análisis malware

Análisis de Malware

David Moreno GaviriaComunidad DragonJAR

Encuentro de Tecnologías de la Información -SecurInf V.3

La Comunidad DragonJAR

Definiciones e Historia del Malware

Implementación de entornos para el Análisis de Malware / Herramientas

¿Por qué se hace necesario la implementación de este tipo de entornos?

Implicaciones legales del Análisis de Malware

Fases implicadas en el Análisis de Malware:

Tipos de Análisis

Perfilamiento del Malware / Detalles

Comprobaciones criptográficas

Comparación de firmas

Escaneos

Examinación

Extracción y Análisis de Datos

Revelación de datos

Correlación de resultados

Investigación y profundización

Conclusiones y recomendaciones

Análisis de Malware - Securinf

• ¿Qué es el Malware?• Tipología del Malware

• BackDoor• BootNet• Exploit• Gusano• Hoax• Keylogger• Phishing• Rouge• Rootkit• Spam• Spyware• Troyano• Virus

• Análisis de Malware


Implementación de un entorno de Laboratorio Seguro

Requerimientos mínimos:

• Máquinas virtuales / Físicas (Mínimo 3)• Varios S.O• Interfaces de Red• Metodología• Documentación• Debugger• Monitores de procesos• Monitores de sistemas• Monitores de archivos• Monitores de instalaciones• Monitores de red• Editor hexadecimal• AV’s• Des/Ensambladores


Montaje de un entorno de Laboratorio Seguro para el Análisis de MalwareAlgunas Herramientas:

• OllyDbg• IDA Pro• PEiD• GNU Debugger (GDB)• Editor Hexadecimal• Syser• Microsoft Debugging Tools• Process Explorer• Process Monitor• RegMon• FileMon• PortMon• System Information for Windows• FCIV• Malcode Analyst Pack• SSDEEP• FileAlyzer• InstallWatch• RegShot

¿Por qué implementarlos?

• Bases sólidas del funcionamiento y operatividad del Malware.• Contramedidas al Malware.• Fácil inicio para aprendices• Portables• Simulación de entornos reales.• Implicaciones legales.• Implementación / pruebas de

herramientas AV’s.


Obtener archivo

Detalles

Hash

Comparación

Clasificación

EscaneoExaminar

Extraer

Revelar

Correlacionar

Investigar


Obtener archivo

• Muestras/Listas de Malware (Dominios)• Internet (Postales, Webs infectadas)• USB/CD/DVD

(Video)


Instantáneas del Sistema


Detalles del Sistema:

• Sistema Operativo• Service Pack• Actualizaciones de Seguridad• Dispositivos• Software Instalado

SIW System Information for Windowswww.gtopala.com


http://www.gtopala.com/

Fases Implicadas:Comprobaciones Criptográficas

• Algoritmo MD5 (Reducción)• FCIV (File Checksum Integrity Verifier)

http://support.microsoft.com/kb/841290

• Malcode Analyst Packhttp://labs.idefense.com/software/

• WinVIhttp://www.winvi.de

(Video)


http://support.microsoft.com/kb/841290

http://labs.idefense.com/software/

http://www.winvi.de/

Fases Implicadas:Comprobaciones Criptográficas / Alteraciones / Variantes.Computing Context Triggered Piecewise Hashes(CTPH)

• SSDEEPhttp://ssdeep.sourceforge.net

(Video)


http://ssdeep.sourceforge.net/

Fases Implicadas:

Clasificación de Archivos

• Extensión del Archivo (no recomendable)• File Signature (Firma del archivo)

20 bytes del archivoWindows Bitmap (.bmp) > Hex: 42 4D > BMEj Ext MW: .exe, .dll, .com, .pif, .ocx, .drv, etc.

• WinVIhttp://www.winvi.de

• File Signature Tablehttp://www.garykessler.net/library/file_sigs.html

• Exeinfowww.geocities.com/exeinfo_PE/

(Video)

http://www.winvi.de/

http://www.garykessler.net/library/file_sigs.html

http://www.garykessler.net/library/file_sigs.html

http://www.geocities.com/exeinfo_PE/

Fases Implicadas:

Detección de Empaquetados

• RDG Packer Detectorwww.rdgsoft.8k.com

(Video)


http://www.rdgsoft.8k.com/

Fases Implicadas:

Escaneo con AV’s

Anti Virus Locales:• AVIRA

http://www.free-av.com/• Norton AV

http://www.symantec.com/norton/antivirus• Kaspersky

http://www.kaspersky.com/• ESET Smart Security

http://www.eset-la.com/smartsecurity/• McAfee

http://www.mcafee.com/es/

Anti Virus Online:• Virus Total

http://www.virustotal.com/es.• VirSCAN

http://virscan.org/

(Video)

http://www.free-av.com/



http://www.symantec.com/norton/antivirus

http://www.kaspersky.com/

http://www.eset-la.com/smartsecurity/



http://www.mcafee.com/es/

http://www.virustotal.com/es

http://virscan.org/

Fases Implicadas:

Información Embebida - Strings

• Malcode Analyst Packhttp://labs.idefense.com/software/

(Video)


http://labs.idefense.com/software/

Fases Implicadas:

Dependencias

• OllyDBGhttp://www.ollydbg.de/

(Video)


http://www.ollydbg.de/

Fases Implicadas:

Metadatos

• FileAlyzerhttp://www.safer-networking.org/en/filealyzer/index.html

(Video)


http://www.safer-networking.org/en/filealyzer/index.html



Fases Implicadas:

Monitoreo de ejecución simple / Análisis DinámicoMonitoreo de instalación• InstallWatch

http://www.epsilonsquared.com/installwatch.htm

(Video)




Fases Implicadas:

Monitoreo de ejecución simple / Análisis DinámicoInstantáneas del sistema (Registro)• RegShot

http://sourceforge.net/projects/regshot/

(Video)


http://sourceforge.net/projects/regshot/

Fases Implicadas:

Monitoreo de ejecución simple / Análisis DinámicoEjecución Automática de Archivos / Ocultos• MSCONFIG

(Video)


Fases Implicadas:

Análisis de archivos generados / EjecuciónComprobación de firmas

• SSDEEPhttp://ssdeep.sourceforge.net

(Video)


http://ssdeep.sourceforge.net/

Fases Implicadas:

Análisis de Ejecución simple / Análisis Dinámico

• SysAnalyzerhttp://labs.idefense.com/software/malcode.php

(Video)


http://labs.idefense.com/software/malcode.php

Fases Implicadas:

Análisis de Ejecución simple / Análisis DinámicoAnálisis de Red

• SysAnalyzerhttp://labs.idefense.com/software/malcode.php

• WireSharkhttp://www.wireshark.org/

(Video)


http://labs.idefense.com/software/malcode.php

http://www.wireshark.org/

Análisis de Malware

David Moreno GaviriaComunidad DragonJAR

Encuentro de Tecnologías de la Información -SecurInf V.3

análisis malware

Documents