Catálogo en línea Cómo buscar información en el paso a paso.
Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar...
Transcript of Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar...
![Page 1: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/1.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 1
Análisis de malware
Roberto Gómez CárdenasITESM CEM
Dr. Roberto Gómez CárdenasLámina 1
Escenario
• Regreso oficina después de un fin de semana de 3 días. • Quejas de que un servidor Windows esta lento• Quejas de que un servidor Windows esta lento.• Primer paso: Buscar fallas a nivel hardware.• Segundo paso: Buscar en el sistema operativo.
– Se ven archivos que no estaban en el servidor la última vez que se accedió a él.Deducción: servidor comprometido por algún tipo de software
Dr. Roberto Gómez CárdenasLámina 2
– Deducción: servidor comprometido por algún tipo de software malicioso.
• Contar con un Disaster Recovery Plan, que permita regresar al servidor a una condición previa a la de la infección.
![Page 2: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/2.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 2
Terminos
• Virus• Gusanos
• Sniffers• Reverse Code• Gusanos
• Caballos de troya• Spyware• Adware• Puertas traseras
• Reverse CodeEngineering
• Disassemblers• Debuggers• Decompiler
Dr. Roberto Gómez CárdenasLámina 3
• Rootkits
PreparationPreparationIdentificationContainmentEradicationRecoveryL l d
Dr. Roberto Gómez CárdenasLámina 4
Lessons learned.
![Page 3: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/3.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 3
¿Para que el análisis de malware?
• ¿Para que se requiere llevar a cabo análisis de malware si no trabajo para un distribuidos demalware si no trabajo para un distribuidos de anti-virus?
• Objetivos– Entender como funciona una pieza específica de
malware, con el objetivo de implementar defensas
Dr. Roberto Gómez CárdenasLámina 5
para proteger la red de la organización.
Preguntas responde análisis malware
• ¿Cómo se infecto esta máquina con este malware?malware?
• ¿Qué es lo que hace exactamente este malware?
Dr. Roberto Gómez CárdenasLámina 6
![Page 4: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/4.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 4
Tipos análisis de malware
• Dos tipos – Análisis estático de código– Análisis estático de código.
• Revisar el código y caminar a través de él para entender de mejor forma lo que el malware esta haciendo.
– Análisis dinámico de código• Como se comporta el código cuando es ejecutado.
• No hay una regla fija, pero se sugiere empezar con el táti d é ll b l di á i
Dr. Roberto Gómez CárdenasLámina 7
estático para después llevar a cabo el dinámico.• Verificar las leyes existentes relacionadas con
ingeniería inversa
Herramientas
• VMWare– Máquina virtual– Máquina virtual
• BgInfo– Proporciona información importante del sistema como
hostname, dirección IP, versión sistema operativo, etc.• Process Explorer
– Indica que archivos llaves de registro y otros objetos se han
Dr. Roberto Gómez CárdenasLámina 8
Indica que archivos, llaves de registro y otros objetos se han abierto, que DDLs se han cargado.
• Process Monitor– Monitoreo de sistema de archivos, registro, procesos, threads y
actividad de los DDL en tiempo real.
![Page 5: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/5.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 5
Herramientas
• Psfile– Lista de archivos abiertos de forma remota.
• RootkitRevealer– Lleva a cabo una búsqueda de rootkits conocidos.
• Streams– Aplicación que da a conocer NFTS alternate streams.
• Strings
Dr. Roberto Gómez CárdenasLámina 9
g– Aplicación que busca strigs ANSI y UNICODE en imágenes
binarias.
• Nmap– Escaneao de puertos
Herramientas
• TCPView– Herramienta que proporciona información acerca de
conexiones TCP y UDP, incluyendo las direcciones locales y remotas así omo el estado de la conexión TCP.
• Windump– Versión windows del sniffer tcpdump
• FportId ifi d id l li i i d
Dr. Roberto Gómez CárdenasLámina 10
– Identifica puertos desconocidos y las aplicaciones asociadas a ellos.
• Hfind– Parte del Forensic Toolkit– Aplicación que busca en el disco archivos ocultos.
![Page 6: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/6.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 6
Herramientas
• Vision– Reporta todos los puertos TCP y UDP abiertos, y los mapea al
proceso y/o aplicación asociada.
• Filewatch– Un monitor de cambio en archivos.
• Attacker– Una aplicación apara escuchar un puerto TCP/UDP
Dr. Roberto Gómez CárdenasLámina 11
• MD5sums– Generada huellas digitales MD5 para verificación de
integridad.– Se recomienda usar otro tipo de herramienta que produzca
huellas en base a otro algoritmo.
Herramientas
• Winalysis– Monitorea cambios en archivos el registro usuarios grupos– Monitorea cambios en archivos, el registro, usuarios, grupos,
seguridad, servicios, recursos compartidos, trabajos calendarizados, ambiente del sistema y más.
• Winhex– Editor hexadecimal.– Puede elegir el editor hexadecimal que prefiera.
Dr. Roberto Gómez CárdenasLámina 12
![Page 7: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/7.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 7
Herramientas ingeniería inversa
• Editor hexadecimal– Winhex, Hex Workshop, Ultraedit, Hacker's View
• Des-ensamblador– IDA, WDasm, Sourcer 7,
• Descompresor– Deshrink, PeUNLOCK,
• Depurador– Debug, Soft-Ice (El más usado), TR, dbg,
A li d d hi
Dr. Roberto Gómez CárdenasLámina 13
• Analizador de archivos– File Monitor
• Dumpeadores de memoria– UserModeProcessDumper, Memory Dumper Pro
• Monitor del registro– Registry monitor (Win95).
Desensamblador IDA Pro
• IDA Pro es la mejor herramienta en esta categoríacategoría.
• Desensambladores convierten un binario a ene lenguaje ensamblador .
• El programa no corre, análisis estático.• Soporta más de 30 procesadores
Dr. Roberto Gómez CárdenasLámina 14
• Soporta más de 30 procesadores.• Hecho para ingenería inversa.• Identificación de librerías .• Programable (SDK y scripts)
![Page 8: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/8.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 8
Screenshot IDA Pro
Dr. Roberto Gómez CárdenasLámina 15
Screenshot IDA Pro
Dr. Roberto Gómez CárdenasLámina 16
![Page 9: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/9.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 9
Depuradores
• Ejecutan el programaLí lí– Línea por línea
– Usando breakpoints• Los más comunes
– WinDBG– OllyDbg
Dr. Roberto Gómez CárdenasLámina 17
OllyDbg– GDB– Softice
OllyDbg
• Hecho para ingeniería inversaP bl (SDK)• Programable (SDK)
• Muchos plugins
Dr. Roberto Gómez CárdenasLámina 18
![Page 10: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/10.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 10
Screenshot OllyDbg
Dr. Roberto Gómez CárdenasLámina 19
Code packers
• En el 2004, 90% virus computadoras 32 bits usan un run time packer como UPX o ASPCKun run-time packer como UPX o ASPCK.
• Comprensión de código.• Aplicaciones descomprimida en la memoria del
sistema.– Detección y borrado de código es más complicado
Dr. Roberto Gómez CárdenasLámina 20
Detección y borrado de código es más complicado.– Hacer el código más pequeño y menos detectable.– Posible cifrar el código dentro del packer.
![Page 11: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/11.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 11
Ejecutable normal
Dr. Roberto Gómez CárdenasLámina 21
Ejecutable empaquetado
Dr. Roberto Gómez CárdenasLámina 22
![Page 12: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/12.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 12
Identificación del empaquetado
• Softwate PEiD
Dr. Roberto Gómez CárdenasLámina 23
Malware puede contener scripts
• Cambiar configuración del sistema.D h bili fi ll d i d• Deshabilitar firewall de windows.
• Cambiar configuración del DNS.• Parchar/actualizar el sistema.• Instalar un servidor SMTP.
Dr. Roberto Gómez CárdenasLámina 24
• Instalar herramientas conexión remota Netcat y VNC.
![Page 13: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/13.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 13
Adquisición malware
• HoneynetsVi i i i b i f d• Visita sitios web infectados.
• Correo• Google search
Dr. Roberto Gómez CárdenasLámina 25
Análisis estático
• No analizar computadora en red.• Instalar maquinas virtuales.• Instalar sistema operativo en maquinas virtuales.• Copiar/instalar herramientas.• Obtener huellas digitales de todas las herramientas.• Correr varios antivirus,• Abrir con editor hexadecimal
Dr. Roberto Gómez CárdenasLámina 26
• Abrir con editor hexadecimal.• Determinar si usa un packer como UPX• Búsqueda strings• Desensamblar el malware• Ingeniería inversa
![Page 14: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/14.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 14
Análisis dinámico
• Malware es ejecutado y se observan cambios realizados en el sistema.
• Asegurarse VM esta en Host-Only networking• Tomar un snapshot del sistema antes de iniciar análisis (uso de
Winalysis).– Process Explorer, TCPView, Windump, Explorer.
• Correr 15 minutos, correindo Proceess Explorer y TCPView.T t h t
Dr. Roberto Gómez CárdenasLámina 27
• Tomar otro snapshot• Comparar los snapshots tomados.• Correr PE y TCPView buscando por cambios.• Examinar tráfico red capturado con windump.
Process Explorer
• Observar nuevos procesos corriendo y ver donde están ubicadosestán ubicados.
• Es posible que se encuentren en el registro y entonces el malware será cargado en cada arranque.
• Cualquier proceso instalado por el malware
Dr. Roberto Gómez CárdenasLámina 28
Cualquier proceso instalado por el malware deber ser investigado.
![Page 15: Análisis de malware · • Primer paso: Buscar fallas a nivel hardware. • Segundo paso: Buscar en el sistema operativo. – Se ven archivos que no estaban en el servidor la última](https://reader036.fdocuments.co/reader036/viewer/2022081617/6052710f968ff97a583ebab4/html5/thumbnails/15.jpg)
Computo Forense Dr. Roberto Gómez
Análisis Malware 15
TCPView
• Buscar por nuevos procesos en escucha, que pueden recibir instrucciones de servidorespueden recibir instrucciones de servidores instalados en el sistema por el malware.
• Si un proceso en escucha se instaló en la máquina, investigarlo.
• Intentar conectarse a él de varias formas
Dr. Roberto Gómez CárdenasLámina 29
Intentar conectarse a él de varias formas– telnet, netcar, o web browser
• Seguir escuchando al proceso que creo el proceso en escucha e investigar.
Network Traffic
• Observar como funciona el malware.T d ó l áfi• Tomar notas de cómo se ve el tráfico.
• Útil para escribir listas de control de acceso y reglas para el IDS.
• Si se baja un backdoor, configurar servidor para que lo baje y conectarse al sistema y ver lo que el
Dr. Roberto Gómez CárdenasLámina 30
que lo baje y conectarse al sistema y ver lo que el atacante ve.