Tag Archives: malware

Las Fiestas y el Malware

Posted on 15 diciembre, 2011 by
No comments

Llegan las fiestas de Fin de Año y como ya es costumbre surgen muchos tipos de malware, que buscan aprovecharse de los usuarios, podemos definir al malware o software malintencionado como todo código o software el cual su objetivo es infiltrarse o dañar una computadora sin el consentimiento de su dueño.-

EL modo de en el que este software malintencionado se propaga es muy amplio, siendo su principal medio los E-mails pero también puede llegar por otros medios como ser dispositivos de almacenamiento usb, Memory Stick, Redes P2P, Falsos Videos, Tarjetas Digitales de Fin de Año y Navidad siendo estas últimas las mas usadas para estas Fechas Festivas,Etc.-

Recordemos que no solo las Pc Hogareñas son vectores de ataque, hoy en día ya se sumaron los SmartPhones, plataformas mucho más fácil de ser posibles víctimas ya que un numero muy bajo cuenta con software antivirus. La metodología de ataque a estas plataformas son en general por E-mails pero no descartemos el uso de SMS o MMS. Dentro de esta tecnología el Sistema Operativo más afectado es Android ya que este se encuentra en mas del 50 % de los SmartPhone y el malware para Android creció mas del 470 % en el año 2012.-

El modo de protegerse, es la misma que siempre recomendamos desde Mkit Argentina:

  • Tener un software antivirus instalado, actualizado y configurado.-
  • Tener configurado un Firewall.-
  • No usar usuarios con privilegios de Administrador o root.-
  • No abrir adjuntos que nos llegan por e-mail que no solicitamos, más allá de que sea un contacto conocido.-
  • No abrir links o vídeos con mensajes llamativos.-
  • Leer la barra de estado del navegador antes de apretar cualquier redirección.-

para SmartPhone y tables:

  • Contar con software Antivirus.-
  • Controlar requerimiento de acceso al dispositivo y ver los comentarios de los archivos APK (paquete para Android) aunque estos se descarguen del Market de Android.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , ,

Pautas para el Análisis de Malware

Posted on 16 septiembre, 2011 by
2 comments

Introducción

El proceso de Análisis de Malware que se propone en este post se divide en 5 etapas o pasos, aclaro que los mismos pueden variar dependiendo del Researcher (Investigador) y en medida de la experiencia que tenga uno, como ya es sabido la curva de aprendizaje es grande y más en este campo donde el malware es evolutivo, esto conlleva a que el Investigador se encuentre constantemente en un proceso de adquisición de conocimientos.-

Otro punto que se destaca es tratar de establecer algunas pautas importantes en la investigación, ya que no se cuenta con estos tipos de documentos al alcance de todos, igualmente esta orientados a los que se inician en este campo y no poseen una guía de cómo llevar adelante su investigación.-

 

Pautas

1. Creación de un ambiente controlado

El ambiente controlado es el laboratorio en sí mismo y en donde se va llevar a cabo la investigación y análisis del malware, lo podemos considerar el punto más importante de las pautas ya que sin este no podemos empezar a trabajar.  ¿Qué compone el laboratorio?, esto depende mucho de la forma de trabajar, pero lo ideal es tener dos o más maquinas estas pueden ser virtuales utilizando herramientas como VMware ó VirtualBox una de ellas va a ser la víctima, su sistema operativo tiene que ser inocuo preferentemente alguno basado en tecnología NT y el ó los otros que son los que van a estudiar el comportamiento de la víctima en algún sistema operativo de la familia de Unix ó GNU/Linux. La red que une a estas maquinas debe estar aislado del resto, por eso es recomendable el uso de maquinas y redes virtuales ya que estén proveen un mejor control.  Las herramientas a utilizar deben estar instaladas en las respectivas maquinas, en la victima también se pueden instalar herramientas de análisis in situ y en las de control por lo general se utilizan para sniffear la de red y ver que trafico se genera. También hay que tener en cuenta, es que el PE (Portable Ejecutable) ó Binario ya tiene que estar en la maquina host (Victima).

De esta manera quedaría establecida el laboratorio básico para el análisis, a este se lo puede variar dependiendo de las necesidades.-

2. Línea base del medio ambiente

Esta pauta acompaña a la anterior y también es de suma importancia, ya que esta tiene que estar en óptimas condiciones porque de no ser así todo el procedimiento de aquí en adelante no dará un resultado confiable y certero, débenos saber que la línea de base o instantánea se toma en dos momentos. Primero antes de ejecutar el Malware y luego de la ejecución de este.  La regla Gral. dice que la diferencia entre la línea de base y la instantánea final deberá dar los cambios producidos por el Malware.-

La información que comprende a la base de línea de la maquina victima podría ser:

Sistema de archivos, Registro, Procesos, Puertos Abiertos Usuarios y Grupos y los recursos compartidos. Para esta tarea nos podemos valer de herramientas como Winalysis,  Installrite, Sysinternals y FPort.-

También podemos considerar una Línea de Base las capturas realizadas por las maquinas que se encargaron de sniffear la red, tanto cuando no hay trafico hasta cuando es generado, lo que sí, debemos saber identificar es el tráfico normal que se puede provocar a fin de identificar el trafico generado por el Malware. Para esta tarea se puede utilizar cualquier software de sniffeo de red como ser wireshark.

A esto le podemos agregar una captura de los puertos de la Maquina Victima que están abierto, para realizar este proceso su puede utilizar el ya conocido Nmap.-

 3. La recogida de información

En este punto es donde ya nos ponemos a trabajar con el Malware ejecutándolo y recolectando la información de la actividad que este desarrolla. Podemos decir que vamos a tener dos tipos de recolección de información uno seria la Recolección Estática y la otra Recolección Dinámica

3.1 Recolección Estática

En este punto vamos a obtener toda la información del Malware sin ejecutarlo, como ser código HTML, script, si este posee interfaz gráfica ejecución de comandos, también podemos obtener el nombre del archivo o si posee algún número de versión, etc.  También podemos ver sus cadenas siempre que estas sean legibles para ello podemos usar programas destinados a tal fin.-

3.2 Recolección Dinámica

Este el momento en donde ejecutamos el Malware y empezamos a obtener información de las tareas que analiza mediante las herramientas de sniffing para ver que conexiones intenta realizar hacia la nube como hacia otras Maquinas. En realidad lo que debemos hacer en este momento es tomar otra captura como en el punto de línea base. Acá podemos hacer usos de distintos tipos de herramientas como ser Winalysis y InstallRite destinadas para tal propósito, así mismo las herramientas de la suite Sysinternals como ser el Process Explorer, que nos da la posibilidad de ver que es lo que ejecuta el malware en memoria y con las herramientas Filemon y Regmon también incluidas en la suite Sysinternals podemos monitorear el file system y el registro y ver los cambios producidos en estos.-

Toda la información acá recolectada es la usaremos para realizar el análisis posterior y aclaro que esta puede ser repetitiva, es decir que realizaremos este proceso cuantas veces creamos necesarios.-

4. Análisis de la información

Este puede ser el que mayor tiempo lleve, ya que quizás tengamos un volumen de información importante y es acá cuando tenemos que empezar a unir las piezas, analizando una y otra vez la información obtenida de los procesos anteriores. En muchos casos es posible que tengamos que repetir las pautas anteriores nuevamente como para comprobar o alimentar de mayor información esta etapa o utilizando la ingeniería inversa.-

5. La documentación de los resultados

Documentar los resultados del análisis es crucial, ya que permite ser aprovechados para futuros análisis, y más aun a compartir los resultados obtenidos, ayudando a otros a mitigar el problema del malware. No hay una regla de oro que diga como documentar el análisis, así que queda en cada uno como documentarlo.-

Para el desarrollo de estas pautas me base en experiencias propias y el documento de Symantec  www.symantec.com/connect/articles/malware-analysis-administrators,  escrito por  S. G. Masood.-

Cristian Amicelli Rivero

Categories: Uncategorized | Tags: , , , , , , ,
SN Facebook Like