Professional Documents
Culture Documents
TEMA
TEMA 4 Esquema
malware (MAEC)
Honeynet
Honeypot
Clases de malware
Caracte rizacin de l
Tipos de malware
Clasificacin
Arquitectura del
laboratorio
Herramientas del
Anlisis dinmico
Anlisis esttico
anlisis de malware
malware
laboratorio
Metodologa de
Anlisis de malware
Seguridad en el Software
Esquema
Seguridad en el Software
Ideas clave
4.1. Cmo estudiar este tema?
Para estudiar este tema debes leer las ideas clave y de los apuntes elaborados por el
profesor Tema 4: Anlisis de malware .
El objetivo del presente tema es introducir al alumno en los aspectos fundamentales
que definen los diferentes tipos de malware, sus formas de obtencin, justificar los
beneficios obtenidos mediante el anlisis de malware a fin de comprender su
funcionamiento, evaluar el dao causado por un ataque, valorar sus intenciones y
capacidades, entender la necesidad de establecer redes de ofuscacin para el malware
basadas en el uso de honeynet y por ltimo introducir al alumno en una metodologa
de anlisis, que incluye los pasos: actividades iniciales, clasificacin,
anlisis esttico y anlisis dinmico.
Seguridad en el Software
Seguridad en el Software
Las principales acciones que suele realizar sobre la mquina vctima, son las siguientes:
Envo de correo a gran escala. El malware obtiene direcciones de correo
electrnico para su propagacin.
Eliminacin de archivos. Suele borrar archivos clave sin los cuales el ordenador
no puede arrancar o funcionar correctamente, por ejemplo en Windows: boot.ini,
ntdetect.com, ntldr, ntoskrnl.exe y otros archivos de arranque.
Modificacin de archivos. El software intenta modificar archivos para incluir
troyanos en archivos ejecutables o actualizaciones de Windows.
Modificacin de claves del registro u otro tipo de datos de configuracin.
Algunos malware intentan desactivar anti-virus, anti-spyware, firewall y otros
tipos de software para poder realizar una mayor explotacin y uso no autorizado.
Degradacin del rendimiento. El software malicioso puede provocar problemas
de rendimiento en el sistema afectado, por ejemplo el gusano W32.Korgo.F produce
problemas de rendimiento en la red.
Inestabilidad del sistema. El software malicioso puede provocar problemas de
estabilidad en el sistema afectado.
Robo de informacin corporativa y confidencial. Por ejemplo, el gusano
W32.Korgo.F al funcionar como puerta trasera permitiendo accesos no autorizados.
Modificacin de la configuracin de seguridad. El software modifica la
configuracin de seguridad y abre puertos para permitir el uso no autorizado. Por
ejemplo el gusano W32.Netsky.Y abre una puerta trasera en el puerto 82.
En la siguiente tabla se presentan los mtodos de propagacin y vectores de
inyeccin utilizados por diferentes tipos de malware a lo largo de los aos.
Seguridad en el Software
Malware
Ao
Tcnicas de Inyeccin
Happy99
1999
Inta
2000
Vecna(Coke)
2001
CodeRed
CodeRedII
2001
2001
Nimda
2001
Slammer
MSBlast
Sobig
2001
2001
2003
Bagle
2003
Netsky
2003
Sasser
StormWorm
2004
2007
2008
AutoIT
2008
Ejecucin de ficheros
Downadup
2009
Ejecucin de ficheros
Bacteraloh
2009
Koobface
2009
Tcnicas de Propagacin
Infeccin de la aplicacin CorelDraw
Integracin en espacios en vacios de ficheros.
Unidos a la Mapi.dll con el fin de unirse a todos los
mensajes salientes desde el sistema infectado
Explotacin directa de los servicios vulnerables
Explotacin directa de los servicios vulnerables
incluyendo un motor de escaneo
Anexos de correos electrnicos, ejecucin de ficheros,
escaneo de red y gusanos web
Explotacin directa de los servicios vulnerables
Explotacin directa de los servicios vulnerables
File dropper1
sobreescritura o borrado de los ficheros originales
Puertas traseras
A travs de redes P2P2 implementadas por
aplicaciones como Kazaa, Morpheus, Gnutella,
etc..
Explotacin directa de los servicios vulnerables
File dropper sobreescritura o borrado de los
ficheros originales. Estructura P2P de mando y
control y cadena de comunicacin Fax Flux3
Copias generadas en dispositivos removibles,
como discos, memorias USB, etc.,
sobreescribiendo el archivo autorun.inf
Transferencia y comparticin de ficheros a travs
de la red.
Utilidad daina que un usuario descarga y ejecuta
a nivel local, creyendo que es benigna
Se expande a travs de las de redes sociales,
cargndose a travs de link de URL vinculadas al
malware a travs de sitios como Facebook,
MySpace, Friendster, y LiveJournal
Tabla 1 Tcnicas de propagacin del Malware. Extrada y traducida de Ed Tittel. PC Magazine Fighting
Spyware, Viruses, and Malware. Wiley Publishing, Inc.
entre s.
3
Fast-flux. Tcnica empleada por botnet para evadir la deteccin, que consiste en una red de sistemas comprometidos con
registros DNS pblicos que estn en constante cambio, cada pocos minutos, con arquitecturas que cambian constantemente, para
hacer que sea mucho ms difcil de rastrear las actividades maliciosas.
Seguridad en el Software
Seguridad en el Software
Seguridad en el Software
del
MITRE
Malware
Attribute
Enumeration
and
Seguridad en el Software
Este tipo de sistemas permite la obtencin de malware para utilizarlo con propsitos
investigacin, pues permite obtener datos directamente de ataques reales al dejar de
algn modo expuestos sistemas que puedan posteriormente analizarse.
Estos sistemas deben ser construidos con el propsito de hacer creer al atacante que
est ante un sistema real en produccin, con aparentes problemas de seguridad debidos
a una instalacin incorrecta o una mala poltica de parcheo. Por supuesto esta
apariencia no es real, por cuanto los sistemas estarn monitorizados y cualquier acceso
ser registrado en todos y cada uno de los movimientos que los atacantes realicen.
Honeypot
Se puede definir Honeypots como: sistemas TIC con servicios reales o
simulados, que aparenta ser un sistema en produccin y que posee
vulnerabilidades
que
han
sido
introducidas
deliberadamente
para
Tipo de uso
Produccin
Fsicos
Tipo
implementacin
Virtuale s
Tipo de
interaccin
Alta inte raccin
Seguridad en el Software
Honeynet
Bsicamente una Honeynet se puede definir como Una red que contiene uno o
ms honeypots de alta o baja interaccin, herramientas de monitorizacin
y recoleccin y anlisis de datos y los diferentes dispositivos de conexin y
filtrado que soportan la infraestructura de la red.
Su propsito es el simular una red de produccin, con una arquitectura y configuracin
que permita controlar, registrar y monitorizar toda la actividad atacante. Dicha
arquitectura consta de diferentes tipos de dispositivos como router, firewall, switch,
IDS y diferentes tipos de honeypots. Sus tres principales requisitos son:
Control de datos.
Captura de datos.
Recoleccin y anlisis de datos.
Al gateway de entrada se le denomina honeywall, separa los honeypots de las redes
exteriores. Cualquier trfico que se dirija o provenga del los honeypots tiene que pasar
por el honeywall, permitiendo todo el trfico de entrada y limitando el de salida para
que el atacante en caso de comprometer algn honeypots no lo pueda usar para atacar
otras redes o la propia de produccin.
Existen diferentes tipos de honeynet, tal y como podemos ver en la siguiente figura:
Honenet
GEN I
Arquitectura
GEN II
GEN III
Virtuales
Implementacin
Fsicas
Hbridas
Seguridad en el Software
del
ocultacin y
Internet
Internet
LAN VIRTUALIZADA
MAQUINA
VIRTUALIZADA
DMZ
Victima B
WINDOWS
DHCP,
HTTP, FTP,
SMTP,
gateway por
defecto
WINDOWS
SERVER
LINUX
SERVER
SERVIDOR 1
IPS
SOLO TRAFICO
SSH
Servicios B
Monitorizacin B
TCPdump
NFSEM
Wireshark
Web, mail,
ftp
HONEY NET
DMZ
LAN FISICA
Victima A
Monitorizacin A Servicios A
TCPdump
NFSEM
Wireshark
Web, mail,
ftp
IPS
WINDOWS
WINDOWS
SERVER
DHCP,
HTTP, FTP,
SMTP,
gateway por
defecto
LINUX
SERVER
Seguridad en el Software
Servicio
DNS
DHCP
HTTP
FTP
SMTP
SMB
Utilidad
Redirigir los accesos a internet realizados por el
malware a los servidores de servicios
monitorizacin y servicios Windows
Necesario para que los sistemas de laboratorio
obtengan una IP, y para establecer la maquina
Servicios como puerta de enlace, para redirigir y
capturar los intentos de comunicacin del malware
Capturar el trfico redirigido generado por el
malware
Capturar el trfico redirigido generado por el
malware
Capturar el trfico redirigido generado por el
malware
Comparticin de ficheros de Windows. Cebo para
el malware con archivos confidenciales,
aparentemente sin vigilancia.
Maquina
Servicios
Plataforma virtual
o Servicios
Servicios o
Monitorizacin y
Servicios Windows
Servicios
Servicios
Monitorizacin y
Servicios Windows
Tabla 2 . Servicios del laboratorio. Adaptada de Sanabria, A. (2007). Malware Analysis: Environment
Design and Artitecture. SANS Institute
Seguridad en el Software
Victima
Monitorizacin y Servicios
Windows
Servicios
Strings
BinText.
PEBrowse
BGInfo
Process Explorer
Process Hacker
Process Monitor.
PsFile
RootkitRevealer.
McAfee Rootkit Remover.
Streams
AutoRuns
TCPView
Fport
Hfind
Vision.
Filewatch
Attacker
Winalysis
Md5sums
md5deep
WinMD5
YARA
ClamAV
Ssdeep
Bitdefender
AntiVir
Panda
Strings
PEiD
Dependency Walker
PEBrowse
Windump
Wireshark
Snort
WinHex
IDA Pro
Reverse Engineering Compiler.
ProcDump 32
Ollydbg
PE Explorer
Windbg
Fake DNS
Fakenet
ISS
Netcat
HTTP Apache
Aplicacin FTP
Fake DNS
inetsim
AVG
F-prot
Tabla 3 Herramientas anlisis de malware relacionadas con la mquinas del laboratorio donde deben ser
instaladas.
Seguridad en el Software
Seguridad en el Software
1. Acciones
iniciales
2. Clasificacin
3. Anlisis
4. Anlisis
dinmico
esttico
Seguridad en el Software
Lo + recomendado
Lecciones magistrales
Amenazas avanzadas persistentes
En la presente leccin magistral se va a realizar una introduccin a un tipo especfico de
malware denominado Advanced Persistent Threat (APT), medio de espionaje
electrnico de gran capacidad de obtencin de informacin y difcil defensa, en lo
referente a las caractersticas que lo definen y las estrategias de proteccin que las
organizaciones deben adoptar.
TEMA 4 Lo + recomendado
Seguridad en el Software
No dejes de leer
Analysis of a Simple HTTP Bot
Asjley, D. Analysis of a Simple HTTP Bot. SANS Institute.
Este artculo describe los mtodos de ingeniera inversa utilizados para analizar un
simple Bot HTTP. El anlisis se centra en algunos de los componentes del Motor de
bsqueda HTTP que pueden estar presentes en los ms complejos bots HTTP. Por lo
tanto, la comprensin de los componentes de este ejemplar de malware puede permitir
comprender a un analista ms fcilmente un bot HTTP ms complejo.
Accede una parte del libro desde el aula virtual o a travs de la siguiente direccin web:
http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-httpbot_33573
TEMA 4 Lo + recomendado
Seguridad en el Software
TEMA 4 Lo + recomendado
Seguridad en el Software
No dejes de ver
World-Class Malware Defense: Using the Cloud to Secure Your Business
Vdeo acerca de un novedoso tipo de antivirus. Phil Owens, Senior Sales Engineer, GFI
Software.
TEMA 4 Lo + recomendado
Seguridad en el Software
+ Informacin
A fondo
Honeypots, monitorizando a los atacantes
Artculo que trata en profundidad los diferentes tipos de honeypots.
Accede al documento desde el aula virtual o a travs de la siguiente direccin web:
http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_a
tacantes
TEMA 4 + Informacin
Seguridad en el Software
Webgrafa
MAEC
Malware Attribute Enumeration and Characterization (MAEC). Pgina web que
introduce y define un lenguaje para la caracterizacin de malware basado en sus
comportamientos, artefactos, y los patrones de ataque.
https://maec.mitre.org/
Pgina web donde se pueden consultar las diferentes caractersticas de los diversos
tipos de malware detectados por la empresa Kasperky, hasta la fecha.
http://www.viruslist.com/eng/
TEMA 4 + Informacin
Seguridad en el Software
http://securityresponse.symantec.com/avcenter/vinfodb.html
Enciclopedia Virus Trend Micro
Pgina web donde se pueden consultar las diferentes caractersticas de los diversos
tipos de malware detectados por la empresa Trend Micro, hasta la fecha.
http://www.trendmicro.com/vinfo/virusencyclo/
Bibliografa
Davis, M.; Bodmer, S.; Lemasters, A. (2010). Hacking Exposed Malware & Rootkits:
Security Secrets & Solutions. McGraw-Hill.
Gregg, M. (2008). Build Your Own Security Lab: A Field Guide for Network Testing.
Wiley Publishing, Inc.
Hale Ligh, M.; Adair, S.; Hartstein, B.; Richard, M. (2011). Malware Analysts
Cookbook and DVD. Tools and Techniques for Fighting Malicious Code. Wiley
Publishing, Inc.
TEMA 4 + Informacin
Seguridad en el Software
Sharif, M.; Yegneswaran, V.; Saidi, H. and Porras, P. (2008). Eureka: A Framework for
Enabling Static Analysis on Malware. Technical Report Number: SRI-CSL-08-01 SRI
Project 17382 Computer Science Laboratory and College of Computing, Georgia
Institute of Technology.
Sikorki, M. and Honing, A. (2012). Practical Malware Analysis. The hans-on guide
dissecting malicious software. No Starch Press.
Tittel, E. Absolute Beginners Guide to Security, Spam, Spyware & Viruses (Absolute
Beginners Guide). Fighting Spyware, Viruses, and Malware. PC Magazine Wiley
Publishing, Inc.
TEMA 4 + Informacin
Seguridad en el Software
Actividades
Trabajo: Anlisis dinmico de malware
En este trabajo debes ejecutar el malware encontrado en el archivo Lab03-03.exe
obtenido de
http://sourceforge.net/projects/pmalabs/
mientras
lo monitorizas
TEMA 4 Actividades
Seguridad en el Software
Se debe enviar una memoria que responda a la preguntas del ejercicio y contenga una
descripcin detallada de las actividades realizadas.
(Ejercicio obtenido de LAB 3.3 del tema 3 del libro: Sikorki, M. and Honing, A. (2012).
Practical Malware Analysis. The hans-on guide dissecting malicious software. No
Starch Press.)
Se recomienda leer antes de realizar el trabajo el apartado de anlisis dinmico de los
apuntes del profesor elaborados para este tema.
Extensin mxima de la actividad: 8 a 12 pginas, fuente Georgia 11 e interlineado 1,5.
TEMA 4 Actividades
Seguridad en el Software
Test
1. Beneficios del anlisis de malware. Indica la respuesta falsa.
A. Descubrir otras mquinas que han sido afectadas por el mismo malware.
B. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener
la actualizacin del software que la mitigue, si est disponible.
C. Obtencin de datos necesarios para poder implementar defensas.
D. Determinar el nivel de expansin del malware.
2. Pasos de la metodologa de anlisis de malware. Seala la incorrecta:
A. Actividades iniciales.
B. Clasificacin.
C. Anlisis heurstico.
D. Anlisis dinmico.
3. Acciones que el malware suele realizar sobre la mquina vctima. Seala la
incorrecta:
A. Modificacin de archivos.
B. Envo de correos personales.
C. Degradacin del rendimiento.
D. Inestabilidad del sistema.
4. Los mecanismos de propagacin del malware. Seala la incorrecta.
A. File dropper.
B. Integracin en espacios vacios de ficheros.
C. Puertas traseras.
D. Gusanos.
5. Vectores de infeccin. Seala la incorrecta.
A. File dropper.
B. Correos electrnicos.
C. Redes Peer-To-Peer (P2P).
D. Servicios de red vulnerables.
TEMA 4 Test
Seguridad en el Software
TEMA 4 Test