Inicio / Blog / III Conferencias de Seguridad Navaja Negra

III Conferencias de Seguridad Navaja Negra

Publicado el 03/10/2013, por INCIBE
navaja negra

Del 3 al 5 de Octubre tiene lugar la III edición de las Conferencias de Seguridad Navaja Negra en Albacete. Estas conferencias nacieron hace tres años con el objetivo de ofrecer charlas del ámbito de la seguridad de la información en base a los 3 principios con los que se creó: «Humildad, compartir y aprender. »

La conferencia está formada por más de veinte charlas de ponentes de renombre nacional e internacional que hablarán de temas de actualidad tan interesantes como la red Tor o la criptografía. Además como punto final del evento, tendrá lugar una interesante mesa redonda para analizar la reforma del código procesal civil, la cual contará con representantes del Grupo de Delitos Telemáticos de la Guardia Civil, de la Brigada de Investigación Tecnológica de la Policía Nacional, abogados especialistas en esos temas e investigadores.

Dentro del cronograma de ponencias de Navaja Negra este año queremos destacar la participación de dos profesionales del INTECO, Juan Carlos Montes y Adrián Pulido, con títulos tan prometedores para sus intervenciones como «Telepathy: Harness the Code» y « ¿Nadie piensa en las DLLS?» respectivamente. A continuación se indica una breve reseña relativa a ambas ponencias.

TELEPATHY: HARNESS THE CODE

En esta charla Juan Carlos Montes habla sobre una herramienta para la utilización de funciones de otro proceso, partiendo de la base de que mediante el uso de inyecciones se puede llamar a cualquier función que tenga un ejecutable, esté o no exportada. El reto a la hora de utilizar una función de este modo es la automatización de todos los tipos diferentes de funciones que nos podemos encontrar, muchas de ellas con varios valores hardcoded.

Con la utilidad Telepathy es posible llamar a cualquier tipo de función de cualquier proceso e indicándole el tipo de datos que se está enviando y el tipo de datos que nos va a devolver, podemos usar cualquier función de un proceso remoto, y todo ello sin necesidad de inyectar DLL’s en el proceso.

¿Y todo esto sirve para algo? Por ejemplo, en un malware que tiene una función que se encarga de descifrar todas las peticiones que le llegan desde el C&C. Para descifrar estas peticiones solo tendríamos que capturar el trafico que envía el C&C al malware con un analizador de protocolos como Wireshark, y una vez identificada la función, desde TELEPATHY invocarla con los parámetros necesarios. De esta forma obtendríamos en claro la información que está enviando el C&C.

El objetivo es aprovechar que el malware ya sabe hacer las cosas que nosotros necesitamos, y en base a un análisis previo, utilizarlo para forzar la realización de tareas por parte del malware.

¿NADIE PIENSA EN LAS DLL?

Hoy en día se tiene la falsa creencia de que todas las infecciones por malware sólo se propagan a través de ficheros ejecutables y se tiende a olvidar otros posibles métodos de infección como la utilización de DLL’s. Mediante la manipulación y modificación de éstas, usando técnicas específicas, los atacantes pueden lograr evitar las medidas de seguridad de los antivirus y conseguir la ejecución de código en el sistema.

El objetivo de esta charla es dar a conocer estas técnicas de infección y concienciar acerca de que no sólo con ejecutables se puede infectar un equipo.