Enviado por p4y104d el Mié, 21/08/2019 - 15:14
malware

¿A cuántos de nosotros nos interesa aprender analizar malware? en especial ese malware que de repente llega al correo, el que nos encontramos navegando en Internet o descargando cosas. Bien, pues la idea de este post es saber qué tipo de herramientas podemos usar para el análisis de malware, así como también en donde podemos encontrar estas tools. El propósito de este post no es enseñar a crear una máquina virtual.

Como ya sabrán, existen diferentes tipos de software de virtualización o mejor conocidos como hipervisores, de los cuales los más famosos son Virtual Box y VMWare. Bien, en mi caso me agrada usar más Virtual Box por 2 cosas en especial:

  1. Es fácil para su manejo

  2. No necesito pagar por usarlo

A diferencia de Vmware Work Station, la cual si requiere una licencia para su uso. Cualquiera de los hipervisores que se quiera usar son buenos para nuestro propósito.

Cabe aclarar que no soy un experto en el tema de reversing y mucho menos soy experto en el tema de análisis de Malware, simplemente soy un aficionado en el tema y me gusta saber cómo trabajan las cosas, en especial el código malicioso, esto no lo hago con la intención de dañar a nadie, únicamente quiero ayudar a internet a ser un espacio mejor si es que algún día puedo.

Cuando estoy analizando un malware, utilizo diferentes sistemas operativos, como lo es Windows y GNU/Linux.

 

¿Por qué?

En el caso de GNU/Linux lo utilizo por diferentes motivos:

  1. La mayoría de Malware está hecho para Windows

  2. Por Internet se han publicado algunas fallas de seguridad con el software para descomprimir (WinRAR), por tal motivo uso el que viene por defecto en GNU/Linux

  3. Lo utilizo como primera base para descargar el Malware, ya sea por el navegador web o con la ayuda de herramientas como wget, curl, etc. En dado caso que no se tenga las herramientas por default, basta con correr el comando de instalación de acuerdo a su sistema, ejemplo, en los sistemas basados en Debian usamos “apt-get install”

En el caso de Windows, es fácil, en este sistema corro el malware.

Antes de empezar, un mensaje que quizá a muchos ya los tiene hartos, pero no está de más:

No me hago responsable por lo que les pueda llegar a pasar a sus sistemas operativos de base, por favor usen máquinas virtuales o en todo caso si tienen un equipo que ya no utilice nadie de la familia o ustedes, ese puede ser un buen equipo para las pruebas que correrán.

 

¿Qué se necesita para poder iniciar en el análisis de Malware?

Necesitamos un par de herramientas que nos van ayudar hacer un análisis correcto y “seguro”, a continuación, la lista para descargarlas:

  • Systeiternals suite, es un conjunto de herramientas desarrolladas por Mark Russinovich, tiene múltiples propósitos, les recomiendo bajar toda la suite, de este conjunto nos interesan en particular:

  1. Tcpview (Sirve para ver qué proceso se está comunicado a que dirección, ya sea interna o externa)

  2. Procexp (Es algo parecido al administrador de tareas de Windows, pero ésta herramienta puede mostrar procesos que el task manager no muestra)

  3. Procmon (Sirve para ver qué operación está realizando los procesos sobre que directorio y también puede captura los eventos, se podría decir que nos sirve para ir haciendo el “rastreo”)

  • Regshot, esta herramienta nos permitirá tomar un snapshot de los registros antes y después de correo el malware

  • Md5sum, esta herramienta nos permitirá generar un hash MD5 a nuestro Malware, en la buenas prácticas de análisis de Malware, es importante sacar un hash a lo que vamos analizar

  • ApateDNS, es una herramienta que nos permitirá spoofear un servidor DNS y de esta forma saber a qué dominios o IPs se está comunicando el Malware

  • Wireshark, esta herramienta es un sniffer de red, por lo que nos permitirá monitorear el tráfico de red.

  • IDA pro, como en todo post sobre análisis de Malware, no puede faltar IDA pro, una herramienta que nos permite hacer reversing, esta herramienta no es de uso gratuito, sin embargo bastara con buscar en internet. ;)

Las herramientas mencionadas anteriormente no siempre son utilizadas, sin embargo, es importante contar con ellas en la maquina donde vayamos a realizar el análisis de Malware. Por último, les comparto un par de post que son de mi autoría, donde muestro un par de análisis dinámico del Malware y por supuesto utilizando las herramientas mencionadas.

Éste es mi primer post en Security Hack Labs, espero poder enseñarles algo nuevo o bien, ayudar a los que menos saben e irlos encaminando; como lo mencione arriba, no soy un experto pero me gusta compartir lo poco que sé hacer y ayudar a que los demás aprendan.

Acerca del autor

Pasión por el aprendizaje y la seguridad informática.

Comentarios