13 feb 2012

Empezando con el análisis de malware

Hola!

Muy buenas a todos/as!

Desde que entré a trabajar en el departamento de ecrime en S21Sec sabía que me acabaría tocando analizar malware. Es algo que me tenía bastante intrigado, pues pensaba que solo se basaría en hacer Ingeniería inversa. Y eso me daba pánico, porque es algo que no he echo en mi vida y ya os aseguro que viendo algún compañero de la empresa como lo realiza..da miedo… jeje.

Los primeros pasos que hice para analizar un  malware es hacer un análisis de comportamiento del mismo, esto se puede hacer por ejemplo desde una máquina virtual y con un Wireshark capturando el tráfico desde fuera, siempre y cuando el Malware en cuestión no tenga una protección de las que detecta que está siendo ejecutado en una máquina virtual. demás existen software que protegen el ejecutable los llamados packers que dificultan el análisis del binario mediante ingenría inversa, pero eso ya lo veremos mas adelante. En este blog ya he analizado algún que otro Malware viendo que conexiones hacía que ficheros de sistema cambiaba etc..

De eso se trata en parte un análisis de comportamiento de Malware. Yo para la gente que quiera empezar lo haría así:

  1. Tener una máquina virtual Windows en Host-Only, preferiblemente.
  2. Tener instalado InstallRite en la máquina virtual.
  3. Tener capturando la actividad de la tarjeta de red con Wireshark

Estos 3 pasos básicos ya nos pueden dar una idea de que hace el malware en cuestión.

Si recordamos el artículo de analizando morto, la cantidad de conexiones que hacía el troyano, vuelvo a poner la imagen que tenía en el artículo:

Y los cambios que hacía en sistema, por ejemplo con InstallRite

Este artículo de hoy es para comentar dos cosas, la primera es que para los que quieran empezar a hacer análisis de malware no os preocupéis si no sabéis hacer ingeniería inversa, aunque os animo a que aprendáis si os vais a querer dedicar, lo segundo es que analizando como se comporta el troyano en si ya sabemos cual es su modus operandi, si el malware se actualiza, de donde etc..

Así que ánimos

Saludos

5 comentarios:

  1. Lindo articulo, pero creo que se te olvida que existe bypass para maquinas virtuales! :P

    ResponderEliminar
  2. Lindo articulo, solo que se te olvida que existe bypass para VM!

    ResponderEliminar
  3. Muy bueno el artículo, pero me gustaría que me aclararas si es posible el porqué del uso del InstallRite en este caso, ya que no lo tengo claro.Un saludo

    ResponderEliminar
  4. Cómo dice KHC mucho malware tiene anti VM. Se podría también mirar el comportamiento según las apis que tenga este. Es algo básico también.Buen artículo, un saludo!

    ResponderEliminar
  5. como te fies solo de estas herramientas, te la cuelan bien colada! saludos

    ResponderEliminar