • 360Camera.sys • 360Camera_win10.sys • 360Camera64_win10.s ys • qutmipc.sys • qutmipc_win10.sys • 360netmon_50.sys • 360netmon_60.sys • 360netmon_wfp.sys • 360netmon_x64_wfp.s ys • 360netmon_x64.sys • 360SelfProtection.sys • 360SelfProtection_win1 0.sys • hookport.sys • hookport_win10.sys • # avast • MorphiDriver.sys • aswbdiska.sys • aswNetNd6.sys • aswNetSec.sys • #bullguard • BdAgent.sys • BdSpy.sys • BdNet.sys • BdSentry.sys • #Ahn Lab v3 • CdmDrvNt.sys • ISPrxEnt.sys • ISFWEnt.sys • ISIPSEnt.sys • ISPIBEnt.sys • AhnSZE.sys • #comodo • cmderd.sys • cmdhlp.sys • inspect.sys • isedrv.sys • #clamv - immunitet • CiscoAMPCEFWDriver.s ys • CiscoAMPHeurDriver.sy s • #fortinet • FortiFilter.sys
  • 23. S03 – Nombres de proceso (y IV) • fortiapd.sys • ftvnic.sys • ftsvnic.sys • pppop64.sys • #dr web • DrWebLwf.sys • dwdg.sys • dw_wfp.sys • #ikarus • NTGUARD_X64.sys • #vba32 • Vba32d64.sys • Vba32m64.sys • #quick heal • atkldrvr.sys • wsnf.sys • WSFILTER.sys • webssx.sys • bdsflt.sys • bdsnm.sys • arwflt.sys • emltdi.sys • #ZOne alarm • ISWKL.sys • vsdatant.sys • #Zillya • zef.sys • zsc.sys • znf.sys • aswTap.sys • avgbdiska.sys • avgHwid.sys • avgRvrt.sys • cmdboot.sys • cmdcss_vista.sys • cmdcss_win7.sys • cmdcss_win8.sys • cmdcss_xp.sys • isedrv_vista.sys • isedrv_win7.sys • isedrv_win8.sys • isedrv_xp.sys • #Kaspersky • klbackupdisk.sys • klelam.sys • klkbdflt2.sys • klpnpflt.sys • klwfp.sys • kltap.sys • #BitDefender • bddci.sys • bdelam.sys • bdprivmon.sys • bdsyslogphysicalmemo rydumper.sys • bdvedisk.sys • trufosalt.sys • eelam.sys • ekbdflt.sys • epfwtdi.sys • EpfwTdiR.sys • mfeclnrk.sys • HipShieldK.sys • tmumh.sys • BdBoot.sys • #Emisoft • fwndislwf32.sys • fwndislwf64.sys • fwwfp732.sys • fwwfp764.sys • #F-Secure • fselms.sys • fsulgk.sys • fsbts_x64.sys • aftap0901.sys • PSBoot.sys • K7FWFilt.sys • K7RKScan.sys • K7TdiHlp.sys • #eScan • avdisk64.sys • econceal.lwf.Vista64.sy s • econceal.lwf.Win7_64.s ys • econceal.lwf.Win8_64.s ys • econceal.vista64.sys • ESWfp64.sys • mwfsmfltx.sys • MWRM64.sys • PROCOBSRVES.sys • #ZoneAlarm • icsak.sys • kl2.sys • klim5.sys • kltdf.sys • #Malwarebytes • farflt.sys • #Norton Security • eraser64.sys • symevnt.sys • #Symantec Endpoint Protection • SyDvCtrl64.sys • WGX64.sys • SISIDSRegDrv32_post- vista.sys • SISIDSRegDrv64_post- vista.sys • SISIPSDeviceFilter32_p ost-vista.sys • SISIPSDeviceFilter64_p ost-vista.sys • SISIPSDriver32_post- vista.sys • SISIPSDriver64_post- vista.sys • SISIPSFileFilter32_post- vista.sys • SISIPSFileFilter64_post- vista.sys • SISIPSNetFilter32_post- vista.sys • SISIPSNetFilter64_post- vista.sys • #MSE • NisDrvWFP.sys • BSFS.sys • CONIO.sys • ELAMDRV.sys • ELRKTRM.sys • EMLSSX.sys • KBFLTR.sys • llio.sys • mscank.sys • WEBSSX8.sys • wstif.sys • #AhnLab V3 • athpexnt.sys • MeDVpHkD.sys • gfiark32.sys • gfiark64.sys • gfiutl32.sys • gfiutl64.sys • VipreELAM.sys • sbfw.sys • sbhips.sys • SBTIS.sys • sbfwht.sys • SbFwIm.sys • SBTISHT.sys • sbaphd.sys • sbapifsl.sys • #ALYac • ALYac40.exe • EstPdc.sys • EstRtw.sys • EstFwt.sys • #VirusChaser • VC90Setup_P_DESKTO P_All_x64.exe • sga_ntf_x64.sys • sga_ntf_x86.sys • eps_sys_x64.sys • eps_sys_10_x64.sys • eps_min_xp64.sys • eps_min_x64.sys • eps_min_10_x64.sys • #AhnLab • V3Lite_Setup.exe • hsbdrvnt.sys • mkd2bthf.sys • mkd2nadr.sys • #ViRobot • ViRobot7x64_Trial.exe • ViRobot7x86_Trial.exe • ViRobotAPTShieldSetu p_Free.exe • tewebproect.sys • tkctrl2k.sys • tkfsav.sys • tkfsft.sys • tkfwfv.sys • tkfwvt.sys • tkidsvt.sys • tkpcfthk.sys • tkrgac2k.sys • tkrgftxp.sys • EstCst.sys • EstPdc.sys • AhnFltNt.sys • AhnRecNT.sys • AMonTDLH.sys • AMonTDnt.sys • AnfdIOnt.sys • AnfdTDnt.sys • Cdm2DrNt.sys • AhnFlt2k.sys • AMonCDw7.sys • amoncdw8.sys • AMonHKnt.sys
  • 24. S04 – Texto de firmas • # antirootkits • # Bitdefender Internet Security (signature: bdelam.sys) • Anti-malware Publisher • # Process Hacker (signature: .sys, .exe) • Wen Jia Liu • Check Point Software Technologies Ltd • GRISOFT, s.r.o. • Avira GmbH • Avira Operations GmbH & Co. KG • BITDEFENDER LLC • BitDefender SRL • Doctor Web Ltd • ESET, spol. s r.o. • FRISK Software International Ltd • Kaspersky Lab • Panda Software International • Check Point Software Technologies • BullGuard Ltd • antimalware • NovaShield Inc • CJSC Returnil Software • Anti-Virus • Sophos Plc • Comodo Security Solutions • Quick Heal Technologies • G DATA Software • Beijing Rising • Immunet Corporation • K7 Computing • Sunbelt Software • Beijing Jiangmin • VirusBuster Ltd • KProcessHacker • Microsoft Malware Protection • KSLDriver.sys • STOPzilla • Essentware • Filseclab • Lavasoft • IKARUS • VirusBlokAda • Immunet • FortiClient • Quick Heal • VIPRE • AhnLab • Malwarebytes • Malwarebytes Corporation • Sophos • BullGuard • F-Secure • TrustPort • Trend Micro • McAfee • G Data • Kaspersky • AVAST • Emsisoft • Qihoo 360 • Webroot • Bitdefender • Trend Micro, Inc. • McAfee, Inc. • X-Wire Technology • Sophos Ltd • Protection Technology, Ltd. • Daniel Terhell • F-Secure Corporation • ALWIL Software • Antiy Technology Co. Ltd
  • 25. S04 – Texto de firmas (y II) • Antiy Labs • Kernel Detective • Safe'nSec • S.N.Safe • HookAnalyser • IceSword • Brock Williams • Unhooker • Process Walker • RootkitDetect • CsrWalker • F-Secure BlackLight • Avast! Antirootkit • SysInspector • DiamondCS • Norton Power Eraser • Detects and Delete • SanityCheck • Sophos Limited • X-Wiretechnology • Malwarebytes Anti-Rootkit • RootkitBuster • RootkitRemover • Mcafee Labs Rootkit • RootRpeal • Epoolsoft Windows Information • FilterMon • RootQuest • Andres Tarasco • kX-Ray • NIAP XRay • DarkSpy • CardMagic • SUYI Studio • Yas Anti • Tuluka kernel • (C) Orkbluit • Orkblutt • Find_Hidden • ESTsecurity Corp. • SGA Co.,LTD • ESTsoft Corp • www.sgacorp.kr • AhnLab, Inc. • Hauri, Inc • QIHU 360 SOFTWARE CO. LIMITED • AVAST Software s.r.o. • AVG Technologies USA, Inc. • Panda Security S.L. • VIPRE Security (ThreatTrack Security, Inc.) • NANO Security Ltd • Webroot Inc. • Emsisoft Ltd • G DATA Software AG • BullGuard Ltd. • Check Point Software Technologies Ltd. • Quick Heal Technologies Limited • TrustPort, a.s. • IS3, Inc. • MicroWorld Technologies Inc. • Total Defense Inc • Adaware Software • FRISK Software International • K7 Computing Pvt Ltd • Doctor Web Ltd. • SPAMMfighter ApS • Security Softvare Limeted • VIRUSBLOKADA ODO • Fortinet Technologies (Canada) inc. • ALLIT Service LLC • Adlice
  • 26. S05 – Texto recurso VERSION • # Calctlator (version: C:WindowsSystem32calc.exe) • # Bitdefender Internet Security (version: bdagent.exe, bdredline.exe) • Bitdefender • # Procmon.exe from Sysinternals (version: .sys) • Process Monitor Driver • Atool • Antiy Labs • AVZ • TDSS • cmcark.exe • EP_X0FF • CsrWalker • DrWeb • Igor Daniloff • Rootkit • DarkSpy • CardMagic • FilterMon • Daniel Pistelli • flister.exe • Gmer • HookAnalyser • HookShark.exe • IceSword • System Analyzing • kX-Ray • Brock Williams • NIAP XRay • NIAP • RootkitDetect • Process Walker • USEC Radix • RegReveal.exe • Unhooker • Detector For Windows • Andres Tarasco • RootQuest • ComSentry • RootRepeal • AD 2007 • SafetyCheck • SUYI Studio • SysProt • TrueX64 • By diyhack • Tuluka kernel • Libertad. All • Yas Anti • mbr.exe • Find_Hidden • F-Secure BlackLight • (C) Orkbluit • catchme.exe • Avast! Antirootkit • ALWIL Software • aswmbr.exe • SysInspector • ESET, spol. • DiamondCS • Symantec • Norton Power Eraser • Safe'nSec • S.N.Safe • SanityCheck • Detects and Delete • X-Wiretechnology • Sophos Limited • Pavark.exe • Malwarebytes Anti-Rootkit • RootkitBuster • Trend Micro • Mcafee Labs Rootkit • RootkitRemover • RootRpeal • Epoolsoft Windows Information • Anti~mal~ware tool • API Monitor Installer • Telerik Fiddler Web
  • 29. Técnicas de protección Conceptos Previos • Lista de procesos protegidos • Proceso Cómplice • Funciones de Callback • Funciones legítimas del sistema • Patchguard x64 NTSTATUS ExCallbackFunction( PVOID CallbackContext, PVOID Argument1, // REG_NOTIFY_CLASS-typed value // Qué operación se ha producido PVOID Argument2 // Tipo según Arg1 // Identifica la clave / valor )
  • 30. • CmRegisterCallback • Protección de claves de Registro • Recepción de comandos Técnicas de protección Registro NTSTATUS ExCallbackFunction( PVOID CallbackContext, PVOID Argument1, // REG_NOTIFY_CLASS-typed value // Qué operación se ha producido PVOID Argument2 // Estructura relacionada con la operación // Identifica la clave / valor )
  • 31. NTSTATUS ExCallbackFunction( PVOID CallbackContext, PVOID Argument1, // REG_NOTIFY_CLASS-typed value // Qué operación se ha producido PVOID Argument2 // Estructura relacionada con la operación // Identifica la clave / valor )
  • 33. • ObRegisterCallback sobre creación o duplicado de HANDLEs de procesos o hilos • Se comprueba si el HANDLE es para un proceso o un hilo Técnicas de protección Procesos protegidos Se impide a procesos no confiables operar sobre procesos que forman parte del ataque
  • 34. Técnicas de protección Evasión contra herramientas antimalware Interceptación de nuevos binarios en memoria Decisión sobre parcheado Comprobación de sus propiedades contra las blacklists Parcheado del binario Ejecución normalEjecución MZ modificado
  • 35. Técnicas de protección Evasión contra herramientas antimalware (Modo usuario) • PsSetCreateProcessNotifyRoutineEx • KeStackAttachProcess • Acceso a la memoria del proceso de usuario • Se comprueba si el proceso debe ser ejecutado
  • 36. Técnicas de protección Evasión contra herramientas antimalware (Modo usuario) Muchos drivers y componentes del sistema pueden registrar funciones de notificación sobre creación de procesos, como son PsSetCreateProcessNotifyRoutine(Ex, Ex2) [...] Estas funciones además permiten deshabilitar o bloquear la creación de procesos. Esto provee a los fabricantes de soluciones antimalware una manera de añadir mejoras de seguridad al sistema operativo, ya sea mediante blacklists de hashes u otras técnicas. ~Windows Internals, 7th Ed.
  • 37. Técnicas de protección Evasión contra herramientas antimalware (Modo kernel) • PsSetLoadImageNotifyRoutine
  • 38. Técnicas de protección Evasión contra herramientas antimalware (Modo kernel) • PsSetLoadImageNotifyRoutine
  • 39. Técnicas de protección Evasión contra herramientas antimalware (Modo kernel) • PsSetLoadImageNotifyRoutine
  • 40. Técnicas de protección Proceso cómplice (Inyección) • Se mantiene un proceso cómplice en modo usuario • Services.exe o Lsass.exe • Buffer XOREADO que oculta el código del proceso cómplice • Se crea un hilo remoto desde modo kernel • KeStackAttachProcess • NtCreateThreadEx
  • 41. • Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec sollicitudin dolor a ex rhoncus pharetra. PsSetCreateProcessNotifyRoutineEx Monitorización de nuevos procesos Técnicas de protección Proceso cómplice (Inyección)
  • 43. No podemos parar el proceso Remediación Consideraciones El compromiso se produce en ring 0 Los equipos funcionan con normalidad No podemos parar el servicio No podemos borrar el archivo El driver también se carga en MODO SEGURO No podemos ejecutar herramientas antimalware
  • 44. No podemos parar el proceso Remediación Consideraciones El compromiso se produce en ring 0 Los equipos funcionan con normalidad No podemos parar el servicio No podemos borrar el archivo El driver también se carga en MODO SEGURO No podemos ejecutar herramientas antimalware No podemos hacer nada!!
  • 46. • Podemos intentar enviar comandos al rootkit • Nos haremos pasar por un proceso infectado • Deberían estar protegidos pero… Remediación
  • 47. • Podemos intentar enviar comandos al rootkit • Nos haremos pasar por un proceso infectado • Deberían estar protegidos pero…
  • 48. Demo time – NeCure y NeCsists https://github.com/elmaisbuscado/NecursUtilities BLAK
  • 50. Conclusiones Extracción de lista de comandos completa y actualizada Se persigue el beneficio económico Desarrollo de herramientas En el incidente fue un minero, pero…