Scribd
Cargar
424 vistas23 páginas

Analisis de Malware Presentar El Viernes 3 de Febrero

Este documento describe los pasos para analizar un malware, incluyendo verificar el hash de archivos de referencia, identificar el hash del malware, buscar cadenas de texto, analizar técnicas de ofuscación, y monitorear el comportamiento dinámico del malware usando herramientas como Process Explorer y Process Monitor. El análisis revela que el malware es un keylogger que captura teclas presionadas y las guarda en un archivo llamado "practicalmalwareanalysis.log".

Cargado por

victor davila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
424 vistas23 páginas

Analisis de Malware Presentar El Viernes 3 de Febrero

Este documento describe los pasos para analizar un malware, incluyendo verificar el hash de archivos de referencia, identificar el hash del malware, buscar cadenas de texto, analizar técnicas de ofuscación, y monitorear el comportamiento dinámico del malware usando herramientas como Process Explorer y Process Monitor. El análisis revela que el malware es un keylogger que captura teclas presionadas y las guarda en un archivo llamado "practicalmalwareanalysis.log".

Cargado por

victor davila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 23

ANALISIS DE MALWARE

Verificar la integridad del fichero de línea base de referencia mediante la


utilidad MD5summer. o Selecciono como directorio raíz C:\WINDOWS y
solicito crear el hash md5 de todos los ficheros (add recursively). No todos los
ficheros serán útiles, ya que los interesantes son los ejecutables binarios, pero
este método es el más sencillo. En este inciso en MD5summer se selecciona la
carpeta de Windows de la cual se realizara la línea base
Tal como lo indica el enunciado se seleccionan todos los directorios (addrecursively)
En la presente imagen se puede apreciar el proceso de creación de todo el
hash
Al terminar se guarda el resumen para usarlo como línea base de
comparación para cuando el ejecutable malicioso este en ejecución.

Hash del resumen del demás hash generados con md5summer


Inicio Process Explorer. Observo procesos habituales y hago una
grabación de los mismos
Clasificación:

Consiste en examinar el archivo ejecutable del malware sin acceder al


código malicioso, para identificarlo y obtener información inicial
para la realización de las siguientes fases. Comprende los
siguientes pasos:
Identificación del malware, obteniendo el hash del mismo.
Herramienta WinMD5

Comprobación del tipo de malware que es y si pertenece a una


familia anterior por modificación de alguno de sus componentes.
Subir el hash del malware (no el fichero) a – en el botón Search
Búsqueda de cadenas de texto en el archivo ejecutable.
Herramienta bind texto strings

En este caso se utilizó la aplicación strings contenida en el


comprimido de herramientas, se ejecutó el comando que se
muestra en la siguiente imagen y se guardaron los resultados
en un archivo .txt en el escritorio con el nombre “cadenas.

El archivo contiene las siguientes cadenas


Identificación de técnicas de ofuscación y empaquetamiento.
Herramienta PEiD. Con el uso de la herramienta sugerida se
observa que no se tiene encriptación
EOP del ejecutable malicioso
Formato y estructura del fichero. Herramientas: PEViewer,
Dependecy Walker, PEStudio, Procdump y Resource hacker.

Se utiliza PEVieweb para analizar el encabezado del ejecutable


(PE – Portable Ejecutable)
Pestudio brinda es más eficaz ya que muestras las cadenas, un
análisis de virus total, las librerías que utiliza, directorios y
sectores, entre otros.
Con Dependency Walker se analiza la
estructura del ejecutable
Resource hacker muestra información en hexadecimal, estos datos
no los logre interpretar pero no la considero sumamente
importante ya que con las demás herramientas se tiene bastante
información y un panorama claro sobre la aplicación

Analisis Dinanico o de comportamiento


Ejecuta el malware en la máquina victima aislada, mientras lo
monitorizas mediante las herramientas básicas de análisis
dinámico en un entorno seguro
Process Explorer.
Se identifican varios procesos svchost.exe debido a que se
ejecutó el programa varias veces, se toma el del PID 3656,
para analizarlo en process monitor.
Process Monitor.

Aplicando un filtro en proccess monitor con el PID se ve como


en ese proceso se escribe en un archivo llamado
“practicalmalwareanalysis.log” en la misma ubicación donde
se encuentra el ejecutable, el listado de escritura crece al
presionar más teclas en un notepad
Strings.
Se logra identificar modificaciones de las cadenas del proceso
en memoria con respecto al disco, sobre todo al final, en la
cadena de memoria se hace evidente las teclas que el malware
captura.
Una vez realizado el ejercicio responde a las
siguientes preguntas:

1. Hash MD5 de archivo malicioso.

e2bf42217a67e46433da8b6f4507219e

2. ¿Cuál es el punto original de entrada del ejecutable


(OEP)? 00473497
3. ¿A qué DLL hace referencia el fichero?

Kernel32.dll
4. ¿Esta comprimido el fichero? En caso afirmativo indique cual es el compresor
No se encuentra comprimido

5. ¿Qué indicadores sospechosos presenta el archivo?


56 proveedores de productos y servicios de seguridad catalogan el
hash del ejecutable como malicioso en virus total, esto es un gran
indicativo. La mayoría de ellos catalogan el archivo como un troyano

6. ¿Qué observas al supervisar este malware con Process Explorer?

Al ejecutar el malware se abre un proceso svchost.exe huérfano es


decir no es un subproceso como suele por lo general ser un
svchost.exe, tomando el PID se investiga en proccess monitor
donde se aplican filtros, sobre el PID de svchost.exe Se presionan
algunas teclas y se logra ver como se escribe y crece el archivo
“practicalmalwareanalysis.log”. Todo esto que se menciona se
detalla en el apartado de análisis dinámico
7. ¿Puedes identificar modificaciones de las cadenas del proceso en
memoria con respecto al disco?
Si se logra identificar, sobre todo al final, en la cadena de memoria
se hace evidente las teclas que el malware captura. Todo esto que
se menciona se detalla en el apartado de análisis dinámico.

8. ¿Qué archivos crea?


Crea el archivo “practicalmalwareanalysis.log”

9. ¿Cuál es el propósito de este?


Es un keylogger

También podría gustarte