David Romero Trejo
Ariadnex Tecnología Flexible S.L.
¿Quién soy?
Ingeniero Informático y consultor TIC
Más de 5 años de experiencia en la seguridad de TIC
“Optimizar y asegurar las comunicaciones y
la información”
Listas Negras
Listas Negras y
Sistemas de Reputación Dinámicos
l Notos
l Exposure
l Kopis
l Disclosure
l Netflow
DGA – Domain Generation Algorithm
Sonda SIEM Ariolo
PoC: Código fuente del DGA
Función Principal
PoC: Código fuente del DGA
PoC: Código fuente del DGA
Reverse Shell
PoC: Herramientas y Vulnerabilidad
PoC: Prueba de Concepto
VirusTotal
Soluciones Potenciales
l
Ingeniería Inversa
l Pleiades: Análisis de las respuestas de las peticiones DNS
l Búsqueda de respuestas NXDomain o Name Error
Responses
l Se puede evadir aumentando la periodicidad de las
consultas en el equipo infectado
l Phoenix: Análisis de la lingüística y fonética de los
dominios
l Difícil de pronunciar → txkjngucnth.org
l Se puede evadir utilizando palabras del diccionario
Líneas de Investigación
l Sistema de reputación dinámico basado en el origen
l Asignar pesos al direccionamiento IP origen de las
peticiones DNS en función de su reputación
l Detección de dominios maliciosos basado en la dispersidad
de la petición
l Analizar el direccionamiento IP origen de las peticiones
DNS, para definir probabilidades y umbrales de uso
l Problemática: Privacidad
Conclusión??
I+D+i
¿Preguntas?
Gracias!!
David Romero Trejo
www.davidromerotrejo.com
[email protected]
Comentarios de: Juego de Troyanos - Evadiendo listas negras (0)
No hay comentarios