Resumen MalwaResumen Malware.pdfre

Análisis de malware [4.1] ¿Cómo estudiar este tema? [4.2] Introducción al malware. [4.3] Tipos de malware. [4.4] Obtención del malware. [4.5] Entorno y herramientas análisis de malware.

TEMA

4

[4.6] Metodología de análisis de malware.

TEMA 4 – Esquema

malware (MAEC)

Honeynet

Honeypot

Clases de malware

Caracte rización de l

Obtención del malware

Tipos de malware

Clasificación

Arquitectura del

laboratorio

Herramientas del Análisis dinámico

Análisis estático

análisis de malware

malware

laboratorio

Metodología de

Entorno y herramientas análisis de

Análisis de malware

Seguridad en el Software

Esquema

Seguridad en el Software

Ideas clave 4.1. ¿Cómo estudiar este tema? Para estudiar este tema debes leer las ideas clave y de los apuntes elaborados por el profesor «Tema 4: Análisis de malware ». El objetivo del presente tema es introducir al alumno en los aspectos fundamentales que definen los diferentes tipos de malware, sus formas de obtención, justificar los beneficios obtenidos mediante el análisis de malware a fin de comprender su funcionamiento, evaluar el daño causado por un ataque, valorar sus intenciones y capacidades, entender la necesidad de establecer redes de ofuscación para el malware basadas en el uso de honeynet y por último introducir al alumno en una metodología de análisis, que incluye los pasos: actividades iniciales, clasificación, análisis estático y análisis dinámico.

4.2. Introducción al malware Actualmente el código malicioso, en adelante malware, ha evolucionado hasta convertirse en uno de los peligros y amenazas más importantes que afectan a la seguridad de los sistemas TIC. La magnitud de esta amenaza se debe en parte a la cada vez mayor complejidad de software, algo que en última instancia se traduce en un creciente número de vulnerabilidades que pueden ser explotados por un atacante, contra los usuarios finales y organizaciones. Por lo tanto, la protección de los sistemas TIC del malware es actualmente uno de los problemas de seguridad más importantes para las organizaciones y los individuos, en este sentido se considera de vital importancia el conocer su estructura, funcionamiento e interacción del mismo, pues aportará una valiosa información, no solo para el diseño y desarrollo de contramedidas eficaces, sino que también para ayudar a conocer el origen de un ataque y evaluar capacidad de detección de los sistemas de la organización, a objeto de tomar las acciones de respuesta necesarias y adecuadas.

TEMA 4 – Ideas clave

Seguridad en el Software

En concreto entre los beneficios que se obtendría de su conocimiento tendríamos: Conocer el origen de un ataque e identificar al intruso. Evaluar la capacidad de detección de malware de los sistemas de protección de las organizaciones. Evaluar los daños causados por la intrusión y acciones del malware. Descubrir otras máquinas que han sido afectadas por el mismo malware. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la actualización del software que la mitigue, si está disponible. Obtención de datos necesarios para poder implementar defensas necesarias para mitigar y neutralizar los daños producidos por el malware particular analizado, entre las que se pueden incluir reglas de cortafuegos, de sistemas de detección de intrusiones tipo red y host y antivirus. Determinar el nivel de sofisticación y complejidad del malware. El grado de complejidad de las técnicas y el nivel conocimiento necesarios para analizar malware es proporcional al nivel de sofisticación del mismo, estas técnicas conocidas como técnicas de análisis y reingeniería de malware, pretenden facilitar la adquisición de conocimiento sobre el mismo de una manera sistemática y metodológica.

4.3. Tipos de malware Comencemos con su definición, en el documento “Desmontando Malware” realizado por el INTECO lo describe como «Término genérico utilizado para referirse a cualquier tipo de software malicioso o molesto que puede instalarse en los sistemas informáticos para llevar a cabo acciones sin el conocimiento del usuario». De la definición se desprende que malware, es cualquier tipo de software desarrollado con propósitos maliciosos y su término general se utiliza para describir a virus, gusanos y otros tipos de programas nocivos e indeseables. En conclusión, malware es cualquier programa o código malicioso que se ejecuta en un sistema informático sin conocimiento y permiso del usuario y le provoca un perjuicio.

TEMA 4 – Ideas clave

Seguridad en el Software

Las principales acciones que suele realizar sobre la máquina víctima, son las siguientes: Envío de correo a gran escala. El malware obtiene direcciones de correo electrónico para su propagación. Eliminación de archivos. Suele borrar archivos clave sin los cuales el ordenador no puede arrancar o funcionar correctamente, por ejemplo en Windows: boot.ini, ntdetect.com, ntldr, ntoskrnl.exe y otros archivos de arranque. Modificación de archivos. El software intenta modificar archivos para incluir troyanos en archivos ejecutables o actualizaciones de Windows. Modificación de claves del registro u otro tipo de datos de configuración. Algunos malware intentan desactivar anti-virus, anti-spyware, firewall y otros tipos de software para poder realizar una mayor explotación y uso no autorizado. Degradación del rendimiento. El software malicioso puede provocar problemas de rendimiento en el sistema afectado, por ejemplo el gusano W32.Korgo.F produce problemas de rendimiento en la red. Inestabilidad del sistema. El software malicioso puede provocar problemas de estabilidad en el sistema afectado. Robo de información corporativa y confidencial. Por ejemplo, el gusano W32.Korgo.F al funcionar como puerta trasera permitiendo accesos no autorizados. Modificación de la configuración de seguridad. El software modifica la configuración de seguridad y abre puertos para permitir el uso no autorizado. Por ejemplo el gusano W32.Netsky.Y abre una puerta trasera en el puerto 82. En la siguiente tabla se presentan los métodos de propagación y vectores de inyección utilizados por diferentes tipos de malware a lo largo de los años.

TEMA 4 – Ideas clave

Seguridad en el Software

Malware

Año

Técnicas de Inyección

Happy99

1999

Anexos de correos electrónicos, ejecución de ficheros Anexos de correos electrónicos, ejecución de ficheros Anexos de correos electrónicos, ejecución de ficheros Servicios de red vulnerables Servicios de red vulnerables

Inta

2000

Vecna(Coke)

2001

CodeRed CodeRedII

2001 2001

Nimda

2001

Slammer MSBlast Sobig

2001 2001 2003

Bagle

2003

Netsky

2003

Sasser StormWorm

2004 2007– 2008

Anexos de correos electrónicos, ejecución de ficheros, escaneo de red y gusanos web Servicios de red vulnerables Servicios de red vulnerables Anexos de correos electrónicos, ejecución de ficheros Anexos de correos electrónicos, ejecución de ficheros Anexos de correos electrónicos, ejecución de ficheros, archivos anexados. Servicios de red vulnerables Anexos de correos electrónicos, ejecución de ficheros

AutoIT

2008

Ejecución de ficheros

Downadup

2009

Ejecución de ficheros

Bacteraloh

2009

Ejecución de ficheros, redes P2P.

Koobface

2009

Exploit en el lado cliente

Técnicas de Propagación Infección de la aplicación CorelDraw Integración en espacios en vacios de ficheros. Unidos a la Mapi.dll con el fin de unirse a todos los mensajes salientes desde el sistema infectado Explotación directa de los servicios vulnerables Explotación directa de los servicios vulnerables incluyendo un motor de escaneo Anexos de correos electrónicos, ejecución de ficheros, escaneo de red y gusanos web Explotación directa de los servicios vulnerables Explotación directa de los servicios vulnerables File dropper1 sobreescritura o borrado de los ficheros originales Puertas traseras A través de redes P2P2 implementadas por aplicaciones como Kazaa, Morpheus, Gnutella, etc.. Explotación directa de los servicios vulnerables File dropper sobreescritura o borrado de los ficheros originales. Estructura P2P de mando y control y cadena de comunicación Fax Flux3 Copias generadas en dispositivos removibles, como discos, memorias USB, etc., sobreescribiendo el archivo autorun.inf Transferencia y compartición de ficheros a través de la red. Utilidad dañina que un usuario descarga y ejecuta a nivel local, creyendo que es benigna Se expande a través de las de redes sociales, cargándose a través de link de URL vinculadas al malware a través de sitios como Facebook, MySpace, Friendster, y LiveJournal

Tabla 1 Técnicas de propagación del Malware. Extraída y traducida de Ed Tittel. PC Magazine® Fighting Spyware, Viruses, and Malware. Wiley Publishing, Inc.

Existe tal variedad de malware, su evolución es tan rápida y sus características frecuentemente compartidas entre varios tipos, que la realización de una taxonomía o clasificación del mismo no es una tarea fácil, no obstante en los siguientes párrafos se presentan los tipos más comunes y sus principales características. Virus. Básicamente es un programa que se integra dentro de otro programa aparentemente inocuo, que produce copias de sí mismo en la memoria del ordenador, que a su vez las inserta en otros programas y por lo general lleva a cabo una acción maliciosa, comodela"instalar" destrucción demalware los datos, modificación ficheros File dropper. Software malicioso encargado algún tipo de como virus, spyware, troyano,de puerta trasera, de etc.) en el sistema de destino, de forma que no sea detectado por los antivirus. Puede también considerarse un componente del sistema etc. malware. 2 Es una red de ordenadores en la que todos los nodos funcionan como clientes y servidores a la vez, comportándose como iguales

1

entre sí. 3 Fast-flux. Técnica empleada por botnet para evadir la detección, que consiste en una red de sistemas comprometidos con registros DNS públicos que están en constante cambio, cada pocos minutos, con arquitecturas que cambian constantemente, para hacer que sea mucho más difícil de rastrear las actividades maliciosas.

TEMA 4 – Ideas clave

Seguridad en el Software

Gusanos. Es un programa malicioso similar a un virus, pequeño, autónomo que se replican a través de una red sin intervención humana y por lo general lleva a cabo una acción destructiva. Troyanos. Es un software o programa aparentemente útil y de apariencia inocente, cuando en realidad contiene oculto en su interior instrucciones de carácter malicioso. Puertas traseras (Backdoors). Es u tipo de software malicioso que crea un canal de de entrada (normalmente un canal a un servidor IRC) que el ciberatacante utiliza para conectar, controlar, espiar o instalar otro malware como un keylogger, un APT, software cliente de un botnet, etc. Keyloggers. Programa que puede capturar y transformar pulsaciones de teclas (teclado) para enviárselas el hacker, obteniendo información privada, como contraseñas y números de tarjetas de crédito, etc. Spyware. Software para obtener información del objetivo (ciberespionaje) que se instala en un equipo sin el conocimiento del usuario y transmite información personal sobre las actividades y preferencias del usuario como las páginas visitadas, dirección de correo electrónico, número de tarjeta de crédito, tecla pulsada por el usuario, al atacante. Adware. Software que proporciona a los anunciantes información sobre hábitos de navegación de los usuarios, sitios web visitados, productos comprados en línea, etc., sin su permiso o voluntad, permitiendo así al anunciante ofrecer anuncios orientados con los hábitos de la víctima o incluso redirigir al usuario a navegar por web’s que contienen ciertos anuncios. Rootkits. Es un tipo de software malicioso de gran peligrosidad y difícil eliminación que modifican ficheros y librerías del sistema operativo de la máquina objetivo, para ocultar su existencia y mantener el acceso o incluso permitiendo al intruso tomar el control del equipo. En general, existen dos tipos de rootkits: modo usuario y modo kernel.

TEMA 4 – Ideas clave

Seguridad en el Software

Botnet. Son un tipo de malware, de crecimiento espectacular en los últimos años, que se instala en el sistema objetivo a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social y consiste básicamente en la creación de una red de ordenadores zombis o robots de software autónomos, que son controlados remotamente mediante un sistema de mando y control «C2» por el ciberatacante normalmente a través de un canal de Chat IRC. Spam. Consiste en el envío masivo de correo electrónico no solicitado a través de Internet, principalmente por motivos publicitarios, a partir de una lista obtenida por un robot de spam, que al navegar por Internet extrae todas las direcciones de correo electrónico que encuentra en las páginas web visitadas y las escribe en un archivo. Bomba lógica. Más que un tipo de malware, es código incluido en otros tipos, como virus, amenazas avanzadas persistentes (APT), gusanos informáticos, etc., que permanece oculta hasta que se producen una serie de condiciones lógicas y temporales, en ese momento se ejecuta un código que produce acción maliciosa en el sistema. Ransomware. Es una clase de malware que busca un beneficio económico mediante la realización de un chantaje al usuario de la máquina infectada, como la restricción de acceso al mismo coaccionándole a pagar un rescate al ciberatacante para que la restricción sea eliminada. Rogueware o Scareware. Otro tipo de malware que busca la obtención de beneficio económico mediante estafa, utilizando técnicas de ingeniería social para causar un estado de shock o ansiedad en el usuario, causándole una alarma ente una amenaza, como el informarle y simularle la presencia de diversos tipos de malware en su máquina. Advanced Persistent Threat (APT). Tipo del malware que consiste en un tipo sofisticado de ciberataque organizado, de rápida progresión y largo plazo, que constituye uno de los desafíos de seguridad más importantes y peligrosos, que deben afrontar hoy en día las organizaciones. Diseñado específicamente para acceder y obtener información de los sistemas de la organización objetivo, los vectores de ataque que usan pueden ser no muy diferentes de los empleados en otros tipos de ataque o incluso ser desarrollos específicos.

TEMA 4 – Ideas clave

Seguridad en el Software

Una iniciativa muy importante desarrollada para comunicar y compartir información útil recogida sobre malware sin ambigüedad y pérdida de datos, lo constituye la iniciativa

del

MITRE

«Malware

Attribute

Enumeration

and

Characterization» (MAEC), que consiste básicamente en la creación de un lenguaje estandarizado y formato de caracterización sobre la base de sus atributos, comportamiento, artefactos y patrones de ataque, permitiendo la creación de patrones abstractos, más ventajoso que el uso de firmas físicas, pues permiten la codificación precisa de cómo funciona el malware y las acciones específicas que realiza.

Figura 1. Componentes de MAEC

4.4. Obtención del malware Antes de comenzar con las actividades de análisis de malware, es necesario el disponer de mecanismos de obtención del mismo, entre los que tenemos los siguientes: Bajándolo de páginas de Internet. Capturándolo en una honeynet, honeypot y honeytokens. Capturándolo en una máquina infectada de la organización, al visitar servidores web maliciosos o debido a archivos adjuntos de correo electrónico, que es más un incidente de seguridad a resolver por la organización que un medio de obtención. Utilización de un motor de búsqueda como Google, para buscar archivos binarios de malware. Una forma de estudiar los métodos y patrones de ataque del malware, que permite conocer con detalle las vulnerabilidades de las redes de una organización y los ataques que las explotan para acceder a los sistemas protegidos, consiste en la implantación de honeypots, honeytokens y honeynets, como medida proactiva de defensa.

TEMA 4 – Ideas clave

Seguridad en el Software

Este tipo de sistemas permite la obtención de malware para utilizarlo con propósitos investigación, pues permite obtener datos directamente de ataques reales al dejar de algún modo «expuestos» sistemas que puedan posteriormente analizarse. Estos sistemas deben ser construidos con el propósito de hacer creer al atacante que está ante un sistema real en producción, con aparentes problemas de seguridad debidos a una instalación incorrecta o una mala política de parcheo. Por supuesto esta apariencia no es real, por cuanto los sistemas estarán monitorizados y cualquier acceso será registrado en todos y cada uno de los movimientos que los atacantes realicen. Honeypot Se puede definir Honeypots como: sistemas TIC con servicios reales o simulados, que aparenta ser un sistema en producción y que posee vulnerabilidades

que

han

sido

introducidas

deliberadamente

para

observar intrusiones, mediante sistemas de monitorización específicos para ello. No son sistemas en producción, por lo que pueden ser desconectados de la red e incluso apagados para realizar un análisis forense después de un ataque. A su vez los honeytokens son honeypots que no son sistemas TIC, tal y como puede ser un documento falso pero verosímil, una dirección de correo electrónico falsa usada para rastrear, una entrada de base de datos o incluso un inicio de sesión falso. Existen diferentes tipos de honeypots, tal y como podemos ver en la siguiente figura: Honeypots Inve stigación

Tipo de uso Producción

Físicos

Tipo implementación Virtuale s

Baja inte racción

Tipo de interacción Alta inte racción

Figura 2. Tipos de Honeypots

TEMA 4 – Ideas clave

Seguridad en el Software

Honeynet Básicamente una Honeynet se puede definir como «Una red que contiene uno o más honeypots de alta o baja interacción, herramientas de monitorización y recolección y análisis de datos y los diferentes dispositivos de conexión y filtrado que soportan la infraestructura de la red». Su propósito es el simular una red de producción, con una arquitectura y configuración que permita controlar, registrar y monitorizar toda la actividad atacante. Dicha arquitectura consta de diferentes tipos de dispositivos como router, firewall, switch, IDS y diferentes tipos de honeypots. Sus tres principales requisitos son: Control de datos. Captura de datos. Recolección y análisis de datos. Al gateway de entrada se le denomina «honeywall», separa los honeypots de las redes exteriores. Cualquier tráfico que se dirija o provenga del los honeypots tiene que pasar por el honeywall, permitiendo todo el tráfico de entrada y limitando el de salida para que el atacante en caso de comprometer algún honeypots no lo pueda usar para atacar otras redes o la propia de producción. Existen diferentes tipos de honeynet, tal y como podemos ver en la siguiente figura:

Honenet GEN I

Arquitectura

GEN II

GEN III Virtuales

Implementación

Físicas

Híbridas

Figura 3. Tipos de Honeynet

TEMA 4 – Ideas clave

Seguridad en el Software

4.5. Entorno y herramientas análisis de malware El análisis de malware requiere la implementación de un entorno de pruebas o laboratorio, es decir un entorno controlado en el que los acontecimientos inesperados son inexistentes o reducidos al mínimo, que nos permita simular con condiciones realistas los escenarios de ejecución del malware. Además debe ser un entorno aislado de otras redes para poder asegurar la no propagación del malware o sus efectos a las redes de producción o incluso Internet, que permita la obtención y realización de una línea base de la configuración del equipo víctima, clasificación y ejecución del malware, recogida y análisis de datos obtenidos, análisis estático de su código y por último un análisis dinámico en un entorno que simule el ambiente real de ejecución. Esto dará un análisis completo del ciclo de vida

del

malware; su comportamiento, métodos de

ocultación y

ofuscación, sistema de actualizaciones y comunicaciones. La construcción de un laboratorio para análisis de malware requiere de la utilización de dos entornos, uno de hardware físico y otro virtual, figura 4, pues algunos de los malware más sofisticados no se ejecutan si detectan que se están ejecutando en una máquina virtual. No obstante dada la facilidad, funcionalidad y posibilidad de ejecutar en un ordenador las diferentes máquinas del laboratorio en una plataforma virtual, se considera como primera opción a la hora de trabajar.

Laboratorio Analisis Malware HONEY NET EXTERNA

Internet Internet

LAN VIRTUALIZADA MAQUINA VIRTUALIZADA

DMZ

Victima B

WINDOWS

DHCP, HTTP, FTP, SMTP, gateway por defecto

WINDOWS SERVER

LINUX SERVER

SERVIDOR 1

IPS

SOLO TRAFICO SSH

Servicios B

Monitorización B TCPdump NFSEM Wireshark Web, mail, ftp

HONEY NET DMZ

LAN FISICA Victima A

Monitorización A Servicios A TCPdump NFSEM Wireshark Web, mail, ftp

IPS

WINDOWS

WINDOWS SERVER

DHCP, HTTP, FTP, SMTP, gateway por defecto LINUX SERVER

Figura 4. Arquitectura laboratorio análisis de malware

TEMA 4 – Ideas clave

Seguridad en el Software

Este laboratorio de malware constará de los siguientes subsistemas: Subsistemas de análisis físico y virtual, dispondría cada uno de los siguientes dispositivos: o Víctima. Su objetivo será el constituir la plataforma donde se va a ejecutar y monitorizar el malware para estudiar su comportamiento. Construido en base a una máquina Windows con sistema operativo XP u otro que se considere. o Monitorización y servicios Windows. Su objetivo es el realizar la grabación y monitorización del tráfico de red producido por el malware, proporcionar servicios específicos de sistemas Windows, como SMB y la realización de las fases de clasificación y análisis estático de código. Construido en base a un sistema operativo servidor de Windows el 2003 server o superior, con la aplicación IIS instalada. o Servicios. El objetivo de este servidor es el de proporcionar servicios al malware en su interactuación con el entorno, tal y como pueden ser Http, DHCP, Chat, IRC Server, FTP, DNS y SMTP, para simular su entorno de ejecución. Construido en base a un sistema operativo Ubuntu Server u otro tipo de distribución Linux, con herramientas instaladas como Inetsim y netcat. En la siguiente tabla se indica la utilidad de estos servicios y su distribución en las diferentes máquinas.

Servicio DNS

DHCP

HTTP FTP SMTP SMB

Utilidad Redirigir los accesos a internet realizados por el malware a los servidores de servicios monitorización y servicios Windows Necesario para que los sistemas de laboratorio obtengan una IP, y para establecer la maquina Servicios como puerta de enlace, para redirigir y capturar los intentos de comunicación del malware Capturar el tráfico redirigido generado por el malware Capturar el tráfico redirigido generado por el malware Capturar el tráfico redirigido generado por el malware Compartición de ficheros de Windows. Cebo para el malware con archivos confidenciales, aparentemente sin vigilancia.

Maquina Servicios

Plataforma virtual o Servicios

Servicios o Monitorización y Servicios Windows Servicios Servicios Monitorización y Servicios Windows

Tabla 2 . Servicios del laboratorio. Adaptada de Sanabria, A. (2007). Malware Analysis: Environment Design and Artitecture. SANS Institute

TEMA 4 – Ideas clave

Seguridad en el Software

Subsistema Recolección de Malware. Se trataría de un sistema virtual de arquitectura de Generación III, tal y como se ha descrito en el apartado anterior, con honeypots de alta y baja interacción. Se debería disponer de una Honeynet en una DMZ y otra en Internet, con cometido de captura y análisis de datos producidos de la actividad del código dañino o malware, en entornos con diferente niveles de seguridad. Para la extracción del malware se tendría un acceso por SSH a las dos honeynet a iniciar sólo desde la parte interna, regla a incluir en los cortafuegos. A continuación presentamos una tabla, en la que se indica la máquina donde se debe instalar cada una de las herramientas presentadas y servicios.

Victima

Monitorización y Servicios Windows

Servicios

Strings BinText. PEBrowse BGInfo Process Explorer Process Hacker Process Monitor. PsFile RootkitRevealer. McAfee Rootkit Remover. Streams AutoRuns TCPView Fport Hfind Vision. Filewatch Attacker Winalysis

Md5sums md5deep WinMD5 YARA ClamAV Ssdeep Bitdefender AntiVir Panda Strings PEiD Dependency Walker PEBrowse Windump Wireshark Snort WinHex IDA Pro Reverse Engineering Compiler. ProcDump 32 Ollydbg PE Explorer Windbg Fake DNS Fakenet ISS

Netcat HTTP Apache Aplicación FTP Fake DNS inetsim AVG F-prot

Tabla 3 Herramientas análisis de malware relacionadas con la máquinas del laboratorio donde deben ser instaladas.

TEMA 4 – Ideas clave

Seguridad en el Software

4.6. Metodología de análisis de malware Un paso importante para facilitar la adquisición de conocimiento sobre un malware concreto es la realización de un proceso sistemático y metodológico de análisis, cuyo principal objetivo es el de obtener una comprensión completa del mismo, en lo relativo a su funcionamiento, identificación y formas de eliminación. Las fases que se proponen en la metodología propuesta son: Acciones Iniciales. Consiste principalmente en la realización de una serie de acciones encaminadas a obtener un registro de la configuración con el propósito de disponer de una referencia para obtener datos por comparación, antes y después de ejecutar el malware bajo estudio. Principalmente las actividades a ejecutar serán: o Realizar un hash MD5 de todas las herramientas que van a utilizar para verificar

la integridad de las mismas, no siendo modificadas, asegurarse de que el malware no instala un Rootkit. o Realizar una línea de base de la configuración del sistema víctima. o Foto de la situación inicial «snap shot» si estamos en el entorno virtual o una

imagen si estamos en el entorno físico. Clasificación. Consiste en examinar el archivo ejecutable del malware sin acceder al código malicioso, con el objetivo, primero de confirmar si es algún tipo de malware y si lo es obtener información sobre su funcionalidad que pueden permitir la realización firmas simples de red. Es un proceso básico, sencillo y rápido que permite obtener información inicial para la realización de las siguientes fases. Análisis dinámico. Consiste básicamente en la realización de un análisis del comportamiento del malware en ejecución, con el objeto de observar su comportamiento y obtener las acciones que realiza sobre el sistema objetivo (modificaciones del registro, ficheros, etc.) y trafico de red que genera. Análisis estático. Consiste básicamente en la realización de un análisis de código ensamblador del malware, navegando través de él al objeto de conseguir una mejor comprensión y funcionamiento del mismo.

TEMA 4 – Ideas clave

Seguridad en el Software

1. Acciones iniciales

2. Clasificación

3. Análisis

4. Análisis

dinámico

estático

Figura 5. Metodología Análisis de Malware

La metodología propuesta, pretende ser una base para la realización de un proceso sistemático y metodológico de análisis de malware, de carácter flexible que puede requerir ligeras variaciones, dada la gran cantidad de tipos de códigos maliciosos existentes y tecnologías empleadas en su construcción.

TEMA 4 – Ideas clave

Seguridad en el Software

Lo + recomendado Lecciones magistrales Amenazas avanzadas persistentes En la presente lección magistral se va a realizar una introducción a un tipo específico de malware denominado Advanced Persistent Threat (APT), medio de espionaje electrónico de gran capacidad de obtención de información y difícil defensa, en lo referente a las características que lo definen y las estrategias de protección que las organizaciones deben adoptar.

El vídeo está disponible en el aula virtual.

TEMA 4 – Lo + recomendado

Seguridad en el Software

No dejes de leer… Analysis of a Simple HTTP Bot Asjley, D. Analysis of a Simple HTTP Bot. SANS Institute. Este artículo describe los métodos de ingeniería inversa utilizados para analizar un simple Bot HTTP. El análisis se centra en algunos de los componentes del Motor de búsqueda HTTP que pueden estar presentes en los más complejos bots HTTP. Por lo tanto, la comprensión de los componentes de este ejemplar de malware puede permitir comprender a un analista más fácilmente un bot HTTP más complejo. Accede una parte del libro desde el aula virtual o a través de la siguiente dirección web: http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-httpbot_33573

Clash of the Titans: ZeuS v SpyEye Nayyar, H. Clash of the Titans: ZeuS v SpyEye. SANS Institute. En este trabajo se analiza el funcionamiento de dos bots Zeus y SpyEye. Se describe la forma de realizar ingeniería inversa de los dos binarios y las técnicas de ofuscación utilizadas por ellos. Dado que ya hay mucha literatura que describe sus capacidades maliciosas individuales, este trabajo no se centra en esos aspectos. En cambio, la atención se centra principalmente en la comunicación entre procesos entre los dos binarios, que es un fenómeno relativamente raro en el mundo del malware. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeusspyeye_33393

TEMA 4 – Lo + recomendado

Seguridad en el Software

The Nimda Worm: An Overview Aronne, E. J. The Nimda Worm: An Overview. SANS Institute. El 18 de septiembre de 2001, un nuevo gusano de rápida propagación apareció en Internet, se le llmó "Nimda". Durante su ciclo de vida ha comprometido la confidencialidad, integridad y disponibilidad de los diferentes recursos a través de Internet. Nimda explota varias vulnerabilidades conocidas y corregible en Microsoft Windows 9x, ME, NT, 2000 y sistemas. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.sans.org/reading_room/whitepapers/malicious/nimda-wormoverview_95

Code Red Worm Invasion Bristow, S. Code Red Worm Invasion. SANS Institute. Documento que analiza el funcionamiento del el malware Code Red. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://www.sans.org/reading_room/whitepapers/malicious/code-red-worminvasion_93

TEMA 4 – Lo + recomendado

Seguridad en el Software

No dejes de ver… World-Class Malware Defense: Using the Cloud to Secure Your Business Vídeo acerca de un novedoso tipo de antivirus. Phil Owens, Senior Sales Engineer, GFI Software.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: https://www.brighttalk.com/webcast/8303/55577

Real Advances in Android Malware Conferencia sobre lo que los autores de malware y delincuentes están haciendo para mejorar la eficacia y la capacidad de evasión de su código malicioso en sistemas Android.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: http://www.youtube.com/watch?v=i3pRSmNc1Ng

TEMA 4 – Lo + recomendado

Seguridad en el Software

+ Información A fondo Honeypots, monitorizando a los atacantes Artículo que trata en profundidad los diferentes tipos de honeypots. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_a tacantes

A Structured Language for Attribute-Based Malware Characterization Descripción del estándar de caracterización y clasificación de malware MAEC. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://makingsecuritymeasurable.mitre.org/docs/maec-intro-handout.pdf

Malware Attribute Enumeration and Characterization Documento que presenta y define un lenguaje para caracterizar malware sobre la base de sus comportamientos, artefactos, y dibujos de ataque. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://maec.mitre.org/about/docs/Introduction_to_MAEC_white_paper.pdf

TEMA 4 – + Información

Seguridad en el Software

Informe de McAfee sobre amenazas Informe que describe las tendencias del malware ocurridas durante el primer trimestre del 2012. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2012.pdf

Webgrafía MAEC Malware Attribute Enumeration and Characterization (MAEC). Página web que introduce y define un lenguaje para la caracterización de malware basado en sus comportamientos, artefactos, y los patrones de ataque.

https://maec.mitre.org/

Enciclopedia Virus Kaspersky

Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Kasperky, hasta la fecha. http://www.viruslist.com/eng/

TEMA 4 – + Información

Seguridad en el Software

Enciclopedia Virus Symantec Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Symantec, hasta la fecha.

http://securityresponse.symantec.com/avcenter/vinfodb.html Enciclopedia Virus Trend Micro Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Trend Micro, hasta la fecha.

http://www.trendmicro.com/vinfo/virusencyclo/

Bibliografía Davis, M.; Bodmer, S.; Lemasters, A. (2010). Hacking Exposed™ Malware & Rootkits: Security Secrets & Solutions. McGraw-Hill. Gregg, M. (2008). Build Your Own Security Lab: A Field Guide for Network Testing. Wiley Publishing, Inc. Hale Ligh, M.; Adair, S.; Hartstein, B.; Richard, M. (2011). Malware Analyst’s Cookbook and DVD. Tools and Techniques for Fighting Malicious Code. Wiley Publishing, Inc.

TEMA 4 – + Información

Seguridad en el Software

Sharif, M.; Yegneswaran, V.; Saidi, H. and Porras, P. (2008). Eureka: A Framework for Enabling Static Analysis on Malware. Technical Report Number: SRI-CSL-08-01 SRI Project 17382 Computer Science Laboratory and College of Computing, Georgia Institute of Technology. Sikorki, M. and Honing, A. (2012). Practical Malware Analysis. The hans-on guide dissecting malicious software. No Starch Press. Tittel, E. Absolute Beginner’s Guide to Security, Spam, Spyware & Viruses (Absolute Beginner’s Guide). Fighting Spyware, Viruses, and Malware. PC Magazine® Wiley Publishing, Inc.

TEMA 4 – + Información

Seguridad en el Software

Actividades Trabajo: Análisis dinámico de malware En este trabajo debes ejecutar el malware encontrado en el archivo Lab03-03.exe obtenido de

http://sourceforge.net/projects/pmalabs/

mientras

lo monitorizas

mediante las herramientas básicas de análisis dinámico en un entorno seguro. El entorno seguro se realizará en base a un software virtual tipo VMAWARE player, virtual box con una máquina con sistema operativo de Microsoft, con la tarjeta de red en modo aislado. Herramientas a utilizar (en los apuntes del tema 4 están los enlaces para descargárselas): Process Explorer. Process Monitor. Stringas. Notepad. Preguntas: ¿Qué observas al supervisar este malware con Process Explorer? ¿Puedes identificar modificaciones en la memoria? ¿Qué archivos crea? ¿Cuál es el propósito de este? Como ayuda consultar los manuales de las herramientas disponibles en los siguientes sitios web: http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Explorer_Tutorial_Handout.pdf http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Monitor_Tutorial_Handout.pdf

TEMA 4 – Actividades

Seguridad en el Software

Se debe enviar una memoria que responda a la preguntas del ejercicio y contenga una descripción detallada de las actividades realizadas. (Ejercicio obtenido de LAB 3.3 del tema 3 del libro: Sikorki, M. and Honing, A. (2012). Practical Malware Analysis. The hans-on guide dissecting malicious software. No Starch Press.) Se recomienda leer antes de realizar el trabajo el apartado de análisis dinámico de los apuntes del profesor elaborados para este tema. Extensión máxima de la actividad: 8 a 12 páginas, fuente Georgia 11 e interlineado 1,5.

TEMA 4 – Actividades

Seguridad en el Software

Test 1. Beneficios del análisis de malware. Indica la respuesta falsa. A. Descubrir otras máquinas que han sido afectadas por el mismo malware. B. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la actualización del software que la mitigue, si está disponible. C. Obtención de datos necesarios para poder implementar defensas. D. Determinar el nivel de expansión del malware. 2. Pasos de la metodología de análisis de malware. Señala la incorrecta: A. Actividades iniciales. B. Clasificación. C. Análisis heurístico. D. Análisis dinámico. 3. Acciones que el malware suele realizar sobre la máquina víctima. Señala la incorrecta: A. Modificación de archivos. B. Envío de correos personales. C. Degradación del rendimiento. D. Inestabilidad del sistema. 4. Los mecanismos de propagación del malware. Señala la incorrecta. A. File dropper. B. Integración en espacios vacios de ficheros. C. Puertas traseras. D. Gusanos. 5. Vectores de infección. Señala la incorrecta. A. File dropper. B. Correos electrónicos. C. Redes Peer-To-Peer (P2P). D. Servicios de red vulnerables.

TEMA 4 – Test

Seguridad en el Software

6. Ejemplos de troyanos. Señala la incorrecta. A. Back Orifice. B. NetBus. C. SaranWrap. D. Titan Rain. 7. Componentes del Malware Attribute Enumeration and Characterization (MAEC). Señala la incorrecta. A. Estructura de datos. B. Vocabulario. C. Esquema de definición. D. Formato de salida estándar. 8. Mecanismos de obtención del malware. Señala la incorrecta. A. Bajándolo de páginas de Internet. B. Capturándolo en una honeynet. C. Comprarlo a una empresa de prestigio internacional. D. Capturándolo en una máquina infectada. 9. ¿Qué principales mejoras introduce la Generación III de Honeynet? A. Las tareas de control y captura de datos ahora están centralizadas en un solo dispositivo llamado Honeywall. B. Utiliza como Gateway acceso un dispositivo de Capa que actúa como un puente, en lugar de un router. C. Mejora las versiones del Hardware. D. Normaliza los datos registrados por cada herramienta de captura de datos. 10. ¿En qué fase se debe realizar un hash MD5 de todas las herramientas que van a utilizar para verificar la integridad de las mismas? A. Análisis estático. B. Análisis dinámico. C. Acciones iniciales. D. Clasificación.

TEMA 4 – Test