Asignatura Diseño y Desarrollo de Programas Informáticos Seguros Datos del alumno Fecha Apellidos: Nombre: Actividad
Views 145 Downloads 5 File size 815KB
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Actividades Trabajo: Análisis dinámico de malware Esta actividad consiste en obtener el archivo a analizar, descargándolo desde el enlace disponible en el Aula Virtual, dentro de la propia actividad, fichero análisis 1.zip. Se aconseja el uso del navegador Mozilla Firefox para esta descarga. El entorno seguro se realizará en base a un software virtual tipo VMAWARE player, virtual box con una máquina con sistema operativo de Microsoft, con la tarjeta de red en modo aislado. Los enlaces de la plataforma virtual VMWARE o virtual BOX, están disponibles: https://my.vmware.com/web/vmware/downloads https://www.virtualbox.org/wiki/Downloads Ejecuta el malware de laboratorio mientras lo monitorizas mediante las herramientas básicas de análisis dinámico en un entorno seguro. El fichero funciona sobre el sistema operativo Windows XP aunque podría funcionar sobre Windows 7 32 bits. El sistema operativo utilizar será Windows XP, aunque si no se dispone de él, se podrá utilizar Windows 7 con Windows XP Mode for Windows 7, que facilita la instalación y ejecución de muchos de sus programas que se ejecutan en Windows XP directamente desde un equipo con Windows 7. Podrás encontrar más información en los siguientes enlaces: https://blogs.technet.microsoft.com/stephenrose/2009/09/01/windows-7-enterprise90-day-evaluation-now-available/ http://www.microsoft.com/es-es/download/details.aspx?id=8002
También se puede trabajar con WINDOWS 8.1: http://www.microsoft.com/en-us/evalcenter/evaluate-windows-8-1-enterprise TEMA 4 – Actividades
Asignatura
Datos del alumno
Diseño y Desarrollo de Programas Informáticos Seguros
Fecha
Apellidos: Nombre:
En estos enlaces encontrarás unas instrucciones para instalar un software que emula el sistema operativo XP: http://blogs.itpro.es/octaviordz/2014/08/04/ejecutar-windows-xp-mode-enwindows-8-1-con-vmlite/ https://www.youtube.com/watch?v=-UWlzOyLahY Herramientas a utilizar: Process Explorer: http://technet.microsoft.com/es-es/sysinternals/bb545027 Process Monitor: http://technet.microsoft.com/es-es/sysinternals/bb545027 Strings Notepad Una vez realizado el ejercicio responde a las siguientes preguntas: 1. ¿Qué observas al supervisar este malware con Process Explorer? 2. ¿Puedes identificar modificaciones en la memoria? 3. ¿Qué archivos crea? 4. ¿Cuál es el propósito de este Como ayuda consultar los manuales de las herramientas disponibles en los siguientes sitios web: http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Explorer_Tutorial_Handout.pdf http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Monitor_Tutorial_Handout.pdf Nota: Se recomienda leer antes de realizar el trabajo el apartado de Análisis Dinámico del manual tema 4. Extensión máxima de la actividad: 15 a 30 páginas, fuente Georgia 11 e interlineado 1,5. TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
DESARROLLO Para esta práctica de laboratorio de análisis dinámico del malware se va explorar los procesos y subprocesos y controles con el Process Explorer y Process Monitor y strings Para esto definiremos en que consta estas herramientas de análisis. Process Explorer El explorador de procesos es una herramienta bastante útil para rastrear problemas de versiones de DLL o también para rastrear fugas o variaciones en el los procesos y subprocesos, en donde proporciona información sobre cómo funciona Windows y también las aplicaciones. Process Monitor El monitor de procesos, es una poderosa herramienta de monitoreo avanzado para Windows, ya que muestra el sistema de archivos en tiempo real, el registro y la actividad de procesos. En esta versión se ha agregado una lista de mejoras que incluye el filtrado rico y no destructivo, propiedades de eventos integrales, que son ID de sesión, y nombres de usuario, información de procesos confiables, pilas de subprocesos completos con soporte de símbolos integrados. Estas características del Monitor de procesos son única y muy potente que hará que el programa Monitor de Procesos sea de una gran utilidad integral en el kit de herramientas de solución de problemas y búsquedas y capturas de malware en el sistema Recursos necesarios • Virtual Box con Windows XP Mode para tener el trabajo del análisis del Malware en un ambiente controlado
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
1. ¿Qué observas al supervisar este malware con Process Explorer? Al tener nuestro laboratorio de entorno controlado para analizar el malware, procedemos a ejecutar el programa Process Explorer, como se ve en la figura.
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 1: Ejecución del archivo Process Explorer
Ahora procederemos a iniciar nuestro análisis del malware, ejecutamos el archivo “Fichero de Analsis1.exe”, este fichero se puede ejecutar desde el símbolo del sistema o dándole clic en el icono, cuando se ejecuta este deberá de estar visible dentro de Process Explorer, pero vemos que crea el subproceso svchost.exe y luego desaparece de nuestra vista, porque sale rápidamente, pero en su lugar deja el proceso svchost.exe como un proceso solo (huérfano) como se muestra en el siguiente captura de pantalla.
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 2: Ejecución del Archivo Fichero de Analsis1.exe
Esto quiere decir que un proceso huérfano (desamparado) no tiene un proceso padre listado en la estructura del árbol de procesos. Entonces vemos que si este archivo esta desamparado sin ninguna estructura o árbol ya es muy sospechoso.
2. ¿Puedes identificar modificaciones en la memoria? Claro podemos identificar que ha surgido modificaciones en la memoria, al investigar de forma mas detallada le hacemos clic al proceso svchost.exe (que es huérfano), notamos a simple vista que aparentemente es un proceso valido de svchost.exe con PID 648, pero vemos que este svchost.exe es sospechoso porque el svchost.exe es un hijo típicamente de services.exe.
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno Apellidos: Nombre:
Cuadro Nro. 3 vista de propiedades, image del proceso svchost.exe valido
Cuadro Nro. 4: Vista de propiedades image del proceso svchost.exe sospechoso TEMA 4 – Actividades
Fecha
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
De este mismo elemento de propiedades seleccionamos strings para mostrar las cadenas en tanto en la imagen que se ejecuta en el disco como también en la Memoria, aquí vemos, si es que comparamos con una imagen que no es sosprchosa de svchost.exe, hay ciertas diferencias. En los siguientes capturas de pantallas vamos a poner la imagen de un proceso svchost.exe sospechoso, y otro no sospechoso para ver las diferencias y el malaware que ya ha generado el archivo analisismalware.log
Cuadro Nro. 5 análisis de String de memoria del proceso svchost.exe sospechoso, vemos que esta la cadena de practicamalwareanalisis.log
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 6: Análisis de propiedades Strings de un proceso no sospechoso svchost.exe
3. ¿Qué archivos crea? Este Malware crea los procesos de CreateFile y WriteFile para svchost.exe se escriben en el archivo que crea que se llama practicalmalwareanalysis.log (este string es visible en la vista de memoria del proceso desamparado svchost.exe). Si abrimos el archivo que se creó practicalmalwareanalysis.log con un editor de texto, vemos que está escrito todos los eventos y pulsaciones realizados en la máquina, y que se escribió en este archivo. Entonces visto esto nos da la impresión que este malware es un keylogger que se genero y que utiliza el reemplazo de proceso en svchost.exe
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno Apellidos: Nombre:
Cuadro Nro. 7: El malware crea los procesos WriteFile y CreateFile
TEMA 4 – Actividades
Fecha
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 8: El malware crea el archivo practicalmalwareanalysis.log
4. ¿Cuál es el propósito de este El propósito de este malware es que al analizar el siguiente cuadro vemos que contiene la
cadena
parcticalmalwareanalysis.log
y
seguido
de
“SHIFT”,“ENTER”,
“BACKSPACE”, “BACKSPACE”, “TAB”, “CTRL”, “DEL”, “CAPS LOOK”, “CAPS LOOK”, ninguno de los cuales se encuentra en un archivo característicos de Windows svchost.exe en el disco.
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 9: Process Explorer muestra cadenas que normalmente no están contenidas en svchost.exe. Vemos entonces en un análisis mas detallado aquí, que la presencia de la cadena practcialmalwareanalysis.log, seguido de las cadenas como “SHIFT”, “ENTER” y demás cadenas, se ve que este programita es un keylogger. Para validar nuestra conjetura, creo un block de notas llamado labmalware, y escribo los siguiente “Hola a todos este es un análisis de malware”, para probar si el malware realiza
el
registro
de
teclas.
y
vemos
que
al
abrir
el
archivo
practicalmalwareanalysis.log, nuestras palabras esta capturada en el archivo, como se muestra en la siguiente captura de pantalla.
TEMA 4 – Actividades
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno Apellidos: Nombre:
Cuadro Nro. 10: Archivo labmalware, donde se digita la frase
TEMA 4 – Actividades
Fecha
Asignatura Diseño y Desarrollo de Programas Informáticos Seguros
Datos del alumno
Fecha
Apellidos: Nombre:
Cuadro Nro. 11: registro de las palabras “Hola a todos este es un análisis de malware” en el archivo de practicalmaleareanalysis.log
TEMA 4 – Actividades