martes, 14 de febrero de 2012

Herramientas forense para ser un buen CSI. Parte III

Compartir este artículo:
Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre análisis forense, realizando un análisis de una máquina infectada con FLU para comprobar la infección y limpiarla de manera manual. Para ello haremos uso de las siguientes utilidades:
  • Taskmanager
  • Regedit
  • Process Monitor
  • Wireshark
Este caso es extrapolable a otros muchos troyanos.

En primer lugar realizaremos la infección en la máquina ejecutando el exe con el bot de Flu apuntando a localhost, donde tenemos el panel de control escuchando:

clip_image002

Un primer paso que deberíamos realizar en una máquina infectada por un malware es analizar los procesos que hay en ejecución. Para ello, abrimos el visor de procesos de Windows donde podremos ver como tenemos el proceso flu.exe en ejecución:

clip_image004

Si abrimos la herramienta Process Monitor de Sysinternals y buscamos los eventos de la máquina realizados por dicho proceso podremos ver entre otras cosas como el proceso flu.exe realiza llamadas al Net Framework, por lo que se puede deducir que se encuentra programado en .Net:


Veremos también como el proceso ha creado un archivo de texto “_debug_err_win_32.txt”, donde irá almacenando las teclas pulsadas por el usuario en la máquina infectada:


Si seguimos analizando los eventos con Process Monitor, vemos como el ejecutable ha creado la siguiente clave en el registro para ejecutar el proceso “win_32.exe” cada vez que se inicie una sesión de Windows:


Al abrir dicha clave con regedit podremos ver la ruta donde el malware ha alojado el ejecutable malicioso:


Ahora vamos a analizar el comportamiento del troyano al recibir una instrucción desde el panel de control Web de Flu. Para el ejemplo lanzaremos el comando ipconfig, con el que veremos la configuración de red de la máquina infectada.
Si seguimos analizando las operaciones del proceso que ha realizado tras la ejecución del comando, se puede ver como lanza una consola de Windows CMD:


Y vemos como inmediatamente después el troyano ejecuta el comando ipconfig que se le ha ordenado:

Ahora analizaremos la red con Wireshark para ver como se producen los intercambios de información entre cliente y servidor.
Vemos como cada cierto tiempo el bot solicita los comandos que quiere que sean ejecutados y actualiza su estado, indicando que sigue operativo:


A continuación se puede ver como devuelve la respuesta al comando que se le ha solicitado ejecutar:


Mañana continuaremos en el siguiente post de la cadena, hablando de más maneras para detectar el troyano flu y la manera para desinfectarse de manera manual.
Saludos!

1 comentario:

Related Posts Plugin for WordPress, Blogger...