Universidad Mariano Gálvez De Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad Informática

Metodologías para el análisis informático forense

Ing. Emilio Marroquín Guevara

Tarea 7

Práctica de seguridad semana #7

Sindy Paola Batz García 1293-15-07254

Yosselin Karina Yos Arias 1293-15-14950

Abner Gabriel Juárez Hernández 1293-16-22542

Heber Ariel Ramos Felipe 1293-06-19348

Christian Alessandro Paredes Barenos 1293-15-00354

Plan Diario Vespertino

Sección “B”

26 de agosto de 2021
 INDICE
Objetivo ............................................................................................................................ 3
Ejercicio 1 ......................................................................................................................... 3
EJERCICIO 2 ................................................................................................................. 25
Objetivo
Realizar un análisis sobre un archivo que se sospecha sea de origen malicioso y puede
contener un virus de tipo Troyano, para esto se utilizaran distintas herramientas que
facilitaran el análisis y podrán seguir la huella que deja el archivo al afectar ciertos
procesos, funciones o tareas en el sistema operativo.

Ejercicio 1
PRIMER PASO: descargar el archivo a analizar desde el repositorio de mega
https://mega.nz/folder/298R0IIZ#_Q1CbhiNO6N-SiYHbGbNpg/folder/isMGyZzL

SEGUNDO PASO: utilizar la página de Virus Total para el análisis del archivo
“Unknow” que previamente se descargó, en la pagina www.virustotal.com cargar el
archivo para que sea analizado.
Al analizar el archivo con la herramienta de Virus Total se pueden ver que se tiene
archivos maliciosos de tipo Troyano.
En los detalles se puede ver el tipo de archivo cargado, el hash y una pequeña línea
temporal de cuando sufrió modificaciones el archivo
Aquí podemos ver las cabeceras y los hash de los tipos de archivos que están contenidos.
Además, se muestran las dll que el archivo utiliza.
En las relaciones se muestran de las ip que se consumen por el archivo.
Para descubrir que programa se encuentra oculto en el archivo del anterior ejercicio y que
ejecuta los procesos maliciosos nos apoyaremos de otra herramienta llamada PEiD.

TERCER PASO: cargar el archivo “Unknow” en la herramienta PEiD.

QUINTO PASO: como se puede ver solo se detectaron archivos de tipo texto(.txt) que
demuestra que el archivo no contiene nada ofuscado.

Al ver que el archivo no está encriptado se debe analizar las cabeceras, para esto se
utilizara la herramienta PEView.

SEXTO PASO: abrir el archivo “Unknown.exe”.

SEPTIMO PASO: Seleccionar la cabecera “IMAGE_FILE_HEADER” y muestra
características principales del archivo.

Ahora analizaremos la cabecera “IMAGE_SECTION_HEADER.text” para ver si se

encuentra algo oculto o encriptado, pero no existe nada relevante.

Continuando con el análisis y en busca de alguna alteración en el archivo, revisaremos

la cabecera “IMAGE_OPRIONAL_HEADER” pero se puede ver que tampoco existe
alguna alteración.
Continuando con el análisis en la herramienta de PEView y revisamos la sección “SECTION
.IDATA”. En el “IMPORT Directory Table” se ven las dll que son llamadas para ejecutar el
archivo.
Ahora que se pudieron detectar las DLL debemos de seguir con el análisis y buscar en las
cadenas de datos, para esto utilizaremos la herramienta Strings que descargamos de
https://docs.microsoft.com/en-us/sysinternals/downloads/strings esta herramienta hay que
agregarla al disco principal en nuestro caso el disco C y en la ruta C:\Windows\System32 pegar
los archivos necesarios para ejecutar la herramienta desde el CMD
OCTAVO PASO: ejecutamos en el CMD el programa strings y analizamos el archivo
“Unknown.exe”

Al ejecutar el programa de strings se pueden obtener todos los strings que se encuentran en el
archivo.
Para tener todos estos string encontrados se guardarán en un archivo de texto para su posterior
análisis utilizando el comando strings Unknown.exe > stringsResult.txt

Al analizar las cadenas del archivo se tienen que buscar cadenas maliciosas a rutinas,
revisando las cadenas se encuentra una llamada GetLastActivePopup que su función es
cada vez que se activa una nueva ventana, Windows busca si tiene un propietario. Si es
así, registra la ventana recién activada como la última ventana emergente activa de ese
propietario. Y GetActiveWindow que devuelve un identificador a la ventana actualmente
activa de su programa. Esto solo funciona con ventanas creadas por su aplicación, en otras
palabras, no encontrará la ventana activa de otros programas. Si su programa está en
segundo plano, la función obtendrá la ventana que estaría activa si el programa estuviera
activo.

Con lo anterior encontrado se necesitan buscar todos los procesos y dependencias que son
llamadas, para eso se utiliza la herramienta Dependency Walker
NOVENO PASO: cargamos el archivo de “Unknown.exe” y mostraran todas las
dependencias asociadas.

Al analizar las dll WINMM.DLL en la dll interna NTDLL.DLL podemos encontrar memcpy que
ejecuta una copia de cierta cantidad de bytes a cierta ubicación, este comportamiento es
propiamente de un Troyano que se encuentra dentro del archivo.
Dentro de esta misma DLL se encuentran las librerías vinculadas con el SO que ejecutan todas
las acciones que son maliciosas.

DECIMO PASO: Despues de encontrar las DLL de tipo malicioso anteriormente mencionas se
necesita saber cuanto es el daño que pueden provocar al sistema, para eso se usara la
herramienta “IDA Pro” y cargaremos el archivo de “Unknown.exe”.
DECIMO PRIMER PASO: Seleccionamos la pestaña de “IDA View-A” y seleccionamos la vista de
Texto del elemento que se muestra en dicha pestaña.
Podemos ver que se muestra rutinas de lenguaje Ensamblador
DECIMO SEGUNDO PASO: Al seleccionar la pestaña Imports se puede ver todas las funciones
que fueron importadas al archivo.

DECIMO TERCER PASO: Filtramos las funciones con la palabra “Local”

Como se puede observar con el archivo el atacante obtiene la hora del sistema, si se tiene
espacio libre, liberación de los archivos locales y los hilos(Threads).

DECIMO CUARTO PASO: Ahora filtraremos con la palabra “Delete” para analizar la función
“DeleteEnhMetaFile” dando doble clik para abrirlo.
Como se pude observar se encuentra todo el código de la programación y así analizar el código
para ver lo que puede realizar este troyano.

EJERCICIO 2
PRIMER PASO: Para este análisis necesitaremos la herramienta ApateDNS, la iniciamos con el
botón Start Server.
SEGUNDO PASO: Después liberamos los DNS con el comando “ipconfig /flushDNS”
TERCER PASO: Ejecutamos Process Monitor descargado de aquí
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

CUARTO PASO: Utilizamos el filtro y agregamos el nombre del archivo “Unknown.exe” y el tipo
de proceso “Process Name”
QUINTO PASO: Después ejecutamos la herramienta “Process Explorer”

SEXTO PASO: utilizamos la herramienta de Wireshark e iniciamos para que pueda capturar los
paquetes.
SEPTIMO PASO: Utilizamos la herramienta de “netcat” para capturar todo lo que pasa por el
puerto 80, para esto utilizamos el comando “nc.exe -l -p 80”

OCTAVO PASO: Con la herramienta “Regshot” vamos a registrar los cambios que se estén
dando en Registry del SO. Damos click en 1st Shot.
NOVENO PASO: ejecutamos el archivo “Unknown”

DECIMO PASO: Regresamos a la herramienta “Regshot” y le damos en “2nd shot”

Con esto podemos comparar el antes y después de cada ejecución y seleccionamos “Compare”

Nos muestra un archivo con todos los cambios que se realizaron en el sistema.
Process Monitor muestra todos los detalles de los servicios, procesos y funciones que fueron
actividad por el malware.