sábado, 30 de enero de 2016

Analizando malware (analisis estatico practica)

Entrando a la parte practica del análisis del malware que anteriormente desarrollamos emplearemos las primeras tres técnicas de análisis estático.

Los primero es analizar el archivo sospechoso con herramientas antimalware para confirmar que es un archivo malicioso, para ello como sea mencionado anteriormente utilizaremos virustotal.com que ofrece 54 antivirus, con el cual puedes tener una alta tasa de detección y tienes opción de análisis de diferentes formatos de archivo.  

Imagen 1: Tipos de archivos analizados en virustotal.com.



Imagen 2: Análisis de malware con virus total.

En este caso el malware no ha sido detectado, sin embargo al momento de analizar un archivo sospechoso esto no implica que en verdad sea un archivo libre de virus, para ello es necesario aplicar mas técnicas de análisis. Posterior a realizar un análisis con herramientas antimalware, se puede obtener el hash del fichero para examinar si este ya ha sido analizado por alguien mas.

Para ello utilizaremos la herramienta md5deep y buscaremos en google por el hash, en nuestro caso el malware no ha sido analizado por nadie mas y el hash no esta disponible o indexado y esto puede ocurrir al momento de sufrir un ataque dirigido. En el caso que el ataque se realice con malware publico y con tiempo disponible en internet, la información sera mas amplia.

Imagen 3: Sha256 de malware Guabit.

Imagen 4: Resultados obtenidos en busca del hash por google.

Realizaremos el mismo procedimiento para un malware que lleva ya un tiempo en internet y que se ha analizado en muchas ocasiones en este caso Apocalypse RAT.

Imagen 5: Análisis de malware Apocalypse RAT.

 Imagen 6: Buscando hash en google de Apocalypse RAT.

Como puede apreciarse al ser un malware con bastante tiempo en circulación en internet, tanto su detección como análisis realizados por otros usuarios aparecen indexados.

Luego de realizar se puede extraer las cadenas de texto del programa, cadenas que pueden mostrar información de donde conecta el malware, donde se copia, que mensajes muestra entre otros, que puede darnos una idea de como esta funcionado, para ello utilizamos la herramienta strings proporcionada por microsoft.

  Imagen 7: Parte del código del malware teclas enumeradas.

Imagen 8: Ruta C:\malware encontrada.

Imagen 9: Conexión a local host.

Con esta técnica ya hemos conseguido mas información, las teclas enumeradas ya nos dan la idea que captura el teclado, tenemos un directorio, el quedaría por examinar y desde luego el host a donde conecta, en este caso a localhost.

Aunque esto puede resultar muy fácil y útil de hacer hay técnicas que pueden ayudar a complicar el análisis del malware utilizando las técnicas anteriores ya sea utilizando ofuscación o bien se comprimen o empaquetan como veremos mas adelante.

Saludos.
Lexer Pars.      

No hay comentarios:

Publicar un comentario