• Author / Uploaded
• Javier Ingaroca

Citation preview

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Actividades Trabajo: Análisis dinámico de malware Esta actividad consiste en obtener el archivo a analizar, descargándolo desde el enlace disponible en el Aula Virtual, dentro de la propia actividad, fichero análisis 1.zip. Se aconseja el uso del navegador Mozilla Firefox para esta descarga. El entorno seguro se realizará en base a un software virtual tipo VMAWARE player, virtual box con una máquina con sistema operativo de Microsoft, con la tarjeta de red en modo aislado. Los enlaces de la plataforma virtual VMWARE o virtual BOX, están disponibles: https://my.vmware.com/web/vmware/downloads https://www.virtualbox.org/wiki/Downloads Ejecuta el malware de laboratorio mientras lo monitorizas mediante las herramientas básicas de análisis dinámico en un entorno seguro. El fichero funciona sobre el sistema operativo Windows XP aunque podría funcionar sobre Windows 7 32 bits. El sistema operativo utilizar será Windows XP, aunque si no se dispone de él, se podrá utilizar Windows 7 con Windows XP Mode for Windows 7, que facilita la instalación y ejecución de muchos de sus programas que se ejecutan en Windows XP directamente desde un equipo con Windows 7. Podrás encontrar más información en los siguientes enlaces: https://blogs.technet.microsoft.com/stephenrose/2009/09/01/windows-7-enterprise90-day-evaluation-now-available/ http://www.microsoft.com/es-es/download/details.aspx?id=8002

También se puede trabajar con WINDOWS 8.1: http://www.microsoft.com/en-us/evalcenter/evaluate-windows-8-1-enterprise TEMA 4 – Actividades

Asignatura

Datos del alumno

Diseño y Desarrollo de Programas Informáticos Seguros

Fecha

Apellidos: Nombre:

En estos enlaces encontrarás unas instrucciones para instalar un software que emula el sistema operativo XP: http://blogs.itpro.es/octaviordz/2014/08/04/ejecutar-windows-xp-mode-enwindows-8-1-con-vmlite/ https://www.youtube.com/watch?v=-UWlzOyLahY Herramientas a utilizar: Process Explorer: http://technet.microsoft.com/es-es/sysinternals/bb545027 Process Monitor: http://technet.microsoft.com/es-es/sysinternals/bb545027 Strings Notepad Una vez realizado el ejercicio responde a las siguientes preguntas: 1. ¿Qué observas al supervisar este malware con Process Explorer? 2. ¿Puedes identificar modificaciones en la memoria? 3. ¿Qué archivos crea? 4. ¿Cuál es el propósito de este Como ayuda consultar los manuales de las herramientas disponibles en los siguientes sitios web: http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Explorer_Tutorial_Handout.pdf http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Monitor_Tutorial_Handout.pdf Nota: Se recomienda leer antes de realizar el trabajo el apartado de Análisis Dinámico del manual tema 4. Extensión máxima de la actividad: 15 a 30 páginas, fuente Georgia 11 e interlineado 1,5. TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

DESARROLLO Para esta práctica de laboratorio de análisis dinámico del malware se va explorar los procesos y subprocesos y controles con el Process Explorer y Process Monitor y strings Para esto definiremos en que consta estas herramientas de análisis. Process Explorer El explorador de procesos es una herramienta bastante útil para rastrear problemas de versiones de DLL o también para rastrear fugas o variaciones en el los procesos y subprocesos, en donde proporciona información sobre cómo funciona Windows y también las aplicaciones. Process Monitor El monitor de procesos, es una poderosa herramienta de monitoreo avanzado para Windows, ya que muestra el sistema de archivos en tiempo real, el registro y la actividad de procesos. En esta versión se ha agregado una lista de mejoras que incluye el filtrado rico y no destructivo, propiedades de eventos integrales, que son ID de sesión, y nombres de usuario, información de procesos confiables, pilas de subprocesos completos con soporte de símbolos integrados. Estas características del Monitor de procesos son única y muy potente que hará que el programa Monitor de Procesos sea de una gran utilidad integral en el kit de herramientas de solución de problemas y búsquedas y capturas de malware en el sistema Recursos necesarios • Virtual Box con Windows XP Mode para tener el trabajo del análisis del Malware en un ambiente controlado

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

1. ¿Qué observas al supervisar este malware con Process Explorer? Al tener nuestro laboratorio de entorno controlado para analizar el malware, procedemos a ejecutar el programa Process Explorer, como se ve en la figura.

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 1: Ejecución del archivo Process Explorer

Ahora procederemos a iniciar nuestro análisis del malware, ejecutamos el archivo “Fichero de Analsis1.exe”, este fichero se puede ejecutar desde el símbolo del sistema o dándole clic en el icono, cuando se ejecuta este deberá de estar visible dentro de Process Explorer, pero vemos que crea el subproceso svchost.exe y luego desaparece de nuestra vista, porque sale rápidamente, pero en su lugar deja el proceso svchost.exe como un proceso solo (huérfano) como se muestra en el siguiente captura de pantalla.

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 2: Ejecución del Archivo Fichero de Analsis1.exe

Esto quiere decir que un proceso huérfano (desamparado) no tiene un proceso padre listado en la estructura del árbol de procesos. Entonces vemos que si este archivo esta desamparado sin ninguna estructura o árbol ya es muy sospechoso.

2. ¿Puedes identificar modificaciones en la memoria? Claro podemos identificar que ha surgido modificaciones en la memoria, al investigar de forma mas detallada le hacemos clic al proceso svchost.exe (que es huérfano), notamos a simple vista que aparentemente es un proceso valido de svchost.exe con PID 648, pero vemos que este svchost.exe es sospechoso porque el svchost.exe es un hijo típicamente de services.exe.

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno Apellidos: Nombre:

Cuadro Nro. 3 vista de propiedades, image del proceso svchost.exe valido

Cuadro Nro. 4: Vista de propiedades image del proceso svchost.exe sospechoso TEMA 4 – Actividades

Fecha

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

De este mismo elemento de propiedades seleccionamos strings para mostrar las cadenas en tanto en la imagen que se ejecuta en el disco como también en la Memoria, aquí vemos, si es que comparamos con una imagen que no es sosprchosa de svchost.exe, hay ciertas diferencias. En los siguientes capturas de pantallas vamos a poner la imagen de un proceso svchost.exe sospechoso, y otro no sospechoso para ver las diferencias y el malaware que ya ha generado el archivo analisismalware.log

Cuadro Nro. 5 análisis de String de memoria del proceso svchost.exe sospechoso, vemos que esta la cadena de practicamalwareanalisis.log

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 6: Análisis de propiedades Strings de un proceso no sospechoso svchost.exe

3. ¿Qué archivos crea? Este Malware crea los procesos de CreateFile y WriteFile para svchost.exe se escriben en el archivo que crea que se llama practicalmalwareanalysis.log (este string es visible en la vista de memoria del proceso desamparado svchost.exe). Si abrimos el archivo que se creó practicalmalwareanalysis.log con un editor de texto, vemos que está escrito todos los eventos y pulsaciones realizados en la máquina, y que se escribió en este archivo. Entonces visto esto nos da la impresión que este malware es un keylogger que se genero y que utiliza el reemplazo de proceso en svchost.exe

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno Apellidos: Nombre:

Cuadro Nro. 7: El malware crea los procesos WriteFile y CreateFile

TEMA 4 – Actividades

Fecha

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 8: El malware crea el archivo practicalmalwareanalysis.log

4. ¿Cuál es el propósito de este El propósito de este malware es que al analizar el siguiente cuadro vemos que contiene la

cadena

parcticalmalwareanalysis.log

y

seguido

de

“SHIFT”,“ENTER”,

“BACKSPACE”, “BACKSPACE”, “TAB”, “CTRL”, “DEL”, “CAPS LOOK”, “CAPS LOOK”, ninguno de los cuales se encuentra en un archivo característicos de Windows svchost.exe en el disco.

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 9: Process Explorer muestra cadenas que normalmente no están contenidas en svchost.exe. Vemos entonces en un análisis mas detallado aquí, que la presencia de la cadena practcialmalwareanalysis.log, seguido de las cadenas como “SHIFT”, “ENTER” y demás cadenas, se ve que este programita es un keylogger. Para validar nuestra conjetura, creo un block de notas llamado labmalware, y escribo los siguiente “Hola a todos este es un análisis de malware”, para probar si el malware realiza

el

registro

de

teclas.

y

vemos

que

al

abrir

el

archivo

practicalmalwareanalysis.log, nuestras palabras esta capturada en el archivo, como se muestra en la siguiente captura de pantalla.

TEMA 4 – Actividades

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno Apellidos: Nombre:

Cuadro Nro. 10: Archivo labmalware, donde se digita la frase

TEMA 4 – Actividades

Fecha

Asignatura Diseño y Desarrollo de Programas Informáticos Seguros

Datos del alumno

Fecha

Apellidos: Nombre:

Cuadro Nro. 11: registro de las palabras “Hola a todos este es un análisis de malware” en el archivo de practicalmaleareanalysis.log

TEMA 4 – Actividades