Técnicas criptográficas utilizadas en "MALWARE"

La finalidad de este trabajo es estudiar los tipos de malware existentes así como las técnicas criptográficas utilizadas en ellos para ocultar y ofuscar sus actividades, con el fin de impedir su análisis a las empresas de seguridad. En este trabajo se propone un criptosistema conveniente que, además de en malware, pueda ser empleado en otros ámbitos. El análisis comienza proponiendo una breve definición del término Criptografía y explicando mediante ejemplos los distintos tipos de sistemas criptográficos y algunos posibles usos. A continuación se lleva a cabo un estudio de los distintos tipos de malware existentes, dando una visión histórica de los tipos de Criptografía utilizados hasta el momento en cada caso. El estudio profundiza en las técnicas criptográficas utilizadas actualmente y su seguridad criptográfica. Además, se realiza una propuesta de posibles soluciones criptográficas, analizando la seguridad computacional resultante de aplicar dichas soluciones y calculando la carga computacional adicional precisa. Finalmente se ofrecen una serie de conclusiones y unas líneas de desarrollo futuras.

Análisis de ataques avanzados y sus técnicas de detección

Los ataques a redes de información son cada vez más sofisticados y exigen una constante evolución y mejora de las técnicas de detección. Para ello, en este proyecto se ha diseñado e implementado una plataforma cooperativa para la detección de intrusiones basada en red. En primer lugar, se ha realizado un estudio teórico previo del marco tecnológico relacionado con este ámbito, en el que se describe y caracteriza el software que se utiliza para realizar ataques a sistemas (malware) así como los métodos que se utilizan para llegar a transmitir ese software (vectores de ataque). En el documento también se describen los llamados APT, que son ataques dirigidos con una gran inversión económica y temporal. Estos pueden englobar todos los malware y vectores de ataque existentes. Para poder evitar estos ataques, se estudiarán los sistemas de detección y prevención de intrusiones, describiendo brevemente los algoritmos que se tienden a utilizar en la actualidad. En segundo lugar, se ha planteado y desarrollado una plataforma en red dedicada al análisis de paquetes y conexiones para detectar posibles intrusiones. Este sistema está orientado a sistemas SCADA (Supervisory Control And Data Adquisition) aunque funciona sobre cualquier red IPv4/IPv6, para ello se definirá previamente lo que es un sistema SCADA, así como sus partes principales. Para implementar el sistema se han utilizado dispositivos de bajo consumo llamados Raspberry PI, estos se ubican entre la red y el equipo final que se quiera analizar. En ellos se ejecutan 2 aplicaciones desarrolladas de tipo cliente-servidor (la Raspberry central ejecutará la aplicación servidora y las esclavas la aplicación cliente) que funcionan de forma cooperativa utilizando la tecnología distribuida de Hadoop, la cual se explica previamente. Mediante esta tecnología se consigue desarrollar un sistema completamente escalable. La aplicación servidora muestra una interfaz gráfica que permite administrar la plataforma de análisis de forma centralizada, pudiendo ver así las alarmas de cada dispositivo y calificando cada paquete según su peligrosidad. El algoritmo desarrollado en la aplicación calcula el ratio de paquetes/tiempo que entran/salen del equipo final, procesando los paquetes y analizándolos teniendo en cuenta la información de señalización, creando diferentes bases de datos que irán mejorando la robustez del sistema, reduciendo así la posibilidad de ataques externos. Para concluir, el proyecto inicial incluía el procesamiento en la nube de la aplicación principal, pudiendo administrar así varias infraestructuras concurrentemente, aunque debido al trabajo extra necesario se ha dejado preparado el sistema para poder implementar esta funcionalidad. En el caso experimental actual el procesamiento de la aplicación servidora se realiza en la Raspberry principal, creando un sistema escalable, rápido y tolerante a fallos. ABSTRACT. The attacks to networks of information are increasingly sophisticated and demand a constant evolution and improvement of the technologies of detection. For this project it is developed and implemented a cooperative platform for detect intrusions based on networking. First, there has been a previous theoretical study of technological framework related to this area, which describes the software used for attacks on systems (malware) as well as the methods used in order to transmit this software (attack vectors). In this document it is described the APT, which are attacks directed with a big economic and time inversion. These can contain all existing malware and attack vectors. To prevent these attacks, intrusion detection systems and prevention intrusion systems will be discussed, describing previously the algorithms tend to use today. Secondly, a platform for analyzing network packets has been proposed and developed to detect possible intrusions in SCADA (Supervisory Control And Data Adquisition) systems. This platform is designed for SCADA systems (Supervisory Control And Data Acquisition) but works on any IPv4 / IPv6 network. Previously, it is defined what a SCADA system is and the main parts of it. To implement it, we used low-power devices called Raspberry PI, these are located between the network and the final device to analyze it. In these Raspberry run two applications client-server developed (the central Raspberry runs the server application and the slaves the client application) that work cooperatively using Hadoop distributed technology, which is previously explained. Using this technology is achieved develop a fully scalable system. The server application displays a graphical interface to manage analytics platform centrally, thereby we can see each device alarms and qualifying each packet by dangerousness. The algorithm developed in the application calculates the ratio of packets/time entering/leaving the terminal device, processing the packets and analyzing the signaling information of each packet, reating different databases that will improve the system, thereby reducing the possibility of external attacks. In conclusion, the initial project included cloud computing of the main application, being able to manage multiple concurrent infrastructure, but due to the extra work required has been made ready the system to implement this funcionality. In the current test case the server application processing is made on the main Raspberry, creating a scalable, fast and fault-tolerant system.

Defending against cybercrime: advances in the detection of malicious servers and the analysis of client-side vulnerabilities

Esta tesis se centra en el análisis de dos aspectos complementarios de la ciberdelincuencia (es decir, el crimen perpetrado a través de la red para ganar dinero). Estos dos aspectos son las máquinas infectadas utilizadas para obtener beneficios económicos de la delincuencia a través de diferentes acciones (como por ejemplo, clickfraud, DDoS, correo no deseado) y la infraestructura de servidores utilizados para gestionar estas máquinas (por ejemplo, C & C, servidores explotadores, servidores de monetización, redirectores). En la primera parte se investiga la exposición a las amenazas de los ordenadores victimas. Para realizar este análisis hemos utilizado los metadatos contenidos en WINE-BR conjunto de datos de Symantec. Este conjunto de datos contiene metadatos de instalación de ficheros ejecutables (por ejemplo, hash del fichero, su editor, fecha de instalación, nombre del fichero, la versión del fichero) proveniente de 8,4 millones de usuarios de Windows. Hemos asociado estos metadatos con las vulnerabilidades en el National Vulnerability Database (NVD) y en el Opens Sourced Vulnerability Database (OSVDB) con el fin de realizar un seguimiento de la decadencia de la vulnerabilidad en el tiempo y observar la rapidez de los usuarios a remiendar sus sistemas y, por tanto, su exposición a posibles ataques. Hemos identificado 3 factores que pueden influir en la actividad de parches de ordenadores victimas: código compartido, el tipo de usuario, exploits. Presentamos 2 nuevos ataques contra el código compartido y un análisis de cómo el conocimiento usuarios y la disponibilidad de exploit influyen en la actividad de aplicación de parches. Para las 80 vulnerabilidades en nuestra base de datos que afectan código compartido entre dos aplicaciones, el tiempo entre el parche libera en las diferentes aplicaciones es hasta 118 das (con una mediana de 11 das) En la segunda parte se proponen nuevas técnicas de sondeo activos para detectar y analizar las infraestructuras de servidores maliciosos. Aprovechamos técnicas de sondaje activo, para detectar servidores maliciosos en el internet. Empezamos con el análisis y la detección de operaciones de servidores explotadores. Como una operación identificamos los servidores que son controlados por las mismas personas y, posiblemente, participan en la misma campaña de infección. Hemos analizado un total de 500 servidores explotadores durante un período de 1 año, donde 2/3 de las operaciones tenían un único servidor y 1/2 por varios servidores. Hemos desarrollado la técnica para detectar servidores explotadores a diferentes tipologías de servidores, (por ejemplo, C & C, servidores de monetización, redirectores) y hemos logrado escala de Internet de sondeo para las distintas categorías de servidores maliciosos. Estas nuevas técnicas se han incorporado en una nueva herramienta llamada CyberProbe. Para detectar estos servidores hemos desarrollado una novedosa técnica llamada Adversarial Fingerprint Generation, que es una metodología para generar un modelo único de solicitud-respuesta para identificar la familia de servidores (es decir, el tipo y la operación que el servidor apartenece). A partir de una fichero de malware y un servidor activo de una determinada familia, CyberProbe puede generar un fingerprint válido para detectar todos los servidores vivos de esa familia. Hemos realizado 11 exploraciones en todo el Internet detectando 151 servidores maliciosos, de estos 151 servidores 75% son desconocidos a bases de datos publicas de servidores maliciosos. Otra cuestión que se plantea mientras se hace la detección de servidores maliciosos es que algunos de estos servidores podrán estar ocultos detrás de un proxy inverso silente. Para identificar la prevalencia de esta configuración de red y mejorar el capacidades de CyberProbe hemos desarrollado RevProbe una nueva herramienta a través del aprovechamiento de leakages en la configuración de la Web proxies inversa puede detectar proxies inversos. RevProbe identifica que el 16% de direcciones IP maliciosas activas analizadas corresponden a proxies inversos, que el 92% de ellos son silenciosos en comparación con 55% para los proxies inversos benignos, y que son utilizado principalmente para equilibrio de carga a través de múltiples servidores. ABSTRACT In this dissertation we investigate two fundamental aspects of cybercrime: the infection of machines used to monetize the crime and the malicious server infrastructures that are used to manage the infected machines. In the first part of this dissertation, we analyze how fast software vendors apply patches to secure client applications, identifying shared code as an important factor in patch deployment. Shared code is code present in multiple programs. When a vulnerability affects shared code the usual linear vulnerability life cycle is not anymore effective to describe how the patch deployment takes place. In this work we show which are the consequences of shared code vulnerabilities and we demonstrate two novel attacks that can be used to exploit this condition. In the second part of this dissertation we analyze malicious server infrastructures, our contributions are: a technique to cluster exploit server operations, a tool named CyberProbe to perform large scale detection of different malicious servers categories, and RevProbe a tool that detects silent reverse proxies. We start by identifying exploit server operations, that are, exploit servers managed by the same people. We investigate a total of 500 exploit servers over a period of more 13 months. We have collected malware from these servers and all the metadata related to the communication with the servers. Thanks to this metadata we have extracted different features to group together servers managed by the same entity (i.e., exploit server operation), we have discovered that 2/3 of the operations have a single server while 1/3 have multiple servers. Next, we present CyberProbe a tool that detects different malicious server types through a novel technique called adversarial fingerprint generation (AFG). The idea behind CyberProbe’s AFG is to run some piece of malware and observe its network communication towards malicious servers. Then it replays this communication to the malicious server and outputs a fingerprint (i.e. a port selection function, a probe generation function and a signature generation function). Once the fingerprint is generated CyberProbe scans the Internet with the fingerprint and finds all the servers of a given family. We have performed a total of 11 Internet wide scans finding 151 new servers starting with 15 seed servers. This gives to CyberProbe a 10 times amplification factor. Moreover we have compared CyberProbe with existing blacklists on the internet finding that only 40% of the server detected by CyberProbe were listed. To enhance the capabilities of CyberProbe we have developed RevProbe, a reverse proxy detection tool that can be integrated with CyberProbe to allow precise detection of silent reverse proxies used to hide malicious servers. RevProbe leverages leakage based detection techniques to detect if a malicious server is hidden behind a silent reverse proxy and the infrastructure of servers behind it. At the core of RevProbe is the analysis of differences in the traffic by interacting with a remote server.

Communicating strategically in the face of terrorism: The Spanish government’s response to the 2004 Madrid bombing attacks

With the re-emergence of insurgency tied to terrorism, governments need to strategically manage their communications. This paper analyzes the effect of the Spanish government’s messaging in the face of the Madrid bombing of March 11, 2004: unlike what happened with the 9/11 bombings in the USA and the 7/07 London attacks, the Spanish media did not support the government’s framing of the events. Taking framing as a strategic action in a discursive form (Pan & Kosicki, 2003), and in the context of the attribution theory of responsibilities, this research uses the “cascading activation” model (Entman, 2003, 2004) to explore how a framing contest was generated in the press. Analysis of the coverage shows that the intended government frame triggered a battle among the different major newspapers, leading editorials to shift their frame over the four days prior to the national elections. This research analyzes strategic contests in framing processes and contributes insight into the interactions among the different sides (government, parties, media, and citizens) to help bring about an understanding of the rebuttal effect of the government’s intended frame. It also helps to develop an understanding of the role of the media and the influence of citizens’ frames on media content.

Simulación de la propagación del malware: modelos continuos vs. modelos discretos

La gran mayoría de modelos matemáticos propuestos hasta la fecha para simular la propagación del malware están basados en el uso de ecuaciones diferenciales. Dichos modelos son analizados de manera crítica en este trabajo, determinando las principales deficiencias que presentan y planteando distintas alternativas para su subsanación. En este sentido, se estudia el uso de los autómatas celulares como nuevo paradigma en el que basar los modelos epidemiológicos, proponiendo una alternativa explícita basada en ellos a un reciente modelo continuo.

La justification des atteintes aux libertés de circulation : cadre méthodologique et spécificités matérielles = Justification of attacks on freedom of movement: methodological framework and specific hardware. Research Paper in Law 01/2013

No abstract.

The EU Counter-Terrorism Policy Responses to the Attacks in Paris: Towards an EU Security and Liberty Agenda. CEPS Liberty and Security in Europe No. 81/February 2015

This paper examines the main EU-level initiatives that have been put forward in the weeks following the attacks in Paris in January 2015, which will be discussed in the informal European Council meeting of 12 February 2015. It argues that a majority of these proposals predated the Paris shootings and had until that point proved contentious as regards their efficacy, legitimacy and lawfulness. The paper finds that EU counterterrorism responses raise two fundamental challenges: A first challenge is posed to the freedom of movement, Schengen and EU citizenship. Priority is being given to the expanded use of large-scale surveillance and systematic monitoring of all travellers including EU citizens, which stands in contravention of Schengen and the free movement principle. A second challenge concerns EU democratic rule of law. Current pressures calling for the adoption of measures such as the EU Passenger Name Record challenge the scrutiny roles held by the European Parliament and the Court of Justice of the EU on counterterrorism measures in a post-Lisbon Treaty setting. The paper proposes that the EU adopts a new European Agenda on Security and Liberty based on an EU security (criminal justice-led) cooperation model that is firmly anchored in current EU legal principles and rule of law standards. This model would call for ‘less is more’ concerning the use, processing and retention of data by police and intelligence communities. Instead, it would pursue better and more accurate use of data meeting the quality standards of evidence in criminal judicial proceedings.

European security after the Paris attacks. CEPS Commentary, 24 November 2015

The November 13th terrorist attacks in Paris have prompted the European Union to activate the mutual assistance clause contained in Art. 42.7 of the EU Treaty. Member states are now entering the unchartered territory of large-scale conflict: will they join a French-led coalition of the willing, or is the military intervention against Daesh being Europeanised? This Commentary explores implications of the Paris attacks on European security and recommends coordinated and comprehensive responses to be taken within the EU framework.

The EU and its Counter-Terrorism Policies after the Paris Attacks. Liberty and Security in Europe No. 84, 27 November 2015

This paper examines the EU’s counter-terrorism policies responding to the Paris attacks of 13 November 2015. It argues that these events call for a re-think of the current information-sharing and preventive-justice model guiding the EU’s counter-terrorism tools, along with security agencies such as Europol and Eurojust. Priority should be given to independently evaluating ‘what has worked’ and ‘what has not’ when it comes to police and criminal justice cooperation in the Union. Current EU counter-terrorism policies face two challenges: one is related to their efficiency and other concerns their legality. ‘More data’ without the necessary human resources, more effective cross-border operational cooperation and more trust between the law enforcement authorities of EU member states is not an efficient policy response. Large-scale surveillance and preventive justice techniques are also incompatible with the legal and judicial standards developed by the Court of Justice of the EU. The EU can bring further added value first, by boosting traditional policing and criminal justice cooperation to fight terrorism; second, by re-directing EU agencies’ competences towards more coordination and support in cross-border operational cooperation and joint investigations, subject to greater accountability checks (Europol and Eurojust +); and third, by improving the use of policy measures following a criminal justice-led cooperation model focused on improving cross-border joint investigations and the use of information that meets the quality standards of ‘evidence’ in criminal judicial proceedings. Any EU and national counter-terrorism policies must not undermine democratic rule of law, fundamental rights or the EU’s founding constitutional principles, such as the free movement of persons and the Schengen system. Otherwise, these policies will defeat their purpose by generating more insecurity, instability, mistrust and legal uncertainty for all.