Resumen MalwaResumen Malware - Pdfre

Anlisis de malware
[4.1] Cmo estudiar este tema?

[4.2] Introduccin al malware.
[4.3] Tipos de malware.
[4.4] Obtencin del malware.
[4.5] Entorno y herramientas anlisis de malware.
TEMA
[4.6] Metodologa de anlisis de malware.
TEMA 4 Esquema
malware (MAEC)
Honeynet
Honeypot
Clases de malware
Caracte rizacin de l
Obtencin del malware
Tipos de malware
Clasificacin
Arquitectura del
laboratorio
Herramientas del
Anlisis dinmico
Anlisis esttico
anlisis de malware
malware
laboratorio
Metodologa de
Entorno y herramientas anlisis de
Anlisis de malware
Seguridad en el Software
Esquema
Ideas clave
4.1. Cmo estudiar este tema?
Para estudiar este tema debes leer las ideas clave y de los apuntes elaborados por el
profesor Tema 4: Anlisis de malware .
El objetivo del presente tema es introducir al alumno en los aspectos fundamentales
que definen los diferentes tipos de malware, sus formas de obtencin, justificar los
beneficios obtenidos mediante el anlisis de malware a fin de comprender su
funcionamiento, evaluar el dao causado por un ataque, valorar sus intenciones y
capacidades, entender la necesidad de establecer redes de ofuscacin para el malware
basadas en el uso de honeynet y por ltimo introducir al alumno en una metodologa
de anlisis, que incluye los pasos: actividades iniciales, clasificacin,
anlisis esttico y anlisis dinmico.
4.2. Introduccin al malware

Actualmente el cdigo malicioso, en adelante malware, ha evolucionado hasta
convertirse en uno de los peligros y amenazas ms importantes que afectan a la
seguridad de los sistemas TIC. La magnitud de esta amenaza se debe en parte a la
cada vez mayor complejidad de software, algo que en ltima instancia se traduce
en un creciente nmero de vulnerabilidades que pueden ser explotados por un
atacante, contra los usuarios finales y organizaciones.
Por lo tanto, la proteccin de los sistemas TIC del malware es actualmente uno de los
problemas de seguridad ms importantes para las organizaciones y los individuos, en
este sentido se considera de vital importancia el conocer su estructura,
funcionamiento e interaccin del mismo, pues aportar una valiosa informacin,
no solo para el diseo y desarrollo de contramedidas eficaces, sino que tambin para
ayudar a conocer el origen de un ataque y evaluar capacidad de deteccin de los
sistemas de la organizacin, a objeto de tomar las acciones de respuesta necesarias y
adecuadas.
TEMA 4 Ideas clave
En concreto entre los beneficios que se obtendra de su conocimiento tendramos:

Conocer el origen de un ataque e identificar al intruso.
Evaluar la capacidad de deteccin de malware de los sistemas de proteccin de las
organizaciones.
Evaluar los daos causados por la intrusin y acciones del malware.
Descubrir otras mquinas que han sido afectadas por el mismo malware.
Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener la
actualizacin del software que la mitigue, si est disponible.
Obtencin de datos necesarios para poder implementar defensas necesarias para
mitigar y neutralizar los daos producidos por el malware particular analizado,
entre las que se pueden incluir reglas de cortafuegos, de sistemas de deteccin de
intrusiones tipo red y host y antivirus.
Determinar el nivel de sofisticacin y complejidad del malware.
El grado de complejidad de las tcnicas y el nivel conocimiento necesarios para analizar
malware es proporcional al nivel de sofisticacin del mismo, estas tcnicas conocidas
como tcnicas de anlisis y reingeniera de malware, pretenden facilitar la
adquisicin de conocimiento sobre el mismo de una manera sistemtica y
metodolgica.
4.3. Tipos de malware

Comencemos con su definicin, en el documento Desmontando Malware realizado
por el INTECO lo describe como Trmino genrico utilizado para referirse a
cualquier tipo de software malicioso o molesto que puede instalarse en los
sistemas informticos para llevar a cabo acciones sin el conocimiento del
usuario.
De la definicin se desprende que malware, es cualquier tipo de software desarrollado
con propsitos maliciosos y su trmino general se utiliza para describir a virus, gusanos
y otros tipos de programas nocivos e indeseables. En conclusin, malware es
cualquier programa o cdigo malicioso que se ejecuta en un sistema
informtico sin conocimiento y permiso del usuario y le provoca un
perjuicio.
TEMA 4 Ideas clave
Las principales acciones que suele realizar sobre la mquina vctima, son las siguientes:
Envo de correo a gran escala. El malware obtiene direcciones de correo
electrnico para su propagacin.
Eliminacin de archivos. Suele borrar archivos clave sin los cuales el ordenador
no puede arrancar o funcionar correctamente, por ejemplo en Windows: boot.ini,
ntdetect.com, ntldr, ntoskrnl.exe y otros archivos de arranque.
Modificacin de archivos. El software intenta modificar archivos para incluir
troyanos en archivos ejecutables o actualizaciones de Windows.
Modificacin de claves del registro u otro tipo de datos de configuracin.
Algunos malware intentan desactivar anti-virus, anti-spyware, firewall y otros
tipos de software para poder realizar una mayor explotacin y uso no autorizado.
Degradacin del rendimiento. El software malicioso puede provocar problemas
de rendimiento en el sistema afectado, por ejemplo el gusano W32.Korgo.F produce
problemas de rendimiento en la red.
Inestabilidad del sistema. El software malicioso puede provocar problemas de
estabilidad en el sistema afectado.
Robo de informacin corporativa y confidencial. Por ejemplo, el gusano
W32.Korgo.F al funcionar como puerta trasera permitiendo accesos no autorizados.
Modificacin de la configuracin de seguridad. El software modifica la
configuracin de seguridad y abre puertos para permitir el uso no autorizado. Por
ejemplo el gusano W32.Netsky.Y abre una puerta trasera en el puerto 82.
En la siguiente tabla se presentan los mtodos de propagacin y vectores de
inyeccin utilizados por diferentes tipos de malware a lo largo de los aos.
TEMA 4 Ideas clave
Malware
Ao
Tcnicas de Inyeccin
Happy99
1999
Anexos de correos electrnicos,

ejecucin de ficheros
Servicios de red vulnerables
Inta
2000
Vecna(Coke)
2001
CodeRed
CodeRedII
2001
2001
Nimda
2001
Slammer
MSBlast
Sobig
2001
2001
2003
Bagle
2003
Netsky
2003
Sasser
StormWorm
2004
2007
2008

ejecucin de ficheros, escaneo de
red y gusanos web
ejecucin de ficheros, archivos
anexados.
AutoIT
2008
Ejecucin de ficheros
Downadup
2009
Ejecucin de ficheros
Bacteraloh
2009
Ejecucin de ficheros, redes P2P.
Koobface
2009
Exploit en el lado cliente
Tcnicas de Propagacin
Infeccin de la aplicacin CorelDraw
Integracin en espacios en vacios de ficheros.
Unidos a la Mapi.dll con el fin de unirse a todos los
mensajes salientes desde el sistema infectado
Explotacin directa de los servicios vulnerables
incluyendo un motor de escaneo
Anexos de correos electrnicos, ejecucin de ficheros,
escaneo de red y gusanos web
File dropper1
sobreescritura o borrado de los ficheros originales
Puertas traseras
A travs de redes P2P2 implementadas por
aplicaciones como Kazaa, Morpheus, Gnutella,
etc..
File dropper sobreescritura o borrado de los
ficheros originales. Estructura P2P de mando y
control y cadena de comunicacin Fax Flux3
Copias generadas en dispositivos removibles,
como discos, memorias USB, etc.,
sobreescribiendo el archivo autorun.inf
Transferencia y comparticin de ficheros a travs
de la red.
Utilidad daina que un usuario descarga y ejecuta
a nivel local, creyendo que es benigna
Se expande a travs de las de redes sociales,
cargndose a travs de link de URL vinculadas al
malware a travs de sitios como Facebook,
MySpace, Friendster, y LiveJournal
Tabla 1 Tcnicas de propagacin del Malware. Extrada y traducida de Ed Tittel. PC Magazine Fighting
Spyware, Viruses, and Malware. Wiley Publishing, Inc.
Existe tal variedad de malware, su evolucin es tan rpida y sus caractersticas

frecuentemente compartidas entre varios tipos, que la realizacin de una
taxonoma o clasificacin del mismo no es una tarea fcil, no obstante en los
siguientes prrafos se presentan los tipos ms comunes y sus principales
caractersticas.
Virus. Bsicamente es un programa que se integra dentro de otro programa
aparentemente inocuo, que produce copias de s mismo en la memoria del
ordenador, que a su vez las inserta en otros programas y por lo general lleva a cabo
una
accin
maliciosa,
comodela"instalar"
destruccin
demalware
los datos,
modificacin
ficheros
File
dropper.
Software
malicioso encargado
algn tipo de
como virus,
spyware, troyano,de
puerta
trasera, de
etc.) en el sistema de destino, de forma que no sea detectado por los antivirus. Puede tambin considerarse un componente del
sistema etc.
malware.
2
Es una red de ordenadores en la que todos los nodos funcionan como clientes y servidores a la vez, comportndose como iguales
entre s.
3
Fast-flux. Tcnica empleada por botnet para evadir la deteccin, que consiste en una red de sistemas comprometidos con
registros DNS pblicos que estn en constante cambio, cada pocos minutos, con arquitecturas que cambian constantemente, para
hacer que sea mucho ms difcil de rastrear las actividades maliciosas.
TEMA 4 Ideas clave
Gusanos. Es un programa malicioso similar a un virus, pequeo, autnomo que se

replican a travs de una red sin intervencin humana y por lo general lleva a cabo
una accin destructiva.
Troyanos. Es un software o programa aparentemente til y de apariencia inocente,
cuando en realidad contiene oculto en su interior instrucciones de carcter
malicioso.
Puertas traseras (Backdoors). Es u tipo de software malicioso que crea un
canal de de entrada (normalmente un canal a un servidor IRC) que el ciberatacante
utiliza para conectar, controlar, espiar o instalar otro malware como un keylogger,
un APT, software cliente de un botnet, etc.
Keyloggers. Programa que puede capturar y transformar pulsaciones de teclas
(teclado) para envirselas el hacker, obteniendo informacin privada, como
contraseas y nmeros de tarjetas de crdito, etc.
Spyware. Software para obtener informacin del objetivo (ciberespionaje) que se
instala en un equipo sin el conocimiento del usuario y transmite informacin
personal sobre las actividades y preferencias del usuario como las pginas visitadas,
direccin de correo electrnico, nmero de tarjeta de crdito, tecla pulsada por el
usuario, al atacante.
Adware. Software que proporciona a los anunciantes informacin sobre hbitos de
navegacin de los usuarios, sitios web visitados, productos comprados en lnea, etc.,
sin su permiso o voluntad, permitiendo as al anunciante ofrecer anuncios
orientados con los hbitos de la vctima o incluso redirigir al usuario a navegar por
webs que contienen ciertos anuncios.
Rootkits. Es un tipo de software malicioso de gran peligrosidad y difcil
eliminacin que modifican ficheros y libreras del sistema operativo de la
mquina objetivo, para ocultar su existencia y mantener el acceso o incluso
permitiendo al intruso tomar el control del equipo. En general, existen dos tipos de
rootkits: modo usuario y modo kernel.
TEMA 4 Ideas clave
Botnet. Son un tipo de malware, de crecimiento espectacular en los ltimos aos,

que se instala en el sistema objetivo a travs de una vulnerabilidad del equipo o
usando tcnicas de ingeniera social y consiste bsicamente en la creacin de una red
de ordenadores zombis o robots de software autnomos, que son controlados
remotamente mediante un sistema de mando y control C2 por el
ciberatacante normalmente a travs de un canal de Chat IRC.
Spam. Consiste en el envo masivo de correo electrnico no solicitado a travs de
Internet, principalmente por motivos publicitarios, a partir de una lista obtenida por
un robot de spam, que al navegar por Internet extrae todas las direcciones de correo
electrnico que encuentra en las pginas web visitadas y las escribe en un archivo.
Bomba lgica. Ms que un tipo de malware, es cdigo incluido en otros tipos,
como virus, amenazas avanzadas persistentes (APT), gusanos informticos, etc., que
permanece oculta hasta que se producen una serie de condiciones lgicas y
temporales, en ese momento se ejecuta un cdigo que produce accin maliciosa en
el sistema.
Ransomware. Es una clase de malware que busca un beneficio econmico
mediante la realizacin de un chantaje al usuario de la mquina infectada, como la
restriccin de acceso al mismo coaccionndole a pagar un rescate al ciberatacante
para que la restriccin sea eliminada.
Rogueware o Scareware. Otro tipo de malware que busca la obtencin de
beneficio econmico mediante estafa, utilizando tcnicas de ingeniera social para
causar un estado de shock o ansiedad en el usuario, causndole una alarma ente una
amenaza, como el informarle y simularle la presencia de diversos tipos de malware
en su mquina.
Advanced Persistent Threat (APT). Tipo del malware que consiste en un tipo
sofisticado de ciberataque organizado, de rpida progresin y largo plazo, que
constituye uno de los desafos de seguridad ms importantes y peligrosos, que deben
afrontar hoy en da las organizaciones. Diseado especficamente para
acceder y obtener informacin de los sistemas de la organizacin
objetivo, los vectores de ataque que usan pueden ser no muy diferentes de los
empleados en otros tipos de ataque o incluso ser desarrollos especficos.
TEMA 4 Ideas clave
Una iniciativa muy importante desarrollada para comunicar y compartir informacin

til recogida sobre malware sin ambigedad y prdida de datos, lo constituye la
iniciativa
del
MITRE
Malware
Attribute
Enumeration
and
Characterization (MAEC), que consiste bsicamente en la creacin de un lenguaje

estandarizado y formato de caracterizacin sobre la base de sus atributos,
comportamiento, artefactos y patrones de ataque, permitiendo la creacin de patrones
abstractos, ms ventajoso que el uso de firmas fsicas, pues permiten la codificacin
precisa de cmo funciona el malware y las acciones especficas que realiza.
Figura 1. Componentes de MAEC
4.4. Obtencin del malware

Antes de comenzar con las actividades de anlisis de malware, es necesario el disponer
de mecanismos de obtencin del mismo, entre los que tenemos los siguientes:
Bajndolo de pginas de Internet.
Capturndolo en una honeynet, honeypot y honeytokens.
Capturndolo en una mquina infectada de la organizacin, al visitar servidores web
maliciosos o debido a archivos adjuntos de correo electrnico, que es ms un
incidente de seguridad a resolver por la organizacin que un medio de obtencin.
Utilizacin de un motor de bsqueda como Google, para buscar archivos binarios de
malware.
Una forma de estudiar los mtodos y patrones de ataque del malware, que permite
conocer con detalle las vulnerabilidades de las redes de una organizacin y los ataques
que las explotan para acceder a los sistemas protegidos, consiste en la implantacin
de honeypots, honeytokens y honeynets, como medida proactiva de defensa.
TEMA 4 Ideas clave
Este tipo de sistemas permite la obtencin de malware para utilizarlo con propsitos
investigacin, pues permite obtener datos directamente de ataques reales al dejar de
algn modo expuestos sistemas que puedan posteriormente analizarse.
Estos sistemas deben ser construidos con el propsito de hacer creer al atacante que
est ante un sistema real en produccin, con aparentes problemas de seguridad debidos
a una instalacin incorrecta o una mala poltica de parcheo. Por supuesto esta
apariencia no es real, por cuanto los sistemas estarn monitorizados y cualquier acceso
ser registrado en todos y cada uno de los movimientos que los atacantes realicen.
Honeypot
Se puede definir Honeypots como: sistemas TIC con servicios reales o
simulados, que aparenta ser un sistema en produccin y que posee
vulnerabilidades
que
han
sido
introducidas
deliberadamente
para
observar intrusiones, mediante sistemas de monitorizacin especficos

para ello. No son sistemas en produccin, por lo que pueden ser desconectados de la
red e incluso apagados para realizar un anlisis forense despus de un ataque.
A su vez los honeytokens son honeypots que no son sistemas TIC, tal y como puede ser
un documento falso pero verosmil, una direccin de correo electrnico falsa usada
para rastrear, una entrada de base de datos o incluso un inicio de sesin falso. Existen
diferentes tipos de honeypots, tal y como podemos ver en la siguiente figura:
Honeypots
Inve stigacin
Tipo de uso
Produccin
Fsicos
Tipo
implementacin
Virtuale s
Baja inte raccin
Tipo de
interaccin
Alta inte raccin
Figura 2. Tipos de Honeypots
TEMA 4 Ideas clave
Honeynet
Bsicamente una Honeynet se puede definir como Una red que contiene uno o
ms honeypots de alta o baja interaccin, herramientas de monitorizacin
y recoleccin y anlisis de datos y los diferentes dispositivos de conexin y
filtrado que soportan la infraestructura de la red.
Su propsito es el simular una red de produccin, con una arquitectura y configuracin
que permita controlar, registrar y monitorizar toda la actividad atacante. Dicha
arquitectura consta de diferentes tipos de dispositivos como router, firewall, switch,
IDS y diferentes tipos de honeypots. Sus tres principales requisitos son:
Control de datos.
Captura de datos.
Recoleccin y anlisis de datos.
Al gateway de entrada se le denomina honeywall, separa los honeypots de las redes
exteriores. Cualquier trfico que se dirija o provenga del los honeypots tiene que pasar
por el honeywall, permitiendo todo el trfico de entrada y limitando el de salida para
que el atacante en caso de comprometer algn honeypots no lo pueda usar para atacar
otras redes o la propia de produccin.
Existen diferentes tipos de honeynet, tal y como podemos ver en la siguiente figura:
Honenet
GEN I
Arquitectura
GEN II
GEN III
Virtuales
Implementacin
Fsicas
Hbridas
Figura 3. Tipos de Honeynet
TEMA 4 Ideas clave
4.5. Entorno y herramientas anlisis de malware

El anlisis de malware requiere la implementacin de un entorno de pruebas o
laboratorio, es decir un entorno controlado en el que los acontecimientos
inesperados son inexistentes o reducidos al mnimo, que nos permita
simular con condiciones realistas los escenarios de ejecucin del malware.
Adems debe ser un entorno aislado de otras redes para poder asegurar la no
propagacin del malware o sus efectos a las redes de produccin o incluso Internet,
que permita la obtencin y realizacin de una lnea base de la configuracin del equipo
vctima, clasificacin y ejecucin del malware, recogida y anlisis de datos obtenidos,
anlisis esttico de su cdigo y por ltimo un anlisis dinmico en un entorno que
simule el ambiente real de ejecucin. Esto dar un anlisis completo del ciclo de
vida
del
malware; su comportamiento, mtodos de
ocultacin y
ofuscacin, sistema de actualizaciones y comunicaciones.

La construccin de un laboratorio para anlisis de malware requiere de la utilizacin
de dos entornos, uno de hardware fsico y otro virtual, figura 4, pues algunos de los
malware ms sofisticados no se ejecutan si detectan que se estn ejecutando en una
mquina virtual. No obstante dada la facilidad, funcionalidad y posibilidad de ejecutar
en un ordenador las diferentes mquinas del laboratorio en una plataforma virtual, se
considera como primera opcin a la hora de trabajar.
Laboratorio Analisis Malware

HONEY NET
EXTERNA
Internet
Internet
LAN VIRTUALIZADA
MAQUINA
VIRTUALIZADA
DMZ
Victima B
WINDOWS
DHCP,
HTTP, FTP,
SMTP,
gateway por
defecto
WINDOWS
SERVER
LINUX
SERVER
SERVIDOR 1
IPS
SOLO TRAFICO
SSH
Servicios B
Monitorizacin B
TCPdump
NFSEM
Wireshark
Web, mail,
ftp
HONEY NET
DMZ
LAN FISICA
Victima A
Monitorizacin A Servicios A
TCPdump
NFSEM
Wireshark
Web, mail,
ftp
IPS
WINDOWS
WINDOWS
SERVER
DHCP,
HTTP, FTP,
SMTP,
gateway por
defecto
LINUX
SERVER
Figura 4. Arquitectura laboratorio anlisis de malware
TEMA 4 Ideas clave
Este laboratorio de malware constar de los siguientes subsistemas:

Subsistemas de anlisis fsico y virtual, dispondra cada uno de los siguientes
dispositivos:
o Vctima. Su objetivo ser el constituir la plataforma donde se va a ejecutar y
monitorizar el malware para estudiar su comportamiento. Construido en base a
una mquina Windows con sistema operativo XP u otro que se considere.
o Monitorizacin y servicios Windows. Su objetivo es el realizar la grabacin
y monitorizacin del trfico de red producido por el malware, proporcionar
servicios especficos de sistemas Windows, como SMB y la realizacin de las fases
de clasificacin y anlisis esttico de cdigo. Construido en base a un sistema
operativo servidor de Windows el 2003 server o superior, con la aplicacin IIS
instalada.
o Servicios. El objetivo de este servidor es el de proporcionar servicios al malware
en su interactuacin con el entorno, tal y como pueden ser Http, DHCP, Chat,
IRC Server, FTP, DNS y SMTP, para simular su entorno de ejecucin. Construido
en base a un sistema operativo Ubuntu Server u otro tipo de distribucin Linux,
con herramientas instaladas como Inetsim y netcat. En la siguiente tabla se indica
la utilidad de estos servicios y su distribucin en las diferentes mquinas.
Servicio
DNS
DHCP
HTTP
FTP
SMTP
SMB
Utilidad
Redirigir los accesos a internet realizados por el
malware a los servidores de servicios
monitorizacin y servicios Windows
Necesario para que los sistemas de laboratorio
obtengan una IP, y para establecer la maquina
Servicios como puerta de enlace, para redirigir y
capturar los intentos de comunicacin del malware
Capturar el trfico redirigido generado por el
malware
malware
malware
Comparticin de ficheros de Windows. Cebo para
el malware con archivos confidenciales,
aparentemente sin vigilancia.
Maquina
Servicios
Plataforma virtual
o Servicios
Servicios o
Monitorizacin y
Servicios Windows
Servicios
Servicios
Monitorizacin y
Servicios Windows
Tabla 2 . Servicios del laboratorio. Adaptada de Sanabria, A. (2007). Malware Analysis: Environment
Design and Artitecture. SANS Institute
TEMA 4 Ideas clave
Subsistema Recoleccin de Malware. Se tratara de un sistema virtual de

arquitectura de Generacin III, tal y como se ha descrito en el apartado anterior, con
honeypots de alta y baja interaccin. Se debera disponer de una Honeynet en una
DMZ y otra en Internet, con cometido de captura y anlisis de datos producidos de
la actividad del cdigo daino o malware, en entornos con diferente niveles de
seguridad. Para la extraccin del malware se tendra un acceso por SSH a las dos
honeynet a iniciar slo desde la parte interna, regla a incluir en los cortafuegos.
A continuacin presentamos una tabla, en la que se indica la mquina donde se debe
instalar cada una de las herramientas presentadas y servicios.
Victima
Monitorizacin y Servicios
Windows
Servicios
Strings
BinText.
PEBrowse
BGInfo
Process Explorer
Process Hacker
Process Monitor.
PsFile
RootkitRevealer.
McAfee Rootkit Remover.
Streams
AutoRuns
TCPView
Fport
Hfind
Vision.
Filewatch
Attacker
Winalysis
Md5sums
md5deep
WinMD5
YARA
ClamAV
Ssdeep
Bitdefender
AntiVir
Panda
Strings
PEiD
Dependency Walker
PEBrowse
Windump
Wireshark
Snort
WinHex
IDA Pro
Reverse Engineering Compiler.
ProcDump 32
Ollydbg
PE Explorer
Windbg
Fake DNS
Fakenet
ISS
Netcat
HTTP Apache
Aplicacin FTP
Fake DNS
inetsim
AVG
F-prot
Tabla 3 Herramientas anlisis de malware relacionadas con la mquinas del laboratorio donde deben ser
instaladas.
TEMA 4 Ideas clave
4.6. Metodologa de anlisis de malware

Un paso importante para facilitar la adquisicin de conocimiento sobre un malware
concreto es la realizacin de un proceso sistemtico y metodolgico de anlisis, cuyo
principal objetivo es el de obtener una comprensin completa del mismo, en lo relativo
a su funcionamiento, identificacin y formas de eliminacin. Las fases que se
proponen en la metodologa propuesta son:
Acciones Iniciales. Consiste principalmente en la realizacin de una serie de
acciones encaminadas a obtener un registro de la configuracin con el propsito de
disponer de una referencia para obtener datos por comparacin, antes y despus de
ejecutar el malware bajo estudio. Principalmente las actividades a ejecutar sern:
o Realizar un hash MD5 de todas las herramientas que van a utilizar para verificar
la integridad de las mismas, no siendo modificadas, asegurarse de que el

malware no instala un Rootkit.
o Realizar una lnea de base de la configuracin del sistema vctima.
o Foto de la situacin inicial snap shot si estamos en el entorno virtual o una
imagen si estamos en el entorno fsico.

Clasificacin. Consiste en examinar el archivo ejecutable del malware sin acceder
al cdigo malicioso, con el objetivo, primero de confirmar si es algn tipo de
malware y si lo es obtener informacin sobre su funcionalidad que pueden permitir
la realizacin firmas simples de red. Es un proceso bsico, sencillo y rpido que
permite obtener informacin inicial para la realizacin de las siguientes fases.
Anlisis dinmico. Consiste bsicamente en la realizacin de un anlisis del
comportamiento del malware en ejecucin, con el objeto de observar su
comportamiento y obtener las acciones que realiza sobre el sistema objetivo
(modificaciones del registro, ficheros, etc.) y trafico de red que genera.
Anlisis esttico. Consiste bsicamente en la realizacin de un anlisis de cdigo
ensamblador del malware, navegando travs de l al objeto de conseguir una mejor
comprensin y funcionamiento del mismo.
TEMA 4 Ideas clave
1. Acciones
iniciales
2. Clasificacin
3. Anlisis
4. Anlisis
dinmico
esttico
Figura 5. Metodologa Anlisis de Malware
La metodologa propuesta, pretende ser una base para la realizacin de un proceso

sistemtico y metodolgico de anlisis de malware, de carcter flexible que puede
requerir ligeras variaciones, dada la gran cantidad de tipos de cdigos maliciosos
existentes y tecnologas empleadas en su construccin.
TEMA 4 Ideas clave
Lo + recomendado
Lecciones magistrales
Amenazas avanzadas persistentes
En la presente leccin magistral se va a realizar una introduccin a un tipo especfico de
malware denominado Advanced Persistent Threat (APT), medio de espionaje
electrnico de gran capacidad de obtencin de informacin y difcil defensa, en lo
referente a las caractersticas que lo definen y las estrategias de proteccin que las
organizaciones deben adoptar.
El vdeo est disponible en el aula virtual.
TEMA 4 Lo + recomendado
No dejes de leer
Analysis of a Simple HTTP Bot
Asjley, D. Analysis of a Simple HTTP Bot. SANS Institute.
Este artculo describe los mtodos de ingeniera inversa utilizados para analizar un
simple Bot HTTP. El anlisis se centra en algunos de los componentes del Motor de
bsqueda HTTP que pueden estar presentes en los ms complejos bots HTTP. Por lo
tanto, la comprensin de los componentes de este ejemplar de malware puede permitir
comprender a un analista ms fcilmente un bot HTTP ms complejo.
Accede una parte del libro desde el aula virtual o a travs de la siguiente direccin web:
http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-httpbot_33573
Clash of the Titans: ZeuS v SpyEye

Nayyar, H. Clash of the Titans: ZeuS v SpyEye. SANS Institute.
En este trabajo se analiza el funcionamiento de dos bots Zeus y SpyEye. Se describe la
forma de realizar ingeniera inversa de los dos binarios y las tcnicas de ofuscacin
utilizadas por ellos. Dado que ya hay mucha literatura que describe sus capacidades
maliciosas individuales, este trabajo no se centra en esos aspectos. En cambio, la
atencin se centra principalmente en la comunicacin entre procesos entre los dos
binarios, que es un fenmeno relativamente raro en el mundo del malware.
Accede al artculo desde el aula virtual o a travs de la siguiente direccin web:
http://www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeusspyeye_33393
The Nimda Worm: An Overview

Aronne, E. J. The Nimda Worm: An Overview. SANS Institute.
El 18 de septiembre de 2001, un nuevo gusano de rpida propagacin apareci en
Internet, se le llm "Nimda". Durante su ciclo de vida ha comprometido la
confidencialidad, integridad y disponibilidad de los diferentes recursos a travs de
Internet. Nimda explota varias vulnerabilidades conocidas y corregible en Microsoft
Windows 9x, ME, NT, 2000 y sistemas.
http://www.sans.org/reading_room/whitepapers/malicious/nimda-wormoverview_95
Code Red Worm Invasion

Bristow, S. Code Red Worm Invasion. SANS Institute.
Documento que analiza el funcionamiento del el malware Code Red.
Accede al documento desde el aula virtual o a travs de la siguiente direccin web:
http://www.sans.org/reading_room/whitepapers/malicious/code-red-worminvasion_93
No dejes de ver
World-Class Malware Defense: Using the Cloud to Secure Your Business
Vdeo acerca de un novedoso tipo de antivirus. Phil Owens, Senior Sales Engineer, GFI
Software.
Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

https://www.brighttalk.com/webcast/8303/55577
Real Advances in Android Malware

Conferencia sobre lo que los autores de malware y delincuentes estn haciendo para
mejorar la eficacia y la capacidad de evasin de su cdigo malicioso en sistemas
Android.
Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

http://www.youtube.com/watch?v=i3pRSmNc1Ng
+ Informacin
A fondo
Honeypots, monitorizando a los atacantes
Artculo que trata en profundidad los diferentes tipos de honeypots.
http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_a
tacantes
A Structured Language for Attribute-Based Malware Characterization

Descripcin del estndar de caracterizacin y clasificacin de malware MAEC.
http://makingsecuritymeasurable.mitre.org/docs/maec-intro-handout.pdf
Malware Attribute Enumeration and Characterization

Documento que presenta y define un lenguaje para caracterizar malware sobre la base
de sus comportamientos, artefactos, y dibujos de ataque.
http://maec.mitre.org/about/docs/Introduction_to_MAEC_white_paper.pdf
TEMA 4 + Informacin
Informe de McAfee sobre amenazas

Informe que describe las tendencias del malware ocurridas durante el primer trimestre
del 2012.
http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2012.pdf
Webgrafa
MAEC
Malware Attribute Enumeration and Characterization (MAEC). Pgina web que
introduce y define un lenguaje para la caracterizacin de malware basado en sus
comportamientos, artefactos, y los patrones de ataque.
https://maec.mitre.org/
Enciclopedia Virus Kaspersky
Pgina web donde se pueden consultar las diferentes caractersticas de los diversos
tipos de malware detectados por la empresa Kasperky, hasta la fecha.
http://www.viruslist.com/eng/
TEMA 4 + Informacin
Enciclopedia Virus Symantec

tipos de malware detectados por la empresa Symantec, hasta la fecha.
http://securityresponse.symantec.com/avcenter/vinfodb.html
Enciclopedia Virus Trend Micro
tipos de malware detectados por la empresa Trend Micro, hasta la fecha.
http://www.trendmicro.com/vinfo/virusencyclo/
Bibliografa
Davis, M.; Bodmer, S.; Lemasters, A. (2010). Hacking Exposed Malware & Rootkits:
Security Secrets & Solutions. McGraw-Hill.
Gregg, M. (2008). Build Your Own Security Lab: A Field Guide for Network Testing.
Wiley Publishing, Inc.
Hale Ligh, M.; Adair, S.; Hartstein, B.; Richard, M. (2011). Malware Analysts
Cookbook and DVD. Tools and Techniques for Fighting Malicious Code. Wiley
Publishing, Inc.
TEMA 4 + Informacin
Sharif, M.; Yegneswaran, V.; Saidi, H. and Porras, P. (2008). Eureka: A Framework for
Enabling Static Analysis on Malware. Technical Report Number: SRI-CSL-08-01 SRI
Project 17382 Computer Science Laboratory and College of Computing, Georgia
Institute of Technology.
Sikorki, M. and Honing, A. (2012). Practical Malware Analysis. The hans-on guide
dissecting malicious software. No Starch Press.
Tittel, E. Absolute Beginners Guide to Security, Spam, Spyware & Viruses (Absolute
Beginners Guide). Fighting Spyware, Viruses, and Malware. PC Magazine Wiley
Publishing, Inc.
TEMA 4 + Informacin
Actividades
Trabajo: Anlisis dinmico de malware
En este trabajo debes ejecutar el malware encontrado en el archivo Lab03-03.exe
obtenido de
http://sourceforge.net/projects/pmalabs/
mientras
lo monitorizas
mediante las herramientas bsicas de anlisis dinmico en un entorno seguro.

El entorno seguro se realizar en base a un software virtual tipo VMAWARE player,
virtual box con una mquina con sistema operativo de Microsoft, con la tarjeta de red
en modo aislado.
Herramientas a utilizar (en los apuntes del tema 4 estn los enlaces para
descargrselas):
Process Explorer.
Process Monitor.
Stringas.
Notepad.
Preguntas:
Qu observas al supervisar este malware con Process Explorer?
Puedes identificar modificaciones en la memoria?
Qu archivos crea?
Cul es el propsito de este?
Como ayuda consultar los manuales de las herramientas disponibles en los siguientes
sitios web:
http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Explorer_Tutorial_Handout.pdf
http://www.k-state.edu/its/security/training/2009-49/presentations/handouts/Process_Monitor_Tutorial_Handout.pdf
TEMA 4 Actividades
Se debe enviar una memoria que responda a la preguntas del ejercicio y contenga una
descripcin detallada de las actividades realizadas.
(Ejercicio obtenido de LAB 3.3 del tema 3 del libro: Sikorki, M. and Honing, A. (2012).
Practical Malware Analysis. The hans-on guide dissecting malicious software. No
Starch Press.)
Se recomienda leer antes de realizar el trabajo el apartado de anlisis dinmico de los
apuntes del profesor elaborados para este tema.
Extensin mxima de la actividad: 8 a 12 pginas, fuente Georgia 11 e interlineado 1,5.
TEMA 4 Actividades
Test
1. Beneficios del anlisis de malware. Indica la respuesta falsa.
A. Descubrir otras mquinas que han sido afectadas por el mismo malware.
B. Identificar la vulnerabilidad que fue aprovechada por el malware, para obtener
la actualizacin del software que la mitigue, si est disponible.
C. Obtencin de datos necesarios para poder implementar defensas.
D. Determinar el nivel de expansin del malware.
2. Pasos de la metodologa de anlisis de malware. Seala la incorrecta:
A. Actividades iniciales.
B. Clasificacin.
C. Anlisis heurstico.
D. Anlisis dinmico.
3. Acciones que el malware suele realizar sobre la mquina vctima. Seala la
incorrecta:
A. Modificacin de archivos.
B. Envo de correos personales.
C. Degradacin del rendimiento.
D. Inestabilidad del sistema.
4. Los mecanismos de propagacin del malware. Seala la incorrecta.
A. File dropper.
B. Integracin en espacios vacios de ficheros.
C. Puertas traseras.
D. Gusanos.
5. Vectores de infeccin. Seala la incorrecta.
A. File dropper.
B. Correos electrnicos.
C. Redes Peer-To-Peer (P2P).
D. Servicios de red vulnerables.
TEMA 4 Test
6. Ejemplos de troyanos. Seala la incorrecta.

A. Back Orifice.
B. NetBus.
C. SaranWrap.
D. Titan Rain.
7. Componentes del Malware Attribute Enumeration and Characterization (MAEC).
Seala la incorrecta.
A. Estructura de datos.
B. Vocabulario.
C. Esquema de definicin.
D. Formato de salida estndar.
8. Mecanismos de obtencin del malware. Seala la incorrecta.
A. Bajndolo de pginas de Internet.
B. Capturndolo en una honeynet.
C. Comprarlo a una empresa de prestigio internacional.
D. Capturndolo en una mquina infectada.
9. Qu principales mejoras introduce la Generacin III de Honeynet?
A. Las tareas de control y captura de datos ahora estn centralizadas en un solo
dispositivo llamado Honeywall.
B. Utiliza como Gateway acceso un dispositivo de Capa que acta como un puente,
en lugar de un router.
C. Mejora las versiones del Hardware.
D. Normaliza los datos registrados por cada herramienta de captura de datos.
10. En qu fase se debe realizar un hash MD5 de todas las herramientas que van a
utilizar para verificar la integridad de las mismas?
A. Anlisis esttico.
B. Anlisis dinmico.
C. Acciones iniciales.
D. Clasificacin.
TEMA 4 Test

Resumen MalwaResumen Malware - Pdfre

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Resumen MalwaResumen Malware - Pdfre

Uploaded by

Copyright:

Available Formats

Anlisis de malware

[4.1] Cmo estudiar este tema?

[4.6] Metodologa de anlisis de malware.

Obtencin del malware

Entorno y herramientas anlisis de

4.2. Introduccin al malware

TEMA 4 Ideas clave

En concreto entre los beneficios que se obtendra de su conocimiento tendramos:

4.3. Tipos de malware

TEMA 4 Ideas clave

TEMA 4 Ideas clave

Anexos de correos electrnicos,

Anexos de correos electrnicos,

Ejecucin de ficheros, redes P2P.

Exploit en el lado cliente

Existe tal variedad de malware, su evolucin es tan rpida y sus caractersticas

TEMA 4 Ideas clave

Gusanos. Es un programa malicioso similar a un virus, pequeo, autnomo que se

TEMA 4 Ideas clave

Botnet. Son un tipo de malware, de crecimiento espectacular en los ltimos aos,

TEMA 4 Ideas clave

Una iniciativa muy importante desarrollada para comunicar y compartir informacin

Characterization (MAEC), que consiste bsicamente en la creacin de un lenguaje

Figura 1. Componentes de MAEC

4.4. Obtencin del malware

TEMA 4 Ideas clave

observar intrusiones, mediante sistemas de monitorizacin especficos

Baja inte raccin

Figura 2. Tipos de Honeypots

TEMA 4 Ideas clave

Figura 3. Tipos de Honeynet

TEMA 4 Ideas clave

4.5. Entorno y herramientas anlisis de malware

malware; su comportamiento, mtodos de

ofuscacin, sistema de actualizaciones y comunicaciones.

Laboratorio Analisis Malware

Figura 4. Arquitectura laboratorio anlisis de malware

TEMA 4 Ideas clave

Este laboratorio de malware constar de los siguientes subsistemas:

TEMA 4 Ideas clave

Subsistema Recoleccin de Malware. Se tratara de un sistema virtual de

TEMA 4 Ideas clave

4.6. Metodologa de anlisis de malware

la integridad de las mismas, no siendo modificadas, asegurarse de que el

imagen si estamos en el entorno fsico.

TEMA 4 Ideas clave

Figura 5. Metodologa Anlisis de Malware

La metodologa propuesta, pretende ser una base para la realizacin de un proceso

TEMA 4 Ideas clave

El vdeo est disponible en el aula virtual.

Clash of the Titans: ZeuS v SpyEye

The Nimda Worm: An Overview

Code Red Worm Invasion

Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

Real Advances in Android Malware

Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

A Structured Language for Attribute-Based Malware Characterization

Malware Attribute Enumeration and Characterization

Informe de McAfee sobre amenazas

Enciclopedia Virus Kaspersky

Enciclopedia Virus Symantec

mediante las herramientas bsicas de anlisis dinmico en un entorno seguro.

6. Ejemplos de troyanos. Seala la incorrecta.