Documente Academic
Documente Profesional
Documente Cultură
A N A L I S I S D E M A LWA R E E N
M A Q U I N A S V I RT UA L E S
GUIA DE PRACTICA
ndice
Qu es malware?
3
Anlisis de Malware
El conjunto de herramientas
5
4
Anlisis Esttico
Anlisis Dinmico
7
8
13
Qu es un malware?
ANALISIS DE MALWARE EN MAQUINAS VIRTUALES
Segn Wikipedia:
El malware (del ingls malicious software), tambin
llamado badware, cdigo maligno, software malicioso o software
malintencionado, es un tipo de software que tiene como objetivo infiltrarse o
daar una computadora o sistema de informacin sin el consentimiento de
su propietario. El trmino virus informtico suele aplicarse de forma
incorrecta para referirse a todos los tipos de malware, incluidos los virus
verdaderos.
A modo de resumen se puede decir que un malware es una pieza de
software capaz de realizar cualquier accin que causa algn tipo de dao a
un usuario u organizacin, un equipo, o una red. Esto incluye pero no se
limita a los virus, troyanos, gusanos, rootkits, scareware y spyware.
Si se determina que la pieza de software encontrada es perjudicial,
un anlisis de malware es el arte de la diseccin del software malicioso
para entender cmo funciona, cmo identificarlo y cmo eliminarlo.
El propsito de un anlisis de malware es brindar informacin
necesaria para responder ante una intrusin en la red. Este propsito
incluye el determinar exactamente lo que sucedi, y qu alcance y grado de
dispersin tuvo en la red.
Anlisis de Malware
ANALISIS DE MALWARE EN MAQUINAS VIRTUALES
El conjunto de herramientas
SEGURIDAD INFORMATICA
Autoruns
Esta herramienta, que cuenta con la lista ms amplia de ubicaciones de
inicio automtico, muestra qu programas estn configurados para
ejecutarse durante el arranque del sistema o de inicio de sesin, y muestra
las entradas en el orden en que Windows las procesa. Estos programas
incluyen los de su carpeta de inicio, Run, RunOnce, y otras claves del
registro. Puede configurar Autoruns para mostrar otras ubicaciones,
incluidas las extensiones de shell del Explorador, barras de herramientas,
objetos de ayuda del navegador, las notificaciones de Winlogon, servicios de
inicio automtico, y mucho ms. Autoruns extiende por mucho la utilidad
MSConfig incluida en Windows Me y XP.
ProcessExplorer
ProcessExplorer es, como su nombre indica, un explorador de procesos. Su
interfaz grfica se compone de dos subventanas; la superior siempre
muestra una lista de los procesos activos, incluidos los nombres de las
cuentas que poseen, mientras que la informacin mostrada en la inferior
depende del modo en que Process Explorer est configurado. En el modo de
DLL, mostrar los archivos DLL y archivos asignados en memoria que el
proceso ha cargado. Process Explorer tambin tiene una herramienta de
bsqueda muy potente que mostrar rpidamente qu procesos tienen
handlers abiertos o sus DLL cargados.
Las capacidades de Process Explorer lo hacen especialmente til para
localizar problemas de DLL versin o prdidas de identificadores, y para
dar una idea de la forma de funcionar de Windows y otras aplicaciones.
Process Monitor
Process Monitor es una herramienta de monitorizacin avanzada para
Windows que muestra en tiempo real actividad en el sistema de archivos, el
registro, y los procesos en ejecucin. Combina las caractersticas de las
herramientas Filemon y Regmon, y aade una amplia lista de mejoras que
incluyen el filtrado avanzado y no destructivo, las propiedades de eventos
integrales tales como identificadores de sesin y nombres de usuario, pilas
de threads completas con soporte para smbolos integrados de cada
operacin, registro simultneo en un archivo, y mucho ms. Las
caractersticas de Process Monitor hacen de ella una utilidad fundamental
en la solucin de problemas del sistema y en el conjunto de instrumentos
de caza de malware.
SEGURIDAD INFORMATICA
Anlisis esttico
En el anlisis esttico de este virus vamos a intentar recabar tanta
informacin como sea posible, que nos ayudar a comprenderlo mejor y a
orientar de forma eficiente nuestros esfuerzos en el posterior anlsis
dinmico. Como primer paso, se lleva a cabo una recoleccin de
informacin previa observando los detalles del virus y realizando una
visualizacin en un editor hexadecimal. Esto revela algunas cadenas en el
cdigo del virus, adems de ayudarnos a verificar que se trata de un
ejecutable.
SEGURIDAD INFORMATICA
WinVi mostrando la cabecera del ejecutable del virus y una cadena de texto
Para salvar este paso y poder extraer el ejecutable real y ver sus
instrucciones, o al menos obtener informacin sobre el tipo de compresin,
codificacin o cifrado lleva, se utiliza la utilidad de descompresin de
SEGURIDAD INFORMATICA
ejecutables UPX:
Para este propsito, es necesario realizar una ejecucin controlada del virus,
analizar sus puntos de inicio, y encontrar un breakpoint del virus.
Para poder localizar dichos puntos, vamos a empezar por analizar el mapa
de memoria del malware, cosa que podemos hacer con el OllyDbg:
1
1
SEGURIDAD INFORMATICA
1
3
SEGURIDAD INFORMATICA
Tambin podemos observar los handles del virus, para un propsito similar:
1
5
Anlisis dinmico
Ejecutaremos el virus en un ambiente controlado para ver
su capacidad de abrir conexiones con el mundo exterior
(calling home), las alteraciones del registro,
modificaciones del sistema de archivos y los procesos en
ejecucin. Para controlar este tipo de actividades se utilizarn los programas
TCPView, Active Registry Monitor, Process Explorer, Process Monitor y la
aplicacin Autoruns.
Al haber localizado en el anlisis esttico el punto de inicio del programa,
podemos controlar su ejecucin:
SEGURIDAD INFORMATICA
Pro
cmon mostrando actividad del virus
Como una observacin, podremos ver que el virus se est ejecutando detrs
de la aplicacin Internet Explorer para ocultarse. La nica indicacin que
podemos ver es que el proceso "IEXPLORE.EXE" est abierto por el virus
ANALISIS DE MALWARE EN MAQUINAS VIRTUALES
1
7
SEGURIDAD INFORMATICA
1
9
Echando un ojo al Advanced Registry Editor, podemos ver los cambios que
hace el virus en el registro de Windows:
SEGURIDAD INFORMATICA
2
1
SEGURIDAD INFORMATICA
2
3
SEGURIDAD INFORMATICA