Abril 19, 2018, 07:43:54 am

Autor Tema: Guía básica de análisis de malware  (Leído 5604 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado OnTheCore

  • Moderador
  • *****
  • Mensajes: 1610
  • Sexo: Masculino
    • Ver Perfil
Guía básica de análisis de malware
« en: Abril 02, 2015, 04:12:07 pm »
Si te interesa el análisis de malware y tienes algunos conocimientos básicos de informática, programación en Windows e ingeniería inversa, esta guía puede serte útil.

Voy a tratar de explicar los pasos que realizo al analizar un fichero  el cual podría ser malware. Voy a nombrar herramientas que pueden serte útiles, no estás limitado a usar las que yo nombro. Te recomiendo que pruebes herramientas similares para entenderlas y elegir las que más te gusten.

Vale aclarar que voy a hablar sobre un procedimiento de análisis básico de malware de 32 bits de Windows en Windows. Es conveniente, que practiques utilizando máquinas virtuales.


No hace falta aclarar que Windows es el sistema con más usuarios, los cuales se integra desde aquellos que no saben nada  hasta centrales nucleares y cajeros automáticos.

Pasemos a la teoría:

Estoy navegando en internet cuando sospechoso.exe aparece, dice ser algo que me gusta, algo que ejecutaría sin dudar. Pero no soy un usuario que clickea por vicio.

Antes que nada hay que calcular un hash MD5/SHA1 del fichero y buscarlo en Google para ver si el ejemplar ya fue analizado. Búscalo en VirusTotal, y si no está, puedes subirlo.

Luego podemos ver si está empaquetado con PEiD o un software similar, y, si está empaquetado, desempaquetarlo para facilitar el análisis.

Primero voy a darle una mirada rápida. A continuación procederé al análisis estático del ejecutable. Así, voy a abrir el malware con PEStudio.

PEStudio es un programa especialmente diseñado para el análisis estático de malware. Este programa va a realizar automáticamente cosas que son tediosas de hacer a mano.


Podemos ver que nos muestra el MD5 y SHA1 del fichero y mucha más información de la estructura Portable Executable del archivo, como las librerías y funciones que se importan y exportan, recursos, cadenas de texto, dumps de las secciones, etc, etc, etc.


También pueden usar PEInsider para obtener información de la estructura Portable Executable y HxD, un editor hexadecimal.

Tenemos que fijarnos principalmente que funciones son importadas. APIs utilizadas para modificar la memoria, acceder a la red y modificar el registro nos dan una pauta de que puede haber algo raro; pero no siempre encontramos la verdad acá, porque también pueden cargarse en ejecución, y de ser el caso, no vamos a encontrarlas.


Podemos revisar si las cadenas de texto (si no fueron cifradas) son sospechosas. Podemos encontrar cosas como HKCU\Software\Microsoft\CurrentVersion\Run, ya que permiten la persistencia tras el reinicio. Existen miles de palabras que nos pueden hacer dudar, como nombres de APIs.

Es cuestión que cada uno los descubra con la práctica. Si tienen suerte y están analizando un ejemplar programado por un scriptkiddie, tal vez hasta puedan sacar bastante información del creador.

Una vez exprimido el ejecutable, que ya sabemos que no hay más nada que ver, podemos pasar al análisis dinámico. Consiste en ejecutar el malware en una máquina virtual para ver su comportamiento. Esta máquina virtual puede ser una Sandbox online, como Malwr o Anubis, o una máquina virtual propia.

Si vas a usar tu propia máquina virtual vas a tener que usar herramientas de análisis de tráfico como Wireshark o socketsniff/smartsniff para malware de muy baja calidad, ya que la mayoría de las muestras de los últimos años suelen depender de Internet.

Es importante que veas bien a donde se conectan y que anotes todas las direcciones y las reportes como abusivas (también se pueden obtener en el análisis estático si es que no están cifradas).

Puedes tomar captura del registro y el sistema de archivos para ver si fueron modificados con programas como Regshot,  SpyMe tools o Systracer.

Mucho malware utiliza técnicas de defensa, como por ejemplo detectar si están siendo ejecutados en una máquina virtual. Es importante que tu máquina virtual se parezca a una computadora de un usuario común y tenga los mismos programas instalados que tu tía Flavia.

Puedes probar vmcloak para borrar fingerprints de la máquina virtual.
También pueden molestarnos algunas técnicas de rootkit, las cuales podemos detectar con gmer o algún anti-rootkit similar.

Para gente más avanzada, pueden usar un debugger para analizar el código del malware. Yo suelo utilizar OllyDbg. También pueden utilizar IDA pero desensamblar el binario y hacer un análisis estático.
No me mandes mensajes privados sobre troyanitos,  "crypters" o alguna otra boludez. No voy a ser tu maestro personal ni te voy a vender un curso para ser hacker. Si me envias un mensaje asi, probablemente no te guste la respuesta.


exclamation
Guia básica ettercap (entorno gráfico)

Iniciado por Aetsu

36 Respuestas
43852 Vistas
Último mensaje Agosto 08, 2014, 04:30:25 pm
por pishtako
xx
[Guia Basica] Empezando en este mundo de la creacion de virus

Iniciado por seth

12 Respuestas
5209 Vistas
Último mensaje ſeptiembre 19, 2009, 12:35:29 am
por FijZuS
exclamation
Tutorial: Analisis de Malware [Parte 1ª]

Iniciado por inigo

0 Respuestas
916 Vistas
Último mensaje Marzo 09, 2011, 03:58:52 pm
por inigo
exclamation
[Código - Malware] Mini Malware - Batch - JaAViEr

Iniciado por JaAViEr

5 Respuestas
1821 Vistas
Último mensaje Octubre 20, 2010, 11:31:36 am
por Kracker51
exclamation
Clasificacion de Malware [Distintos tipos de Malware]

Iniciado por Sthefano02

1 Respuestas
2564 Vistas
Último mensaje Abril 21, 2010, 08:03:14 am
por Sr_X
xx
una pregunta muy basica

Iniciado por taul

1 Respuestas
1092 Vistas
Último mensaje Julio 24, 2013, 08:18:10 pm
por Root XOR
xx
Encriptación básica php

Iniciado por enekg

8 Respuestas
3189 Vistas
Último mensaje Julio 01, 2010, 09:55:09 am
por .xAk.
question
duda basica

Iniciado por comcom.com

8 Respuestas
3453 Vistas
Último mensaje ſeptiembre 25, 2015, 02:53:09 pm
por comcom.com
question
Pregunta Basica

Iniciado por rojobe33

5 Respuestas
1609 Vistas
Último mensaje Julio 17, 2009, 06:17:09 pm
por rojobe33
xx
Telefonia Basica

Iniciado por Hacker290

0 Respuestas
1012 Vistas
Último mensaje Julio 20, 2011, 05:34:37 am
por Hacker290