Matías Porolli | WeLiveSecurity

Bio

Matías Porolli

Matías Porolli

Malware Analyst

Educación: Ingeniero en Sistemas de Información de la Universidad Tecnológica Nacional, regional Mendoza (Argentina).

Resumen de carrera: Luego de graduarme y antes de ingresar a ESET, trabajé en diversos proyectos de investigación en el staff de Fraud Investigation & Dispute Services para la consultora Ernst & Young, dedicándome al análisis de evidencia sobre discos y equipos informáticos.

Posición e historia en ESET: Ganador del Premio Universitario al Mejor Trabajo de Investigación en Seguridad Antivirus en 2011. En mayo de 2013 me sumé al equipo como Especialista de Awareness & Research y a principios de 2014 comencé a desempeñarme como Analista de Malware.

¿Cuál es el malware que más odias? : INF/Autorun.

Actividades favoritas: Estudiar idiomas, básquet, fútbol y BMX.

¿Cuál es tu regla de oro en el ciberespacio? : Cogito ergo sum.

¿Cuándo tuviste tu primer computador y de qué tipo era? : Alrededor de 1996. No recuerdo el modelo, pero sí recuerdo que corría Windows 3.11.

¿Cuál es tu actividad o juego favorito en el computador? : Roms de Sega Genesis, DooM, Need for Speed Most Wanted.

Artículos por autor

¿Cómo realizar un análisis de malware que evita la virtualización?

La forma más sencilla de analizar un archivo malicioso consiste en ejecutarlo en un entorno controlado y observar los resultados. A tales efectos, la utilización de máquinas virtuales se hace vital, ya que permite la recuperación casi instantánea del estado inicial de la máquina. Por ello, en diversas ocasiones el malware incluye mecanismos para detectar si está siendo ejecutado en un entorno virtualizado, situación ante la cual modifica su camino de ejecución para esconder su verdadero comportamiento. Hoy analizaremos algunas de estas técnicas mediante un caso práctico.

Luchando contra strings cifradas

Cuando estamos reverseando aplicaciones maliciosas, a veces todas las strings serán visibles en texto plano. En otros casos, encontraremos porciones cifradas con mayor o menor grado de complejidad. Hoy expondremos un caso de este último tipo y lo analizaremos de forma intuitiva.

Debuggeando archivos DLL empaquetados

Cuando empezamos a debuggear un archivo dll con OllyDbg, notaremos que el proceso es distinto en comparación con un ejecutable típico: la dll no es cargada en memoria de forma independiente, sino mediante otro archivo ejecutable que nos ofrece Olly. Por desgracia, si dicha dll está comprimida con algún packer, al debuggear podríamos obtener un entry point posterior a la rutina de unpacking. En este post exploraremos un pequeño truquito para solventar el problema mencionado.

Unpacking en ejemplos prácticos

Si bien las muestras que recibimos a diario en el Laboratorio de Investigación de ESET Latinoamérica presentan packers muy diversos, la mayoría de ellas no se encuentran empaquetadas, o tienen alguna versión de UPX. Por tal motivo, me pareció una buena idea analizar esas muestras en este post, de tal modo de realizar el unpacking en forma práctica.

Complicando el análisis: algunas técnicas de anti‑debugging

Ciertas instrucciones, estructuras de datos o caminos de ejecución pueden no quedar muy claros en el análisis con desensambladores. Allí, los debuggers son la alternativa natural. Sin embargo, así como existen técnicas utilizadas por los desarrolladores de malware para complicar el desensamblado, también podemos encontrar diversos procedimientos anti-debugging que analizaremos en este post.

El malware se camufla para persistir en el sistema con AppInit_DLLs

Para asegurar su permanencia en un sistema infectado, el malware puede aplicar diversas técnicas. Hoy discutiremos la utilización de AppInit_DLLs, un método que implica la modificación del registro de Windows y la inyección de código en los procesos corriendo en el equipo afectado. Al desarrollar códigos maliciosos, los cibercriminales desean que sus amenazas persistan en

Reconociendo condicionales switch en ingeniería reversa

Hace unas semanas, estuvimos reconociendo estructuras comunes en ingeniería reversa (parte I, parte II y bucles). Con esas entradas del blog ya podemos tener una buena idea de cómo encarar el reversing sin volvernos locos, pero hoy quiero presentarles otra estructura más: los condicionales de selección múltiple. Si bien estos no son tan comunes, tienen

Reconociendo bucles en ingeniería reversa

Luego de haber estado reconociendo estructuras comunes en ingeniería reversa (parte I y parte II) hace algunas semanas, continuaremos con la útil tarea de vislumbrar patrones entre las diversas líneas de código. Hoy es el turno de los bucles, esas estructuras que permiten la ejecución repetida de las instrucciones. Dado que, al realizar reversing, la

Reconociendo estructuras comunes en ingeniería reversa parte II

Hace algunos días estuvimos analizando las estructuras comunes en ingeniería reversa, así como también los beneficios que podemos obtener de la utilización de herramientas adecuadas. En esta oportunidad, volvemos para completar este análisis con más patrones que serán de gran ayuda en la tarea de reversing. Para esta segunda parte, continuaremos con el ejemplo planteado

Propagación de archivos CPL: ¿por qué no debo hacer clic en ellos?

Durante el último mes de 2013 y los primeros tiempos de este 2014, hemos visto en el Laboratorio de Investigación de ESET Latinoamérica el crecimiento y la aparición sostenida de amenazas contenidas en archivos de extensión .cpl. Gran parte de estas amenazas tiene como objetivo el ataque a usuarios de Brasil, con lo cual creemos conveniente informarles acerca de ellas. Como punto de partida del análisis,

Desensambladores: conceptos de reversing

Ya sea para el análisis de códigos maliciosos, búsqueda de vulnerabilidades en una aplicación, o incluso para analizar la efectividad de un compilador, muchas veces es necesario realizar ingeniería reversa sobre un archivo ejecutable. En este post veremos una introducción a esta idea, ya que es una tarea que todo analista de malware debe dominar.

Buscando imágenes geolocalizadas: ejemplo práctico de Yara

Hace algún tiempo se analizó en este blog Yara, una herramienta para la identificación y clasificación de malware. En esta oportunidad, sin embargo, se pretende un enfoque que vaya más allá de las aplicaciones en el análisis de códigos maliciosos. Después de todo, cualquier archivo es una secuencia de bytes, y Yara nos permitirá encontrar

¿Cuáles fueron las amenazas más importantes de 2013?

Se acerca el final del 2013 y desde ESET Latinoamérica queremos compartir con ustedes un resumen de aquellas amenazas que afectaron a los usuarios de la región. Códigos maliciosos, vulnerabilidades críticas y violaciones a la privacidad son algunos de los temas destacados de este año. Si ponemos en perspectiva las amenazas más influyentes, seguramente estaremos