Beruflich Dokumente
Kultur Dokumente
4
TEMA
Esquema
TEMA 4 – Esquema
Análisis de malware
2
Clases de malware Honeypot Arquitectura del Clasificación
laboratorio
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación, además de
leer los apuntes elaborados por el profesor.
Por lo tanto, la protección de los sistemas TIC del malware es actualmente uno de los
problemas de seguridad más importantes para las organizaciones y los individuos. En
este sentido se considera de vital importancia el conocer su estructura,
funcionamiento e interacción del mismo, pues aportará una valiosa información,
no solo para el diseño y desarrollo de contramedidas eficaces, sino que también para
ayudar a conocer el origen de un ataque y evaluar la capacidad de detección de los
sistemas de la organización a objeto de tomar las acciones de respuesta necesarias y
adecuadas.
Las principales acciones que suele realizar sobre la máquina víctima son las siguientes:
Infección de aplicaciones.
Integración en espacios en vacíos de ficheros.
Uso de la librería Mapi.dll con el fin anexarse a todos los mensajes salientes desde el
sistema infectado.
Explotación directa de servicios vulnerables.
Anexos de correos electrónicos, ejecución de ficheros, escaneo de red y gusanos web.
File dropper.
Sobreescritura o borrado de los ficheros originales.
Puertas traseras.
A través de redes Redes Peer-To-Peer (P2P) implementadas por aplicaciones como
Kazaa, Morpheus, Gnutella, etc. y cadena de comunicación Fax Flux.
Copias generadas en dispositivos removibles, como discos, memorias USB, etc.,
sobrescribiendo el archivo autorun.inf.
Transferencia y compartición de ficheros a través de la red.
Phising (técnica de ingeniería social caracterizada por engañar al usuario para que
ejecute un programa malicioso, mediante un enlace en un correo electrónico, URLs
con enlaces engañosos o el uso de subdominios.). Utilidad dañina que un usuario
descarga y ejecuta a nivel local, creyendo que es benigna.
Expansión a través de las de redes sociales, cargándose a través de link de URL
vinculadas al malware a través de sitios como Facebook, MySpace, Friendster, y
LiveJournal.
Una forma de estudiar los métodos y patrones de ataque del malware que permite
conocer con detalle las vulnerabilidades de las redes de una organización y los ataques
que las explotan, consiste en la implantación de honeypots, honeytokens y
honeynets, como medida proactiva de defensa.
Este tipo de sistemas permite la obtención de malware para utilizarlo con propósitos
investigación, pues permite obtener datos de ataques reales al dejar de algún modo
«expuestos» sistemas para posteriormente analizarse.
Estos sistemas deben ser construidos con el propósito de hacer creer al atacante que
está ante un sistema real en producción, con aparentes problemas de seguridad debidos
a una instalación incorrecta o una mala política de parcheo. Por supuesto esta
apariencia no es real, por cuanto los sistemas estarán monitorizados y cualquier acceso
será registrado en todos y cada uno de los movimientos que los atacantes realicen.
Honeypot
A su vez los honeytokens son honeypots que no son sistemas TIC, tal y como puede ser
un documento falso pero verosímil, una dirección de correo electrónico falsa usada
para rastrear, una entrada de base de datos o incluso un inicio de sesión falso. Existen
diferentes tipos de honeypots, tal y como podemos ver en la siguiente figura:
Honeypots
Inve stigación
Tipo de uso
Producción
Físicos
Tipo
implementación
Virtuale s
Tipo de
interacción
Alta inte racción
Sin embargo, esta solución proporciona una cantidad de información limitada, pues
no es posible obtener los datos completos de la comunicación de protocolos
complejos.
Honeynet
Básicamente una Honeynet se puede definir como «una red que contiene uno o
más honeypots de alta o baja interacción, herramientas de monitorización
y recolección y análisis de datos y los diferentes dispositivos de conexión y
filtrado que soportan la infraestructura de la red».
Existen diferentes tipos de honeynet, tal y como podemos ver en la siguiente figura:
Honenet
GEN I
Arquitectura GEN II
GEN III
Virtuales
Implementación Físicas
Híbridas
Las híbridas disponen de parte de los equipos virtualizados como los honeypots por
ejemplo y parte física el honeywall. Su principal ventaja es que eliminan el punto único
de fallo anteriormente comentado para las virtuales y además aíslan la parte de control
y captura de datos en otro dispositivo.
Atacante
Switch
Internet
HoneyNet GEN I
Switch
Firewall Honeypot
Honeypot
Para la captura de datos de los honeypots se utiliza una herramienta llamada Sebek,
de arquitectura cliente-servidor diseñada para capturar la actividad de los atacantes
en los Honeypots.
Atacante
Switch
Internet
HoneyNet GEN II
Honeypot
Switch
Honeywall Honeypot
Honeypot
Introducción
Además, debe ser un entorno aislado de otras redes para poder asegurar la no
propagación del malware o sus efectos a las redes de producción o incluso Internet,
que permita la obtención y realización de una línea base de la configuración del equipo
víctima, clasificación y ejecución del malware, recogida y análisis de datos obtenidos,
Arquitectura
WINDOWS LINUX
WINDOWS
SERVER SERVER
IPS SERVIDOR 1
HONEY NET
DMZ
SOLO TRAFICO
SSH
LAN FISICA
WINDOWS LINUX
WINDOWS
SERVER SERVER
Las máquinas virtuales utilizadas deberán disponer de al menos dos interfaces de red:
Uno para crear una red interna que permita una comunicación entre las mismas
(“host only”), a ser posible con un direccionamiento fijo y conocido. De esta forma se
podrán transferir ficheros entre las mismas, conectarse a servicios para gestionarlas
(p. ej. escritorio remoto, telnet/ssh, ftp, etc.), reproducir ataques, etc.
Y otro que permita un acceso a la red pública Internet (por ej. NAT), ya que en
ocasiones será necesario disponer de este medio para instalar software, realizar
consultas, trabajar con servicios reales, etc. Este interfaz de red deberá estar por
defecto desactivado, habilitándose únicamente cuando sea estrictamente necesario
su acceso.
También es importante instalar en las máquinas físicas, tanto las de la parte física del
laboratorio como la que soporta la parte virtual software de protección de tipo
antivirus, antispyware como Spy Bot o parecido y detección de intrusiones como Zone
Alarm, OSSEC o parecido.
En este apartado se realiza un estudio de estas herramientas que hay disponibles o que
son útiles a la hora de realizar análisis de malware. De todas las herramientas
identificadas y estudiadas, se escogerá un subconjunto de ellas en base su
funcionalidad, facilidad de uso y capacidades que proporcionan. En la siguiente figura
se muestra una clasificación de estas en cuanto a la funcionalidad que proporcionan:
PeStudio
CaptureBAT+WinPcap
VMMap
Systracer
Resource Hacker
PEViewer
Hex View
DiskPulse
GMER
Tabla 5. Herramientas análisis de malware relacionadas con las máquinas del laboratorio donde deben ser
instaladas
Los objetivos, información y datos concretos a obtener del proceso del análisis
metodológico serán los que se muestran en la figura siguiente:
Nuevos especímenes
Como podemos ver en la figura la etapa de análisis de código se realice en primer lugar
el análisis dinámico, pues así, con los datos que en ella se obtengan se puede depurar la
siguiente antes de iniciarla. Como vemos en el diagrama anterior, la metodología
presenta un lazo de realimentación entre la etapa final de análisis dinámico y la de
clasificación, para poder contemplar así el caso en el que el malware, al ejecutarse, se
despliegue en más ficheros o especímenes.
Así, de una forma más específica, el diagrama de flujo general de la metodología y sus
procesos asociados es el siguiente:
Líneas base de
ACCIONES referencia
INICIALES Snapshot o Imagen de
referencia
ANALISTA
MALWARE NO ¿ENTORNO
SEGURO?
SI
ESPECIMEN
MALWARE
COMPRIMIDO Y
PROTEGIDO
CLASIFICACION
CON
CONTRASEÑA
ANALISIS
CODIGO
INFORMACION
OBTENIDA
SI NO
¿EJECUTA MAQUINA
VIRTUAL?
Parcheado
SI
NO
Ejecutar Ejecutar
Entorno Entorno
virtual Físico
ANALISTA
ANALISIS SEGURIDAD
DINAMICO
SI NO
¿MAS ESPECIMENES?
Para ello con una herramienta de Ingeniería Inversa (por ejemplo, IDA Pro) se busca el
código mágico de VMware. En caso de encontrarlo, se intenta parchearlo para ejecutar
el análisis en el entorno virtual; en caso de no conseguirlo se realizará en el entorno
físico. Posteriormente se lleva a cabo el análisis dinámico, o de comportamiento, y si el
malware genera nuevos especímenes se vuelve a la etapa de clasificación, para así
realizar un proceso de análisis con cada uno de ellos. Una vez analizado todos ellos, se
obtendrán todos los objetivos de información previstos en la figura.
Uno de los pasos intermedios que nos ayudará a alcanzar nuestro objetivo final es
poder establecer una matriz que permita trazar los objetivos de la metodología (figura)
con las fases propuestas. En la tabla 8 se muestra esa matriz de trazabilidad:
Acciones iniciales
Como en las otras metodologías existentes, esta fase tiene como fin la realización de
una serie de acciones encaminadas a comprobar la integridad del entorno de análisis, a
obtener un registro de la configuración y con ello disponer de una línea base de
referencia de la configuración de partida, para así, poder contar con datos que permitan
comparar los estados inicial y final, antes y después de ejecutar el análisis global del
malware bajo estudio.
ACCIONES INICIALES
Acciones
Iniciales
ANALISTAS
MALWARE
Obtener una Línea Base
delas Máquinas de
Entorno de Análisis Análsiis.
Líneas Base de
Virtual o Físico Systracer referencia
Hash MD5 ejecutables
Comprobar existencia de
¿Rootkit? Rookit.
Gmer y Rootkitrevealer
Analiza y Ejecutar
el Malware
Clasificación
Transferir el malware.
Identificación del malware obteniendo su hash MD5, mediante la herramienta
WinMD5.
Clasificación del malware según el tipo, o si pertenece a una familia anterior por
modificación de alguno de sus componentes.
CLASIFICACION
Clasificación
ANALISTA
MALWARE ANALISTAS
MALWARE
TRANSFERIR
EL MALWARE
copyFileFrom INFORMACION
ESPECIMEN HostToGuest OBTENIDA
PsExec
MALWARE
COMPRIMIDO Y · Hash MD5 del archivo binario
· Hash MD5 secciones PE
PROTEGIDO · Firmas hexadecimal
CON IDENTIFICAR EL · Firmas metadatos de archivo
MALWARE HASH
CONTRASEÑA · Patrones de firmas
MD5
WinMd5 · Firmas de icono
· Cadenas de metadatos de
archivos PE
· Familias de malware
· Porcentaje de semejanza de
COMPROBAR entre dos diferentes tipos de
TIPO MALWARE
malware
Antivirus
YARA · Datos en fuentes abiertas
Ssdeeep · Cadenas de texto
· Protocolos
· Direcciones IP
· Contraseñas
· Comandos de M&C
OSSINT · Archivos
Internet · Técnicas Ofuscación
Sitios Ing. utilizadas
Inversa
· Tipo de empaquetado.
· Dirección base del archivo
· Dirección del punto de
entrada
CADENAS DE · Número de secciones en la
TEXTO tabla de la sección
BinText · Tipo de aplicación
· Librerías necesarias
· Requisitos de espacio
EMPAQUETADO
OFUSCACION
PEiD
PEBrowse
WinHex
ProcDump 32
SI
¿Se desenpaqueta el
Malware ?
NO
FORMATO
FICHERO
PEBrowse
Dependecy
Walquer
Identificación del malware. El primer paso del análisis del malware, antes
de ejecutar cualquier otro tipo de tarea, es realizar una identificación del mismo
obteniendo su hash, mediante la ejecución de una herramienta que pase el algoritmo
Message-Digest Algorithm 5 (MD5) o el Secure Hash Algorithm (SHA).
Normalmente se usa el algoritmo MD5 y las siguientes herramientas:
· Md5sums.
· md5deep.
· WinMD5.
Se recomienda WinMD5 pues dispone de GUI y es más cómodo su uso. Una vez que
hemos obtenido el hash del malware lo usaremos para lo siguiente (Sikorki, M., and
Honing, A, 2012).:
· Uso del hash como una etiqueta para identificar el malware.
· Compartir el hash con otras organizaciones y analistas de seguridad, para
ayudar a identificarlo.
· Realizar una búsqueda en la red del hash, para ver si el fichero ya ha sido
identificado.
Para la realización del paso anterior se dispone de dos opciones: Una es instalar en
las máquinas de servicios y de monitorización del laboratorio, motores de búsqueda
de antivirus libres; la otra es utilizar servicios de análisis on-line de archivos
sospechosos que permiten la detección rápida de virus, gusanos, troyanos, y todo
tipo de malware. Así, para la aplicación de esta segunda posibilidad existen sitios
web, como, VirusTotal que permiten subir un archivo para su escaneo por múltiples
motores antivirus, generando un informe que indica el número total de ellos que han
marcado el archivo como malicioso, el nombre del malware y la información
disponible adicional acerca del mismo.
Hay que tener siempre en cuenta, que información relacionada con los hallazgos o
investigaciones similares puede estar disponible a partir de análisis previos
realizados por otros organismos u analistas. Como ejemplos concretos de tipos de
búsquedas de información tenemos:
Código ofuscado
Empaquetamiento
Encriptado
Poliformismo
Metamorfismo
Pero un primer signo que nos puede indicar que el malware está ofuscado son las es
la presencia de cadenas de texto que contiene, los. Los programas legítimos suelen
incluir muchas cadenas de texto a lo largo de su código ejecutable, sin embargo, un
programa ofuscado las incluye en poca cantidad o incluso ninguna las posee.
Fichero
PE
Cabecera MS-DOS
MS-DOC Stub
Cabecera PE
Directorio de
datos
Sección tabla
DWORD PointerToLinenumbers;
WORD NumberOfRelocations;
WORD NumberOfLinenumbers;
DWORD Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
· Sección n. Las secciones del archivo PE que contiene los bytes código. Más de
una sección puede tener características similares. Cada sección tiene un nombre
de 8 caracteres; este nombre no es significativo, pero normalmente se puede
encontrar lo siguiente:
Nombre Descripción
.text El código (instrucciones) del programa
.bss Las variables no inicializadas
.reloc La tabla de relocalizaciones
.data Las variables inicializadas
.rsrc Los recursos del archivo (cursores, sonidos, menús...)
.rdata Los datos de solo lectura
.idata La tabla de importación
.upx Firma de una compresión UPX, propio de software UPX
.aspack Firma de un paquete ASPACK, propio de software
ASPACK
.adata Firma de un paquete ASPACK, propio de software
ASPACK
Tabla 7. Tipos de secciones
En el documento de referencia
(http://www.openrce.org/reference_library/files/reference/PE%20Format.pdf) se
muestra un gráfico con elevado grado de detalle de todas las estructuras importantes,
de este tipo de archivos.
el FileAlignment, debe coincidir con los límites del sector (se rellena si es
necesario). Después de efectuar el proceso de carga en la memoria, las secciones de
memoria tienen que alinearse con los de la página (de nuevo rellenándola si es
necesario). Las características de memoria solo se pueden especificar a nivel de
página, así que si se tiene una sección de solo lectura de 200 bytes ocupará una
página entera en la memoria. Esto tiene un efecto secundario, en el caso del PE de
que estamos tratando con tres tipos de direcciones:
Después de la cabecera del NT, para cada sección del ejecutable, tenemos una
estructura de tipo _IMAGE_SECTION_HEADER que especifica el FA y el RVA de
la sección, que es el tamaño físico y virtual, su nombre y sus características.
Los principales puntos de análisis de este tipo de ficheros son (Hale Ligh et al, 2011).:
Las herramientas que se proponen utilizar en esta etapa son las siguientes:
· Dependency Walker: Es una aplicación de software libre que escanea
ficheros ejecutables tanto 32-bit como 64-bit de Windows (exe, dll, ocx, sys,
etc.) y construye un árbol jerárquico de todos los módulos dependientes. Para
cada módulo encontrado, enumera todas las funciones que son exportadas por
el módulo, y cuáles de esas funciones son realmente llamadas por otros
módulos. Otra vista muestra el conjunto mínimo de archivos necesarios, junto
con información detallada sobre cada archivo incluyendo la ruta completa al
archivo, dirección base, los números de versión, tipo de máquina, información
de depuración, etc.
Análisis Estático
Información de instalación.
Comando de ejecución.
Contraseñas.
Comandos de mando y control.
Otras rutas de ejecución, etc.
Canal IRC y contraseña de conexión.
Información para evitar restricciones de funcionamientos en entornos virtuales.
Funcionalidades ocultas.
Compresión del funcionamiento del mismo.
Este tipo de análisis estático debe ser capaz de transformar el lenguaje ensamblador
de nuevo al lenguaje de alto nivel que se utilizó para la creación del programa mediante
técnicas llamadas ingeniería inversa con la ayuda de herramientas como IDA PRO,
tiene un plugin para esta tereas y Reverse Engineering Compiler.
Otras herramientas a utilizar en esta fase son principalmente los depuradores. Estas
herramientas son capaces de detectar si el malware utiliza técnicas de protección de
software, ejecutar paso a paso su código, representar el código objeto en lenguaje
ensamblador, desplazarse por su código y crear puntos de interrupción para detener la
ejecución en un punto específico que se quiera analizar.
ANALSIS DE CODIGO
Análisis de
INFORMACION
ANALISTA Código OBTENIDA
MALWARE ANALISTAS
MALWARE · Información para ejecutar el
FUNCIONAMIE malware.
NTO · Información de instalación.
GENERAL · Comando de ejecución.
ESPECIMEN PE Explorer · Contraseñas.
MALWARE · Comandos de mando y
control.
COMPRIMIDO Y · Otras rutas de ejecución, etc.
PROTEGIDO · Canal IRC y contraseña de
ANALSIS conexión.
CON ESTATICO · Información para evitar
CONTRASEÑA CODIGO
restricciones de
IDA Pro
Reverse funcionamientos en entornos
Engineering virtuales.
Compiler · Funcionalidades ocultas.
· Compresión del
funcionamiento del mismo
ANALISIS
DINAMICO
CODIGO
Ollydbg
Esta fase implica, la ejecución del malware en el sistema observando al mismo tiempo
su comportamiento y los cambios que puedan ocurrir en el mismo. Se debe disponer de
las herramientas necesarias para capturar las actividades y respuestas del malware,
detectando en el sistema víctima las siguientes acciones:
Debe tenerse en cuenta que cuando se realiza el análisis dinámico es crítico que el
laboratorio de malware no esté conectado a otra red, e incluso los archivos se deben
transferir utilizando un medio de lectura solamente, como por ejemplo vía CD-ROM.
6. Analizar el disco duro. Si se está trabajando con máquinas virtuales, este paso
implica el montaje del disco de la máquina virtual en el sistema operativo residente
para proceder a analizar los cambios en los archivos, secciones del registro, registros
de eventos, registros de aplicación, y así sucesivamente. Si está trabajando con las
máquinas físicas, se debe montar la partición C:\ en otro sistema operativo, es decir
transferir la imagen de disco a otra máquina de análisis. El disco y las diferencias de
registro deben ser verificados en el modo fuera de línea. Con ello se asegurará contra
la infección de algún rootkits.
Análisis
ANALISTA Dinámico
MALWARE ANALISTAS
MALWARE
Volcado y
análisis de la
RAM
Notmyfault,
Volátily y
String.
Analizar el
disco duro
Spymetool
HFind
Apate Dns: configuración del servidor DNS para el sistema víctima, de forma que
se recree el ambiente de ejecución del malware.
Netcat: herramienta utilizada en las conexiones de entrada y salida, escaneo de
puertos, túneles, proxy, etc. En el modo de escucha, actúa como un servidor ejemplo
web, mientras que en modo de conexión actúa como un cliente.
Inet Sim: simular un entorno de red y servicios (FTP, HTTP, IRC, etc.) de la misma
al malware.
Wireshark: herramienta se utiliza para registrar todo el tráfico de red
La dinámica de uso de las herramientas comienza con la toma de una línea base del
sistema, con SysTracer, Caturebat, Spymetools y Winanalysis (registra cualquier
cambio en los archivos, registro, usuarios, grupos, políticas de seguridad, servicios,
acciones, tareas programadas, los entornos de sistema, etc.) y otra del registro con
RegShot y AutoRuns para ver los programas que están configurados para ejecutarse
durante el inicio, seguidamente se debe lanzar la ejecución de las herramientas
TCPView, Process Monitor y ProcessHacker (fase 2) y pasar a ejecutar el malware
durante veinte minutos, mientras se observan con las herramientas anteriores los
cambios en el estado del sistema y la configuración de los servicios que va necesitando
progresivamente el malware (con las herramientas Apate Dns, Netcat e Inet Sim).
Con Process Explorer, se observarán los nuevos procesos que se estén ejecutando y se
registrará asimismo la situación donde se encuentren. Estos nuevos procesos pueden
modificar el registro para permitir que el malware se cargue en el arranque. Cualquier
nuevo proceso instalado por el malware deberá ser investigado a fondo.
Con TCPView se buscarán nuevos listener abiertos para poder recibir instrucciones de
los servidores de mando y control instalados en el sistema por el malware. Habrá que
intentar conectarse a él con varias herramientas, tales como, telnet, netcat, o un
navegador web. Ha continuación procede realizar una trazabilidad entre el listener y el
proceso que dio lugar a la escucha e investigarlo a fondo.
Al examinar el tráfico de red, para observar cómo funciona el malware, habrá que
registrar todo lo que ese tráfico realiza. Esto se utilizará para diseñar la lista de acceso y
las reglas de IDS. Por ejemplo, si el malware instala una puerta trasera, habrá que
configurar un servidor para que se pueda descargar una puerta trasera. Al permitir que
se descargue una puerta trasera, se puede conectar al sistema y “ver” así lo que el autor
del malware “ve”.
Una vez finalizadas las etapas 1 a 4 se realiza un proceso de volcado de la memoria con
las herramientas:
hashdump de Volatility. Pero sin olvidar que hay que tener cuidado con la
privacidad.
Procesos en ejecución.
Procesos en fase de terminación.
Conexiones activas: TCP, UDP y puertos.
Ficheros mapeados: Drivers, ejecutables y ficheros.
Objetos caché: direcciones web, passwords y comandos tipeados por consola.
Elementos ocultos.
Por último, se realiza un análisis del disco duro, montando del disco de la máquina
virtual en el sistema operativo host para proceder a analizar los cambios en los
archivos, secciones del registro, registros de eventos, registros de aplicación, y así
sucesivamente. Si se está trabajando con las máquinas físicas, se debe montar la
partición C:\ en otro sistema operativo. Utilizar las herramientas:
HFind, una herramienta para escanear todo el disco duro en busca de archivos
ocultos.
Spymetool. Copia el registro y disco duro y permite comparar dos copias.
Canto, J., Dacier, M., and Antipolis, S. (2008). Large scale malware collection: lessons
learned. Disponible en:
https://www.researchgate.net/publication/228907426_Large_scale_malware_collecti
on_Lessons_learned
Davis, M., Bodmer, S., and Lemasters, A. (2010). Hacking Exposed™ Malware &
Rootkits: Security Secrets & Solutions. Nueva York: McGraw-Hill.
Gregg, M. (2008). Build Your Own Security Lab: A Field Guide for Network Testing.
Nueva Jersey: Wiley Publishing.
Hale Ligh, M., Adair, S., Hartstein, B., and Richard, M. (2011). Malware Analyst’s
Cookbook and DVD. Tools and Techniques for Fighting Malicious Code. Nueva Jersey:
Wiley Publishing, Inc.
Kirillov, I., Beck, D., Chase, P. y Martin, R. (2010).White Paper. Malware Attribute
Enumeration and Characterization. MITRE Corporation. Disponible en:
https://www.researchgate.net/publication/267691330_Malware_Attribute_Enumerat
ion_and_Characterization
Pouget, F., and Dacier, M. (2003). Research Report RR-03-082 Honeypot, Honeynet:
A comparative survey1. Antibes: Institut Eurécom. Disponible en:
http://www.eurecom.fr/en/publication/1273/download/ce-pougfa-030914.pdf
Sharif, M., Yegneswaran, V. Saidi, H., y Porras, P. (2008). Eureka: A Framework for
Enabling Static Analysis on Malware. Technical Report Number: SRI-CSL-08-01 SRI
Project 17382. Georgia: Computer Science Laboratory and College of Computing,
Georgia Institute of Technology.
Lo + recomendado
Lecciones magistrales
No dejes de leer…
Este artículo describe los métodos de ingeniería inversa utilizados para analizar un
simple Bot HTTP. El análisis se centra en algunos de los componentes del Motor de
búsqueda HTTP que pueden estar presentes en los más complejos bots HTTP. Por lo
tanto, la comprensión de los componentes de este ejemplar de malware puede permitir
comprender a un analista más fácilmente un bot HTTP más complejo.
No dejes de ver…
Video tutorial que muestra cómo montar un laboratorio de análisis de malware con
herramientas open source.
Video tutorial que demuestra el uso varias herramientas de análisis estático y dinámico
análisis de malware.
+ Información
A fondo
Documento que presenta y define un lenguaje para caracterizar malware sobre la base
de sus comportamientos, artefactos y dibujos de ataque.
Informe que describe las tendencias del malware ocurridas durante el tercer trimestre
del 2018.
Webgrafía
VirusTotal
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
https://www.virustotal.com/es/
Malwr
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
https://malwr.com/
Herramienta gratuita sobre sistema operativo Linux para ayudar a los analistas de
malware con el software malicioso y los análisis que utilizan técnicas de ingeniería
inversa. Pone a disposición de los investigadores forenses y personal de respuesta de
incidentes una gran variedad de herramientas libres para análisis examinar el
malware.
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
https://remnux.org/
MAEC
Página web donde se pueden consultar las diferentes características de los diversos
tipos de malware detectados por la empresa Kasperky, hasta la fecha.
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
https://securelist.com/
Página web donde se pueden consultar las diferentes características de los diversos
tipos de malware detectados por la empresa Symantec, hasta la fecha.
Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
https://www.symantec.com/security_response/
Página web donde se pueden consultar las diferentes características de los diversos
tipos de malware detectados por la empresa Trend Micro, hasta la fecha.
Bibliografía
Dang, B., Gazet, A., Bachaalany, E. y Josse, S. (2014). Practical Reverse Engineering:
x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation. Nueva Jersey:
John Wiley & Sons Inc.
Davis, M.; Bodmer, S.; Lemasters, A. (2010). Hacking Exposed™ Malware & Rootkits:
Security Secrets & Solutions. McGraw-Hill.
Gregg, M. (2008). Build Your Own Security Lab: A Field Guide for Network Testing.
Wiley Publishing, Inc.
Hale Ligh, M.; Adair, S.; Hartstein, B.; Richard, M. (2011). Malware Analyst’s
Cookbook and DVD. Tools and Techniques for Fighting Malicious Code. Wiley
Publishing, Inc.
Sharif, M.; Yegneswaran, V.; Saidi, H. and Porras, P. (2008). Eureka: A Framework for
Enabling Static Analysis on Malware. Technical Report Number: SRI-CSL-08-01 SRI
Project 17382 Computer Science Laboratory and College of Computing, Georgia
Institute of Technology.
Sikorki, M. and Honing, A. (2012). Practical Malware Analysis. The hans-on guide
dissecting malicious software. No Starch Press.
Tittel, E. Absolute Beginner’s Guide to Security, Spam, Spyware & Viruses (Absolute
Beginner’s Guide). Fighting Spyware, Viruses, and Malware. PC Magazine® Wiley
Publishing, Inc.
Actividades
Para el ejercicio individual de este tema tendrás que realizar un ejercicio práctico en
base al siguiente enunciado:
http://descargas.unir.net/escueladeingenieria/05 Seguridad_del_Software/Trabajo 5
Análisis Dinámico Fichero Análisis 1.rar
» Process Explorer.
» Process Monitor.
» Strings.
» Notepad.
https://web.archive.org/web/20140625080651/http://technet.microsoft.com/en-
us/sysinternals/bb842062.aspx
https://my.vmware.com/web/vmware/downloads
https://www.virtualbox.org/wiki/Downloads
El sistema operativo que tendrás que utilizar será Windows XP, aunque si no se
dispone de él se podrá utilizar Windows 7 con Windows XP Mode for Windows 7, que
facilita la instalación y ejecución de muchos de sus programas que se ejecutan en
Windows XP directamente desde un equipo con Windows 7.
En estos enlaces encontrarás unas instrucciones para instalar un software que emula el
sistema operativo XP:
http://blogs.itpro.es/octaviordz/2014/08/04/ejecutar-windows-xp-mode-en-
windows-8-1-con-vmlite/
https://www.youtube.com/watch?v=-UWlzOyLahY
Como ayuda puedes consultar los manuales de las herramientas disponibles en los
siguientes sitios web:
https://www.youtube.com/watch?v=4ZsGMbjQEWs
https://www.youtube.com/watch?v=5FMpfk8knNQ
Test
10. ¿En qué fase se debe realizar un hash MD5 de todas las herramientas que van a
utilizar para verificar la integridad de las mismas?
A. Análisis estático.
B. Análisis dinámico.
C. Acciones iniciales.
D. Clasificación.