de Malware
(Windows y Android)
Who am I?
• Oscar Juárez Rufián
• Analista de Malware y Hacker
ético
• @roskyfrosky en la red
• @oscar665 en Virustotal
• https://blog.roskyfrosky.com
• Jugador de CTF’s
• Virustotal • Spamhaus
• Hybrid-Análisis • Otx AlienVault
• Joe-Sandbox • Maltiverse
• Malwr.com (Offline a veces) • Blueliv
• APP Any Run • Abuse CH
• Koodous.com (Android)
Others
• YaraRules Online
Terminología
o Builder: genera fichero cifrado
o Stub: Descifra y ejecuta
Tipos
o Scantime: copia a disco (detección Not Run)
o Runtime: copia a memoria (detección Run)
PAFISH
Iniciación al análisis de malware - @roskyfrosky 11
Windows - Persistencia I
HKCU → Nivel Usuario
HKLM → Nivel System
❑ AutoStart
• HKLM / HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM / HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
❑ BootExecute Key
• HKLM\SYSTEM\ControlSet002\Control\Session Manager → autocheck autochk*
❑ WinLogon Process
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit→userinit.exe
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell → Winlogon
https://github.com/strazzere/anti-emulator