introduction h ere
play

INTRODUCTION H ERE Claudio nex Guarnieri @botherder - PowerPoint PPT Presentation

Sep 25, 2022 •12 likes •472 views

INTRODUCTION H ERE Claudio nex Guarnieri @botherder Security Researcher at Rapid7 Core member of The Shadowserver FoundaBon Core member of The

  2. INTRODUCTION ¡

  3. H ERE ¡ • Claudio ¡ “ nex ” ¡ Guarnieri ¡ @botherder ¡ • Security ¡Researcher ¡at ¡ Rapid7 ¡ • Core ¡member ¡of ¡ The ¡Shadowserver ¡FoundaBon ¡ • Core ¡member ¡of ¡ The ¡Honeynet ¡Project ¡ • Dictator ¡of ¡ Cuckoo ¡Sandbox ¡

  4. N OT ¡H ERE ¡ • Mark ¡ “ rep ” ¡ Schloesser ¡ @repmovsb ¡ • Here? ¡ • German ¡coding ¡machine ¡ • Jurriaan ¡ “ skier ” ¡ Bremer ¡ @skier_t ¡ • Our ¡Dutch ¡Windows ¡wizard ¡ • Alessandro ¡ “ jekil ” ¡ Tanasi ¡ @jekil ¡ • Italian ¡Ferrari ¡

  5. SANDBOXING ¡

  6. P ROBLEMS ¡ • Process ¡high ¡volumes? ¡ • Automate ¡specific ¡tasks? ¡ • Integrate ¡with ¡internal ¡security? ¡ • Support ¡your ¡Ier-­‑1 ¡analysts? ¡

  7. P ROS ¡ • Automate ¡the ¡whole ¡analysis ¡process ¡ • Process ¡high ¡volumes ¡of ¡malware ¡ • Usable ¡by ¡virtually ¡anyone ¡ • Get ¡the ¡actual ¡executed ¡code ¡ • Can ¡be ¡very ¡effecIve ¡if ¡used ¡smartly ¡

  8. C ONS ¡ • Can ¡be ¡expensive ¡ • Some ¡porIons ¡of ¡the ¡code ¡might ¡not ¡be ¡ triggered ¡ • Environment ¡could ¡be ¡detected ¡ • Can ¡be ¡a ¡complete ¡waste ¡

  9. P REPARATION ¡ • Define ¡ requirements ¡and ¡ expectaBons ¡ • Goal ¡ • Throughput ¡ • Design ¡the ¡analysis ¡environment ¡ • Design ¡proper ¡integraIon ¡ • Make ¡sense ¡of ¡the ¡data! ¡

  10. CUCKOO ¡SANDBOX ¡

  11. Automated ¡ malware ¡ analysis ¡system, ¡easy ¡ to ¡use ¡and ¡customize. ¡

  12. W HY ? ¡ • We ¡ believe ¡in ¡open ¡source ¡ • Empower ¡ students ¡and ¡researchers ¡ • Open ¡architecture ¡for ¡more ¡ flexibility ¡and ¡ creaBvity ¡

  13. S OME ¡ NUMBERS ¡ • Almost ¡ 50000 ¡lines ¡of ¡code, ¡ Python ¡and ¡ C ¡ • 4 ¡core ¡developers ¡ • ~ 25 ¡contributors ¡over ¡Ime ¡ • ~ 8000 ¡downloads ¡of ¡the ¡last ¡version ¡

  14. B ITS ¡ OF ¡H ISTORY ¡ Aug ¡ Nov ¡ Jul ¡ 2010 ¡ 2011 ¡ 2012 ¡ 0.1a ¡ 0.2 ¡ 0.4 ¡ Jan ¡ Dec ¡ Dec ¡ 2011 ¡ 2011 ¡ 2012 ¡ 0.1 ¡ 0.3 ¡ 0.5 ¡

  15. W HAT ¡ YOU ¡ NEED ¡ TO ¡ KNOW ¡ • Basic ¡usage ¡of ¡Linux ¡ • Basic ¡usage ¡of ¡virtual ¡machines ¡ • Knowledge ¡to ¡leverage ¡the ¡results ¡ • Windows ¡APIs ¡ • Malicious ¡behaviors ¡ • With ¡ Python ¡ you ¡can ¡get ¡awesome! ¡

  16. H OW ¡ IT ¡ WORKS ¡ Prepare ¡ Instrument ¡ Execute ¡ Process ¡ Pull ¡task ¡ analysis ¡ the ¡guest ¡ and ¡log ¡ and ¡report ¡

  17. K EY ¡F EATURES ¡ • Completely ¡automated ¡ • Run ¡ concurrent ¡analysis ¡ • Able ¡to ¡ trace ¡processes ¡recursively ¡ • Customize ¡analysis ¡ process ¡ • Create ¡behavioral ¡ signatures ¡ • Customize ¡processing ¡and ¡reporIng ¡

  18. R ESULTS ¡ • Behavioral ¡Logs ¡ • File ¡dumps ¡ • Screenshots ¡ • Network ¡traffic ¡ • Memory ¡dumps ¡

  19. DEMO ¡

  20. C OMPONENTS ¡ Scheduler ¡ UBls ¡ Analyzer ¡ Machine ¡ Result ¡ Post-­‑ Analysis ¡ Submission ¡ Manager ¡ Server ¡ Processing ¡ Package ¡ Processing ¡ Signatures ¡ ReporIng ¡ CuckooMon ¡

  21. S UBMISSION ¡ • Python ¡API ¡ • Command-­‑line ¡uIlity ¡ • Web ¡uIlity ¡ • REST ¡API ¡ • OpIons: ¡ • Priority ¡ • Timeout ¡ • Machine ¡ • Package ¡ • Arguments ¡ • Memory ¡dump ¡

  22. A NALYSIS ¡P ACKAGES ¡ • In ¡ Analyzer ¡ (under ¡ analyzer/windows/modules/ packages/ ) ¡ • Python ¡modules ¡ • Define ¡how ¡to ¡interact ¡with ¡the ¡malware ¡and ¡ the ¡system ¡ • Can ¡be ¡used ¡for ¡scripIng ¡tasks ¡

  23. H ELPER ¡F UNCTIONS ¡ • Create ¡process ¡ • Monitor ¡process ¡status ¡ • Inject ¡DLL ¡ • Take ¡process ¡memory ¡dump ¡

  25. A UXILIARY ¡M ODULES ¡ • In ¡ Analyzer ¡ (under ¡ analyzer/windows/modules/ auxiliaries/ ) ¡ • Python ¡modules ¡ • Run ¡concurrently ¡to ¡the ¡analysis ¡ • Default: ¡ • Screenshots ¡ • EmulaIon ¡of ¡human ¡interacIon ¡

  27. P ROCESSING ¡M ODULES ¡ • In ¡ Core ¡ (under ¡ modules/processing/ ) ¡ • Python ¡modules ¡ • Process ¡raw ¡results ¡ • Populate ¡collecIon ¡of ¡abstracted ¡results ¡

  29. S IGNATURES ¡ • In ¡ Core ¡ (under ¡ analyzer/windows/modules/signatures/ ) ¡ • Python ¡modules ¡ • Isolate ¡specific ¡events ¡ • IdenIfy ¡malware ¡family ¡ • IdenIfy ¡malicious ¡behavior ¡ • Extract ¡configuraIon ¡ • … ¡

  32. DEMO ¡

  33. R EPORTING ¡M ODULES ¡ • In ¡ Core ¡ (under ¡ analyzer/windows/modules/repor6ng/ ) ¡ • Python ¡modules ¡ • Make ¡use ¡of ¡abstracted ¡results ¡ • Default: ¡ • JSON ¡ • HTML ¡ • MAEC ¡ • MongoDB ¡

  35. C OMMUNITY ¡ • Community ¡Repository ¡ • hcps://github.com/cuckoobox/community ¡ • u"ls/community.py ¡

  36. U SE ¡C ASE ¡ • APT! ¡APT! ¡APT! ¡ • AutomaIcally ¡collect ¡and ¡analyze ¡PoisonIvy ¡ • Extract ¡configuraIons ¡ • Report ¡PoisonIvy ¡C&C ¡to ¡a ¡backend ¡

  40. DEMO ¡

  41. CONCLUSIONS ¡

  42. J UICY ¡I DEAS ¡ • Automate ¡extracIon ¡of ¡ bankers ¡configs ¡ • Automate ¡extracIon ¡of ¡ RAT ¡configs ¡ ✔ ¡ • Automate ¡ process ¡memory ¡ forensic ¡ • Automate ¡ unpacking ¡ • Any ¡others? ¡

  43. S UMMING ¡U P ¡ • Open ¡source ¡soluIon ¡(and ¡will ¡remain ¡so) ¡ • Flexible ¡and ¡customizable ¡ • Easy ¡to ¡integrate ¡ • Very ¡acIvely ¡developed ¡

  44. F UTURE ¡ • 0.6 ¡to ¡be ¡released ¡soon! ¡ then ¡ • Simplify ¡the ¡analysis ¡results ¡ • Add ¡a ¡proper ¡web ¡interface ¡ • Improve ¡performances ¡ • Bare-­‑metal ¡support ¡(almost ¡done) ¡ • Add ¡Mac ¡OS ¡X ¡support ¡ • Feedback? ¡

  45. O THER ¡S TUFF ¡ • Malwr ¡ • hcps://malwr.com ¡ • VxCage ¡ • hcps://github.com/cuckoobox/vxcage ¡

  46. ? ¡ www.cuckoosandbox.org ¡ @cuckoosandbox ¡ ¡ nex@cuckoosandbox.org ¡ @botherder ¡

Recommend

INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION

INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION

TRAINING COURSE ON SOCIAL PROTECTION & FORMALIZATION TRINIDAD AND TOBAGO MARCH 15, 2017 INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION INTRODUCTION Design of the NIS Assistance from the

547 views • 23 slides
INTRODUCTION Introduction 2/42 INTRODUCTION Alternations I am giving bread to the

INTRODUCTION Introduction 2/42 INTRODUCTION Alternations I am giving bread to the

Patterns of variation in the expression of case and agreement Andrs Brny Leiden University Centre for Linguistics 9 November 2019, BaSIS Workshop a.barany@hum.leidenuniv.nl INTRODUCTION Introduction 2/42 INTRODUCTION

1.37k views • 42 slides
Introduction Introduction Introduction Introduction Outline Motivation Failures

Introduction Introduction Introduction Introduction Outline Motivation Failures

Introduction Introduction Introduction Introduction Outline Motivation Failures Definition and concepts Process and product properties Principles SE Approaches Motivation Software and the economy The economies of

1.03k views • 49 slides
Introduction Introduction Introduction Nationwide Cause for Concern 1

Introduction Introduction Introduction Nationwide Cause for Concern 1

Introduction Introduction Introduction Nationwide Cause for Concern 1 https://www.cdc.gov/std/stats17/infographic.htm Introduction Epidemiology in Western Colorado CPHE Surveillance Data Report, May 2018 Chlamydia Epidemiology in Western

977 views • 39 slides
DAQ introduction Purpose of this talk : (1) Introduction for those who have not been in every

DAQ introduction Purpose of this talk : (1) Introduction for those who have not been in every

DAQ introduction Purpose of this talk : (1) Introduction for those who have not been in every meeting (2) Some ideas of diagrams for section 7.1 (Introduction) of TP. Giles Barr 25 Jan 2018, Pembroke College On DUNE, the reality is there is a

474 views • 10 slides
INTRODUCTION cf. Schneider, Chapter 1 INTRODUCTION THEY ARE OUT TO GET YOU INTRODUCTION WHAT

INTRODUCTION cf. Schneider, Chapter 1 INTRODUCTION THEY ARE OUT TO GET YOU INTRODUCTION WHAT

ADVANCED COMPUTER SECURITY INTRODUCTION cf. Schneider, Chapter 1 INTRODUCTION THEY ARE OUT TO GET YOU INTRODUCTION WHAT IS SECURITY? A systems security policies describe What the system is supposed to do Store and provide access

479 views • 16 slides
Overview Introduction to SMIL Introduction to W3C and XML Introduction to SMIL

Overview Introduction to SMIL Introduction to W3C and XML Introduction to SMIL

Overview Introduction to SMIL Introduction to W3C and XML Introduction to SMIL Writing a SMIL file Adding Media Objects Martin Halvey Clipping media files January 2008 Timing and Synchronising Layout World Wide

387 views • 14 slides
14 Introduction Introduction Bad guys can put malware into Example: hosts

14 Introduction Introduction Bad guys can put malware into Example: hosts

Introduction Introduction source Encapsulation ISO/OSI reference model message M application segment H t H t M transport network datagram H n H n H t M presentation: allow applications to frame link H l H n H t M interpret

583 views • 4 slides
Previous Lecture Introduction to SMIL 2 Introduction to W3C and XML Introduction to SMIL

Previous Lecture Introduction to SMIL 2 Introduction to W3C and XML Introduction to SMIL

Previous Lecture Introduction to SMIL 2 Introduction to W3C and XML Introduction to SMIL Writing a SMIL file Adding Media Objects Martin Halvey Clipping media files January 2008 Timing and Synchronising Layout

322 views • 8 slides
Lecture 1 Andreas Habegger Introduction Zynq Introduction Zynq Introduction Zynq PS vs. PL

Lecture 1 Andreas Habegger Introduction Zynq Introduction Zynq Introduction Zynq PS vs. PL

Introduction Zynq Lecture 1 Andreas Habegger Introduction Zynq Introduction Zynq Introduction Zynq PS vs. PL Processing System Processor Peripherals Data Buses AXI Bus Conclusion BTE5380 - Embedded Systems Octobre 2014 Andreas Habegger

1.81k views • 30 slides
2018.06 01 SMILE5 Introduction S E 5 02 Alpha Cloud M I L 03 Company Introduction 04

2018.06 01 SMILE5 Introduction S E 5 02 Alpha Cloud M I L 03 Company Introduction 04

2018.06 01 SMILE5 Introduction S E 5 02 Alpha Cloud M I L 03 Company Introduction 04 Project References S E 5 PART.1 SMILE5 Introduction M I L Introduction STORION-SMILE5 Residential Energy Storage System Inverter 5kW Output Input

1.06k views • 25 slides
Introduction to CICS Course introduction Course introduction What is CICS? What is an

Introduction to CICS Course introduction Course introduction What is CICS? What is an

Introduction to CICS Course introduction Course introduction What is CICS? What is an application server? Why use an application server? Course introduction Services provided by CICS How CICS applications are defined Scaling CICS to meet

1.84k views • 146 slides
Network Visualization Introduction Presented by Shahed Introduction Introduction Basic

Network Visualization Introduction Presented by Shahed Introduction Introduction Basic

Network Visualization Introduction Presented by Shahed Introduction Introduction Basic building blocks Node Links (relationship between nodes) Spatial information Network data

584 views • 9 slides
Introduction Introduction (1) Main argument of the paper: universities are not only

Introduction Introduction (1) Main argument of the paper: universities are not only

Le jugement des pairs comme outil de management des universits Peer-review as a management tool Christine Musselin (CSO, Sciences Po et CNRS) Avril 2013, Lirrsistible ascension du capitalisme acadmique Introduction Introduction (1)

590 views • 28 slides
Introduction Introduction to storage and to storage and filesystems filesystems Introduction

Introduction Introduction to storage and to storage and filesystems filesystems Introduction

Moreno Baricevic Gilberto Daz Axel Kohlmeyer Stefano Cozzini ULA ICTP CNR-IOM DEMOCRITOS Merida, VENEZUELA Trieste, ITALY Trieste, ITALY Introduction Introduction to storage and to storage and filesystems filesystems Introduction

1.19k views • 51 slides
JABLOTRON JA-100 introduction November 2011 Introduction Todays goals First introduction of

JABLOTRON JA-100 introduction November 2011 Introduction Todays goals First introduction of

JABLOTRON JA-100 introduction November 2011 Introduction Todays goals First introduction of the brand new JA-100 alarm system Visions Basic architecture System components Setting Help us with final validations You are the FIRST ones

1.69k views • 111 slides
1 Introduction Introduction Communication System Baseband an adjective that describes

1 Introduction Introduction Communication System Baseband an adjective that describes

Introduction Introduction Physical Layer Mobile network Global ISP Provides the means to transmit bits Basic Concepts of from sender to receiver, Data Transmission Defines the mechanical, electrical, and Home network timing

463 views • 7 slides
Welcome! Todays Agenda: Topic Introduction Course Introduction Team Practical

Welcome! Todays Agenda: Topic Introduction Course Introduction Team Practical

INFOGR Computer Graphics Jacco Bikker - April-July 2015 - Lecture 1: Introduction Welcome! Todays Agenda: Topic Introduction Course Introduction Team Practical Details Assignments Field Study State of

869 views • 62 slides
Introduction (00) RNDr. Martin Madaras, PhD. madaras@skeletex.xyz Introduction Introduction

Introduction (00) RNDr. Martin Madaras, PhD. madaras@skeletex.xyz Introduction Introduction

Virtual and Augmented Reality Introduction (00) RNDr. Martin Madaras, PhD. madaras@skeletex.xyz Introduction Introduction Who am I? What do I do here? 2 About me Short research bio: - 2014 - finished PhD at FMFI UK - 2014 2016 -

1.3k views • 39 slides
PRESENTATION The Introduction What is the Introduction ? The introduction prepares the audience

PRESENTATION The Introduction What is the Introduction ? The introduction prepares the audience

PRESENTATION The Introduction What is the Introduction ? The introduction prepares the audience for your presentation. It tells them what your presentation is about, why it is important, and finally, what to listen for in your speech. Get the

505 views • 3 slides
How to make a presentation with L A T EX? Introduction to L A T EX Introduction to Beamer

How to make a presentation with L A T EX? Introduction to L A T EX Introduction to Beamer

Introduction to Beamer Hafida Benhidour How to make a presentation with L A T EX? Introduction to L A T EX Introduction to Beamer Introduction to Beamer Hafida Benhidour Department of computer science King Saud University November

732 views • 49 slides
Shenzhen Cuilu jewelry Co., Ltd was founded in 1996 and its a large private enterprise

Shenzhen Cuilu jewelry Co., Ltd was founded in 1996 and its a large private enterprise

Introduction Introduction - - Brief Brief Introduction Introduction of of Cuilu Cuilu Group Group Introduction Introduction - - Brief Brief Introduction Introduction of of Cuilu Cuilu Group Group Shenzhen Cuilu jewelry Co., Ltd

147 views • 14 slides
Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org

Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org

V olunteer C ommunications N etwork (V-C-N.org) Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org Academy Course - 2012-02.24-2208 262: Introduction to ICS-214 : V-C-N.org : Slide: 1 V olunteer C

735 views • 34 slides
Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org

Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org

V olunteer C ommunications N etwork (V-C-N.org) Introduction to ICS- -214 214 Introduction to ICS Official Unit / Incident Log - A V-C-N.org Academy Course - 2012-02.24-2208 262: Introduction to ICS-214 : V-C-N.org : Slide: 1 V olunteer C

558 views • 18 slides

More recommend