fecVyask= La co Po Pulse Fl para consultar a Ayuda,= TUTORIAL BASE 6+ fo =A ONS INGETG Ahora veremos otro ejemplo, yano explicare todo. El texto encriptar es Dragonjar 1.68 11497 103 111 110 10697 114 2. 01000100|01110010|01100001|01100114|01101111]01101110|01101010]01100001]01110010 3, 010001000111001001100001011001110110111101101110011010100110000101110010 4, 010001|000111|001004|100004j011001|110110[111101|101110]011010|100110]000101|110010 5. 17793325 5461462638550 6. 17793325 54614626 38550 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijkimnopqrstuvwxyz0123456789+/ RHJhZ29uamFy 7.-Bien y otra vez la cosa es la terminacién, para eso contamos la longitud de caracteres que tiene el texto en claro. Dragonjar. Dragonjar tiene una longitud de nueve caracteres, por lo que siguiendo el ciclo se basa por la regla 3, o sea que sera puras letras, y no tendra signos de igual(=) Y elresultado final es RHJhZ29uamFy (Fig5) [Bk cippToct 1421 EN) -Base6tcocifcacionde ] (=e) ‘archivo Eaton -Yer_GferDescier FemeDigtaV2XI Procedimientor du {nthe Gpconel Vetoes Texto claro; Dragonjar $i: Sin nombre Pragonar Cifrado en BASE64; RHJhZ29uamFy (ui ca Pa Saludos ;) y espero les haya agradado. Atte. hecky hecky2pac@hecky2pac.co.ceae ae Po = A SONS Te —— OWASP — Open Web Application Security Project OWASP es una comunidad libre y olen digita a estudiar y mejorar 1a Seguridaden sistemasdesoftware sun excelente proyecto enol cual se pueden encontrar elementos como gulas y licaciones. sobre. segu spicaclones web, a8 como hecramientas desartladas porelios mismos parata tn ‘Sitomuyrecomendado hitpuiwwwowasp.org Mitworm Miworm es la gran base do dates do exploits por excelencia,.. sitio muy fecomendado para estar ai dia en lat \vulnerabiidades quo se estén presentando fen las principales aplicaciones usadas Ia vida diana a nivel mundial por millones sd pared http:iwovw.mitworm.com Vida Informatica nesta ocasién, es ideal y oportuno hablar de un gran evento que se avecina, se trata del EIS! en su tercera version, este evento se ha convertido en el mejor congreso de seguridad informatica a nivel nacional, gracias a la buena organizacién, excelente ponencias, y alto nivel académico. Por este evento han pasado a lo largo de su existencia, personas muy reconocidas en el ambito de la seguridad de la informacion y la tecnologia, entre ellas, Hernan Raciatti, Buanzo, Pata y muchos mas... Este afio no va ser la excepcién, vienen ponentes muy calificados y expertos en seguridad informética, con charlas muy preparadas y dispuestos a compartir todos Sus conocimientos. Por otra parte como es costumbre en el EIS! se realizara un wargame denominado guerra de clanes, el cual consiste en crear grupos para securizar una maquina e intentar ingresar al PC del otro equipo Sin embargo lo mas importante para nosotros los dragonautas es la reunién a nivel nacional, en este evento, la comunidad DragonJAR quiere integrar a todos sus usuarios, para que se conozcan personalmente y pasen 3 dias inolvidables, esperamos que todos los dragonautas asistan y se inlegren, para que asi crezcamos como comunidad, no solo virtual, sino presencial La informacion del evento la pueden encontrar en la pagina oficial http:/eisi.umanizales.edu.co 0 si lo prefieren en el foro encontraran toda la informacién... sinnada mas que decir... Nos vemos por alla un saludo a todos los lectores. < Hispasec — Seguridad y tecnologias dela informacion Hiepasee e¢ un sito con todas las nalcias de actualidad acerca de temas Como vius, winerabildadee y ots temas relacionados con la seguridadinformatica Lia informacion 6s una de las técnica de defensa ante un ataque, por eso este sitio @s rocomendado para estar siompre informado y al dia en cuanto a seguridad informatica hitpsiwww.hispasec.com =Uninforméticoonellado det mal Blog conintoresantes aticulos y guias acerca de diferentes tos de staques Informaticos, recomendaciones de seguidad, ete, Todos muy detalados y muy ales de entender PPaginade lecturerecomendada hitpseladodolmal blogspot.comBRAS eSSine we | Malware es en forma general TODO Software que realice acciones dafinas en computadores o cualquier otro dispositive, sin consentimiento del usuario 0 en algunos casos con un atacante y una victima Este es un estudio serio que le comienza a dar la vuelta al mundo, mostrando de forma clara y al mejor estilo de un laboratorio como estudiar este tipo de software, el actual cancer de los sistemas operatives. Sumérgete en el mundo del analisis al Malware un excelente articulo escrito por una de las personas mds experimentas en el tema, DragoN. Autor: DragoN INTRODUCCION El malware o software malicioso es un problema que aqueja a la mayoria de la poblacién mundial, pues a medida en que el uso de los computadores se masifica, aparecen nuevas formas de vulnerar esos sistemas La finalidad de este trabajo es lograr que una vez finalizado su andlisis, el lector tenga unas bases solidas y se encuentre en la capacidad de realizar en entornos Microsoft Windows ya que este es el preferido por los creadores de estas amenazas, debido a la gran penetracién de mercado con que cuenta un andlisis de malware, que le permita conocer a fondo las acciones que realiza en un sistema infectado. Otro de los propésitos en los que se centré esta investigacién, fue crear una especie de manual que todos apasionados por los virus y su andlisis desearan encontrar en su primera busqueda, con un lenguaje simple, muy practico, haciendo uso de herramientas gratuitas, que permitan realizar un detallado analisis de estas amenazas y ademas en nuestro idioma. 1. QUE ES MALWARE. Malware es la abreviatura de “Malicious software” (software malicioso), término que abarca todo tipo de programa o cédigo de computacional cuyo objetivo sea el de realizar alguna actividad maliciosa como capturar informacién, modificar el sistema o producir un mal funcionamiento sin el conocimiento de su propietario. Con el termino Malware se pueden identificar diferentes amenazas para los sistemas de computo, como los virus, gusanos, troyanos, spyware, rootkits, botnets, rogers, algunos de los cuales definiremos a continuacién.a > (om Pe eT em Aa Ne ae 1.4 TIPOS DE MALWARE VIRUS INFORMATICOS: Son programas disefiados para infectar sistemas y otros programas produciéndoles modificaciones y dafios que hacen que estos no funcionen de forma correcta, haciendo que se detenga el funcionamiento general del equipo, registrar, dafiar. O eliminar datos, 0 dejarse invadir por otros equipos a través de Internet. Es similar el caso de los virus que invaden a los. humanos ya que hay que utilizar antibidticos, en este proceso serian los antivirus. GUSANOS: Son programas utilizados para reproducirse por algiin medio de comunicacién como lo esel correo electronico “el mas comtn” o redes P2P (peer to peer, punto a punto o de intercambio de archivos). Su principal objetivo es llegar a la mayor forma posible de usuarios y de esta manera poder comercializar otros tipos de cédigos maliciosos. ADWARE: Este software es un modelo de negocio de software que nos muestra informes publicitarios que aparecen de una forma no esperada en el equipo, puede cau problemas cuando se recoge informacién sin consultar. También puede ser origen de advertencias engafiosas. Los programas adware tienen la capacidad de conectarse con servidores en linea para adquirir publicidades yenviar la informacién elaborada. SPYWARE: Llamado también programa espia se dedican a recopilar informacién del sistema con la finalidad de robar datos y “husmear” la informacién que esta en los equipos para después enviarla por Internet. TROYANO: Programa malicioso el cual es apto para ingresar en computadoras y de esta manera permite el acceso a usuarios externos por medio de una red local o de internet con la finalidad de conseguir informacion ROGUE (Falso Antivirus): Los rogue 0 falsos antivirus confirman las tendencias actuales de los desarrolladores de malware por conseguir retribucién econémica con sus creaciones, consiste en un software que aparentemente nos ayuda a solucionar un problema, el cual normalmente no existe y nos solicita comprar una licencia de su software a cambio de reparar el problema.[= A SON SINE CG CIaX: 2. ANALISIS DE MALWARE El andlisis de malware es una de las ramas de la seguridad informatica que permite recopilar, identificar, clasificar, documentar el comportamiento y el efecto de un software malicioso en un sistema dado, es una labor muy especializada que requiere de un profundo conocimiento y una actualizacion constante, ya que el mundo del malware evoluciona continuamente y el analista debe estar a la vanguardia para no quedar rezagado. En este articulo obtendremos las bases para realizar un andlisis de malware sobre la marcha, de forma practica y agradable, examinaremos un archivo malicioso que a dia de hoy es ampliamente detectado por diferentes soluciones antivirus con el nombre de Win32/PSW.OnLineGames.NMY. 2.1 LABORATORIO VIRTUAL La virtualizacién por software ha revolucionado muchas industrias relacionadas con la tecnologia, como es el caso de los proveedores de hosting, la seguridad informatica y en especial la industria antivirus agilizando los procesos relacionados con el andlisis de malware y otras amenazas. Los entornos virtualizados y el software libre, permite que hoy en dia cualquier persona pueda tener un laboratorio para el andlisis de malware en casa, algo que hace algunos afios estaba reservado solo @ unos pocos con los recursos suficientes para invertir en maquinas fisicas y poder ver el comportamiento del malware en un entorno controlado. En el ANEXO A, veremos cémo implementar nuestro propio laboratorio virtual con la finalidad de realizar el analisis de malware en un entorno seguro y controlado sin arriesgar la integridad de nuestra maquina y nuestro entorno de red _y aun mejor a bajo o cero costo. Es importante aclarar y tener en cuenta que un entorno ideal para labores relacionadas con el andlisis de malware debe constar de por lo menos tres maquinas virtuales para distintas labores; entre ellas: escaneo para la identificacion de amenazas conocidas por las soluciones antivirus, interaccién con un sistema que se asemeje a un entorno real con diferentes aplicativos software (ofimatica, entretenimiento, multimedia, etc.), captura de trafico generado desde el sistema comprometido, etc. Estos sistemas pueden utilizar diferentes sistemas operativos segtin el objetivo que hemos planteado para el analisis. Informe del Malware a Analizar Realizado en VirusTotal: hhtto:!/wowvirustotal. com/es/analisis/37d2d19e 1825 1 eb4a3a8 18e2c5bad9cb267a56t6f0'2a06a63117ded26be642c- 1243550207BRAS eSSine we (Car 2.2 ANALIZANDO UN MALWARE Una de las funcionalidades que integran las maquinas virtuales y que nos ayudan enormemente en la tarea de analizar un archivo sospechoso es la posibilidad de tomar una “instantanea al sistema”, una ‘instantanea’ en los entornos virtualizados es un archivo de restauracién que nos permite volver a un estado anterior de nuestro sistema, Una de las formas que nos permiten entender mas facilmente este concepto es comparando las “instanténeas’ con el sistema de guardado en un video juego, en la mayoria de los video juegos, cuando pasamos un tablero, matamos un monstruo o superamos un obstéculo, este nos guarda el estado en el que nos encontramos dentro del juego para no tener que volver a empezar de nuevo y continuar desde ese punto. Entendido el concepto vamos a realizar nuestra primer “instantanea”, para esto nos vamos al mend ‘Maquina’, “Tomar instanténea’ y le damosun nombre. Worse samen Imagen 22—Tomando Instanténea Imagen 23 ~ Dando Nombre a la Instantanea Recuerda que el nombre nos debe dar una idea el estado actual del sistema, por ejemplo un buen nombre para este estado es “Iniciando Analisis”, aunque podria ser “Antes de ejecutar archivo sospechoso", dependiendo del estado del sistema en el momento que tomes |a instantanea. Con nuestra primera instanténea creada, lo primero que vamos a hacer, es un reconocimiento de nuestro entorno virtual, vamos a identificar y documentar el sistema operativo, parches de seguridad, software instalado, dispositivos, esto nos va a permitir identificar cudles son las condiciones que permiten la correcta operacién del malware, o si su comportamiento varia segiin el sistema en el que seejecuta.(om eT SEAESNSaINe w Basicamente necesitaremos tener los siguientes datos de nuestro entomno: Sistema Operative ~_Nombre y Version Microsoft Windows XP Profesional = Service Pack’ SP3 ‘Aclualizaciones 0147222 KB951978 keoet560 9sz004 keezie0! keoscae4 Kemstsia reossiss assosee 90214 kesooree reastaso wess0074 keossoeo ese1008 o9ssro4 kasstarev keosssre kesst60e 5006008 kesstrss Pata Software Instalado - AV's NO - Firewall NO - Ofimatica NO - Multimedia NO Hardware - Procesador ‘AMD Athion(tm) 64Bits a 1.81GHz = Memoria RAM 192MB - Conexién a internet /Lan AM79C970/1/2/3/5/6 Ethernet Adapter [PCnet LANCE] Tabla 1 — Informacién del Sistema Estos datos podemos sacarlos manualmente haciendo click derecho sobre “Mi PC", luego en propiedades, y mirando cada uno de los componentes que conforman nuestro entomno virtualizado También podemos utilizar una herramienta que nos extraiga la informacién detallada automaticamente como por ejemplo “System Information for Windows” que puedes descargar de (www.gtopala.com), con ella nos evitamos la tarea de revisar manualmente las especificaciones de nuestra maquina y podremos exportar un reporte muy detallado (Create Report File/HTML) con toda la informacion del entorno virtualizado o real que estemos manejando para el analisis del malware.Imagen 24 — Sacando Informacién Manualmente _ Imagen 25—Sacando Informacién con Software Después de identificar adecuadamente el sistema operativo, pasamos a realizarle una firma criptografica al archivo malicioso, esta firma es unica para cada archivo y nos permitira identificar plenamente el malware a analizar. Para esto descargamos el Malware que vamos a analizar de la siguiente url {http://www.4shared.com/file/114158379/9a874de/2_online.html) esta comprimido en WinRAR (www.rarsoft.com), con clave (12345) y nombre cifrado para que no sea detectado y eliminado por los antivirus en un futuro, cuando lo tengamos en nuestro laboratorio, lo descomprimimos en la carpeta c\Malware. El archivo 2.rar contiene a su vez los archivos Autorun .inf y 2.com, los cuales no son visibles ya que en sus propiedades de archivo, estén marcados como ocultos y de sistema, para poder trabajar adecuadamente con ellos vamos a quitar estas propiedades, vamos a iniciolejecutar y escribimos “cmd.exe”, nos debe aparecer una consola DOS donde ingresaremos los siguientes comandos: attrib -s-h c:\Malware\2.com attrib -s -h c:\Malwarelautorun.inf Con esto eliminaremos las propiedades que nos impiden ver estos archivos para poder trabajar facilmente con ellos. El algoritmo que utilizaremos para realizar la firma de nuestro malware sera el MDS, un algoritmo de reduccién criptogréfico de 128Bits bastante utiizado en la red, utllizaremos 2 herramientas que nos permitiran sacar la firma MDS al archivo que estamos analizando, la primera es una herramienta por linea de comandos desarrollada por Microsoft, llamada “FCIV / Checksum Integrity Verifier” (http://support.microsoft.com/kb/841290), la segunda llamada “Malcode Analyst Pack’ es una suite creada por la empresa idefense.com que contiene una serie de herramientas que nos ayudaran en el andlisis de malware. (http://labs.idefense.com/software/malcode.php#more_malcode+analysis+pack).(om eT SEACESEINE — Utilizamos la herramienta que se acomode mejor a nuestras necesidades, para realizar la firma MDS con el File Checksum Integrity Verifier de Microsoft solo necesitamos ir a la carpeta donde descomprimimos el archive y desde la linea de comandos ejecutamos|o siguiente: feiv.exe c:\Malware\2u.com Con la suite Malcode Analyst Pack solo necesitamos hacer click derecho sobre el archivo y darle en la opcién “Hash MD! So File: 2u.com ‘Size 105037 MOS: 451F 1869468C49160583FE7E2BA05322 Path: C’\Malware\2u.com Imagen 26 ~ MDS por Linea de Comandos Imagen 27 ~ MDS por GUI No importa la herramienta que utilicemos, la firma en MDS del archivo debe ser igual en las dos (451F18694BBC49150683FE7B2BAC5322), este nimero cambiara si el malware sufre algun tipo de modificacién, sin importar lo pequefia que sea. Vamos a modificar uno de los “strings” del archivo 2u.com para ver el cambio que sufre su firma con MDS.Realizamos una copia del archivo 2u.com y la llamaremos 2u-modificado.com, ahora, para realizar la modificacién utilizamos la herramienta WinVI, una a adaptacién para Windows del famoso editor de textos en entomos “nix VI, creada por Raphael Molle y que podemos descargar libremente de ( eles!). Abrimos el archivo 2u-modificado.com y activamos el modo hexadecimal del WinVI pulsando este botén ( [f ) ahora presionamos la tecla [Insert] y nos situamos encima del texto que dice “This program cannot be run in DOS mode”, sobre el escribimos lo que queramos, siempre que ocupe el mismo numero de caracteres, para este ejemplo se remplazo con la siguiente frase “Concurso latinoamericano de ESET - JAR” que ocupa también 39 caracteres. Guardamos el archivo y realizamos sobre él una firma MDS con cualquiera de las herramientas mencionadas anteriormente, si utiizaste la misma frase que en este articulo para reemplazar el *string’ la firma MD5 que deberds obtener sera la siguiente: E7F4C901586A3893DEBFBD39E301BE10, la cual cambia considerablemente con la del archivo original 2u.com 451F18694BBC49150683FE7B2BAC5322, gracias a esto podremos darnos cuenta sielarchivo malicioso que estamos analizando sufre alguna modificacién. zEntonces como me doy cuenta si un archivo con diferente hash en realidad es el mismo pero con algunas modificaciones? Para esto utlizaremos SSDEEP (htip://ssdeep.sourceforge.net), una herramienta que sirve para generar un valor hash de un archivo o comparar un archivo desconocido contra uno que sea objeto de! analisis (conocido) 0 contra un listado de hashes de archivos. Imagen 29 ~ Sacando firma con SSDEEPEn la imagen anterior podemos ver comolos hash del archivo 2u.com y 2u-copia.com son idénticos, esto es debido a que son el mismo archivo solo que con distinto nombre, pero el hash del archivo 2u- modificado.com es ligeramente diferente, esto se debe a que el algoritmo utilizado por el SSDEEP a diferencia del MDS realizala firma por partes, asi puede detectar cambios sutiles en el codigo. Esta caracteristica del SSDEEP es especialmente util cuando deseamos saber si un malware esta reciclando cédigo de otro, o pertenece a la misma ‘familia’, para comparar un archivo malicioso con otro utilizamos el comando ssdeep.exe con el parémetro—d. Imagen 30 — Comparando archivos Como podemos apreciar en la anterior imagen comparamos los 3 archivos que tenemos en la carpeta C:\Malware> arrojando como resultado que el archivo 2u.com y el 2u-copia.com tienen una similitud del 100% y el 2u.com con el 2u-modificado.com son en un 99% iguales. Podemos deducir entonces que los archivos analizados, al tener una similitud tan alta son iguales. Ahora que conocemos el hash y las herramientas necesarias para detectar variaciones de un mismo malware, vamos aidentificar el tipo de archivo que tenemos en nuestras manos. Muchas personas se dejaran llevar por la extensién del archivo, pero la extensién no es el nico medio para identificar un archivo pues como sabran existen muchas técnicas y herramientas para camuflar los archivos dentro de otros, por lo tanto nada se compara con la efectividad del andlisis dela firma del archivo (File Signature). En los sistemas Windows la firma del archivo esta normalmente contenida en los primeros 20bytes de un archivo, diferentes tipos de archivos tienen diferentes firmas. Por ejemplo un archivo de imagen de Windows Bitmap (.bmp) comienza con los caracteres hexadecimales 42 4D en los primero 2bytes. Estos mismos (42 4D) se "transforman” (equivalen)a lasletras BM. Entonces la mayoria de malware enfocado a Windows son archivos ejecutables estos a menudo terminan con las extensiones .exe , .dll, .com, .pif, .drv, .qtx, .gts, .ocx, etc.... la firma de estos archivos es MZ, empiezan con los valores hexadecimales 04 00, las letras MZ corresponden a las iniciales de Marck Zbikowski, uno de los programadores de MS-DOSAbrimos de nuevo el archivo 2u.com con el WinVI 0 el editor hexadecimal que prefieras y examinamos los primeros 2 bytes aS bg Imagen 31 — Identifican- allt Abele |“ “B1F)| do firmas de archivos Oo Time ee sseogere] Manualmente 40 00 00 00 00 00 00 00 | ,serereegeeeseer| 09 00 G0 00 00 00 00 00 | sreeereeneeeeeen| 00.60.00 00_38 01 09 00_|rrvseorrreeeg. oe) Al hacer esto nos damos cuenta que el archivo 2u.com empieza por MZ y los valores hexadecimales 04 00, por lo tanto es un archivo ejecutable; en la siguiente url encontraras una tabla con la mayoria de firmas de archivos existentes. e_sig: T ). Existen diferentes herramientas que nos facilitan la tarea de identificar la firma de archivos por nosotros, vamos a utilizar dos de estas, una por linea de comands y otra con entorno grafico La primera herramienta se llama GT2, puede ser descargada gratuitamente de ( helge y 1 312) y su funcionamiento es bien simple, desde una consola de comandos ejecutamos el archivo gt2.exe y le colocamos como parametro el archivo a ejecutar, por ejemplo: Gt2.exe C:\Malware\2u.com Imagen 32 — Identi- th ee ficando firmas de = am archivos con GT2a 3 (om ‘Anal mal eo Aa Nee Como podemos ver en la grafica, nos confirma que efectivamente es un ejecutable de Windows a 32 bits, pero ademas de eso también nos arroja mas informacién interesante como por ejemplo el compilador utilizado para crear este ejecutable (Microsoft linker 6.0) Ahora realizaremos el mismo proceso pero con una herramienta un poco mas grdfica llamada Exeinfo PE, que puedes descargar gratuitamente de (http://www.geocities.com/exeinfo_PE/) y su funcionamiento es aun mas simple que la anterior, solamente tendremos que abrir el ejecutable y arrastrar a la ventana el archivo a analizar. ne eo eee (Ee) [au.com Entry Point : [09019066 foo] G) EP Section: [data Fle Offset [9o0o0A6 Fst Bytes : (33,€0.74.08. Linker Info: [60 ‘SubSystem : [wind2 GUT) FileSize: oopigagsh | (<) Overlay: [NO_co000000, Images 22h enecutable __REs/ovL:@1/0% (Unknown Packer Protector, Secions Wr: § Lames Info Hep Hint - Unpaid Gl ty PED to check vidio - ROG Paar Detector wn.) Imagen 33 — Identificando firmas de archivos con Exeinfo PE Nos indica que efectivamente es un ejecutable, pero este nos da una informacién mas concreta, nos indica que posiblemente esta empaquetado o comprimido con una herramienta desconocida. Cada vez es mas comin encontrar que los archivos maliciosos estan empaquetados para reducir su tamafio, segtin un estudio realizado en el 2007 por Panda Labs, de todos los archivos analizados por esta casa antivirus el 78% estaba empaquetado, y un 15% de ellos utilizaba el famoso UPX (hitp://upx.sourceforge.net/), las herramientas vistas anteriormente GT2 y Exeinfo PE nos avisaran si el archivo que estamos analizando se encuentra empaquetado y nos dara informacion adicional como laurl del software empaquetador 0 el comando para realizar el des empaquetamiento. También existe software especializado para detectar si un ejecutable ha sido empaquetado, como es el caso del RDG Packer Detector (www.rdasoft.8k.com) que con solo arrastrar y soltar encima de éInuestro archivo sospechoso nos avisara si este se encuentra ono empaquetado.(om eT Pa A SONS INET I~) a Imagen 34 — Escaneando dor? | Afchivos sospechoso en busca de un empaquetador do le Bl X Comino Hl 2 No Connie Entiory: 7.79 El Archivo esta Comprimido 0 encriptado Como confirmamos que nuestro malware esta empaquetado (pero no conocemos la herramienta), el siguiente paso es analizar el archivo malicioso con la mayor cantidad de software antivirus posibles, para determinar silas casas antivirus ya Io han identificado como malware @ ESET Smart Security Object: C:\Documents and Imagen 35—AndlisisdelMalware | Settings\Administrador\Escritorio\virususb__\ws.. con ESET Smart Security Threat: Win32/Virut.NBP virus Information: | cleaned - quarantined 2 http://www. pandasecurity.com/spain/enterprise/mediaipress- releases/viewnews?noticia=86 108ver=18&pagina=B&numprod=&entorno=(om eT BRAS eSSine we Realizo el escaneo con el ESET Smart Security 3.0.669.0 y la version de firmas 4187 (20090625) y lodetecta como el Win32/Virut.NBP virus e inmediatamente me lo ha eliminado del sistema. Ahora realizo el escaneo con la solucién Avira AntiVir Personal Free con su version de firmas 7.01.04.129 23/06/2009 y no encontré nada sospechoso en el archivo escaneado. Caras rica Anti Personal ‘Status: The scan has fished! Last object: Clwsentfy.exe | Last detection: Ne detection! ‘Scarnod fs: Seanned deectries: Seanned arches: Tie elapsed Scanned: com Detection: Suspicious fs: warnings: Objects searched iden objects: imagen 36 — Analisis del Malware con Avira AntiVir Personal Como estos dos antivirus son los tinicos que tengo en mi sistema, me dispongo a enviar una copia del archivo sospechoso a distintos servicios de analisis online para archivos sospechosos, mas concretamente a VirusTotal, ViruScan y Jotty obteniendo los siguientes resultados:[= A SON SINE CG (Cink VIRUS 44 TOTAL De 38 de 40 motores detectaron la amenaza: Nops2 4113 2009.05.28 WndZ/PSW.OnLineGames NAY Ssquared 400.101 2009.05.28 Trojan ¥uns2.mnoolik AnlabV3 5002 20000528 DropperOriineGameHack. 105007 Ante 790180 2003.0528 TRDrap Agent aide AmyAVL 2031 2009.05.27 TojanWins2 Magara Aumentn 5.124 2009.05.28 Ws2Moursve-210'Edorado ‘Avast 48.13950 20000827 Wins2:kavos AVG 850.533 20090528 WorvAutoRun EO Bietender 2009.05.20 Trojan Genate 1217730 Quickest” 10.00 2009.05.28 TrojanGameThief Magara mng GamaV 095.1 2009.05.29 Tojan.Grype-115 Comodo 1198 2008.05.28 Tojare nz PSW Magaria DAWeb —50.0.12182 2008.08.29 Trojan PWS Wegame.4983 eSae 7047.0. 20000627 Wid SIFOC eTrustVet 31.6.6526 20090528 WndZIFrethog COA FP 448.56 2009.05.29 WS2Meunsve 210'Bdorado FSecue 80144700 2008.05.29 Trojan-Gamethiet Wins2 Magania Fortinet 3.11700 2000.05.28 W32PweAKI Goa 18 20080523 Troan Generc 1217730 KrAntvius 7.10.748 2008.08.28 Trojan-PSW.Wind2.Magania.amg Kaspersky 700.125 2009.05.28 Trojan-GareThiet Wink? Mapania Metfec 5629" 20080528 Genene PWSak Mofoeariomis 2008.05.28. Generie PWS.ak MoAfoe-GH 6.78 2009.08.28 Trojan, Drop Agent ahdz Microsoft 14701 2000.06.28 Warm Tater.B Norman 2009.05.28 OnuneGames IAP Pole 2009.18 2009.05.28 Trojan PWSW32\ebGame Panda {O00 20000528 W22tLneage KOT Prevx 30. 208.0529 High Ris Worm Rising 21.51.24,00 2009.05.27 Trojan PSW Wing? GarreOL vob Sophos 4420 2009.05.28 WS2/AuouUnVS Sunbelt 3218582 2008.05.28 Trojan-GameThvel Wins? Magania Symanec 144.12 20090529 W32.Gammime. AG ThoHacker 63.4.3:333 2009.08.28 Tojan/Mapania amg TrendWiero 8950.01092 2000.05 28 TROM.GAMETHLETP. VBAS2"— 312108 2009.05.27 Trojan-GameThie! Wins? Magania iRobot 2009.528 2008.05.28 Trojan Wns2 PSWMagania, VrusBusier 465.0 2008.08.28 Trojan Magania,GNY La URL del informe es la siguiente: http:/www.virustotal.com/es/analisis/37d2d19e18e51eb4a3a8 18e2cSbad9ch267a56f6f0'2a06a63117ded26be642 -1243550207BRAINS & ©) WirseAn.org 36 de 38 motores detectaron laamenaza: eaared 4501 zommcsisss Tomita oot * SELEY andi Zooseozs Deported maw” gears” Teass Teibep Aorta Bey’ ats” Zonas Tope teers analGore Tae BS, dns’ Hoanasie Teena ‘Rovniun S11 Zoomeasists——wibheubae Bera este mast” 474 Goons Vite ko AT RO" ode Smtasexme ——Yrcnicd lover Patton ss4ano omens itr Exgey sont sare vietag Concer, Gn” Gost te Tomengt tis Goma $3" Se Tete Ws Agen we GPsecire 110715 20080625 Tei Garett. W732 Mogonia.med 4 Bice” L4zutro Samosa Topas Wager Pre tase” Saou vba gerdado tise Sion amooasss _oprcaraiia nega ama 7 . fowe aetan? 30 veaPreace Gs’ idan” Satos op Crethit Wha? Mega ama Ene) fans Tato16o aamooz072023 | Tepnieinos Stee Frome” Zosee ze TonMeShete rogosty esi” zomoez8 Tonm-caoTiotne Mao amra Gace” Sm Be corer Mice aa S035 semis ats moar dor” axmoeat Verona eta fenan Eotee — dor0o OrtneGome ne lc Sovsteaorttase See Webane 8057 rower Gost) 2s0035 vobunae ne Gites Sooo" Samosa Sipe" onASom fang" so8, Beane Sopra SoneoLb Se. ato a wean Sa Be So Buca Syme 13024 tbousoor wena. AB Tevose 8445" wee Topevapaaarng Foie b7o6ta04 Bsn Ted oRieN ate Tins” Stara?” Sooess sso Trane a2 Megalo Viustuser 451140 4040725673774 Tron MaganlaGNv La URL del informe es la siguiente: http://www.virscan.org/report/078bfd81ba284375185b466b56043b1f.htm!a 3 om eT em Aa Ne 20 de 21 detectaron la amenaza: [ArcaVir] Trojan.Gamethief. Magania.Amng Ble [Emsisoft A-squared] Trojan.Win32.Inhoo!lK ea (Ikarus) Trojan.Win32.Inhoo: Avast! antivirus] Win32:krap-AR [Kaspersky Anti-Virus] Trojan-GameThief Win32.Magania.amnq [Grisoft AVG Anti-Virus] Worm/AutoRun.EQ [ESET NOD32} Win32/PSW OnLineGames.NMY [Avira Antivir] ‘TR/Drop.Agent.ahdz [Norman Virus Control] OnLineGames.APV. [Softwin BitDefender] Trojan. Generic. 1217730 [Panda Antivirus] Wa2iLineage. KET [Clamav] Trojan.Crypt-115 [Quick Heal] TrojanGame Thief Magania.amng [CPsecure] ‘Troj.GameThief W32.Magania.amng [Sophos] W32/Autorun-VS [DrWeb] Trojan.PWS Wsgame.4983, [VirusBlokAda VBA32]_—_Trojan-GameThief Win32.Magania.amnq [Frisk F-Prot Antivirus] W32/Heuristic-210!Eldorado [VirusBuster] Trojan. Magania.GNY [F-Secure Anti-Virus] Trojan-GameThief Win32,.Magania.amnq La URL del informe esa siguiente: http:/Ivirusscan jotti.org/es/scanresult/2db2aBbdfe93294ab68ae6396tba388ca2c9eef1/8c4a3771c187211d61 6003280688bf106009042c ‘Ademas dela informacién que hemos obtenido de los procedimientos anteriores existe otra de facil acceso la cual esta incluida en el mismo archivo malicioso, como lo son las cadenas strings, esta informacién nos permitira perfilar de mejor manera el archivo analizado. Las cadenas string son caracteres de texto plano ACSII y Unicode embebido en el sistema estas nos permitiran identificar funcionalidades del programa, nombres de archivos, nicknames, URL's, e- mails, mensajes de error, que no estén ofuscados. Para extraer estas cadenas del archivo malicioso, no necesitamos ningun software adicional, ya que si hemos seguido este articulo paso a paso ya tendremos instalada la suite “Malcode Analyst Pack” en nuestro sistema con las herramientas necesarias para realizar esta tarea, solamente nos paramos encima del archivo 2u.com y le damos click en la opcion del ments contextual “Strings”.Imagen 37 — Sacando Strings del Malware Guarda esta informacién presionando en el botén [Save As] y analizala a fondo, muchas veces encontraremos en ella informacién interesante. Una vez tengamos los strings del malware pasamos a analizar las dependencias del mismo, para esta tarea utilizaremos el depurador OllyDbg que nos proporcionar facilmente informacién sobre el formato y simbolos del ejecutable, también las bibliotecas y archivos DLL. Abrimos el OllyDbg y vamos al ment “File/Open” buscamos el archivo “2u.com’ y presionamos el bot6n (ga) Se nos abrir el istado de Modulos Ejecutables para este archivo eeu [entry [tare [Fite version | ae itcor TODS Seti 2 5 ‘Seapeaes Soler v2) 5. 1.2690.5512 «| Er INDOOR ey aeenaeKenne 28d ‘Pesieaes| eaeesone| PesczceD neat ‘26a: SPee (] Es binoousccyerensavneal Imagen 38 —Analizando dependencias con OllyDbg 3 http:(/img172.imageshack.us/img172/913/explorer2wb2 jpga 3 (om ‘Anal mal Pe ASSN MG — Las dependencias del archivo nos dan una idea del comportamiento que puede tener el malware, teniendo las dependencias del archivo, ahora vamos a sacar sus metadatos, los medatos son un Conjunto de datos que permiten acceder a informacién sobre otros datos, una analogia simple es el numero de nuestra cedula de ciudadania, sdlo no dice nada, pero sirve de referencia para acceder a datos como el nombre fecha de nacimiento etc, Algunos de estos datos ya los tenemos, gracias a las tareas realizadas previamente con el GT2 y Exe Info, pero podemos sacar més con un simple click derecho sobre el archivo malicioso y click en propiedades. Posiblemente mucha de la informacién que encontremos sea falsa, o idéntica a la de un archivo del sistema para no levantar sospechas, pero esto nos puede arrojar en muchos casos informacian titi para continuar con nuestro analisis. Dees fcivo Informe Conerecin Idea ner Arata Secrenes PE Disha Impax Expo tabla Geneial | OpenSBi_| Versi | Secuny | Recusos | Steams | CabeceraPE Dez Ubicacdn: Maina, Temafor 105097 Vers crcae: 50684100 Mos {SIF 18E94BECASISDGERFE7EZBACEIZZ je (803F31EGEBASBEEDAISE SUAESG7AZESTEACBSZE Sd locus eapeta de archivos | Docu archivo chive delstema Enlace sinbico Tie stamp: viernes, (5 de dcienbre de 2008 185448 Creadcr jueves. 25 de rio de 2008 185312 Ltmo acceso jueves, 25 de aria de 208 185312 Modiicads: viens. (5 de diciembre de 2008 185448 Ubieacin archivo Imagen 39 — Sacando Metadatos del Malware(om a eT Sears Otra herramienta muy util para sacar todos estos metadatos es Fileanalyzer de safer-networking (la misma empresa creadora del famoso anti malware Spybot S&D), que podemos descargar de (http://www.safer-networking.org/enffilealyzer/index.html), lo abrimos analizamos con el nuestro archivo 2u.com. Algunos Metadatos Extraidos del Archivo 2u.com Creado: Hoy, 25 de Junio de 2009, 08:12:40 p.m. Modificacién Viernes, 05 de Diciembre de 2008, 06:54:48 p.m Ultimo Acceso: Hoy, 25 de Junio de 2009, 08:12:40 p.m. Version del Compilador: 6.00 Sistema Operativo Requerido: 4.00 - Win 95 or NT 4 Procesador Requerido: 80386 Arquitectura 32Bits TABLA2. Metadatos del Malware Ya tenemos claro entonces los sistemas operativos en los que corre el malware, el compilador utilizado para generarlo, la fecha de creacién, modificacién y ultimo acceso, con la informacion que hemos capturado del malware hasta el momento de forma estatica (sin ejecutar el malware), es suficiente, ahora pasemos a recoger informacion de forma dinamica (ejecutando el malware) y a analizar su comportamiento. Luego de tener nuestro ambiente controlado de andlisis de malware y una vez dispuestos a ejecutar por primera vez el archivo malicioso hay que tener en cuenta los tipos de monitoreo de los archivos: Monitoreo de ejecucién simple: Es la que utilizaremos en este articulo, consiste en un simple ejecutable al que le monitoreamos su comportamiento en registro, archivos e internet. Monitoreo de instalacién: En este se monitorea el comportamiento de un archivo malicioso que usa instalaciones como por ejemplo los Rouge AV o falsos antivirus. En los dos tipos se realizan Monitoreo de registro, Monitoreo de Archivos (creacién, alteracién, eliminacién), Monitoreo de Red, Monitoreo de API (las llamadas e invocaciones de dil en el sistema), la diferencia es que en el monitoreo de ejecucién simple tendremos que realizar esto a un solo archivo, en el de instalacién posiblemente tengamos que hacerlo a varios archivos ejecutados al mismo tiempo. Aunque no vamos a realizar monitoreo de instalacién en este articulo, les dejo una excelente herramienta llamada InstallWatch que se utiliza para realizar este tipo de monitoreo (http:/www.epsilonsquared.com/installwatch.htm). Antes de ejecutar el archivo (sé que estas ansioso por hacerlo) debes crear varias “instantaneas”, una del sistema, como lo vimos en el Anexo A y otra del registro, como aprenderemos a continuaciéneee Comparar logs quardades como: CComparar logs querdados como: ter, Foto Texto © DoamentoHTa,, Texto © Documento HTML PF esconeer dels... rm] PF scenesr def; uta de sabde: uta de sala CADOCUMESTADMINI~T (CHNDOCUME™\ADMINT-TT Aid comentarioallog: ‘fis comentario al log (laves:49401 Valores:94131 Tiempo 1s652ms Imagen 40 Instantanea a Registro Imagen 41 — Instanténea a Registro 2 Ahora tomaremos “instantaneas’, pero del registro de Windows, para realizar esta tarea utilizaremos la herramienta Regshot que puedes descargar gratis de (httpy//sourceforge.net/projects/regshot), ahora veamos su funcionamiento, antes de ejecutar el archivo 2u.com tomamos la primera foto con el botén [ter. Foto], ejecutamos el malware... y tomamos la segunda foto con el botén [2da. Foto], teniendo las 2 fotos tomadas, antes y después de ejecutar el malware, vamos a [Comparar] y ver el reporte que nos arroja. Valores afiadidos: HKU\S-1-5-21-1659004503-179605362-1417001333- '500\Software\Microsoft\Windows\CurrentVersion\Run\kansoft: “C:\WINDOWS\system32\kansoft.exe" Observamos que el archive 2u.com al ejecutarse afiade un valor en el registro para que cuando se inicie el sistema operativo, el archivo kansoft.exe lo haga también. Una forma facil y practica de ver que esta iniciando con tu sistema sin tocar el registro, es utilizando la herramienta msconfig, que viene con tu sistema operativo, la abres en “inicio/ejecutar’ escribes “msconfig” y presionas [Enter], cuando abra, te encontraras con una ventana y varias pestafias, abre la pestafia “Inicio”, en ella encontraras todos los programas que se ejecutan al inicio de tu sistema y podas modificar esa lista para que no inicie mas la aplicacién que tu escojas.Valores modificados: HKLM\SOFTWARE\Microsoff\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLIChecke Value: 0x00000001 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLIChecke Value: 0x00000000 HKU\S-1-5-21-1659004503-179605362-1417001333- 500\Software\Microsoft\Windows\CurrentVersion\ExplorerAdvanced\Hidden: 0x00000001 HKU\S-1-5-21-1659004503-179605362-1417001333- 500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000002 HKU\S-1-5-21-1659004503-179605362-14170013 '500\Software\Microsoft\Windows\CurrentVersion\ExplorertAdvanced\ShowSuperHidden: 0x00000001 HKU\S-1-5-21-1659004503-179605362-1417001333- 500\Software\MicrosoftiWindows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000 También modifica las opciones de carpeta para que no muestre los archivos ocultos y de sistema, atributos que como sabemos se pone a si mismo para pasar inadvertido ante los ojos del usuario. Archivos afiadidos: CAWINDOWS\system32\gasretyw0 dll C:\WINDOWS\system32\kansoft.exe Ademas de esto crea 2 archivos, vamos a analizar estos archivos para determinar si son copias de 2u.com, modificaciones o aplicaciones totalmente diferentes. Pee eet ss Cote tee PE Te eee Nee eee Be a ree eter oes) ae eer eee Re eee Nene Imagen 42 - MDS a kansoft.exe y 2u.com Dvn ad On AON TAT[= A SON SINE CG CIaX: El hash MDS del archivo kansoft.exe (451f186941bc49150683fe7b2bac5322) es igual al del archive 2u.com, por lo tanto podemos deducir que kansoft.exe es una copia del 2u.com, en cambio el hash MDS del archivo gasretyw0.dll (Se66c8ee2d9dib498c9956d6/c034050) es totalmente diferente y su tamafio es de casi el doble lo que no da pie para que pensemos que se trata de otra copia del archivo u2.com 0 una modificacién del mismo, mas adelante analizaremos este archivo para saber de quésetrata. Haremos uso de otra herramienta desarrollada por la gente de iDefense.com llamada SysAnalyzer (http:/labs. idefense.com/software/malcode.php), recuerden que ya tenemos instalada en nuestro laboratorio la suite Malcode Analysis Pack también de esta empresa que nos ayudara mucho con nuestra labor. EERE CAWINDOWS\eystemiZ\kansott ove | & Imagen 43 — Iniciando [een ‘SysAnalyzer fv [er Pl Abrimos el SysAnalyzer y metemos como pardmetro el archivo kansoft.exe, que se encuentra en la ws = carpeta de |um a “system32” "WINDOWS", (recuerda quitarle las propiedades de sistema y oculto para poder trabajar con él, attrib -s —h C:\WINDOWS\system32\kansoft.exe) seleccionamos las opciones “Use SniffiHi’, “Use Api Logger’, “Use Directory Watcher” y damos click en [Start] Revisamos todas las pestafias de! SysAnalyzer, la cual nos da informacién nueva sobre nuestro malware, ahora sabemos que el archivo generado cuando ejecutamos 2u.com, gasretyw0.dll es utilizado por kansoft.exe CRCOWS meniBaaeerea era Temgapine [Fate ear Peete] _Seetiey Ferg rom | Oper tose [ae ages [ag | oyna] Haas Imagen 44 — Mirando DLL's del kansoft.exe(om ANALISHS DE MALWARE [=A SONS INee ty La opcién seleccionada al principio “Use Sniffhit”, nos lanza un sencillo sniffer de red en el que capturamos informacion muy interesante, en 30 minutos que duré funcionando el sniffer, se pudieron identificar varios sitios a los que el archivo kansoft.exe se intentaba conectar para descargar un archivo llamado help1 .rar de la url odfg8.com GET /xmfx/help1 .rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT5.1;SV1) Host: odfg8.com Connection: Keep-Alive Li ici set Mesa eens ise Ossie] > [safe] 5] als) oo0000: [62 61 72 21 42 00 00 00 ef ia if 34 00 00 00 00 |Rar'B***a--a°***| a ooco1e: 3a OS Se 2f Th S259 53 £52 ei ch ties eo ch |sal/(RS97RAE- Rael fies 2129 Ge Se £4 ai 17 53.32 29 Sa 4090 24 [edijamcit3")]82+| ie af 27 10 17 36.25 tb G2 eh 2110 6 3000 26 [o/'s-eernel “veel [sF\soRwarelinternetiMensajeraihebl.rer 7 ear, 62 caracteres [1 [item [=16%"oooor jo00" 7} Imagen 45 —Examinando contenido de help! rar Que aunque trae la cabecera y extensién de los archivos generados con WinRAR, no parece ser uno de ellos, habilite la conexién a internet de la maquina virtual para ver que sucedia cuando descargaba este archivo, para mi sorpresa tan pronto se descargo este archivo, el fichero kansoft.exe realizo otra peticién que puede capturar GET /xmfx/help.rar HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1) Host: ghterwa.com Connection: Keep-Alive Esta vez solicitaba de otra url ghterwa.com un archivo un poco mas grande 104Kb con nombre help.rar, por lo que supongo que el archivo help1.rar, no era mas que la URL de descarga codificada parael archivo help.rar.(om ‘Anal mal PA ONS Ne Network Inteaces fooxs TTT] Stop Tees) — coe | Cee! Yriue Ps > 60217588560 GET Ing/ant oa HTTP Iwhcoept “PWAccept Encoding o2p. delet se 60.217 500500 HTTP/11 404 Not FoundiCerventLength: 1000CortertType: etter. > 60,217 58.8580 GET /ng/an'. tt HTTP/1.serdgent: Rook ONHost rh ett 60217 58.8580 HTTP/1 1 408 Not FoundiContert Length: T308¥Cantert Type: tetnlSer 60.217 568580 GET Ing/an' tt HTTP/1.WWhccept “Accept-Encoding gp deltel se. (60.217 58850 HTTP/11 404 Not FoundliCrvent Length: 130etCortent Type text trier. > 60217588580 GET /mg/an', it HTTP/1.WUserAgent Rook OtHost rh ett 60.217 588580 HTTP/11 404 Not Foundlirvert-Lengt: T3084ContertType tet /irlSene > 6021758850 GET Imagen 46 — Malware intentando conectarse a internet, Es muy comin dentro de os desarrolladores de malware, afiadir una opcién a sus creaciones que les permita conectarse a intemet y descargar algun archivo especifico o establecer algun tipo de comunicacién, esto lo hacen para varias razones, aqui comentaremos solo 2: Actualizar Malware: Cuando un archivo malicioso empieza a ser detectado por los antivirus, sus creadores utiizan este canal de comunicacién que programaron en su creacién para enviar una nueva variable que no sea detectada, asi “reciclan’ y evitan perder equipos ya infectados Contactar Autores: Algunas variantes de malware, en especial las botnets, spyware, adware, troyanos, etc... utilizan este medio para ponerse en contacto con sus autores, y asi poder recibir érdenes o enviar informacion aeste. Estas comunicaciones no son directas, se realizan saltando de nodo en nodo como side un “tesoro del pirata” se tratara, donde hay que seguir las pistas para llegar al bail con ore y joyas, aqui el tesoro es el autor del malware y para llegar a él debemos seguir cada una de las pistas, en este caso archivos codificados simulando ser un rar. Como nosotros no queremos que nuestro malware objeto de analisis empiece a mutar y se transforme en otro diferente vamos a desactivar la conexién a internet de nuestra maquina virtual, no sin antes realizar un informe de los datos que alcanzamos a recolectar.De 38 de 40 motores detectaron la amenaza: Informacién de Conexiones para el archivo kansoft.exe ‘ecciones IP Direcciones URL Archivos que Intento Descargar kansoft.com a las que se intento conectar el archivo 192.168.1.5 192.168.1.254 192.168.1.3, 200.13.249.101 190.248.3.147 190.248.3.146 190.248.3.137 17.250.237.7 74.125.67.19 74.125.67.83 74.125.65.147 221.1.204.243 74.125.67.102 74.125.67.147 219.232.241.91 cdig8.com ghterwa.com cdfa8. com/xmiwhelp1.rar ghterwa.com/xmfv/help.rar 60.217.58.85:80/mg/amt txt TABLA3. Intentos de Conexién kansoft.exePara todos estos intentos de conexiones no se abrié ni un solo puerto, el malware utilizo siempre el navegador del sistema operativo para realizar las peticiones web, esto lo hace porque la mayoria de firewalls permiten el trafico de nuestro navegador hacia internet (sino lo hacen no podriamos entrar a ninguna pagina) y con esto evita ser frenado por algun firewall que tengamos en el sistema. Con todos los temas que hemos tratado en este articulo sobre andlisis de malware, ya tienes las Bases para realizar adecuadamente un Analisis de Malware en entornos Microsoft Windows, ahora solo queda realizar el mismo proceso a todos los archivos que se generen el software malicioso, para poder identificar adecuadamente cada uno de ellos y saber qué es lo que realizan. 3, RESULTADOS En un analisis de malware los resultados se miden segun la informacion que hemos logrado sacar de él, si esta informacién nos ayuda a determinar las siguientes preguntas, hemos realizado un buen analisis: £Qué tipo de malware es el archivo analizado? Troyano 4Cuéles son las intensiones / propésitos del archivo? Este troyano al tener capacidades de uso de internet y luego de capturar la informacion del sistema y sus aplicaciones puede enviarla al creador del mismo. 4Cuéles son las funcionalidades y capacidades del archivo? Copiarse a si mismo Descargar variantes de internet Capturar datos del sistema Auto ejecutarse con el sistema Dejar fuera de combate el KAV 4Cual es el nivel de sofisticacién / complejidad del archivo? El nivel de complejidad del troyano puede ser calificado como medio-alto, por las capacidades de descarga de variantes del mismo. Ademas por el uso de llamadas a API's del sistema. Esta calificacién también esta basada por la sofisticacién de envio de los datos recolectados que aunque si bien es cierto que no profundizamos mucho en este proceso, si es bien sabido que el mercado de ventas de este tipo de informacién esta dirigido por grupos de personas avanzadas en conocimiento.(om ‘Anal mal PA ONS Ne £Cémo afecta el archivo al sistema? Disminuye el rendimiento de la maquina cuando realiza el proceso de captura de informacién, ademés congestiona el trafico de red al descargar variantes del mismo y en el envio dela informacion recolectada. £Cuél es el grado de extensién / propagacién del archivo en el sistema /red? PorRed Memorias USB 4Que hace posible que el archivo permanezca enel sistema? Modificacién de claves para iniciar con el sistema y cada que se abra un ejecutable. 4. CONCLUSIONES En el desarrollo del articulo se abordaron los temas base e intermedio del andlisis de malware para entomos Windows desde sus puntos elementales, como implementar nuestro propio laboratorio virtual, hasta el analisis detallado de cada una de las acciones realizadas por el archivo malicioso. ‘Aunque no se lego a la profundidad tematica que hubiéramos podido desear si se cubrieron los apartados mas importantes y fundamentales en un andlisis. Como pudimos apreciar en el transcurso de este articulo, el analisis de malware no es un proceso muy complicado, siempre y cuando se cuenten con las herramientas adecuadas y se tengan el conocimiento de los procesos ymetodologias a implementar. DragoNBIBLIOGRAFIA Aycock, J. (2006). Computer Viruses and Malware. Alberta: Springer. Borghello, C. (14 de 11 de 2006). de los virus informaticos La historia de! malware. Recuperado el 15 de 6 de 2009, de ESET Latinoamerica: http://www.eset-la.com/threat-center/1600-cronologia- virus-informaticos Clausing, J. (2009). Building an Automated Behavioral Malware Analysis Environment using Open Source Software. SANS Institute. Delgado, D. (19 de 09 de 2007). The Inquirer. Recuperado el 23 de 06 de 2009, de http://www.theinquirer.es/2007/09/19/el_negocio_del_cibercrimen_supera_al_del_trafico_de_drog as.html Autores, V. (s.f.). Wikipedia - Malware. Recuperado el 23 de 06 de 2009, de httpy//es. wikipedia. org/wiki/Malware Autores, V. (2008). Malware Forensics: Investigating and Analyzing Malicious Code. Boston: Syngress Publishing Kornblum, J. (2006). Identifying almost identical files using context triggered piecewise hashing. ManTech SMA. Harley, D; Slade, ROBERT; Gattiker, URS. (2001). Viruses Revealed: Understanding and Counter Malicious Software. McGrawHillcAmPuUS PARTY 2005 LA COMUNIDAD DRAGONJAR EN LA CAMPUS PARTY COLOMBIA 2009 Suena el teléfono celular: iiiiiing, riilliing, riilliing, ;) SamuraiBlanco: *... Hola viejo Epsilon, ya llegé a Corferias?... yo acabe de llegar y estoy buscando alos dela comunidad...” Epsilon: Hola parce, pues no hermano... estoy comprando unas cositas para llevar al Campus Party y todavia me demoro, SamuraiBlanco: Ahhhhh bueno hermano nos vemos en la fila Epsilon:Hola parce, pues no hermano.... estoy comprando unas cositas para llevar al Campus Party y todavia me demoro. SamuraiBlanco: Ahhhhh bueno hermano nos vemos en a fila Epsilon: Chao parce. Con esa “conversacién' inicié mi legada al Campus Party Colombia 2009, una de las expectativas mas grandes era conocer personalmente a esa cantidad de gente espectacular que habia tratado virtualmente y con la cual solo habia tratado mediante los bits. Seguidamente, busqué en la fila y empece a ver caras conocidas que ya estaban con muchos de aquellos que habia tratado virtualmente mediante la gran autopista de bits (Internet) Se inicia el proceso de estrechar lazos de amistad en la fila de ingreso mediante unos tragos de aguardiente ;) un licor de nuestro pais (Colombia) que se hace con base en la cafia de azticar (ojala este articulo no lo lea la organizacién del Campus Party :P ), enseguida Hollman (de Ubuntu Colombia), Urban77, JKO, DragoN (el duefio de todo esto ;) ) iniciamos a compartir y es ahi cuando conozco a personas tan geniales como Vitoya, Ktgoth, luisascoobydoo, casidiablolinux, exactlimon, al bacan de Epsilon (que en realidad interactué mas con él en esta edicién que la del afio pasado), Sergio, Monster, “don” Spiderman, y otros tantos que espero por favor me disculpen por no mencionarlos ya que la urgencia de escribirle este articulo a mi amigo Epsilon me obliga a ser econémico gramaticalmente para que no me dejen por fueradeesta eZine ;) Inicia el tema obligado, y a que no adivinan cual OFA. eosooee» pues sill, e1 de la DragonParty2009 (primera versin de la fiesta de la comunidad DragoJAR_ para nuestra misma comunidad y para otras comunidades hermanas que asistian a esta edicion de la Campus Party); en torno a esta GRAN TEMATICA era mucho sobre lo que se bromeaba y mucho lo que quedaba a la imaginacién y a la expectativa misma. La banda que tocaria, su show, el bar donde se realizaria la “rumba” (término muy colombiano para decir fiesta), la estrategia para publicitarla, todo, absolutamente todo estaba ya listo~ > Se escucha una voz algo ronca: * por $5,000.00 entramos las maletas pa’ que sea mas facil el ingreso y no tengan que aguantarse la fila con esa incomodidad.... por $5.000.00... por $5.000.00..". SamuraiBlanco: “eyyyy, eyyyyy, Sefior, como es el cuento? (me explica de nuevo lo que les escribi); SamuraiBlanco: listo, listo. vamos. pa'dentro... le pague y con alguien que no recuerdo en este momento (creo que JKO) le decimos a la gente eyyyyyy todos coloquen las maletas en el carrito; no puedo describirles la cara que coloca aque! sefior al ver ese montén de maletas “primer ataque” de ingenieria social..... se suponia que solo podria entrar una sola persona con el sefior y el carrito.... pero a que no adivinan.... pues si, asi fue... nos entramos como 3 0 4 mas... “segundo ataque”.... ya adentro la espera en otra fila para poder ingresar ala zona de camping, su majestad DragoN entro super rapido con otros mas ala zona de camping que ni me di cuenta.... pero es alli donde propiamente inicia nuestra vida campusera por esos espectaculares y muy agradables pero cortos casi 7 dias. Casi toda la comunidad de DragonJAR asistente al CP (de ahora en adelante CP = Campus Party; recuerden lo de la economia gramatical para poder escribir este articulo) nos hacemos en la mesa del clan que nos habian asignado, son muchas, pero muchas, las cosas que se quedaran sin contar aqui, muchas las vivencias y las anécdotas que se quedaran sin describir pero tratare de resumirlas enseguida. La expectativa era la ausencia de la comunidad de software libre colombiano (Colibri) no los velamos en la mesas que les habian asignado, mesas que por cierto eran vecinas a las nuestras; solo hasta unos dos o tres dias después llegaron de la nada aunque no en el numero que se pensaba.. Alguien grita *... quién tiene un CD de Ubuntu para formatear mi maquina?..” otro responde "... eso instalele mejor Debian.....”, otro se suma diciendo *... y por qué no Windows?..”ja,ja,ja,ja.ja,... Naaahhhhh saben qué? pues ni lo uno ni lo otro :P mejor yo me lo descargo de internet, para eso tengo este ancho de banda tan “h..%=&(88'Y(....2", inician los concursos y DragoN con la “GRAN COLABORACION” de nuestra amiga maryangie ;) casi se gana un televisor pantalla gigante. Se asistié a varias conferencias pero definitivamente la que mas nos interesaba era la de Kevin Mitnick; el derrotero gracias a la terquedad de nuestro estimado DoOkie era lograr una entrevista con él. Les comento que esta entrevista fue en gran parte gracias a DoOkie, yo solo sostenia la video camara y también vela a la novia de Kevin ;) que por cierto, es Colombiana. Con luisascoobydoo logramos entrevistara la novia de Kevin, demostrandonos que es una bella persona ademas de sencilla, aunque No sé por qué extrafio motivo igualmente timida.ee Los momentos en tomo a lograr esta entrevista fueron llenos de tensién y lucha por lograr que a Kevin no se le olvidara la promesa que previamente nos habia hecho de darnos 5 minutos (5 minutos que eran un gran logro teniendo en cuenta la calidad del personaje y lo luchado por lo medios periodisticos para lograr una entrevista con él), durante la charla de Kevin para mi cada minuto que pasaba era de dos 0 tres horas, la expectativa era grande, Kevin nos cumpliria?... Kevin recordaria la entrevista para la Comunidad DragonJAR?.... eran muchos los interrogantes que pasaban por mi cabeza.... pilasijji pilas Samurai, que ya se va a acabar la charia (exclamaba DoOkie), hay que estar pendientes por que toda la gente se le vaa mandar encima a Kevin cuando termine Pues efectivamente cuando termina la conferencia de Kevin media Campus Party (por no decir que toda) se le va encima, de alguna forma los guardaespaldas le hacen camino entre la multitud para que pueda salir, retiraban al uno, retiraban al otro y en un momento de descuido de los guardaespaldas logramos esquivar con luisascoobydoo y DoOkie su vigilancia, corrigen rapidamente su error y tratan de apartamos de una forma no muy “‘sutil” :P pero a que no se imaginan seguidamente que fue lo que pas6.... esto es de escuchar y no creer, ya les voy a contar, si, ya se que quieren saberlo, ya les voy a contar... pero es que hay que crear el misterio para que sea mds interesante la cosa, no ven que ya he escrito tanta bobada que debo lograr su atenci6n ;) ..... puessssssssss juazzzzzzzzz en medio de esa escena Kevin dice (en inglés) “... déjenlos, les prometi una entrevista de 5 minutos ...” ahhhhh?????? Cémo vieron la de este personaje?... no se para ustedes, pero para mi eso dice muchas cosas (muy buenas desde luego) de Kevin Llegamos a un lugar “privado” un grupo de aproximadamente 15 personas (los sobrevivientes de todo ese gran nimero de personas que estaba encima de Kevin) y es alli donde sufrimos la baja de un integrante de “nuestro equipo periodistic a luisascoobydoo no la dejaron entrar, solo entraba DoOkie y nadie més, pero este ultimo dice. *... él viene conmigo (osea yo) y es el de la video camara, yo le hago lo entrevisto...”, esta bien, sigan solo los dos. Es asi como solo ingresamos al recinto para la entrevista: la novia de Kevin, DoOkie, SamureiBlanco y pues obviamente Kevin :P En medio de todo, mis sentimientos eran encontrados, por una parte sentia alegria por ser afortunado y estar en privado con Kevin (aunque hace casi un afio ya me habia tomado unas fotos con élen una de sus visitas a Bogota), por otra parte, me embargaba una gran tristeza porque mi querida amiga luisascoobydoo habia quedado afuera después de todo ese esfuerzo y trabajo que habiamos pasado los tres para lograr nuestro objetivo (aunque fue poco mi trabajo en la entrevista, te lo dedico de todo corazén nena preciosa, ese logro también fue tuyo).Fueron muchas cosas las que se quedan en el tintero pero una que no podia dejar pasar es la DragonParty2009, nos reunimos los de la comunidad, compartimos con otras comunidades, bebimos hasta no mas dar, por lomenos yo bebi muchisimo, mucha gente me estiraba la mano dandome cerveza, ron, aguardiente y yo pues sin querer queriendo tomaba obligado ;) después de varios minutos de buena musica con DragoN y Cronopio abrimos oficialmente la fiesta agradeciendo la asistencia y presentando a la banda (por lo menos “eso creo que hicimos” porque yo ya estaba algo bebido ;)), sea esta la oportunidad para agradecer a todos aquellos que de una u otra forma me colaboraron para su organizacién. Los dejo con una de las fotos oficiales de la ‘Comunidad en la CP aunque faltan varios en ella, seguramente estaban tomando RedBull para coger energias de nuevo, tal vez estaban durmiendo un ratico, de pronto estaban coquetedndole a las hermosas chicas que estaban en las. otras comunidades... nose la verdad. Ese es el resumen muy corto de nuestra estadia en la Campus Party Colombia 2009, nos leeremos en una préxima oportunidad y ojala este pequefio escrito acercara al CP a los que no pudieron asistir por diferentes motivos, y asi mismo espero que alos que asistieron les hiciera recordar muchos de esos momentos gratos. Se les quiere y se les lleva en el alma. Larga vida a la Comunidad DragonJARiiiiiiiiii Un abrazo para tod@s. SamuraiBlanco www.samuraiblanco.orgBRAS eSSine we (Car Narticulo introductorio pero bastante incluyente sobre los aspectos a tener en cuenta cuando se quiere implementar un sistema de gestidn de la seguridad de la informacién, acompafiemos a \Vitoya04 en su ensayo, quien de ahora ostenta el titulo de la primera mujer Dragonauta en escribir para la revista de la comunidad. Autor: Vitoya04 Desde el auge de la sociedad de la informacién se ha cultivado la creencia de que la seguridad informatica debe ser reaccionaria y se debe tratar con conceptos puramente técnicos, pero esa concepcién debe cambiar por el bien de los sistemas informaticos en nuestro entorno. Una buena planeacién de la seguridad informatica es la clave para prevenir la improvisacién que nos viene acechando desde el inicio de nuestra era, en la que se presentaba un incidente de seguridad y lo - pertinente era dar con la causa y remediar el dafio, la bra ie SO mayoria de las veces sin preguntarse {por que no se pudo IP 27001 prever que ocurriria?, y esa es precisamente la clave de la eer tremens planeacién de la seguridad informatica. Historia rf et La serie de normas ISO 27000 tiene por objetivo brindar en pees g bases para hacer planeacién de la seguridad informatica Y en una empresa o en un proceso; pero este conjunto de normas no es él inicio de la inquietud sobre la planeacién de la seguridad de informacién, porque dichas normas estan basadas en otras anteriores, lo que se ha buscado ahora es perfeccionarlas ¢ integrarlas en una sola serie de normas para que las empresas incluso puedan ostentar certificaciones en seguridad informatica, tal como lo hacen hoy en dia con las certificaciones de calidad gracias a la serie de normas ISO 9000, tan famosa por estos dias. Cabe anotar que las certificaciones que se dan en el tema de seguridad informatica a través de la norma ISO 27001 no son garantia, ni mas faltaba, de que un sistema, proceso o empresa es totalmente seguro, pero al menos refleja un interés minimo por protegerse. Un poco de histori La idea de hacer una norma sobre seguridad informatica, surge para poder integrar las experiencias que en este tema habian tenido algunas empresas, y obviamente como siempre para seguir los avances que otros paises ya tenian al respecto. También surge como la necesidad de darle importancia e independencia de otras normas existentes en el momento que en algun momento se creyé que incluian la planeacién en seguridad informatica, sean declarados “sabios’ los que se dieron cuenta del craso error. Bueno no es miidea extenderme en este tema porque existen muchas paginas las cuales cito a continuacién en las que encontraran documentos enteros que profundicen:ay a eA ONE ‘Todo surge por el estandar britanico 7799 de el BSI (British Standars Institution), que trataba de las buenas practicas en seguridad de la informacién, de este se desprende lo que se conoce como la ISO 17799 que era el mismo BS 7799 solo que emitido por ISO (International Organization for Standardization), luego se hizo necesario adaptar este cédigo de buenas practicas al método de sistemas de gestién propuesto por la ISO, credndose la serie de normas ISO 27000, en las cuales cada una representa algo: 1027000: Contiene términos y definiciones que se emplean en toda la serie 27000, 1027001: Requisitos del sistema de gestidn de seguridad de la informacion. ISO 27002: Es el nuevo nombre de ISO 17799:2005. Es una guia de buenas practicas que describe los abjetivos de control y controles recomendables en cuanto a seguridad de la informacién. ISO 27003: En fase de desarrollo; su fecha prevista de publicacién fue mayo de 2009. Consiste en una guia de implementacion de SGSI e informacién acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. 1S0 27004: Métricas y las técnicas de medida = aplicables para determinar la eficacia de un SGSl y de los controles relacionados. ISO 27005: Establece las directrices para la gestién del riesgo en la seguridad de la informacién. Su publicacién revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC. TR 13335-4:2000. ISO 27006: Especifica los requisitos para la acreditacién de entidades de auditoria y ~~, certificacién de sistemas de gestién de seguridad de P> lainformacién. ISO 27007: En fase de desarrollo; su fecha prevista de publicacién es Mayo de 2010. Consistira en una guia de auditoria deunSGsl. ISO 27011: Guia de gestion de seguridad de la informacién especifica para telecomunicaciones, elaborada conjuntamente con la ITU (Unidn Internacional de Telecomunicaciones). ISO 27031: En fase de desarrollo; su fecha prevista de publicacién es Mayo de 2010. Consistira en una guia de continuidad de negocio en cuanto a tecnologias de la informacién y comunicaciones. ISO 27032: En fase de desarrollo. Consistira en una guia relativa a la ciberseguridad. ISO 27033: En fase de desarrollo; su fecha prevista de publicacion es entre 2010 y 2011. Es una norma consistente en 7 partes: gestion de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y disefio e implementacién de seguridad en redes. Provendra de la revision, ampliacién y renumeracién de la 1SO 18028. 1SO 27034: En fase de desarrollo. Consistira en una guia de seguridad en aplicaciones. ISO 27799: Es un estandar de gestion de seguridad de la informacién en el sector sanitario aplicando ISO 17799 (actual ISO 27002).[= A SON SINE G QUE HAY QUE HACER?? Lo primero que te recomiendo es que efecties una lectura analitica de la norma ISO 27001 (que es la norma certificable), también puedes apoyarte en documentos sobre la norma que puedes encontrar gratis en internet. Por mi parte te recomiendo el libro “Disefio de un sistema de gestion de seguridad de informacién” dptica SO 27001:2005 del autor Alberto G. Alexander, que te ofrece una guia en espafiol para la aplicacion de la norma, a pesar de que es un libro poco explicativo, te deja las dudas validas para encaminar el trabajo que piensas desarrollar. Es importante resaltar que no existe una publicacién en la que especifique que hacer porque esto depende de la organizacién o proceso en el que vayas a aplicar la norma, por tal motivo la “copialina” (en algunos paises este término se conoce como machete, acordeon, etc.) en este punto no se puede dar...xDD Luego de haber leido, lo siguiente es recolectar toda la informacién que requieras, en este punto puede que ya conozcas el funcionamiento de la empresa porque eres 0 fuiste miembro de la misma, pues entonces no necesitaras mucha informacion, sin embargo, es bueno justificar tus decisiones con entrevistas o enouestas para evitar que se especule acerca de decisiones tomadas de espalda a larealidad de la empresa. Luego puedes empezar a desarrollar la documentacién exigida por la ISO 27001 en el apartado 4.3, obviamente si ya leiste toda la norma sabes en detalle en que consiste cada punto ya que en el numeral 4.2 los puntos més importantes son detallados (posteriormente en este mismo articulo se detallaran). Bien, hasta este punto todo es muy légico y cefiido ‘oa totalmente a la norma pero no todo es color de rosa porque Hae) existen puntos donde la norma deja entera libertad al equipo implementado la norma, como son la escogencia de " que est i Sd una metodologia de gestién de riesgos, y la forma de & implementacién de los controles expuestos en el anexo de la \ norma y mas detalladamente en la ISO 27002. METODOLOGIAS DE GESTION DE RIESGOS Existen en la actualidad varias metodologias bastante populares y completas, ademas la norma ISO 27001 da tanta libertad que podriamos crear nuestra propia metodologia de gestion de riesgos. Algunas de las metodologias existentes son: MAGERIT: Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacién, busca darnos una guia sistemética para analizar, medir, cuantificar y/o caloular los riesgos a los que estan expuestos nuestros activos de informacién. De esta metodologia podemos tomar solo el capitulo donde se detalla el andlisis de riesgo ya que la gestin de los mismos se haré segin los controles especificados en la norma ISO 27002 oen el anexo dela ISO 270012005.ton) BRAEINaINeS GF Los pasos para el anilisis de riesgo segiin esta metodologia son: 1. Determinar los activos relevantes para la Organizacién, su interrelacién y su valor, en el sentido de qué perjuicio (coste) supondria su degradaciéon. 2. Determinara qué amenazas estan expuestos aquellos activos. 3. Determinar qué salvaguardas o controles hay dispuestos y cuan eficaces son frente al riesgo (en caso de que existan controles), este punto es recomendable que, al hacerse por primera ‘vez, nose tenga en cuenta ya que la idea no es caer en una auditoria sobre los controles existentes sino analizar los que se pueden aplicar, es decir el andlisis es mejor hacer sobre los activos pero sin tener en cuenta los controles extrinsecos que pueden tener (es importante reslatar que son los : extrinsecos y no intrinsecos). cL 4. Estimar el impacto, definido como el dafio sobre el activo derivado de la materializacién de la 1s amenaza. 5. _ Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (0 expectativa, de materializacién) de la amenaza Mas informacion en la pagina web: http:/jwww.csi.map.es/csi/pg5m20.htm; alli encontraran la metodologia completa para descargar en inglés 0 espaiiol como prefieran. Otra metodologia que les sirve es la NIST SP 800-30 “Risk Menegement Guide for Information Technology System’, altamente recomendable ya que es completa y sencilla. Consiste basicamente en los siguientes pasos: —_—_, PASO 1: CARACTERIZACION DEL SISTEMA Consiste en recopilar informacion acerca del sistema 0 procesos que se desean proteger, en este punto se deben reconocer los activos de informacion que seran protegidos, se debe agrupar en tipos como por ejemplo documentos en papel, equipos fisicos, software, bases de datos... etc... Se pueden realizar encuestas y/o entrevistas para recolectarla informacién. PASO 2: IDENTIFICACION DE AMENAZAS Se deben identificar las amenazas que acechan a los activos, existen distintos tipos de amenazas, internas y externas, ambientales... etc El documento de salida de este paso es el listado de las amenazas. PASO 3: IDENTIFICACION DE VULNERABILIDADES Identificacién de las vulnerabilidades, por ejemplo una amenaza son los virus informaticos; a vulnerabilidad asociada seria que los sistemas no tengan antivirus... aunque no necesariamente las vulnerabilidades estan siempre ligadas a una amenaza lo que si es seguro es que para que exista el riesgo, también debe existir la “probabilidad” de que las vulnerabilidades puedan ser explotadas por las amenazas, continuando con el ejemplo, si existen virus informatics en nuestro entorno y nosotros no contamos con antivirus en los equipos, lo mas seguro es que nuestros archivos se infecten, sean expiados o destruidos.eon PASO 4: ANALISIS DE CONTROL. En este paso se deben analizar los controles que ya se estén aplicando, y los que se piensan aplicar que en el caso nuestro son los de la ISO 27001:2005, en su anexoA, o bien en la ISO 27002. Dicho listado de controles debe relacionar los_activos que va a proteger y cuales son los riesgos, vulnerabilidades y amenazas que se pretenden mitigar. Lo recomendable en caso que sea la primera que se realiza el andlisis es que en este paso solo se tengan en cuenta como base aquellos controles intrinsecos que posean los activos, como en la metodologia anterior. El documento de salida es el listado de los controles o plan de control a aplicar para disminuir la probabilidad de ocurrencia y el impacto asociado a la materializacién del riesgo. PASO 5: DETERMINACION PROBABILIDAD En este paso debemos estimar que tan probable es que los riesgos examinados se potencialicen y causen un incidente de seguridad. Para determinar la probabilidad debemos determinar los niveles de probabilidad o también llamados criterios, para determinar cuando una probabilidad es alta 0 baja. Esta guia NIST SP800-30 propone evaluar la probabilidad en tres niveles: Alto, Medio y Bajo, que segiin estudiosos de estas cosas es la mejor manera de evaluar sin caer en ambigiiedades. Pero no es suficiente decir que existe una probabilidad alta de que ocurra determinado incidente de seguridad, sino explicar que significa que sea alta la probabilidad, es decir, alta significa que es posible que ocurra en cuestidn de dias o incluso horas, 0 también, se puede observar la cantidad y profundidad de los controles intrinsecos de los activos. Evidentemente el documento de salida de este paso es la definicion de esta escala de probabilidad. PASO6: ANALISIS DE IMPACTO Habiendo desarrollado el paso anterior, se analizan y priorizan los riesgos que son mas impactantes para la empresa en términos del tiempo de recuperacién; luego de materializado el riesgo, cuanto se puede perder (en términos de dinero). entre otras variables que nos interesan y que nos sirvan para saber por donde comenzaremos nuestra inversién en seguridad Lo natural es evaluar el impacto del riesgo en la empresa segun la perdida de la disponibilidad, integridad y confidencialidad, también esta evaluacién debe hacerse en correspondencia con la informacién o procesos de informacion mas importantes o vitales de acuerdo con los objetivos del negocio de la empresa. La salida debe ser una escala de Alto, Medio y Bajo, con el significado de cada uno de estos en lo que tiene que ver con elimpacto.eo] Pn A SON EINSE TT PASO 7: DETERMINACION DE RIESGO En esta parte es necesario que hagamos una matriz donde enfrentemos el impacto con la probabilidad de ocurrencia, y definamos con base en la matriz el nivel aceptable del riesgo; siendo este ultimo un_un riesgo que la empresa en términos generales esté dispuesta a asumir, este riesgo es el mismo llamado residual que es el que resulta después de aplicados los controles. Della severidad de los controles depende el nivel de riesgo residual. Para mayor ilustracién a continuacién se muestra un ejemplo de matriz sugerida en la guia (Tabla 1): La idea con esta matriz es definir cuales son los riesgos que merecen mayor atencién, dados sus factores agravantes como por ejemplo los riesgos que implican perdida de informacién vital para el normal funcionamiento de la empresa y asi pues todo aquello que nos permita clasificar en que controles se debe hacer una mayor inversion. PASO 8: CONTROL DE RECOMENDACIONES Este es el paso donde se deben revisar los riesgos para planear como seran mitigados 0 eliminados, es decir, de este paso se genera el plan de gestién de riesgos, con los responsables y actividades. Como nosotros implementaremos los controles de la ISO 27001:2005, simplemente desarrollaremos la declaracién de aplicabilidad que no es mas que revisar los controles en el anexo delanorma y definir cuales se aplicaran para cada riesgo y activos. PASO 9: RESULTADOS DE DOCUMENTACION En este paso recopilamos los documentos de salida de todos los pasos anteriores, en un documento oficial que nos servira de guia para la implementacién del plan de gestin de seguridad y su posterior evaluacién. En esta guia ademas de los pasos detallados anteriormente encontramos una pequefia guia para la realizacién de un andlisis costo-beneficio que debe realizarse posterior 0 simultaneamente a la escogencia de los controles, ya que la empresa debe ser consciente de que implementar ciertos controles implica unos costos en donde la misma organizacién debe priorizar esta implementacién para evitar gastar dinero en controles cuyo fin es la mitigacién de un riesgo que @s poco probable que llegue a materializarse o un riesgo que implique un impacto menor dentro de la empresa, para eso se realiza toda esta evaluacion minuciosa para evitar que la empresa incurra en gastos innecesarios.eon SaAcCeeSine w Volviendo alaISO 27001:2005 Bien, hasta aca todo lo relacionado com el analisis de riesgo. Ahora una ultima mirada a la documentacién que nos exige la norma Manual de seguridad: Sucontenido es elalcance, donde se define lo que estara sujeto de toda la organizacién al_ sistema de gestin de seguridad de la informacién sus) proceso(s) clave(s), igualmente se puede aplicar a algunos activos de informacién. Asi mismo en este manual se deben incluir la politica y objetivos de seguridad que regiran todo nuestro trabajo y que deben reflejar la idea global de seguridad que se vaa implementar. Debemos definir que metodologia de evaluacién de riesgo utilizaremos, describir en que consiste y en que se basa. Seguido a esto, va el informe de evaluacion de riesgo, que es el resultado de aplicar la metodologia de gestién de riesgo. Este informe variara dependiendo de la metodologia utilizada. En este manual también debemos incluir la Declaracién de Aplicabilidad (SOA) que debe contener los controles ( recuerdan los del anexo de la norma IS027001??) definiendo cuales se van a aplicar, cuales no y por qué; acompariando esta declaracién aparece el Plan de tratamiento de riesgo que define las acciones que se realizaran para aplicar los controles y mitigar el riesgo, es recomendable que se definan las actividades con responsables y plazos claros, sobre todo cuando se esta iniciando la implantacion de los controles. Saliendo un poco del tema, en esta parte se pueden buscar alternativas de agrupacién para la aplicacién de los controles, bien sea en servicios de seguridad donde un servicio puede agrupar varios controles, o definir los controles que se aplicaran alos distintos tipos de activos existentes en nuestra empresa o proceso. Esto es opcional. Procedimientos: Son todos aquellos procedimientos que garantizan que los procesos de gestion de seguridad de la informacién se realicen adecuadamente. Estos deben estar sometidos a constantes revisiones y mejoras ya que son los que indican como evaluar la aplicacién de los controles. 3. Instrucciones, CheckListy formularios: Estos deben damos instrucciones especificas de como se deben llevar a cabo las actividades y qué deben incluir éstas para garantizar que estén de acuerdo al plan de seguridad de la informacién4. Registros: Son todos los documentos que resultan como pruebas de la tealizacién de un procedimiento o actividad de acuerdo con el plan de gestién de riesgo. Por ejemplo: formato de reporte de incidentes de seguridad, que nos dice que un incidente fue reportado, por quien(es), y en que consistid el incidente, ademas de la fecha y otros datos que brindan informacién sobre él mismo y al cual se le puede anexar coro fue solucionado el incidente y cual fue la causa del mismo. Puede ademés ser la base para una accién de mejora del plan de gestién de seguridad. Si tienes todo esto entonces ya tienes establecido tu Sistema de Gestién de Seguridad de la Informacion - SGSI, ahora ya con todo esto tienes las herramientas suficientes para implementarlo, ya para ello requieres el verdadero compromiso y/o respaldo de la alta gerencia de la organizacion. Por ultimo, recomiendo la lectura de la PAS 99, guia de implementacién para una estrategia de integracidn de todas las normas que son para el disefio de sistemas de gestién con la metodologia que usa la ISO. PAS 99 fue desarrollado por el British Standards Institution como respuesta a las necesidad de las organizaciones de implementar varias de estas normas en una misma organizacién. Es una buena herramienta para aquellos que piensen implementar la ISO 27001:2005 en una organizaci6n donde ya exista un sistema de gestién de calidad. Tal como la ISO 27001:2005, esta guia no es gratuita, pero si se encuentra gran variedad de informacién sobre ésta en la web; este es un ejemplo: http://www. bsigroup.es/upload/NEWS/articulo%20PAS%2099%20p%C3%A 1 gina%20web.pdf Bueno, para no extenderme mas, desde ahora les prometo mas articulos relacionados con Planeacién de la Seguridad informatica, sobre todo porque no alcanzamos a llegar ala parte que seguro més les interesa, los test de vulnerabilidades, estos también entran en la planeacin de seguridad dela informacién. Pero por tiempo y espacio les digo que quedara parala proxima. Chaosito... y gracias!! Vitoya04