Enero 22, 2018, 08:10:58 pm

Autor Tema: Guía básica de análisis de malware  (Leído 3522 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado OnTheCore

  • Moderador
  • *****
  • Mensajes: 1610
  • Sexo: Masculino
    • Ver Perfil
Guía básica de análisis de malware
« en: Abril 02, 2015, 04:12:07 pm »
Si te interesa el análisis de malware y tienes algunos conocimientos básicos de informática, programación en Windows e ingeniería inversa, esta guía puede serte útil.

Voy a tratar de explicar los pasos que realizo al analizar un fichero  el cual podría ser malware. Voy a nombrar herramientas que pueden serte útiles, no estás limitado a usar las que yo nombro. Te recomiendo que pruebes herramientas similares para entenderlas y elegir las que más te gusten.

Vale aclarar que voy a hablar sobre un procedimiento de análisis básico de malware de 32 bits de Windows en Windows. Es conveniente, que practiques utilizando máquinas virtuales.


No hace falta aclarar que Windows es el sistema con más usuarios, los cuales se integra desde aquellos que no saben nada  hasta centrales nucleares y cajeros automáticos.

Pasemos a la teoría:

Estoy navegando en internet cuando sospechoso.exe aparece, dice ser algo que me gusta, algo que ejecutaría sin dudar. Pero no soy un usuario que clickea por vicio.

Antes que nada hay que calcular un hash MD5/SHA1 del fichero y buscarlo en Google para ver si el ejemplar ya fue analizado. Búscalo en VirusTotal, y si no está, puedes subirlo.

Luego podemos ver si está empaquetado con PEiD o un software similar, y, si está empaquetado, desempaquetarlo para facilitar el análisis.

Primero voy a darle una mirada rápida. A continuación procederé al análisis estático del ejecutable. Así, voy a abrir el malware con PEStudio.

PEStudio es un programa especialmente diseñado para el análisis estático de malware. Este programa va a realizar automáticamente cosas que son tediosas de hacer a mano.


Podemos ver que nos muestra el MD5 y SHA1 del fichero y mucha más información de la estructura Portable Executable del archivo, como las librerías y funciones que se importan y exportan, recursos, cadenas de texto, dumps de las secciones, etc, etc, etc.


También pueden usar PEInsider para obtener información de la estructura Portable Executable y HxD, un editor hexadecimal.

Tenemos que fijarnos principalmente que funciones son importadas. APIs utilizadas para modificar la memoria, acceder a la red y modificar el registro nos dan una pauta de que puede haber algo raro; pero no siempre encontramos la verdad acá, porque también pueden cargarse en ejecución, y de ser el caso, no vamos a encontrarlas.


Podemos revisar si las cadenas de texto (si no fueron cifradas) son sospechosas. Podemos encontrar cosas como HKCU\Software\Microsoft\CurrentVersion\Run, ya que permiten la persistencia tras el reinicio. Existen miles de palabras que nos pueden hacer dudar, como nombres de APIs.

Es cuestión que cada uno los descubra con la práctica. Si tienen suerte y están analizando un ejemplar programado por un scriptkiddie, tal vez hasta puedan sacar bastante información del creador.

Una vez exprimido el ejecutable, que ya sabemos que no hay más nada que ver, podemos pasar al análisis dinámico. Consiste en ejecutar el malware en una máquina virtual para ver su comportamiento. Esta máquina virtual puede ser una Sandbox online, como Malwr o Anubis, o una máquina virtual propia.

Si vas a usar tu propia máquina virtual vas a tener que usar herramientas de análisis de tráfico como Wireshark o socketsniff/smartsniff para malware de muy baja calidad, ya que la mayoría de las muestras de los últimos años suelen depender de Internet.

Es importante que veas bien a donde se conectan y que anotes todas las direcciones y las reportes como abusivas (también se pueden obtener en el análisis estático si es que no están cifradas).

Puedes tomar captura del registro y el sistema de archivos para ver si fueron modificados con programas como Regshot,  SpyMe tools o Systracer.

Mucho malware utiliza técnicas de defensa, como por ejemplo detectar si están siendo ejecutados en una máquina virtual. Es importante que tu máquina virtual se parezca a una computadora de un usuario común y tenga los mismos programas instalados que tu tía Flavia.

Puedes probar vmcloak para borrar fingerprints de la máquina virtual.
También pueden molestarnos algunas técnicas de rootkit, las cuales podemos detectar con gmer o algún anti-rootkit similar.

Para gente más avanzada, pueden usar un debugger para analizar el código del malware. Yo suelo utilizar OllyDbg. También pueden utilizar IDA pero desensamblar el binario y hacer un análisis estático.
No me mandes mensajes privados sobre troyanitos,  "crypters" o alguna otra boludez. No voy a ser tu maestro personal ni te voy a vender un curso para ser hacker. Si me envias un mensaje asi, probablemente no te guste la respuesta.


exclamation
Guia básica ettercap (entorno gráfico)

Iniciado por Aetsu

36 Respuestas
43274 Vistas
Último mensaje Agosto 08, 2014, 04:30:25 pm
por pishtako
exclamation
Tutorial: Analisis de Malware [Parte 1ª]

Iniciado por inigo

0 Respuestas
900 Vistas
Último mensaje Marzo 09, 2011, 03:58:52 pm
por inigo
xx
[Guia Basica] Empezando en este mundo de la creacion de virus

Iniciado por seth

12 Respuestas
5071 Vistas
Último mensaje ſeptiembre 19, 2009, 12:35:29 am
por FijZuS
exclamation
[Código - Malware] Mini Malware - Batch - JaAViEr

Iniciado por JaAViEr

5 Respuestas
1784 Vistas
Último mensaje Octubre 20, 2010, 11:31:36 am
por Kracker51
exclamation
Clasificacion de Malware [Distintos tipos de Malware]

Iniciado por Sthefano02

1 Respuestas
2515 Vistas
Último mensaje Abril 21, 2010, 08:03:14 am
por Sr_X
question
duda basica

Iniciado por comcom.com

8 Respuestas
3406 Vistas
Último mensaje ſeptiembre 25, 2015, 02:53:09 pm
por comcom.com
question
Pregunta Basica

Iniciado por rojobe33

5 Respuestas
1585 Vistas
Último mensaje Julio 17, 2009, 06:17:09 pm
por rojobe33
xx
Telefonia Basica

Iniciado por Hacker290

0 Respuestas
984 Vistas
Último mensaje Julio 20, 2011, 05:34:37 am
por Hacker290
xx
Electrónica Básica

Iniciado por Amadeo Magnus

0 Respuestas
1763 Vistas
Último mensaje Mayo 05, 2009, 07:00:31 pm
por Amadeo Magnus
xx
[VB] Calculadora básica

Iniciado por MATAzer0

4 Respuestas
3637 Vistas
Último mensaje Noviembre 26, 2007, 11:09:55 am
por picihacker