Para visualizar el sitio de manera óptima actualice el navegador. ×

To Execute or Not to Execute. How to Build a Malware Execution Lab

Ejecutar malware es una parte fundamental para crear defensas contra el mismo malware. Sólo es posible detectar ataques en la red cuando conocemos en profundidad su comportamiento real. Pero ejecutar malware es complejo y peligroso, ya que se necesita de una estructura, autorización y metodología. La utilización de servicios en la nube y el uso de sandboxes facilitó la tarea para muchos, pero lejos de ser efectivos, estos servicios no son adecuados para una investigación seria. Esto produjo que la ejecución de malware esté más relacionada a una tarea oculta que a un área de investigación. Esta charla explica cómo diseñar un laboratorio para ejecutar malware real, las implicancias de implementarlo, cómo encontrar muestras de malware en Internet, cómo ejecutar todo tipo de malware, como interceptar tráfico HTTPs y cómo analizar los resultados de forma metodológica.El objetivo de esta charla es contar cómo se diseña e implementa un laboratorio de ejecución de malware de alto nivel internacional, tanto en computadoras con sistemas Windows y Linux, como en dispositivos hardware IoT. Se explica el paso a paso de qué se debería hacer y que no, las implicancias éticas, las restricciones legales, los desafíos técnicos y las problemáticas con las autoridades. Mostraremos las fallas más comunes y cómo diversas autoridades nos han bloqueado varias veces por infectar a otros. Hablaremos de cómo se consiguen muestras de malware y sobre todo, cómo obtener resultados reproducibles y comprobables.

Nuestros proyectos de ejecución de malware forman parte del Stratosphere Laboratory de la Czech Technical University en Praga, donde desde hace más de 4 años generamos más de 600 capturas de malware de calidad que se comparten de forma gratuita con la comunidad. Cada captura es publicada en Internet, junto con sus análisis y el binario del malware usado. Nuestro laboratorio también incluye honeypots, con el objetivo de evaluar cómo actúan los ataques reales y para obtener los nuevos ataques “In The Wild”.

Desde una perspectiva práctica, en esta charla compartiremos por primera vez las herramientas usadas y las máquinas virtuales pre-configuradas en el Stratosphere Lab. Con la creación del laboratorio, mostraremos luego los casos más destacados de malware ejecutado en nuestro laboratorio, incluyendo binarios que han permanecido desconocidos para la comunidad por años. Desde redes enteras infectadas con Wannacry, pasando por casos reales de ataques de DDoS, creación de proxy networks y robos de identidad, hasta monitoreo de foros de atacantes y casos de APT desencriptados. La charla busca concientizar sobre lo importante de ejecutar malware para entender sus propiedades y la necesidad de la comunidad de contar con el comportamiento real del malware en la red para obtener mejores herramientas de detección. Para concluir, ejecutaremos malware en vivo para mostrar cómo se hace, qué es lo que se observa y qué se siente descubrir nuevos ataques. Es importante que le perdamos el miedo a ejecutar malware para mejorar nuestros análisis de malware y detecciones de seguridad. Para cerrar la charla, vamos a distribuir pendrives entre los asistentes con máquinas virtuales y miles de binarios de malware real para que los asistentes puedan ejecutarlo.

Sobre Maria Jose Erquiaga

Maria Jose Erquiaga es investigadora y profesora de la Universidad Nacional de Cuyo. También es estudiante de maestría en Computación de Alto Rendimiento en la Universidad Nacional de La Plata. Su experiencia en como investigadora ha estado mayormente enfocada en estudiar el comportamiento del malware en las redes. Particularmente, el comportamiento de grandes botnets en redes reales. Trabajó capturando grandes cantidades de trafico de malware por largos períodos de tiempo (disponible para descargar), analizando los ataque manualmente e investigando las decisiones tomadas por el malware. Trabajó por dos años en el proyecto Nomad, dirigido por Sebastián García. Sus principales tareas consistían en buscar malwares usando HTTPs, ejecutar el malware en el laboratorio CVUT, monitorearlo y analizar sus acciones. Actualmente, lidera el equipo del proyecto Aposemat, dirigido por sebastián García. El objetivo de este pryecto es ejecutar malware en dispositivos IoT.

Sobre Sebastián García

Sebastián García es un investigador de malware y profesor de seguridad, con vasta experiencia en aprendizaje automático aplicado a tráfico de red. Fundó Stratosphere Lab, hogar de las primeras máquinas de inteligencia artificial, free softwares IPs. El Stratosphere Lab tiene 15 investigadores trabajando en temas de seguridad y ejecutando malwares para crear conjuntos de datos más grandes. Le gusta analizar patrones de red y ataques con aprendizaje automático. Como investigador en la Czech Technical University en Praga, cree que el free software y herramientas de aprendizaje automático pueden ayudar a una mejor protección de usuarios de los abusos de sus derechos digitales. Ha estdo enseñando en distintos paises y universidades y trabajando en penetration testing para ambas corporaciones y gobiernos. Ha sido lo sufiencientemente afortunado como para disertar en diversas conferencias tales como:Ekoparty, DeepSec, Hackitivy, Botconf, Hacklu, InBot, SecuritySessions, ECAI, CitizenLab, ArgenCor, Free Software Foundation Europe, VirusBulletin, BSides Vienna, HITB Singapore, CACIC, AAMAS, etc. Co-fundó el MatesLab hackspace en Argentina y también el Independent Fund for Woman in Tech. Investiga sobre honeypots, detección de tráfico de malware, detección de troll de redes sociales, dinámicas keystroke de scanning distribuido (dnmap), analisis bluetooth, protección de privacidad, detección de intrusos, robótica, detección de microfonos con SDR (Salammandra) y biohacking.