Asignatura Datos del alumno Fecha

Seguridad en el Apellidos: Rojop Sac

Software
31/01/2022
Nombre: Isaías Gamaliel

Actividad: Análisis de malware

Objetivos de la actividad

Malware es cualquier programa que se ejecuta en un sistema

informático sin conocimiento del usuario y le provoca un perjuicio.

Un paso importante para facilitar la adquisición de conocimiento sobre

un malware concreto es la realización de un proceso sistemático y
metodológico de análisis, cuyo principal objetivo es el obtener una
comprensión completa del mismo, en lo relativo a su funcionamiento,
identificación y formas de eliminación. De forma general las fases de la
metodología y su procedimiento de aplicación sería el siguiente:

Metodología análisis de malware

▸ Acciones iniciales: dirigidas principalmente a obtener una línea

base fiable del estado de la máquina previo.
▸ Clasificación: sin ejecutar el fichero sospechoso y siempre fuera de
la máquina en cuestión se realiza una búsqueda de información y un
análisis en internet del fichero en cuestión. Existe múltiples páginas
que permiten este análisis y que proporcionan información detallado
sobre el posible malware y sus efectos.
© Universidad Internacional de La Rioja
▸ Análisis estático y dinámico del código: en cada de disponer de
(UNIR)
herramientas y conocimientos de programación y debugging, se
puede analizar el código del malware buscando entender su
funcionamiento.
▸ Análisis de comportamiento: consiste básicamente en la ejecución
propiamente dicha del fichero sospechoso y la comprobación de sus

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

efectos e implicaciones. Esta práctica se centra principalmente en

este apartado

Acciones Iniciales

Acciones encaminadas a obtener un registro de la configuración de las

máquinas que intervienen en el análisis. Se obtendrá una referencia que
nos permita comparar el estado de las mismas, antes y después de
ejecutar el malware bajo estudio:
▸ Iniciar la máquina virtual provista para la práctica (Windows XP
Victima).
▸ Tomar una instantánea del estado en el menú Máquina  Tomar
instantánea.

© Universidad Internacional de La Rioja

(UNIR)

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Verificar la integridad del fichero de línea base de referencia

mediante la utilidad MD5summer.
o Selecciono como directorio raíz C:\WINDOWS y solicito crear
© Universidad Internacional de La Rioja
el(UNIR)
hash md5 de todos los ficheros (add recursively). No todos
los ficheros serán útiles, ya que los interesantes son los
ejecutables binarios, pero este método es el más sencillo.
En este inciso en MD5summer se selecciona la carpeta de Windows de la
cual se realizara la línea base.

3
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Tal como lo indica el enunciado se seleccionan todos los directorios (add

© Universidad Internacional de La Rioja
recursively) (UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Proceso de creación de todos lo hash.

© Universidad Internacional de La Rioja

(UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Al terminar se guarda el resumen para usarlo como línea base de

comparación para cuando el ejecutable malicioso este en ejecución.

Hash del resumen de los demás hash generados con md5summer

© Universidad Internacional de La Rioja

(UNIR)

6
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

© Universidad Internacional de La Rioja

(UNIR)

7
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Inicio Process Explorer. Observo procesos habituales y hago una

grabación de los mismos.
© Universidad Internacional de La Rioja
(UNIR)

8
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Clasificación
© Universidad Internacional de La Rioja
Consiste en examinar
(UNIR) el archivo ejecutable del malware sin acceder al
código malicioso, para identificarlo y obtener información inicial para la
realización de las siguientes fases. Comprende los siguientes pasos:

9
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Identificación del malware, obteniendo el hash del mismo.

Herramienta WinMD5.

© Universidad Internacional de La Rioja

▸ Comprobación
(UNIR) del tipo de malware que es y si pertenece a una
familia anterior por modificación de alguno de sus componentes.
Subir el hash del malware (no el fichero) a – en el botón Search.

10
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Búsqueda de cadenas de texto en el archivo ejecutable. Herramienta

BindText
© Universidad Internacional o strings.
de La Rioja
(UNIR)

11
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

En este caso se utilizó la aplicación strings contenida en el comprimido

de herramientas, se ejecutó el comando que se muestra en la siguiente
imagen y se guardaron los resultados en un archivo .txt en el escritorio
con el nombre “cadenas.

El archivo contiene las siguientes cadenas.

© Universidad Internacional de La Rioja

(UNIR)

12
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Identificación de técnicas de ofuscación y empaquetamiento.

Herramienta PEiD.
Con el uso de la herramienta sugerida se observa que no se tiene
encriptación.

© Universidad Internacional de La Rioja

(UNIR)

13
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

© Universidad Internacional de La Rioja

(UNIR)

14
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

EOP del ejecutable malicioso

© Universidad Internacional de La Rioja

(UNIR)

15
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Formato y estructura del fichero. Herramientas: PEViewer,

Dependecy Walker, PEStudio, Procdump y Resource hacker.
Se utiliza PEVieweb para analizar el encabezado del ejecutable (PE –
Portable Ejecutable)

© Universidad Internacional de La Rioja

(UNIR)

16
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Pestudio brinda es más eficaz ya que muestras las cadenas, un análisis

de virus total, las librerías que utiliza, directorios y sectores, entre otros.

© Universidad Internacional de La Rioja

(UNIR)

17
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

© Universidad Internacional de La Rioja

(UNIR)

18
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Con Dependency Walker se analiza la estructura del ejecutable

© Universidad Internacional de La Rioja

(UNIR)

19
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Resource hacker muestra información en hexadecimal, estos datos no los

logre interpretar pero no la considero sumamente importante ya que con
las demás herramientas se tiene bastante información y un panorama
claro sobre la aplicación.

© Universidad Internacional de La Rioja

(UNIR)

20
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

Analisis Dinanico o de comportamiento

Ejecuta el malware en la máquina victima aislada, mientras lo
monitorizas mediante las herramientas básicas de análisis dinámico en
un entorno seguro.
© Universidad Internacional de La Rioja
(UNIR)
▸ Process Explorer.
Se identifican varios procesos svchost.exe debido a que se ejecutó el
programa varias veces, se toma el del PID 3656, para analizarlo en
process monitor.

21
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Process Monitor.
Aplicando un filtro en proccess monitor con el PID se ve como en ese
proceso se escribe en un archivo llamado
“practicalmalwareanalysis.log” en la misma ubicación donde se
encuentra el ejecutable, el listado de escritura crece al presionar más
teclas en un notepad.

© Universidad Internacional de La Rioja

(UNIR)

22
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

▸ Strings.
Se logra identificar modificaciones de las cadenas del proceso en
memoria con respecto al disco, sobre todo al final, en la cadena de
memoria se hace evidente las teclas que el malware captura.

Una vez realizado el ejercicio responde a las siguientes preguntas:

1. Hash MD5 de archivo malicioso.
e2bf42217a67e46433da8b6f4507219e
2. ¿Cuál es el punto original de entrada del ejecutable (OEP)?
00473497
3. ¿A qué DLL hace referencia el fichero?
Kernel32.dll
4. ¿Esta comprimido el fichero? En caso afirmativo indique cual es el
compresor.
No se encuentra comprimido
5. ¿Qué indicadores sospechosos presenta el archivo?
© Universidad Internacional de La Rioja
56 proveedores
(UNIR) de productos y servicios de seguridad catalogan el
hash del ejecutable como malicioso en virus total, esto es un gran
indicativo. La mayoría de ellos catalogan el archivo como un troyano.
6. ¿Qué observas al supervisar este malware con Process Explorer?
Al ejecutar el malware se abre un proceso svchost.exe huérfano es
decir no es un subproceso como suele por lo general ser un

23
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en el Apellidos: Rojop Sac
Software
31/01/2022
Nombre: Isaías Gamaliel

svchost.exe, tomando el PID se investiga en proccess monitor donde

se aplican filtros, sobre el PID de svchost.exe
Se presionan algunas teclas y se logra ver como se escribe y crece el
archivo “practicalmalwareanalysis.log”. Todo esto que se menciona se
detalla en el apartado de análisis dinámico.
7. ¿Puedes identificar modificaciones de las cadenas del proceso en
memoria con respecto al disco?
Si se logra identificar, sobre todo al final, en la cadena de memoria se
hace evidente las teclas que el malware captura. Todo esto que se
menciona se detalla en el apartado de análisis dinámico.
8. ¿Qué archivos crea?
Crea el archivo “practicalmalwareanalysis.log”
9. ¿Cuál es el propósito de este?
Es un keylogger

© Universidad Internacional de La Rioja

(UNIR)

24
Actividades