Pautas para el Anlisis de Malware INTRODUCCIN El proceso de Anlisis de Malware que se propone en este post se divide en 5 etapas o pasos,

aclaro que los mismos pueden variar dependiendo del Researcher (Investigador) y en medida de la experiencia que tenga uno, como ya es sabido la curva de aprendizaje es grande y ms en este campo donde el malware es evolutivo, esto conlleva a que el Investigador se encuentre constantemente en un proceso de adquisicin de conocimientos.Otro punto que se destaca es tratar de establecer algunas pautas importantes en la investigacin, ya que no se cuenta con estos tipos de documentos al alcance de todos, igualmente esta orientados a los que se inician en este campo y no poseen una gua de cmo llevar adelante su investigacin.1. Creacin de un ambiente controlado El ambiente controlado es el laboratorio en s mismo y en donde se va llevar a cabo la investigacin y anlisis del malware, lo podemos considerar el punto ms importante de las pautas ya que sin este no podemos empezar a trabajar. Qu compone el laboratorio?, esto depende mucho de la forma de trabajar, pero lo ideal es tener dos o ms maquinas estas pueden ser virtuales utilizando herramientas como VMware VirtualBox una de ellas va a ser la vctima, su sistema operativo tiene que ser inocuo preferentemente alguno basado en tecnologa NT y el los otros que son los que van a estudiar el comportamiento de la vctima en algn sistema operativo de la familia de Unix GNU/Linux. La red que une a estas maquinas debe estar aislado del resto, por eso es recomendable el uso de maquinas y redes virtuales ya que estn proveen un mejor control. Las herramientas a utilizar deben estar instaladas en las respectivas maquinas, en la victima tambin se pueden instalar herramientas de anlisis in situ y en las de control por lo general se utilizan para sniffear la de red y ver que trafico se genera. Tambin hay que tener en cuenta, es que elPE (Portable Ejecutable) Binario ya tiene que estar en la maquina host (Victima). De esta manera quedara establecida el laboratorio bsico para el anlisis, a este se lo puede variar dependiendo de las necesidades.2. Lnea base del medio ambiente Esta pauta acompaa a la anterior y tambin es de suma importancia, ya que esta tiene que estar en ptimas condiciones porque de no ser as todo el procedimiento de aqu en adelante no dar un resultado confiable y certero, dbenos saber que la lnea de base o instantnea se toma en dos momentos. Primero antes de ejecutar el Malware y luego de la ejecucin de este. La regla Gral. dice que la diferencia entre la lnea de base y la instantnea final deber dar los cambios producidos por el Malware.La informacin que comprende a la base de lnea de la maquina victima podra ser:

Sistema de archivos, Registro, Procesos, Puertos Abiertos Usuarios y Grupos y los recursos compartidos. Para esta tarea nos podemos valer de herramientas como Winalysis, Installrite, Sysinternals y FPort.Tambin podemos considerar una Lnea de Base las capturas realizadas por las maquinas que se encargaron de sniffear la red, tanto cuando no hay trafico hasta cuando es generado, lo que s, debemos saber identificar es el trfico normal que se puede provocar a fin de identificar el trafico generado por el Malware. Para esta tarea se puede utilizar cualquier software de sniffeo de red como ser wireshark. A esto le podemos agregar una captura de los puertos de la Maquina Victima que estn abierto, para realizar este proceso su puede utilizar el ya conocido Nmap.3. La recogida de informacin En este punto es donde ya nos ponemos a trabajar con el Malware ejecutndolo y recolectando la informacin de la actividad que este desarrolla. Podemos decir que vamos a tener dos tipos de recoleccin de informacin uno seria la Recoleccin Esttica y la otra Recoleccin Dinmica 3.1 Recoleccin Esttica En este punto vamos a obtener toda la informacin del Malware sin ejecutarlo, como ser cdigo HTML, script, si este posee interfaz grfica ejecucin de comandos, tambin podemos obtener el nombre del archivo o si posee algn nmero de versin, etc. Tambin podemos ver sus cadenas siempre que estas sean legibles para ello podemos usar programas destinados a tal fin.3.2 Recoleccin Dinmica Este el momento en donde ejecutamos el Malware y empezamos a obtener informacin de las tareas que analiza mediante las herramientas de sniffing para ver que conexiones intenta realizar hacia la nube como hacia otras Maquinas. En realidad lo que debemos hacer en este momento es tomar otra captura como en el punto de lnea base. Ac podemos hacer usos de distintos tipos de herramientas como ser Winalysis y InstallRite destinadas para tal propsito, as mismo las herramientas de la suite Sysinternals como ser el Process Explorer, que nos da la posibilidad de ver que es lo que ejecuta el malware en memoria y con las herramientas Filemon y Regmon tambin incluidas en la suite Sysinternals podemos monitorear el file system y el registro y ver los cambios producidos en estos.Toda la informacin ac recolectada es la usaremos para realizar el anlisis posterior y aclaro que esta puede ser repetitiva, es decir que realizaremos este proceso cuantas veces creamos necesarios.4. Anlisis de la informacin Este puede ser el que mayor tiempo lleve, ya que quizs tengamos un volumen de informacin importante y es ac cuando tenemos que empezar a unir las piezas, analizando una y otra vez la

informacin obtenida de los procesos anteriores. En muchos casos es posible que tengamos que repetir las pautas anteriores nuevamente como para comprobar o alimentar de mayor informacin esta etapa o utilizando la ingeniera inversa.5. La documentacin de los resultados Documentar los resultados del anlisis es crucial, ya que permite ser aprovechados para futuros anlisis, y ms aun a compartir los resultados obtenidos, ayudando a otros a mitigar el problema del malware. No hay una regla de oro que diga como documentar el anlisis, as que queda en cada uno como documentarlo.Para el desarrollo de estas pautas me base en experiencias propias y el documento de Symantec www.symantec.com/connect/articles/malware-analysis-administrators, escrito por S. G. Masood.- Fuente: Cristian Amicelli Rivero, de la redaccin del Blog de Mkit Argentina