Skip to content

Argos. Un emulador para capturar ataques 0day

Publicado por Sergio Hernando el 12 marzo 2006

Otro proyecto que va a terminar en mi caja de arena de pruebas, tan pronto tenga tiempo para echarle un ojo.

argos

El proyecto en cuestión se llama Argos, y es un emulador para la captura de ataques 0day. Sus autores lo definen como idóneo para su uso en honeypots. Está basado en QEMU, un emulador de procesos de código libre que usa traducción dinámica en aras de una velocidad de emulado netamente elevada.

Análisis dinámico de corrupciones (Dynamic Taint Analysis)

Argos se basa en lo que se conoce como técnica de análisis dinámico de corrupciones, consistente en procesar datos que proceden del exterior de la red bajo control, de modo que se procede a la reserva una porción de memoria para almacenar los datos sometidos a estudio y se analizan no sólo esos datos predefinidos, sino que además, se monitoriza el punto de destino, bien sean registros, bien sea memoria. El sistema proporciona una alarma cuando se produce un uso ilegítimo o anormal de los datos monitorizados, por ejemplo, intentos de bypass o saltos premeditados en un flujo determinado.

Según los autores, Argos es el primer paso para la creación de un marco de trabajo de detección avanzado, de modo que los honeypots de última generación, así como los venideros, con el objetivo de identificar y gestionar contramedidas para los ataques 0day. La idea es proporcionar a los honeypots capacidad de distinción entre tráfico malicioso y tráfico sin amenaza, de modo que no sólo se limiten a capturar, sino a facultar la toma de decisiones dinámica en función del tráfico detectado, mitigando los ataques.

Es un proyecto ambicioso, innovador y bien planteado. Habrá que vér cómo se traduce en resultados. Sobre la autoría, Argos es obra de un grupo de investigadores de la Universidad de Vrije y podéis descargarlo libremente en su página.

Sobre las técnicas de análisis dinámico os recomiendo este paper: Dynamic Taint Analysis for Automatic Detection, Analysis, and Signature Generation of Exploits on Commodity Software. También muy recomendable esta entrada de honeyblog, Argos: An Emulator for Capturing Zero-Day Attacks, que ha servido de inspiración para este pequeño artículo.

Saludos :)

Be Sociable, Share!

Categoría/s → Malware, Seguridad

Un comentario
  1. 20 febrero 2007
    sergio castro hernando permalink

    hola ………..solo encontre tu nombre en el google y quice saludarte por el gran alcance de nombres…..soy de chile…y mi bisabuelo se vino de la peninsula hace ya algunos años…..nada solo eso….te dejo mi correo por si quieres responder…..

Comentarios cerrados.