Forensia Malware

Computo Forense Dr.
Roberto Gmez
Anlisis Malware
1
Anlisis de malware
Roberto Gmez Crdenas
ITESM CEM
Dr. Roberto Gmez Crdenas Lmina1
ITESM-CEM
rogomez@itesm.mx
Escenario
Regreso oficina despus de un fin de semana de 3 das.
Quejasdequeunservidor Windowsestalento Quejas de que un servidor Windows esta lento.
Primer paso: Buscar fallas a nivel hardware.
Segundo paso: Buscar en el sistema operativo.
Se ven archivos que no estaban en el servidor la ltima vez
que se accedi a l.
Deduccin: servidor comprometidopor algntipodesoftware
Deduccin: servidor comprometido por algn tipo de software
malicioso.
Contar con un Disaster RecoveryPlan, que permita
regresar al servidor a una condicin previa a la de la
infeccin.
Computo Forense Dr. Roberto Gmez
Anlisis Malware
2
Terminos
Virus
Gusanos
Sniffers
ReverseCode Gusanos
Caballos de troya
Spyware
Adware
Puertas traseras
Reverse Code
Engineering
Disassemblers
Debuggers
Decompiler
Rootkits
Preparation Preparation
Identification
Containment
Eradication
Recovery
L l d
Lessonslearned.
Anlisis Malware
3
Para que el anlisis de malware?
Para que se requiere llevar a cabo anlisis de
malwaresi notrabajoparaundistribuidosde malware si no trabajo para un distribuidos de
anti-virus?
Objetivos
Entender como funciona una pieza especfica de
malware, con el objetivo de implementar defensas
para proteger la red de la organizacin.
Preguntas responde anlisis
malware
Cmo se infecto esta mquina con este
malware? malware?
Qu es lo que hace exactamente este malware?
Anlisis Malware
4
Tipos anlisis de malware
Dos tipos
Anlisisestticodecdigo Anlisis esttico de cdigo.
Revisar el cdigo y caminar a travs de l para entender de mejor
forma lo que el malware esta haciendo.
Anlisis dinmico de cdigo
Como se comporta el cdigo cuando es ejecutado.
No hay una regla fija, pero se sugiere empezar con el
tti d ll b l di i
esttico para despus llevar a cabo el dinmico.
Verificar las leyes existentes relacionadas con
ingeniera inversa
Herramientas
VMWare
Mquinavirtual Mquina virtual
BgInfo
Proporciona informacin importante del sistema como
hostname, direccin IP, versin sistema operativo, etc.
ProcessExplorer
Indicaquearchivos llavesderegistroyotrosobjetossehan
Indica que archivos, llaves de registro y otros objetos se han
abierto, que DDLsse han cargado.
ProcessMonitor
Monitoreo de sistema de archivos, registro, procesos, threadsy
actividad de los DDL en tiempo real.
Anlisis Malware
5
Herramientas
Psfile
Lista de archivos abiertos de forma remota.
RootkitRevealer
Lleva a cabo una bsqueda de rootkitsconocidos.
Streams
Aplicacin que da a conocer NFTS alternatestreams.
Strings
g
Aplicacin que busca strigsANSI y UNICODE en imgenes
binarias.
Nmap
Escaneaode puertos
Herramientas
TCPView
Herramienta que proporciona informacin acerca de
conexiones TCP y UDP, incluyendo las direcciones locales y
remotas as omoel estado de la conexin TCP.
Windump
Versin windowsdel sniffer tcpdump
Fport
Id ifi d id l li i i d
Identifica puertos desconocidos y las aplicaciones asociadas a
ellos.
Hfind
Parte del ForensicToolkit
Aplicacin que busca en el disco archivos ocultos.
Anlisis Malware
6
Herramientas
Vision
Reporta todos los puertos TCP y UDP abiertos, y los mapea al
proceso y/o aplicacin asociada.
Filewatch
Un monitor de cambio en archivos.
Attacker
Una aplicacin apara escuchar un puerto TCP/UDP
MD5sums
Generada huellas digitales MD5 para verificacin de
integridad.
Se recomienda usar otro tipo de herramienta que produzca
huellas en base a otro algoritmo.
Herramientas
Winalysis
Monitoreacambiosenarchivos el registro usuarios grupos Monitorea cambios en archivos, el registro, usuarios, grupos,
seguridad, servicios, recursos compartidos, trabajos
calendarizados, ambiente del sistema y ms.
Winhex
Editor hexadecimal.
Puede elegir el editor hexadecimal que prefiera.
Anlisis Malware
7
Herramientas ingeniera inversa
Editor hexadecimal
Winhex, Hex Workshop, Ultraedit, Hacker's View
Des-ensamblador
IDA, WDasm, Sourcer 7,
Descompresor
Deshrink, PeUNLOCK,
Depurador
Debug, Soft-Ice (El ms usado), TR, dbg,
A li d d hi
Analizador de archivos
FileMonitor
Dumpeadoresde memoria
UserModeProcessDumper, MemoryDumper Pro
Monitor del registro
Registrymonitor (Win95).
Desensamblador IDA Pro
IDA Pro es la mejor herramienta en esta
categora categora.
Desensambladores convierten un binario a ene
lenguaje ensamblador .
El programa no corre, anlisis esttico.
Soportamsde30procesadores
Soporta ms de 30 procesadores.
Hecho para ingenerainversa.
Identificacin de libreras .
Programable (SDK y scripts)
Anlisis Malware
8
Screenshot IDA Pro
Screenshot IDA Pro
Anlisis Malware
9
Depuradores
Ejecutan el programa
L l Lnea por lnea
Usando breakpoints
Los ms comunes
WinDBG
OllyDbg
OllyDbg
GDB
Softice
OllyDbg
Hecho para ingeniera inversa
P bl (SDK) Programable (SDK)
Muchos plugins
Anlisis Malware
10
Screenshot OllyDbg
Codepackers
En el 2004, 90% virus computadoras 32 bits usan
unrun timepacker comoUPX oASPCK un run-time packer como UPX o ASPCK.
Comprensin de cdigo.
Aplicaciones descomprimida en la memoria del
sistema.
Deteccinyborradodecdigoesmscomplicado
Deteccin y borrado de cdigo es ms complicado.
Hacer el cdigo ms pequeo y menos detectable.
Posible cifrar el cdigo dentro del packer.
Anlisis Malware
11
Ejecutable normal
Ejecutable empaquetado
Anlisis Malware
12
Identificacin del empaquetado
SoftwatePEiD
Malware puede contener scripts
Cambiar configuracin del sistema.
D h bili fi ll d i d Deshabilitar firewall de windows.
Cambiar configuracin del DNS.
Parchar/actualizar el sistema.
Instalar un servidor SMTP.
Instalar herramientas conexin remota Netcat y
VNC.
Anlisis Malware
13
Adquisicin malware
Honeynets
Vi i i i bi f d Visita sitios web infectados.
Correo
Google search
Anlisis esttico
No analizar computadora en red.
Instalar maquinas virtuales.
Instalar sistema operativo en maquinas virtuales.
Copiar/instalar herramientas.
Obtener huellas digitales de todas las herramientas.
Correr varios antivirus,
Abrir coneditor hexadecimal
Abrir con editor hexadecimal.
Determinar si usa un packer como UPX
Bsqueda strings
Desensamblar el malware
Ingeniera inversa
Anlisis Malware
14
Anlisis dinmico
Malware es ejecutado y se observan cambios realizados en el
sistema.
Asegurarse VM esta en Host-Onlynetworking
Tomar un snapshot del sistema antes de iniciar anlisis (uso de
Winalysis).
ProcessExplorer, TCPView, Windump, Explorer.
Correr 15 minutos, correindoProceessExplorer y TCPView.
T t h t
Tomar otro snapshot
Comparar los snapshotstomados.
Correr PE y TCPViewbuscando por cambios.
Examinar trfico red capturado con windump.
ProcessExplorer
Observar nuevos procesos corriendo y ver donde
estnubicados estn ubicados.
Es posible que se encuentren en el registro y
entonces el malware ser cargado en cada
arranque.
Cualquier procesoinstaladopor el malware
Cualquier proceso instalado por el malware
deber ser investigado.
Anlisis Malware
15
TCPView
Buscar por nuevos procesos en escucha, que
puedenrecibir instruccionesdeservidores pueden recibir instrucciones de servidores
instalados en el sistema por el malware.
Si un proceso en escucha se instal en la
mquina, investigarlo.
Intentar conectarseal devariasformas
Intentar conectarse a l de varias formas
telnet, netcar, o web browser
Seguir escuchando al proceso que creo el proceso
en escucha e investigar.
Network Traffic
Observar como funciona el malware.
T d l fi Tomar notas de cmo se ve el trfico.
til para escribir listas de control de acceso y
reglas para el IDS.
Si se baja un backdoor, configurar servidor para
quelobajeyconectarseal sistemayver loqueel
que lo baje y conectarse al sistema y ver lo que el
atacante ve.

Forensia Malware

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Forensia Malware

Încărcat de

Drepturi de autor:

Formate disponibile

Computo Forense Dr.

S-ar putea să vă placă și