Taller Análisis Básico de Malware

Transcript

1. Análisis básico de Malware @ShieldNow

2. About Me @dvirus Daniel Rodríguez Chief Information Security Officer -

   O4IT

3. Agenda • Introducción • Técnicas de Análisis de Malware •

   Configuración de Laboratorio • Análisis Estático Básico • Análisis Dinámico Básico • Introducción al análisis avanzado

4. Precaución

5. Análisis de Malware

6. Análisis de Malware https://zeltser.com/mastering-4-stages-of-malware-analysis/

7. Tipos de Malware Clase Descripción Adware Aprende hábitos del usuario

   y genera propaganda o marketing dedicada Backdoor (Puerta Trasera) Provee al atacante una vía alterna para acceder al sistema Bot Todos los computadores infectados reciben instrucciones desde un servidor de comando y control C&C Downloader (Descargador) Existe para descargar otro código malicioso Launcher Código malicioso usado para lanzar otros programas maliciosos.

8. Tipos de Malware Clase Descripción RAT (Remote Access Tool) Similar

   al backdoor, permite al atacante enviar comandos al sistema comprometido Rootkit Grupo de programas que se esconden en el sistema Scareware Malware que asusta al usuario con el fin de que este compre productos falsos de seguridad Spyware (Espía) Toma un nivel de control sobre el equipo para leer información y enviarla a un tercero

9. Tipos de Malware Clase Descripción Spam-sending Malware que infecta para

   el envío de correo no deseado. Virus Código que se propaga a través del sistema con la interacción del usuario. Worm (Gusano) Código que se auto-progaga / replíca a través del sistema sin la intervención del usuario.

10. Muestras • • • • •

11. Configurando el Laboratorio https://dvirus.training/lessons/configuracion-de-laboratorio/

12. OS: Windows 7 Service Pack 1 Architecture: Intel 32bit Network:

    Internal networking RAM: 2 GB + Tools: • OllyDbg • 7zip • Putty • WinDbg • IDA Free • PEiD • PEview • Wireshark • RawCap • Wget • Notepad++ • UPX • Sysinternals Suite • API Monitor • Unxutils Configurando el Laboratorio

13. • • • Configurando el Laboratorio | Snapshots

14. Perfilado de archivo • • • • •

15. Perfilado de archivo

16. Análisis Estático Básico Examinar el Malware sin ejecutarlo

17. Obtener información básica Sigcheck sigcheck -h c:\samples\bad.exe Verified: Unsigned Link

    date: 11:46 AM 10/18/2011 Publisher: n/a Company: n/a Description: n/a Product: n/a Prod version: n/a File version: n/a MachineType: 32-bit MD5: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1: D6356B2C6F8D29F8626062B5AEFB13B7FC744D54 PESHA1: F7D5B7F203BA3D4696EAC5030A8F51EB480C6DF1 PE256: EFFB2D5EC241003C529105DEA9959C3A98DBAE189B96B0A5A6CEF316294B59ED SHA256: 6AC06DFA543DCA43327D55A61D0AAED25F3C90CCE791E0555E3E306D47107859 IMP: 4DC1143E47A9A737805F66B3B75560BE sigcheck -e -u *

18. Obtener información básica Virustotal

19. Archivos PE

20. Cabeceras del PE ❏ ❏ ❏ ❏

21. Obtener información básica PEview

22. Obtener información básica PEid

23. Recolección de cadenas Strings strings.exe c:\samples\bad.exe strings.exe c:\samples\bad.exe | more

    strings.exe c:\samples\bad.exe | findstr /i TextToSearchFor

24. Análisis de Dependencias Dependecy Walker

25. Ofuscamiento y compresión

26. descomprimir UPX

27. A jugar!!! Objetivo: Practicar las acciones básicas a desarrollar durante

    la primera etapa del análisis de malware. Plataforma: http://108.175.10.186:4000 Tareas: ❏ Registro ❏ Autenticación ❏ Diversión

28. Análisis Dinámico Básico Ejecutar el Malware y observar el comportamiento

    en el sistema.

29. Cajas de Arena

30. Análisis de Red

31. Examinación de Procesos Process Explorer Muestra que procesos corren en

    el sistema con el fin de comprender cómo se utilizan los recursos durante la ejecución del malware.

32. Examinación de procesos Process Monitor Muestra en tiempo real lo

    que sucede con el sistema de archivos, registros, red, procesos e hilos.

33. Examinación de Actividad Sysmon System Monitor (Sysmon) es un servicio

    de windows que una vez instalado en el sistema permite monitorear y registrar en el log de eventos la actividad del sistema.

34. Hands On Sysinternals - WannaCry

35. WannaCry

36. Recursos • Malware Hunting with the Sysinternals Tools - Mark

    Russinovich RSA Conference 2015 • Sysmon - DFIR https://github.com/MHaggis/sysmon-dfir • WannaCry – Lecciones aprendidas https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/ • https://dvirus.training/courses/analisis-de-malware-101/ • https://dvirus.training/windows-sysinternals/

37. Análisis básico de Malware @ShieldNow @O4IT @dvirus