Recolección Estatica « Blog de Mkit Argentina

Tag Archives: Recolección Estatica

Pautas para el Análisis de Malware

Posted on 16 September, 2011 by Cristian Amicelli

Introducción

El proceso de Análisis de Malware que se propone en este post se divide en 5 etapas o pasos, aclaro que los mismos pueden variar dependiendo del Researcher (Investigador) y en medida de la experiencia que tenga uno, como ya es sabido la curva de aprendizaje es grande y más en este campo donde el malware es evolutivo, esto conlleva a que el Investigador se encuentre constantemente en un proceso de adquisición de conocimientos.-

Otro punto que se destaca es tratar de establecer algunas pautas importantes en la investigación, ya que no se cuenta con estos tipos de documentos al alcance de todos, igualmente esta orientados a los que se inician en este campo y no poseen una guía de cómo llevar adelante su investigación.-

Pautas

1. Creación de un ambiente controlado

El ambiente controlado es el laboratorio en sí mismo y en donde se va llevar a cabo la investigación y análisis del malware, lo podemos considerar el punto más importante de las pautas ya que sin este no podemos empezar a trabajar. ¿Qué compone el laboratorio?, esto depende mucho de la forma de trabajar, pero lo ideal es tener dos o más maquinas estas pueden ser virtuales utilizando herramientas como VMware ó VirtualBox una de ellas va a ser la víctima, su sistema operativo tiene que ser inocuo preferentemente alguno basado en tecnología NT y el ó los otros que son los que van a estudiar el comportamiento de la víctima en algún sistema operativo de la familia de Unix ó GNU/Linux. La red que une a estas maquinas debe estar aislado del resto, por eso es recomendable el uso de maquinas y redes virtuales ya que estén proveen un mejor control. Las herramientas a utilizar deben estar instaladas en las respectivas maquinas, en la victima también se pueden instalar herramientas de análisis in situ y en las de control por lo general se utilizan para sniffear la de red y ver que trafico se genera. También hay que tener en cuenta, es que el PE (Portable Ejecutable) ó Binario ya tiene que estar en la maquina host (Victima).

De esta manera quedaría establecida el laboratorio básico para el análisis, a este se lo puede variar dependiendo de las necesidades.-

2. Línea base del medio ambiente

Esta pauta acompaña a la anterior y también es de suma importancia, ya que esta tiene que estar en óptimas condiciones porque de no ser así todo el procedimiento de aquí en adelante no dará un resultado confiable y certero, débenos saber que la línea de base o instantánea se toma en dos momentos. Primero antes de ejecutar el Malware y luego de la ejecución de este. La regla Gral. dice que la diferencia entre la línea de base y la instantánea final deberá dar los cambios producidos por el Malware.-

La información que comprende a la base de línea de la maquina victima podría ser:

Sistema de archivos, Registro, Procesos, Puertos Abiertos Usuarios y Grupos y los recursos compartidos. Para esta tarea nos podemos valer de herramientas como Winalysis, Installrite, Sysinternals y FPort.-

También podemos considerar una Línea de Base las capturas realizadas por las maquinas que se encargaron de sniffear la red, tanto cuando no hay trafico hasta cuando es generado, lo que sí, debemos saber identificar es el tráfico normal que se puede provocar a fin de identificar el trafico generado por el Malware. Para esta tarea se puede utilizar cualquier software de sniffeo de red como ser wireshark.

A esto le podemos agregar una captura de los puertos de la Maquina Victima que están abierto, para realizar este proceso su puede utilizar el ya conocido Nmap.-

3. La recogida de información

En este punto es donde ya nos ponemos a trabajar con el Malware ejecutándolo y recolectando la información de la actividad que este desarrolla. Podemos decir que vamos a tener dos tipos de recolección de información uno seria la Recolección Estática y la otra Recolección Dinámica

3.1 Recolección Estática

En este punto vamos a obtener toda la información del Malware sin ejecutarlo, como ser código HTML, script, si este posee interfaz gráfica ejecución de comandos, también podemos obtener el nombre del archivo o si posee algún número de versión, etc. También podemos ver sus cadenas siempre que estas sean legibles para ello podemos usar programas destinados a tal fin.-

3.2 Recolección Dinámica

Este el momento en donde ejecutamos el Malware y empezamos a obtener información de las tareas que analiza mediante las herramientas de sniffing para ver que conexiones intenta realizar hacia la nube como hacia otras Maquinas. En realidad lo que debemos hacer en este momento es tomar otra captura como en el punto de línea base. Acá podemos hacer usos de distintos tipos de herramientas como ser Winalysis y InstallRite destinadas para tal propósito, así mismo las herramientas de la suite Sysinternals como ser el Process Explorer, que nos da la posibilidad de ver que es lo que ejecuta el malware en memoria y con las herramientas Filemon y Regmon también incluidas en la suite Sysinternals podemos monitorear el file system y el registro y ver los cambios producidos en estos.-

Toda la información acá recolectada es la usaremos para realizar el análisis posterior y aclaro que esta puede ser repetitiva, es decir que realizaremos este proceso cuantas veces creamos necesarios.-

4. Análisis de la información

Este puede ser el que mayor tiempo lleve, ya que quizás tengamos un volumen de información importante y es acá cuando tenemos que empezar a unir las piezas, analizando una y otra vez la información obtenida de los procesos anteriores. En muchos casos es posible que tengamos que repetir las pautas anteriores nuevamente como para comprobar o alimentar de mayor información esta etapa o utilizando la ingeniería inversa.-

5. La documentación de los resultados

Documentar los resultados del análisis es crucial, ya que permite ser aprovechados para futuros análisis, y más aun a compartir los resultados obtenidos, ayudando a otros a mitigar el problema del malware. No hay una regla de oro que diga como documentar el análisis, así que queda en cada uno como documentarlo.-

Para el desarrollo de estas pautas me base en experiencias propias y el documento de Symantec www.symantec.com/connect/articles/malware-analysis-administrators, escrito por S. G. Masood.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: Analisis malware, Creación de un ambiente controlado, Installrite, malware, Recolección Dinamica, Recolección Estatica, Sysinternals, Winalysis

- Español
- English
Search for:
May 2012

M T W T F S S

« Apr

1 2 3 4 5 6

7 8 9 10 11 12 13

14 15 16 17 18 19 20

21 22 23 24 25 26 27

28 29 30 31
Recent Posts
Tags
Analisis malware ARP blog Capacitacion Charla Client Side Conference Conferencia Creación de un ambiente controlado Cripto Cross Site Scripting error de control error programacion event Evento Exploit Facebook GESTIÓN Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Hacking Incidentes de Seguridad Ingenieria Social Installrite Iso 27001 malware Metasploit MITM Mkit org.ar phishing Poc Proof of Concept Recolección Dinamica Recolección Estatica robots Seguridad Informatica Seguridad Web ssl Sysinternals Talk Tecnicas Hacking Vulnerabilidades Web Hacking Winalysis Wireless Hacking XSS

May 2012
M	T	W	T	F	S	S
« Apr
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31