Análisis de malware en un entorno controlado, peticiones.

En el análisis de malware conviene muchas veces poder controlar las peticiones que vaya a realizar la muestra. Imaginaros que el malware en cuestión se trata de un troyano bancario, que lo que hace, es bajarse una configuración que, por ejemplo, afecta a una entidad bancaria en concreto.

Si lo que queremos es conseguir el mismo efecto y tenemos la configuración, pero el panel de control del malware se encuentra caído, no podremos analizar correctamente la muestra ya que el troyano no podrá bajarse la configuración. Es por eso que existen métodos para poder “engañar” a la muestra y servirles nosotros mismos la configuración. Para ello deberemos identificar primero que peticiones realiza la muestra para poder simularlas. Para recoger estas peticiones podemos hacer que una de nuestras máquinas internas pueda actuar como DNS resolver, para poder ver que peticiones realizan las máquinas o con un sniffer como Wireshark capturar dichas peticiones.

Con Wireshark se pueden capturar las peticiones o bien se puede configurar una máquina que actúe como DNS resolver y capturar dichas peticiones:

remnux@remnux: ~ $ sudo fakednsUsing default IP address in responses. To over-write, use a command line optionpyminifakeDNS:: dom.query. 60 IN A 192.168.1.1Respuesta: XXXXX.cu.cc. -> 192.168.1.1Respuesta: XXXXX.cu.cc. -> 192.168.1.1Respuesta: radXXX.info. -> 192.168.1.1Respuesta: XXXXX.cu.cc. -> 192.168.1.1Respuesta: radXXX.info. -> 192.168.1.1Respuesta: www.microsoft.com. -> 192.168.1.1Respuesta: XXXXX.cu.cc. -> 192.168.1.1Respuesta: XXXX.cu.cc. -> 192.168.1.1Respuesta: XXXX.cu.cc. -> 192.168.1.1Respuesta: radXXX.info. -> 192.168.1.1Respuesta: www.microsoft.com. -> 192.168.1.1Respuesta: java.sun.com. -> 192.168.1.1Respuesta: raXXX.info. -> 192.168.1.1Respuesta: www.microsoft.com. -> 192.168.1.1

Usando un fake DNS también capturamos las peticiones.

Ahora que ya tenemos los servidores a los que la muestra se va a conectar lo que tendremos que hacer es servirles nosotros mismos la configuración. Igual podemos llegar a pensar que es mu complejo llegar a saber hacer esto, pero ya veréis que es mas sencillo de lo que podéis llegar a pensar.