Análisis de malware

Manual del investigador de malware: introducción

junio 16, por Revers3r

Todo lo que debe saber antes de comenzar la investigación
La investigación de malware contiene mucha información como ingeniería inversa, kit de exploits, análisis de exploits, análisis de botnets, emulación, sandbox, troyanos, virus, registradores de claves y mucho más. Esta es una descripción general de los temas de investigación en el campo de la seguridad de la información. Sin embargo, antes de explorar la investigación, debemos comprender los conceptos básicos de la investigación de malware. Primero, discutiremos algunos de los conceptos básicos y profundizaremos más adelante.

Por lo tanto, discutiré alguna terminología básica.

Malware : software malicioso con funcionalidad desconocida que reside en un sistema. Cualquier software que haga algo que cause daño a un usuario, computadora o red puede considerarse malware, incluidos virus, troyanos, gusanos, rootkits, shareware y spyware.

Virus : tipo de malware que se replica, comúnmente infectando otros archivos en la computadora, ejecutando así código de malware y su propagación cuando esos archivos se activan.

Gusano : Un gusano es un programa que se propaga automáticamente y puede ejecutarse automáticamente para distribuirse de una computadora a otra. Los gusanos pueden propagarse mediante agentes como troyanos, puertas traseras, etc.

A continuación se muestran ejemplos típicos:

• bollo
• desintegrador
• Conflicto, etc.

Troyano : un software malicioso que puede replicarse o propagarse y contiene código malicioso que, cuando se ejecuta, lleva a cabo acciones determinadas por la naturaleza del troyano, que generalmente causan pérdida o robo de datos y posibles daños al sistema. A continuación se muestran ejemplos típicos:

1. Cuidado del sistema avanzado Netbus (por Carl-Fredrik Neikter)
2. Subseven o Sub7 (por Mobman)
3. Orificio trasero (Sir Dystic)
4. Bestia
5. Zeus
6. Troyano Flashback ( Troyano BackDoor.Flashback )
7. Acceso Cero
8. cara de koob
9. Vundo y muchos más

Las diversas actividades maliciosas de los troyanos son:

• Bloquear la computadora , por ejemplo, con ” pantalla azul de la muerte ” (BSOD)
• Corrupción de datos
• Formatear discos, destruir todo el contenido.
• Uso de la máquina como parte de una botnet (por ejemplo, para realizar spam automatizado o distribuir ataques de denegación de servicio ) .
• robo de dinero electrónico
• Infecta toda la información bancaria de la red y otros dispositivos conectados
• Robo de datos , incluidos archivos confidenciales, a veces con fines de espionaje industrial , e información con implicaciones financieras, como contraseñas e información de tarjetas de pago.
• Modificación o eliminación de archivos.
• Descarga o carga de archivos para diversos fines.
• Descargar e instalar software, incluido malware y ransomware de terceros
• Registro de pulsaciones de teclas
• Mirando la pantalla del usuario
• Ver la cámara web del usuario
• Controlar el sistema informático de forma remota

Puerta trasera : código malicioso que se instala en la computadora como parte del malware que se propaga para permitir el acceso del atacante. Por lo general, permite al atacante conectar la computadora o la víctima con o sin autenticación para ejecutar el comando.

Ej: backoffice, etc.

Bot : programa malicioso instalado en una computadora que forma parte del centro de comando y control de la red de bots (BOTNET). Los bots son generalmente troyanos de puerta trasera que permiten el acceso y control no autorizados de una computadora afectada. A menudo son robots de canales IRC en la red.

EJ: botnet Zeus, Torpig, etc.

Discutiremos los tipos de ataques de botnet con ejemplos reales y cómo identificarlos.

Descargador : Código malicioso que existe únicamente para descargar otro código malicioso. Los atacantes suelen instalar descargadores cuando obtienen acceso por primera vez a un sistema. Este ataque se puede crear fácilmente con algún tipo de JavaScript en un sitio web activo que tenga vulnerabilidades.

Rootkit: Código malicioso diseñado para ocultar la existencia de otro código. Los rootkits suelen combinarse con otro malware, como una puerta trasera, para permitir el acceso remoto al atacante y dificultar la detección del código por parte de la víctima. Discutiremos más sobre rootkit en el próximo artículo.

Scareware: Malware diseñado para asustar a un usuario infectado para que compre algo. Por lo general, tiene una interfaz de usuario que lo hace parecer un antivirus u otro programa de seguridad. Informa a los usuarios que hay un código malicioso en su sistema y que la única forma de deshacerse de él es comprar su “software”, cuando en realidad el software que vende no hace más que eliminar el scareware.

Malware que envía spam: malware que infecta la máquina de un usuario y luego la utiliza para enviar spam. Este malware genera ingresos para los atacantes al permitirles vender servicios de envío de spam.

Exploit: un exploit es una pieza de software, un comando o una metodología que ataca una vulnerabilidad de seguridad particular. Los exploits no siempre tienen intenciones maliciosas; a veces se utilizan sólo como una forma de demostrar que existe una vulnerabilidad. Sin embargo, son un componente común del malware.

Kit de exploits/ paquetes de exploits: un kit de exploits, a veces denominado paquete de exploits, es un conjunto de herramientas que automatiza la explotación de vulnerabilidades del lado del cliente, dirigido a navegadores y programas que un sitio web puede invocar a través del navegador. Los objetivos de explotación comunes han sido vulnerabilidades en Adobe Reader, Java Runtime Environment y Adobe Flash Player:

Malware de ingeniería inversa : el malware de ingeniería inversa es un proceso de examen de ejecutables maliciosos mediante la lectura de instrucciones. Estamos leyendo instrucciones en lenguaje ensamblador de IDA pro o depurando a través de Immunity u Ollydbg, discutiremos la ingeniería inversa por separado como una serie. Aquí estamos intentando leer el lenguaje a nivel de máquina mediante el desensamblador.

Por qué se requiere el análisis de malware:

Si aún no sabes por qué, entonces estás en riesgo. El análisis de malware es el arte de analizarlo para comprender cómo funciona, cómo identificarlo y cómo derrotarlo o eliminarlo. Además, no es necesario ser un súper hacker para realizar análisis de malware. Proporciona las siguientes respuestas:

• Saber cómo analizar el malware puede ayudarle a comprender el contexto del incidente, su gravedad y sus repercusiones. Puede ayudarle a planificar su respuesta para contener el alcance del incidente y, en algunos casos, comprender qué entidades podrían estar detrás de la intrusión.
• Saber cómo analizar el malware puede aportar un elemento de control a un entorno que de otro modo sería caótico y que existe en torno a un incidente de seguridad. También es un aspecto crítico de las acciones de análisis forense moderno, porque es muy frecuente que los investigadores descubran malware en los sistemas comprometidos.
• Para evaluar los daños
• Para descubrir indicadores de daño.
• Manejar adecuadamente el incidente y cómo responderlo.
• que robaron
• Cómo llegó esto aquí
• Propósito del malware
• Para atrapar al malo y demás…

Tipos de análisis de malware:

Después de haber sido infectado por malware, como respondedor de incidentes o analista forense, cómo encontrar la causa raíz del ataque, aquí discutiremos los pasos del análisis de malware.

Análisis totalmente automatizado:

La forma más sencilla de evaluar la naturaleza de un archivo sospechoso es escanearlo utilizando herramientas totalmente automatizadas, algunas de las cuales están disponibles como productos comerciales y otras de forma gratuita. Estas utilidades están diseñadas para evaluar rápidamente lo que podría hacer la muestra si se ejecutara en un sistema. Por lo general, producen informes con detalles como las claves de registro utilizadas por el programa malicioso, sus valores mutex, actividad de archivos, tráfico de red, etc., pero no podemos conocer el comportamiento interno del malware. Algunas de las herramientas son Cooko, XecScan.

La siguiente es una instantánea del escáner en línea realizado por eureka. Los mismos servicios pueden estar disponibles a través de Threat Expert, etc.

Análisis de propiedades estáticas:

Un analista interesado en observar más de cerca el archivo sospechoso podría proceder examinando sus propiedades estáticas. Estos detalles se pueden obtener con relativa rapidez, porque no implican la ejecución del programa potencialmente malicioso. Las propiedades estáticas incluyen las cadenas incrustadas en el archivo, detalles del encabezado, hash, recursos incrustados, firmas del empaquetador, metadatos como la fecha de creación, etc.

Inversión de código manual/análisis dinámico:

La ingeniería inversa del código que comprende la muestra puede agregar información valiosa a los hallazgos disponibles después de completar el análisis de comportamiento interactivo.

La inversión manual de código implica el uso de un desensamblador y un depurador, que podrían ser ayudados por un descompilador y una variedad de complementos y herramientas especializadas que automatizan algunos aspectos de estos esfuerzos. Los análisis forenses de la memoria también pueden ayudar en esta etapa de la pirámide.
proporciona los siguientes beneficios

• Decodificar datos cifrados almacenados o transferidos por la muestra;
• Determinar la lógica del algoritmo de generación de dominio del programa malicioso;
• Comprender otras capacidades de la muestra que no se manifestaron durante el análisis de comportamiento.

Análisis de comportamiento:

El análisis de comportamiento implica examinar cómo se ejecuta la muestra en el laboratorio para comprender su registro, sistema de archivos, procesos y actividades de red. Comprender cómo el programa utiliza la memoria (por ejemplo, realizando análisis forenses de la memoria) puede aportar información adicional. Esta etapa de análisis de malware es especialmente fructífera cuando el investigador interactúa con el programa malicioso, en lugar de observar pasivamente el ejemplar.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Siguiente sección: discutiremos los detalles del formato de archivo PE.