Innovación y laboratorio de ElevenPaths y los C&C persistentes en la “Geek Street” de Infosecurity Europe 2018

lunes, 4 de junio de 2018

Infosecurity Europe (Infosec) es uno de los eventos de seguridad más grandes de Londres. Se trata de una feria donde se reúnen casi 20.000 profesionales alrededor de unos 400 stands de fabricantes, y se muestran los últimos avances en seguridad de la información. Además de esto, se ofrecen conferencias de todo tipo en varios tracks en paralelo. Nos encontraremos en el denominado “Geeck Street” donde hablaremos de "Commands and Control" persistentes para malware a través de Blockchain.

Info security Europe imagen

Del 5 al 7 de junio se celebra en el Olympia de Londres esta feria internacional de seguridad. En el track de “Geek Street”, donde solo se admiten conferencias relacionadas con la investigación en seguridad más técnicas, Félix Brezo presentará "Blockchain-Based C&C Techniques: Towards a Persistent Channel", una investigación que demuestra cómo el malware podría valerse de blockchain para crear una infraestructura totalmente persistente e inquebrantable. 

Félix Brezo, analista de inteligencia en ElevenpPaths imagen

Siguiendo la línea de publicaciones que ya hicimos en el pasado, en eventos como EuskalHack de junio de 2017 ("Make This Last Forever"), hablaremos de cómo las propiedades de la tecnología de la cadena de bloques pueden ser usadas también con fines menos benignos.

La cadena de bloques mantiene un registro de transacciones de las distintas criptodivisas. Las transacciones, una vez firmadas, se notifican al resto de nodos que conforman la red y son añadidas por los mineros en bloques de transacciones que se encadenan criptográficamente al bloque anterior. De esta manera, se garantiza que una vez que se añade un bloque a la cadena, su modificación conllevaría la modificación de todos los bloques anclados posteriormente, lo que va siendo cada vez más costoso de asegurar conforme se encadenan más bloques nuevos. Aunque el objetivo original de cadenas de bloques como la de Bitcoin era el anclaje de transacciones que registraban los operaciones entre dos direcciones, existe la posibilidad de anclar información adicional codificada como salidas especiales. Este concepto es utilizado para fines legítimos como el anclaje de resúmenes criptográficos de documentos por ejemplo (véase el proyecto poex.io). Sin embargo, la persistencia e inmutabilidad de la información anclada en la cadena de bloques de Bitcoin también puede ser utilizada para anclar información maliciosa como la localizacíón, por ejemplo, de los servidores desde los que administrar una red de equipos infectados. 

Para ello, se realiza una prueba en la que se usa uno de los campos de los bloques para almacenar el dominio necesario como "command and control". El malware solo necesitaría registrar otro dominio en el siguiente bloque en caso de que el primero fuera bloqueado o eliminado. De esta manera, garantizamos una persistencia de infraestructura. No solo se muestra cómo es posible, sino que se reflexiona sobre las consecuencias de un malware dañino con estas capacidades.


Innovación y laboratorio
www.elevenpaths.com

No hay comentarios:

Publicar un comentario