Hacking ético y Análisis de Malware

Javier Bermejo Higuera

Trabajo Análisis de Malware

CONTENIDO

1. Introducción
2. Métodos de análisis de malware
3. Herramientas de análisis de malware
4. Trabajo a realizar
5. Preguntas
INTRODUCCION
► Una de las principales dificultades que existen a la hora de analizar
malware, es su evidente e inherente falta de documentación.

► Conceptos o definiciones relacionados con al análisis de malware.

▪ Métodos y técnicas análisis

▪ Herramientas de análisis
▪ Metodología
MÉTODOS DE ANÁLISIS DE MALWARE

Método de
Observación

Manual
Análisis dinámico o
de comportamiento
Automático (SandBox)
Métodos y Técnicas de
Análisis de Malware
Análisis Análisis de
Dinámico cadenas
Análisis de código
Técnicas de
Análisis
ingeniería
Estático
inversa Ofuscación de los
Análisis Memoria especímenes
ejecutables
Técnicas de de
ofuscación
Restricción de
Entornos de Ejecución
HERRAMIENTAS DE ANÁLISIS DE MALWARE

► Otro aspecto importante del análisis de malware es el identificar las

herramientas a utilizar en los diferentes pasos del mismo.
METODOLOGIA ANALISIS DE MALWARE
• Análisis de un malware

▸ Acciones Iniciales
▸ Clasificación.
▸ Análisis de código
▸ Análisis dinámico o de comportamiento.
LABORATORIO ANÁLISIS DE MALWARE
LABORATORIO ANÁLISIS DE MALWARE
LABORATORIO ANÁLISIS DE MALWARE

https://www.welivesecurity.com/la-es/2013/07/10/utilizando-inetsim-analisis-dinamico-malware/

https://www.aldeid.com/wiki/INetSim
TRABAJO A REALIZAR
► Análisis de comportamiento de un malware

▪ Ejecuta el malware de laboratorio mientras lo monitorizas mediante las

herramientas básicas de análisis dinámico en un entorno seguro

► Una vez realizado el ejercicio responde a las siguientes preguntas:

1. Verificar con pafish la verosimilitud del entorno. ¿Qué concluyes de los

resultados arrojados?
2. ¿La muestra hace uso de alguna tecnología de ofuscación?
3. ¿Modifica algún registro?
4. ¿Cómo se llama el proceso iniciado por el malware?
5. ¿Qué aproximación seguirías si necesitases analizar el código?
6. ¿Crea o modifica algún archivo?
7. ¿Serías capaz de extraer algún IOC característico y relevante?

► Descarga de la muestra a analizar (contraseña: infected)

http://descargas.unir.net/escueladeingenieria/05%20Seguridad_del_Software/2773e3dc59472296cb0024ba7715a64e.zip
PROCESS EXPLORER
PROCESS EXPLORER

Buscar procesos sospechosos:

► No tiene ningún icono

► No tienen descripción o nombre de la empresa
► Imágenes Microsoft sin firmar
► Están en el directorio de Windows o en el perfil de usuario
► Están empaquetados.
► Incluyen URLs extrañas en sus cadenas
► Tiene puertos finales TCP/IP abiertos
► Llama a DLLs o servicios sospechosos
PROCESS EXPLORER

•Verifica la integridad del

procerso
PROCESS HACKER
PROCESS MONITOR

Filtros automáticos:
•Registro.
•Red.
•Sistema Ficheros.
•Actividad procesos.

•File→Capture Events
•Edit → Clear Display
•Filter→Filter RegSetValue, CreateFile, WriteFile
TCPVIEW
AUTORUNS
STRINGS
Metodología Análisis de Malware

► PEiD
Metodología Análisis de Malware

• Exeinfo PE

Además de detectar los empaquetadores, otra característica interesante del PE Exeinfo es que da
información/referencias sobre cómo desempaquetar la muestra
WIRESHARK
PREGUNTAS
www.unir.net