Introducción al análisis de malware.

Ser un ingeniero analista o incluso un investigador de vulnerabilidad y códigos maliciosos es un trabajo en sí mismo, el propósito del artículo es, por lo tanto, no explicar este negocio en detalle, sino para dar un punto de vista global sobre el análisis de malware como parte de un personal. actividad.

Recuerdo que «malware» significa «software malicioso» en francés. La palabra «virus de la computadora» se usa a menudo por abuso de lenguaje. Un malware es un software malicioso en general, por lo tanto, puede ser un keylgger, un caballo de troyano, un pícaro, un ransomware, un gusano de computadora… etc.

Vimos varias veces que el antivirus es muy útil., pero no podemos confiar únicamente en ello.

Al infectarse con un malware, generalmente pasamos por una de estas opciones:

  • Formatamos el sistema infectado
  • Elimentamos el «virus»
  • Cambiamos sus contraseñas
  • No solo sabemos qué hacer

en todos Casos, se espera especialmente nunca revisar este malware nuevamente.

El análisis de malware es el opuesto.

El objetivo aquí es más bien para analizar lo que sucedió, saber cómo un «virus «Ha llegado allí, ya sea que haya otros y sepa qué hace exactamente.

ido incluso puede ir más allá, tratando de evaluar el impacto, el riesgo e incluso el autor de El malware en cuestión.

l El análisis de malware está dividido En dos partes: análisis estático y análisis dinámico. La mayoría de los análisis en profundidad se basan en una mezcla de dos maneras.

Análisis estático de un malware

El análisis estático es una fase que es tediosa y exigente conocimiento técnico. Normalmente, analizaremos la operación del malware «a mano» y se necesita mucho tiempo. Por lo tanto, esto simplificará esto en el artículo solo revisando las formas más fáciles y directas de analizar estrictamente un malware.

Analizaremos aquí un caballo de troyano al no conocer su código fuente o incluso sus funciones precisas.

Podemos iniciar un primer análisis VirusTotal en el archivo, que es el resultado:

Noticias malas para nuestro querido caballo Troya, se detecta por 28 antivirus en el 56 usado. (¡Tenga en cuenta que la mitad del antivirus no detecta este caballo de troyano!)

Vamos a comenzar al analizar las cadenas presentes en este malware.

Vamos para este uso de la herramienta Microsoft Strings Eso nos permitirá ver todos los caracteres de los personajes legibles en nuestro malware.

Después de descargar el programa, se inicia un símbolo del sistema:

 Teclas Windows + R - "cmd.exe "- Introduzca la tecla 

en la carpeta que contiene el programa de cadenas descargadas recientemente:

 cc: usuariosvotenomdossier_contenant_strings.exe 

y usamos el comando:

 strings.exe stuub.exe Result.txt 

«stub.exe» Estar aquí el caballo de Troya que usaré para el ejemplo, pero puede usar cualquier otro programa ejecutable.

Todas las cadenas contenidas en el programa ahora se pueden leer en el archivo de texto «Result.txt» recién creado en el mismo Carpeta.

El análisis de este archivo generalmente requiere señalado a la programación y el sistema, pero a veces es bastante obvio.

Aquí hay un ejemplo de lo que encontramos:

El nombre «Logger» parece «Keylogger», y obviamente, la opción Keylogger del troyano se confirma porque utiliza estructuras típicas utilizadas por los keyloggers. Es decir, «kbdllhookstruct» y «kbdllhookstrucflags».

Continuamos en nuestro análisis observando otras cadenas en nuestro archivo de resultados:

Obviamente, el malware busca extraer palabras pase de algunos navegadores.

Un poco más bajo en el archivo, caemos en algo aún más directo:

«Desinstalar», «Apagado», «KillProcess», «OPENCD», «Reversouse» o «Diversión «, Creo que incluso en inglés, estas palabras están lo suficientemente hablando para darse cuenta de que el programa no hace nada muy agradable para el que lo ejecuta.

crees que todos los programas maliciosos no se dejan ser tan fácilmente observado. Para decirles a todos, algunos maliciosos como el que acabamos de ver están programados con lenguajes «administrados». Esto es, por ejemplo, Visual Basic, C # y Java. El código no está compilado, sino transformado en una versión «intermedia». Es fácil encontrar el código fuente completo de estos programas. Este no es el caso de otros programas cuyo código fuente no es directamente recuperable.

Durante el análisis estático de los programas no administrados, usamos un montón de uso. Editor hexadecimal. Esta es una herramienta para visualizar y modificar un archivo ejecutable.

La idea es entender lo que un programa no tiene el código fuente.

En resumen, se ve así:

es XVI32, que es un editor hexadecimal simple, pero como parte del análisis de malware estático, se usa a menudo un editor hexadecimal. Además, lo que hace que la oficina de depurador interactiva sea IDA PRO:

Fuente: https://www.hex-rays.com/products/ida/index.shtml

El objetivo aquí, incluso si no se ve, es hacer que lea el código más fácil investigar. El uso de este programa requiere conocimientos avanzados, por lo que no nos centraremos en ello.

En esta parte, hemos logrado nuestro análisis de malware estático y nos entendimos un poco mejor lo que estudia el malware. Vamos a pasar al análisis dinámico.

Análisis dinámico del malware

El análisis dinámico es ejecutar el malware directamente en un entorno controlado y se proporciona específicamente para este propósito.

«El análisis dinámico es ejecutar el malware directamente en un entorno controlado» Haga clic para tweetershare en FacebookCompartir en LinkedIn

La idea es observar lo que está haciendo el malware para sacar conclusiones. Aunque esto es más fácil y rápido de hacer ese análisis estático, se debe tener en cuenta que potencialmente podemos perderse algunas características ocultas del malware. Lo hablaremos más tarde.

Durante este análisis dinámico, creamos lo que se llama «Laboratorio de pruebas» que generalmente contiene un sistema operativo Windows que desempeñará el papel de la víctima y una máquina Linux como «Router» A los que pasamos para devolver el tráfico en Internet, si es necesario.

A menudo usamos VMware, pero VirtualBox también realiza el truco, y la segunda parte de este tutorial muestra cómo instalar una distribución de Linux como una distribución de Linux como Máquina virtual.

El sistema operativo Windows en cuestión suele ser Windows XP con la siguiente configuración:

  • Internet Explorer inutilizable
  • No se actualiza Adobe Flash Player
  • Caja «Ocultar archivos del sistema» Sin marcar en las opciones de carpetas
  • Java Unnew actualizado
  • Conexión automática
  • Firewall deshabilitado
  • Bloqueador de ventana de publicidad deshabilitado
  • y otras configuraciones que permiten el malware ‘Ejecute correctamente

Al realizar la máquina de Windows vulnerable en su lugar, usaremos varias herramientas que nos permitan analizar qué se ejecutan el malware una vez ejecutado en el sistema Cobaye.

el Más populares son:

  • REGSHOT: Permite realizar una «imagen» del Registro antes y después de ejecutar un malware para ver las claves de registro que ha creado. Por ejemplo, se descubrirá si el malware está intentando agregar al inicio del sistema.
  • Capture-BAT: Proyecto iniciado por investigadores de seguridad de TI que analizan el comportamiento del malware probado. En particular, los archivos realizados por el malware, pero también los procesos que puede crear.
  • lordpe: herramienta que analizará lo que el malware está en el lado de la memoria de la computadora.
  • Wireshark: Analizador de red para detectar la actividad de red de un malware.

Para facilitar la tarea, ya existen entornos todo en uno que contienen estas herramientas o de todos modos este tipo de herramienta para que no lo haga. Hay que instalarlos manualmente.

Por ejemplo, el proyecto Cuckoo Sandbox hace que sea fácil crear su pequeño laboratorio con caja virtual. La documentación es visible en la siguiente dirección (y en inglés):

https://cuckoo.readthedocs.org/en/latest/

Para hacernos más fáciles de más fáciles. Servicios web gratuitos que ya han establecido su laboratorio. Le permiten cargar un archivo para obtener un informe sobre su ejecución.

Si desea ver el resultado final directamente, o simplemente saber qué hace un programa a través del análisis dinámico, aquí hay dos servicios populares que recomiendo:

  • anubis (Editar: Fuera de servicio)
  • MALWR

Ejemplo de análisis de malware: https://malwr.com/ análisis / mzhlnznzn2rhmtdlngixmtk3ndu2zmuyzy4ywvlmmq /// P> _je citado:

«identificado por al menos un antivirus como malicioso»

«contiene datos cifrados o comprimidos»

«Robe los datos privados de los navegadores de Internet»

«se instala cuando se inicia la computadora»

, creo que es inútil especificar que este programa parece un cabello malicioso

conclusión En el análisis de malware

Hemos visto lo básico del análisis de malware y j la esperanza de que le gustaran este tutorial.

En resumen, hay dos tipos de análisis, el análisis estático O ù Estamos tratando de entender el funcionamiento de un malware sin ejecutarlo, y el análisis dinámico donde se ejecuta el malware y observamos lo que hace durante su ejecución con herramientas específicas.

Finalmente, hemos visto que ¡Ya hay servicios web en todo en uno para escanear los programas que sospecha y, una vez que comienza, no pasará!

Advertencia:

Debe evitar que estemos jugando aquí Potencialmente con un malware real y que un error de manipulación puede hacer un gran daño.

Si comienza, le aconsejo que use los servicios en línea que acabamos de ver, y tenga cuidado si desea implementar su propio laboratorio.

Saber que:

  • Se puede ejecutar algunos malware cuando se escanean por un antivirus (si este último tiene una vulnerabilidad crítica)
  • algunos de los malware detectan Máquinas virtuales y modifique su comportamiento en consecuencia
  • Algunos malware se ejecutan solo en una fecha precisa

  • Algunos malware simplemente se agrietarán a la máquina de prueba, pero operarán en otro sistema
  • , etc.

¿Quieres convertirte en un investigador de codificación malicioso?

Tendrá que aprender y dominar varias nociones que incluyen:

  • Idioma del ensamblador (representa el lenguaje de la máquina legible para un humano ).
  • la operación de los sistemas operativos.
  • la ingeniería inversa (este es el estudio de un programa que no se conoce el código fuente).
  • La operación de malware.

¿Quieres saber más sin necesariamente convertirse en un investigador?

Únete a nuestro curso de video en el estudio de malware.

libro electrónico PDF 6 mitos en la piratería que el 90% de las personas todavía creen…

Descubrir ¿Cómo todos los hackers actúan genios? ¿Están en su entorno? Etc…

Descargo mi guía gratuita ×

¿A qué dirección de correo electrónico le gustaría recibir la guía?

Artículos similares

La amenaza cibernética Android

El artículo de Lucien. Hoy somos más que nunca conectados a los sistemas informáticos móviles. Muchas herramientas le permiten realizar bancos, transferencias y pagos. También podemos hacer compras y charlar con amigos en el otro extremo del mundo. A pesar de las muchas ventajas…

¿Cómo infectan los sitios maliciosos y cómo defenderlo

después de encender la computadora, probablemente pase la mayoría de su tiempo en Internet, Que esto, ya sea en las redes sociales, en los blogs, en los foros, en los sitios actuales o para ver videos. El punto de contacto entre un pirata y usted, es a menudo Internet,…

Armin Van Buuren, la celebridad más peligrosa

para el noveno año consecutivo, Intel Seguridad A estableció la lista de celebridades que conducen a resultados de búsqueda peligrosos. Los ciberdelincuentes siempre están buscando formas de transmitir programas maliciosos. Y apuntar a los artistas, películas y series populares es uno de sus caminos…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *