Asignatura Datos del alumno Fecha

Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Actividad
Análisis de Malware

Autores:
Kevin Fernando Cruz Portillo

Asignatura. Seguridad en el Software

Profesor:
MIGUEL ANGEL MUÑOZ ALVARADO

Maestría en Seguridad Informática

 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

índice

Introducción.................................................................................................................................3
Objetivos......................................................................................................................................4
Análisis de Malware.....................................................................................................................5
Hash DM5 de archivo malicioso...................................................................................................5
¿Cuál es el punto original de entrada del ejecutable (OEP)?........................................................6
¿A que DLL hace referencia el fichero?.........................................................................................6
¿Este comprimido el fichero? En caso afirmativo cual es el compresor.......................................7
¿Qué indicadores sospechosos presenta el archivo?...................................................................7
¿Que observas al supervisar este malware con process Explorer?...............................................8
¿Puedes identificar modificaciones de las cadenas del proceso en memoria con....................9
respecto al disco?.........................................................................................................................9
¿Qué archivos crea?...................................................................................................................10
¿Cuál es el propósito de este?....................................................................................................11
Conclusiones..............................................................................................................................13
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Introducción

Comprendemos de un ambiente de prueba donde nos enfocamos en el

espacio de virus donde hablamos de spyware, malwares, ransoware,
gusanos, troyanos, etc. en la actualidad muchas veces nos contagiamos de
alguno tipo de estos tipos de archivos maliciosos en general algunos no
tienen efectos tan visibles como algunos que uno podrá imaginar que no
esta pasando nada o mejor dicho uno se imagina el archivo ejecutables no
hace nada pero realmente esta generando procesos secundarios donde
ejecuta una serie de tareas y como lo hace y porque lo hace que son dudas
que nos surgen de la nada.

Los malware que en este caso será el centro de estudio donde notaremos
comportamientos, notaremos estados del sistema de procesos y que esta
pasando y que hace un tipo de archivo y que obtiene hacer la ejecución, se
trabaja en un ambiente controlado y conozcamos mediante software como
process Explorer, process monitor PEViewer, Dependecy Walker, PEStudio,
Procdump y Resource hacker.entre otras herramientas para analizar este
tipo de archivos.
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Objetivos

Objetivo General

Identificar los procesos que genera un malware en un sistema bajo

servicios de antivirus, analizar los indicadores del virus.

Objetivo Especifico

Analizar mediante herramientas el comportamiento de malware como

procces Explorer, procces monitor.

Generar un análisis mediante los diferentes tipos de LOGs que generar el

malware y las cadenas en memoria que aparecen a la ejecución del exe.
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Análisis de Malware

Ejecuta el malware de laboratorio mientras lo monitorizas mediante las

herramientas

básicas de análisis dinámico en un entorno seguro.

El fichero funciona sobre el sistema operativo Windows XP, aunque podría

funcionar sobre Windows 7 32 bits.

El sistema operativo que tendrás que utilizar será Windows XP (por

motivos de seguridad), aunque si no se dispone de él se podrá utilizar
Windows 8 con Windows XP Mode for Windows 8, que facilita la
instalación y ejecución de muchos de sus programas que se ejecutan
en Windows XP directamente desde un equipo con Windows 8.

1- Hash DM5 de archivo malicioso

Utilizamos la herramienta md5summer ejecutamos la herramienta,

seleccionamos nuestro directorio y una vez ahí buscamos nuestro archivo y
lo seleccionamos, ejecutar la herramienta y nos dará el hash MD5
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

e2bf42217a67e46433da8b6f4507219e

¿Cuál es el punto original de entrada del ejecutable (OEP)?

Ejecutamos la herramienta PEiD y seleccionamos nuestro archivo y así

veremos nuestro punto de entrada del ejecutable

¿A que DLL hace referencia el fichero?

Ejecutamos el software de Dependecy Walker para identificar el archivo

malware ejecutable adonde hace referencia su DLL
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Hace referencia como vemos que infiere en el KERNEL32.DLL

¿Este comprimido el fichero? En caso afirmativo cual es el compresor

El archivo este comprimido en un formato .rar pero si hablamos esta

comprimido en un formato .exe

¿Qué indicadores sospechosos presenta el archivo?

En mi caso al ejecutar me aparecieron estos parámetros en pantallas al

ejecutarlo el malware ya que en fondo no tenia eso aunque visualmente me
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

muestra esos datos, algo invasivo como archivos de la nada no están

aparentemente pero aremos una análisis profundo del exe.

¿Que observas al supervisar este malware con process Explorer?

Ejecutamos primero el Process Explorer

Ahora ejecutamos el malware

Analizamos y vemos que hay en ejecución un svchost.exe huérfanos

que si lo vemos es el archivo malware en caso en vista general no
vemos cambios, pero en procesos hay un archivo desamparado sin
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

ninguna estructura o árbol y es un caso mu raro ver algo así

ejecutarse

¿Puedes identificar modificaciones de las cadenas del proceso

en memoria con respecto al disco?

Identificamos
- El proceso por parte de Windows que en este caso es el
services.exe crea el proceso de svchost.exe y si vemos sus
propiedades, strings

Ahora vemos en memoria que esta ejecutando los procesos adecuados en

servicios con Windows ahora veamos el proceso huérfano que ejecuta otras
instrucciones en memoria
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Análisis de string de memoria del proceso svchost.exe sospechoso

encontramos una cadena de practicalmalwareanalysis.log

¿Qué archivos crea?

 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Identificamos que este tipo de malware crea WriteFiles y CreateFile,

identificamos que crea el archivo practicalmalwareanalysis.log

¿Cuál es el propósito de este?

 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

El propósito de este virus llamado malware comprobamos que contiene

elementos en la de cadena practicalmalwareanalysis.log comprendemos
que no contiene ninguna de estas características de Windows svchots.exe

Nos referimos a este tipo de cadenas que generalmente no están

contenidas en un svchots.exe original, el análisis se ven cadenas programas
de manera inusual por un keyloger, que atrapa muestra entrada de textos o
mejor dicho entrada del teclado pulsaciones, hice un Notepad así genérico
aprontando teclas al azar y las captura que indica que puede capturar
contraseñas y usuarios de logins general ya que almacena sus cadenas de
entrada
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

Conclusiones

El malware ejecuta instrucciones encargadas de capturar entradas en este

caso teclado donde puede almacenar en un log tus entradas como ejemplar
 Asignatura Datos del alumno Fecha
Seguridad en el Nombres:
18/07/2022
Software Kevin Fernando Cruz Portillo

principal tus contraseñas, tu nombre de cuentas bancarias, información de

mensajería ya que se guarda mediante pulsaciones identifica que es una
vulnerabilidad de procesos muy peligroso por causa de daño que contiene
un tipo de este tipo keylogers.

La ejecución se encuentra en ambientes controlados por ese recalcamos la

importancia de antivirus vigente puesto que ya contiene una caducidad de
servicio omite y deja ejecutar archivos de este tipo y no necesariamente es
una ejecución de un programa extraño puede ser ocultado con
herramientas disfrazado para su ejecución.