Análisis de Malware en 5 pasos

• January 19, 2010
• tuxotron
• Recursos Informática, Programación, Hacking, Seguridad

• Facebook
• Twitter
• Reddit
• LinkedIn

Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos.

Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual.

Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico. Las ventajas de los sistemas virtuales son muy claras sobre la de los físicos. Menos maquinaria, menos calor en la habitación, menos broncas de mami o papi: niño este mes hemos pagado un ojo de la cara de luz, como la próxima factura sea igual o peor, te corto todos los cables…

Los sistemas más conocidos de virtualización:

• VMWare
• Windows Virtual PC
• Microsoft Virtual PC
• VirtualBox

Paso 2.- Aisla tu laboratorio de análisis de tus equipos de producción.

Pues eso, asegúrate de tus sistemas de análisis no tengan acceso al segmento de red donde corren tu/s máquinas. Ya sabes que al Marlware de hoy en día le encanta expandirse a través de las redes. Be smart my friend!

Paso 3.- Instala herramientas de análisis de comportamiento.

Una vez tengamos el sistema listo, tenemos que ver que ocurre en el sistema cuando ejecutemos el espécimen de prueba. Para ello necesitaremos utilidades que nos muestren/monitoricen:

* El sistema de ficheros y el registro (Windows): Process Monitor, Capture BAT o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware. * Los procesos: Process Explorer, Process Hacker, etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc. * La red: WireShark, SmartSniff, etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas. * Cambios en el sistema: RegShot. También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias.

Paso 4.- Instalar herramientas de análisis de código.

A parte de monitorizar el malware con las herramientas antes mencionadas, ahora viene lo más divertido, ver que cojones demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores.

* Desensambladores / depuradores: OllyDbg, IDA Pro, Immunity Debugger, etc. Pues como dije, para saber que hace el miserable bicho nada mejor que conocer su lógica. * Volcadores de memoria: LordPE, OllyDump, etc. Muchas veces los ejecutables vienen con los datos encriptados, por lo que con un depurador no nos es suficiente para ver información valiosa sobre el mismo, e incluso de esta forma también suelen saltarse los antivirus, que le pregunten al sabio :-), pero en cierto momento esos datos, instrucciones se tienen que desencriptar para ser usados/ejecutados y ¿Dónde ocurre esto? en la memoria. Así que herramientas de volcado memoria en tiempo de ejecución son críticas.

Paso 5.- Usa herramientas de análisis online.

Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis.

• Anubis
• CWSandbox
• Joebox
• Norman Sandbox
• ThreatExpert

Y aquí más información sobre hostings sospechosos que alojan código malicioso.

* Evaluación de amenazas en tiempo real: Finjan URL Analysis, McAfee Site Advisor and Wepawet. * Reputación histórica: Norton Safe Web y WOT (Web Of Trust).

Y de regalo una chuleta.

Artículo original.

• virus
• malicious code
• codigo malicioso
• Análisis
• malware
• gusano
• analysis
• Worm