10 may 2012

Laboratorio de malware

 

Llevo muchos días preparando dos presentaciones relacionadas con temas de malware, cuando te dedicas a hacer ingeniería inversa, haciendo análisis estático de malware o símplemente realizar un análisis dinámico del sample, requiere, o al menos es importante, el tener un laboratorio montado para realizar estas pruebas. Haré una serie de artículos de como montar un laboratorio de malware para el análisis de muestras y que herramientas se pueden usar, tanto en análisis estático como en análisis dinámico.

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox oVMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla :)

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual deVMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real

3 comentarios:

  1. Interesante serie de artículos Marc. La verdad que montar un laboratorio de malware es fundamental para cualquier empresa que ofrezca servicios de seguridad informática y para cualquier persona que quiera investigar sobre el tema. El usuario final tendrá que seguir conformándose con los antivirus...Una pregunta/idea: ¿existe algún antivirus que en vez identificar patrones más o menos estáticos automatice la tarea de crear un sandbox, ejecutar el malware en la sandbox y analizar el comportamiento? ¿están los sistemas informáticos actuales preparados para ejecutar un sistema de semejantes características de manera eficiente? ¿cuál sería su fiabilidad? Se que existen servicios en Internet que vienen a hacer esto pero, ¿a nivel de producto y para PC?

    ResponderEliminar
  2. Buenas Florencio,El servicio que comentas es, para mi, el más eficaz a la hora de obtener el resultado de manera muy rápida en relación a lo que hace un malware en si. Servicios como este lo tienen de manera pública, Virus total, otro sandbox de maleare es anubis, y existen muchos otrso de carácter privado. Existen sanboxis por software, solo es cuestión de buscar un pocoEspero haberte ayudado.Saludos

    ResponderEliminar