Análisis de malware[4.1] ¿Cómo estudiar este tema? [4.2] Introducción al malware. [4.3] Tipos de malware. [4.4] Obtención del malware. [4.5] Entorno y herramientas análisis de malware. TEMA 4 [4.6] Metodología de análisis de malware. TEMA 4 – Esquema malware (MAEC) Honeynet Honeypot Clases de malware Caracte rización de l Obtención del malware Tipos de malware Clasificación Arquitectura del laboratorio Herramientas del Análisis dinámico Análisis estático análisis de malware malware laboratorio Metodología de Entorno y herramientas análisis de Análisis de malware Seguridad en el Software Esquema no solo para el diseño y desarrollo de contramedidas eficaces. El objetivo del presente tema es introducir al alumno en los aspectos fundamentales que definen los diferentes tipos de malware. sus formas de obtención.Seguridad en el Software Ideas clave 4. en este sentido se considera de vital importancia el conocer su estructura.2. Introducción al malware Actualmente el código malicioso. justificar los beneficios obtenidos mediante el análisis de malware a fin de comprender su funcionamiento.1. Por lo tanto. TEMA 4 – Ideas clave . a objeto de tomar las acciones de respuesta necesarias y adecuadas. ¿Cómo estudiar este tema? Para estudiar este tema debes leer las ideas clave y de los apuntes elaborados por el profesor «Tema 4: Análisis de malware ». en adelante malware. funcionamiento e interacción del mismo. ha evolucionado hasta convertirse en uno de los peligros y amenazas más importantes que afectan a la seguridad de los sistemas TIC. que incluye los pasos: actividades iniciales. análisis estático y análisis dinámico. algo que en última instancia se traduce en un creciente número de vulnerabilidades que pueden ser explotados por un atacante. clasificación. pues aportará una valiosa información. sino que también para ayudar a conocer el origen de un ataque y evaluar capacidad de detección de los sistemas de la organización. La magnitud de esta amenaza se debe en parte a la cada vez mayor complejidad de software. contra los usuarios finales y organizaciones. la protección de los sistemas TIC del malware es actualmente uno de los problemas de seguridad más importantes para las organizaciones y los individuos. evaluar el daño causado por un ataque. entender la necesidad de establecer redes de ofuscación para el malware basadas en el uso de honeynet y por último introducir al alumno en una metodología de análisis. valorar sus intenciones y capacidades. 4. Determinar el nivel de sofisticación y complejidad del malware. Evaluar los daños causados por la intrusión y acciones del malware. Identificar la vulnerabilidad que fue aprovechada por el malware. para obtener la actualización del software que la mitigue. TEMA 4 – Ideas clave . malware es cualquier programa o código malicioso que se ejecuta en un sistema informático sin conocimiento y permiso del usuario y le provoca un perjuicio.3. Descubrir otras máquinas que han sido afectadas por el mismo malware. pretenden facilitar la adquisición de conocimiento sobre el mismo de una manera sistemática y metodológica. entre las que se pueden incluir reglas de cortafuegos. estas técnicas conocidas como técnicas de análisis y reingeniería de malware. De la definición se desprende que malware. gusanos y otros tipos de programas nocivos e indeseables. Tipos de malware Comencemos con su definición. es cualquier tipo de software desarrollado con propósitos maliciosos y su término general se utiliza para describir a virus. de sistemas de detección de intrusiones tipo red y host y antivirus. en el documento “Desmontando Malware” realizado por el INTECO lo describe como «Término genérico utilizado para referirse a cualquier tipo de software malicioso o molesto que puede instalarse en los sistemas informáticos para llevar a cabo acciones sin el conocimiento del usuario». si está disponible. Evaluar la capacidad de detección de malware de los sistemas de protección de las organizaciones. En conclusión. 4. El grado de complejidad de las técnicas y el nivel conocimiento necesarios para analizar malware es proporcional al nivel de sofisticación del mismo.Seguridad en el Software En concreto entre los beneficios que se obtendría de su conocimiento tendríamos: Conocer el origen de un ataque e identificar al intruso. Obtención de datos necesarios para poder implementar defensas necesarias para mitigar y neutralizar los daños producidos por el malware particular analizado. Por ejemplo. Eliminación de archivos. Modificación de la configuración de seguridad. por ejemplo en Windows: boot.exe y otros archivos de arranque. TEMA 4 – Ideas clave . Inestabilidad del sistema.Y abre una puerta trasera en el puerto 82.Korgo. El software modifica la configuración de seguridad y abre puertos para permitir el uso no autorizado. Suele borrar archivos clave sin los cuales el ordenador no puede arrancar o funcionar correctamente. firewall y otros tipos de software para poder realizar una mayor explotación y uso no autorizado. El malware obtiene direcciones de correo electrónico para su propagación. son las siguientes: Envío de correo a gran escala.Netsky. ntdetect. Robo de información corporativa y confidencial. Degradación del rendimiento. anti-spyware. En la siguiente tabla se presentan los métodos de propagación y vectores de inyección utilizados por diferentes tipos de malware a lo largo de los años.F produce problemas de rendimiento en la red.com. ntoskrnl. El software intenta modificar archivos para incluir troyanos en archivos ejecutables o actualizaciones de Windows. ntldr. Modificación de archivos. Por ejemplo el gusano W32. El software malicioso puede provocar problemas de rendimiento en el sistema afectado.Seguridad en el Software Las principales acciones que suele realizar sobre la máquina víctima. el gusano W32. El software malicioso puede provocar problemas de estabilidad en el sistema afectado.Korgo. Modificación de claves del registro u otro tipo de datos de configuración.ini. por ejemplo el gusano W32. Algunos malware intentan desactivar anti-virus.F al funcionar como puerta trasera permitiendo accesos no autorizados. Viruses. Utilidad dañina que un usuario descarga y ejecuta a nivel local. Estructura P2P de mando y control y cadena de comunicación Fax Flux3 Copias generadas en dispositivos removibles.dll con el fin de unirse a todos los mensajes salientes desde el sistema infectado Explotación directa de los servicios vulnerables Explotación directa de los servicios vulnerables incluyendo un motor de escaneo Anexos de correos electrónicos.de puerta trasera. Friendster.Seguridad en el Software Malware Año Técnicas de Inyección Happy99 1999 Anexos de correos electrónicos. Unidos a la Mapi. modificación ficheros File dropper. Puede también considerarse un componente del sistema etc. escaneo de red y gusanos web Servicios de red vulnerables Servicios de red vulnerables Anexos de correos electrónicos. ejecución de ficheros.inf Transferencia y compartición de ficheros a través de la red. que la realización de una taxonomía o clasificación del mismo no es una tarea fácil. ejecución de ficheros Anexos de correos electrónicos. 3 Fast-flux. comodela"instalar" destrucción demalware los datos. 2 Es una red de ordenadores en la que todos los nodos funcionan como clientes y servidores a la vez.. de forma que no sea detectado por los antivirus. MySpace. su evolución es tan rápida y sus características frecuentemente compartidas entre varios tipos. PC Magazine® Fighting Spyware. que produce copias de sí mismo en la memoria del ordenador. ejecución de ficheros Anexos de correos electrónicos. que consiste en una red de sistemas comprometidos con registros DNS públicos que están en constante cambio. Wiley Publishing.) en el sistema de destino. ejecución de ficheros. Existe tal variedad de malware. que a su vez las inserta en otros programas y por lo general lleva a cabo una acción maliciosa. ejecución de ficheros Anexos de correos electrónicos. escaneo de red y gusanos web Explotación directa de los servicios vulnerables Explotación directa de los servicios vulnerables File dropper1 sobreescritura o borrado de los ficheros originales Puertas traseras A través de redes P2P2 implementadas por aplicaciones como Kazaa. y LiveJournal Tabla 1 Técnicas de propagación del Malware. and Malware. malware. etc. para hacer que sea mucho más difícil de rastrear las actividades maliciosas. troyano. ejecución de ficheros Servicios de red vulnerables Servicios de red vulnerables Inta 2000 Vecna(Coke) 2001 CodeRed CodeRedII 2001 2001 Nimda 2001 Slammer MSBlast Sobig 2001 2001 2003 Bagle 2003 Netsky 2003 Sasser StormWorm 2004 2007– 2008 Anexos de correos electrónicos.. cada pocos minutos. Servicios de red vulnerables Anexos de correos electrónicos. sobreescribiendo el archivo autorun. con arquitecturas que cambian constantemente. como discos. etc. no obstante en los siguientes párrafos se presentan los tipos más comunes y sus principales características. Técnica empleada por botnet para evadir la detección. creyendo que es benigna Se expande a través de las de redes sociales. ejecución de ficheros AutoIT 2008 Ejecución de ficheros Downadup 2009 Ejecución de ficheros Bacteraloh 2009 Ejecución de ficheros. de etc. memorias USB. comportándose como iguales 1 entre sí. Básicamente es un programa que se integra dentro de otro programa aparentemente inocuo. redes P2P. Gnutella. Koobface 2009 Exploit en el lado cliente Técnicas de Propagación Infección de la aplicación CorelDraw Integración en espacios en vacios de ficheros. Explotación directa de los servicios vulnerables File dropper sobreescritura o borrado de los ficheros originales. ejecución de ficheros. spyware. Inc. Extraída y traducida de Ed Tittel. cargándose a través de link de URL vinculadas al malware a través de sitios como Facebook. archivos anexados. Morpheus. ejecución de ficheros Anexos de correos electrónicos. Virus. TEMA 4 – Ideas clave . Software malicioso encargado algún tipo de como virus. autónomo que se replican a través de una red sin intervención humana y por lo general lleva a cabo una acción destructiva.Seguridad en el Software Gusanos. sin su permiso o voluntad. Es un programa malicioso similar a un virus. Software para obtener información del objetivo (ciberespionaje) que se instala en un equipo sin el conocimiento del usuario y transmite información personal sobre las actividades y preferencias del usuario como las páginas visitadas. dirección de correo electrónico. cuando en realidad contiene oculto en su interior instrucciones de carácter malicioso. existen dos tipos de rootkits: modo usuario y modo kernel. un APT. Spyware. Es u tipo de software malicioso que crea un canal de de entrada (normalmente un canal a un servidor IRC) que el ciberatacante utiliza para conectar. Keyloggers. número de tarjeta de crédito. etc. para ocultar su existencia y mantener el acceso o incluso permitiendo al intruso tomar el control del equipo. como contraseñas y números de tarjetas de crédito. Rootkits. En general.. Troyanos. Es un software o programa aparentemente útil y de apariencia inocente. TEMA 4 – Ideas clave . al atacante. software cliente de un botnet. tecla pulsada por el usuario. controlar. productos comprados en línea. espiar o instalar otro malware como un keylogger. Es un tipo de software malicioso de gran peligrosidad y difícil eliminación que modifican ficheros y librerías del sistema operativo de la máquina objetivo. pequeño. Adware. Puertas traseras (Backdoors). etc. Software que proporciona a los anunciantes información sobre hábitos de navegación de los usuarios. sitios web visitados. Programa que puede capturar y transformar pulsaciones de teclas (teclado) para enviárselas el hacker. etc. permitiendo así al anunciante ofrecer anuncios orientados con los hábitos de la víctima o incluso redirigir al usuario a navegar por web’s que contienen ciertos anuncios. obteniendo información privada. utilizando técnicas de ingeniería social para causar un estado de shock o ansiedad en el usuario. es código incluido en otros tipos. que al navegar por Internet extrae todas las direcciones de correo electrónico que encuentra en las páginas web visitadas y las escribe en un archivo. gusanos informáticos. como la restricción de acceso al mismo coaccionándole a pagar un rescate al ciberatacante para que la restricción sea eliminada. Bomba lógica. en ese momento se ejecuta un código que produce acción maliciosa en el sistema. como el informarle y simularle la presencia de diversos tipos de malware en su máquina. Otro tipo de malware que busca la obtención de beneficio económico mediante estafa. Son un tipo de malware. que permanece oculta hasta que se producen una serie de condiciones lógicas y temporales. Más que un tipo de malware. Rogueware o Scareware. Consiste en el envío masivo de correo electrónico no solicitado a través de Internet. como virus. Advanced Persistent Threat (APT). causándole una alarma ente una amenaza. Ransomware. que son controlados remotamente mediante un sistema de mando y control «C2» por el ciberatacante normalmente a través de un canal de Chat IRC. Spam. que deben afrontar hoy en día las organizaciones. a partir de una lista obtenida por un robot de spam. amenazas avanzadas persistentes (APT).Seguridad en el Software Botnet. de rápida progresión y largo plazo. etc. Tipo del malware que consiste en un tipo sofisticado de ciberataque organizado. Es una clase de malware que busca un beneficio económico mediante la realización de un chantaje al usuario de la máquina infectada. que constituye uno de los desafíos de seguridad más importantes y peligrosos. principalmente por motivos publicitarios. Diseñado específicamente para acceder y obtener información de los sistemas de la organización objetivo.. los vectores de ataque que usan pueden ser no muy diferentes de los empleados en otros tipos de ataque o incluso ser desarrollos específicos. de crecimiento espectacular en los últimos años. TEMA 4 – Ideas clave . que se instala en el sistema objetivo a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social y consiste básicamente en la creación de una red de ordenadores zombis o robots de software autónomos. Seguridad en el Software Una iniciativa muy importante desarrollada para comunicar y compartir información útil recogida sobre malware sin ambigüedad y pérdida de datos. Una forma de estudiar los métodos y patrones de ataque del malware. Capturándolo en una honeynet. artefactos y patrones de ataque. que permite conocer con detalle las vulnerabilidades de las redes de una organización y los ataques que las explotan para acceder a los sistemas protegidos. más ventajoso que el uso de firmas físicas. al visitar servidores web maliciosos o debido a archivos adjuntos de correo electrónico. Componentes de MAEC 4. para buscar archivos binarios de malware. Obtención del malware Antes de comenzar con las actividades de análisis de malware. Utilización de un motor de búsqueda como Google. consiste en la implantación de honeypots. que consiste básicamente en la creación de un lenguaje estandarizado y formato de caracterización sobre la base de sus atributos. lo constituye la iniciativa del MITRE «Malware Attribute Enumeration and Characterization» (MAEC). pues permiten la codificación precisa de cómo funciona el malware y las acciones específicas que realiza. Capturándolo en una máquina infectada de la organización. que es más un incidente de seguridad a resolver por la organización que un medio de obtención. TEMA 4 – Ideas clave . es necesario el disponer de mecanismos de obtención del mismo. entre los que tenemos los siguientes: Bajándolo de páginas de Internet. Figura 1. como medida proactiva de defensa. honeytokens y honeynets. comportamiento. permitiendo la creación de patrones abstractos. honeypot y honeytokens.4. No son sistemas en producción. que aparenta ser un sistema en producción y que posee vulnerabilidades que han sido introducidas deliberadamente para observar intrusiones. tal y como puede ser un documento falso pero verosímil. mediante sistemas de monitorización específicos para ello. por lo que pueden ser desconectados de la red e incluso apagados para realizar un análisis forense después de un ataque. con aparentes problemas de seguridad debidos a una instalación incorrecta o una mala política de parcheo. por cuanto los sistemas estarán monitorizados y cualquier acceso será registrado en todos y cada uno de los movimientos que los atacantes realicen. una entrada de base de datos o incluso un inicio de sesión falso. pues permite obtener datos directamente de ataques reales al dejar de algún modo «expuestos» sistemas que puedan posteriormente analizarse. Tipos de Honeypots TEMA 4 – Ideas clave . tal y como podemos ver en la siguiente figura: Honeypots Inve stigación Tipo de uso Producción Físicos Tipo implementación Virtuale s Baja inte racción Tipo de interacción Alta inte racción Figura 2. Por supuesto esta apariencia no es real. Honeypot Se puede definir Honeypots como: sistemas TIC con servicios reales o simulados. A su vez los honeytokens son honeypots que no son sistemas TIC. una dirección de correo electrónico falsa usada para rastrear.Seguridad en el Software Este tipo de sistemas permite la obtención de malware para utilizarlo con propósitos investigación. Existen diferentes tipos de honeypots. Estos sistemas deben ser construidos con el propósito de hacer creer al atacante que está ante un sistema real en producción. Su propósito es el simular una red de producción. Cualquier tráfico que se dirija o provenga del los honeypots tiene que pasar por el honeywall. permitiendo todo el tráfico de entrada y limitando el de salida para que el atacante en caso de comprometer algún honeypots no lo pueda usar para atacar otras redes o la propia de producción. con una arquitectura y configuración que permita controlar. Sus tres principales requisitos son: Control de datos. herramientas de monitorización y recolección y análisis de datos y los diferentes dispositivos de conexión y filtrado que soportan la infraestructura de la red». Tipos de Honeynet TEMA 4 – Ideas clave . tal y como podemos ver en la siguiente figura: Honenet GEN I Arquitectura GEN II GEN III Virtuales Implementación Físicas Híbridas Figura 3. Existen diferentes tipos de honeynet. firewall.Seguridad en el Software Honeynet Básicamente una Honeynet se puede definir como «Una red que contiene uno o más honeypots de alta o baja interacción. Captura de datos. registrar y monitorizar toda la actividad atacante. Dicha arquitectura consta de diferentes tipos de dispositivos como router. Recolección y análisis de datos. separa los honeypots de las redes exteriores. IDS y diferentes tipos de honeypots. switch. Al gateway de entrada se le denomina «honeywall». 5. funcionalidad y posibilidad de ejecutar en un ordenador las diferentes máquinas del laboratorio en una plataforma virtual. Esto dará un análisis completo del ciclo de vida del malware. SMTP. mail. La construcción de un laboratorio para análisis de malware requiere de la utilización de dos entornos. Arquitectura laboratorio análisis de malware TEMA 4 – Ideas clave . HTTP. uno de hardware físico y otro virtual. FTP. análisis estático de su código y por último un análisis dinámico en un entorno que simule el ambiente real de ejecución. su comportamiento. métodos de ocultación y ofuscación. pues algunos de los malware más sofisticados no se ejecutan si detectan que se están ejecutando en una máquina virtual. mail. que permita la obtención y realización de una línea base de la configuración del equipo víctima. que nos permita simular con condiciones realistas los escenarios de ejecución del malware. FTP.Seguridad en el Software 4. Además debe ser un entorno aislado de otras redes para poder asegurar la no propagación del malware o sus efectos a las redes de producción o incluso Internet. Entorno y herramientas análisis de malware El análisis de malware requiere la implementación de un entorno de pruebas o laboratorio. gateway por defecto WINDOWS SERVER LINUX SERVER SERVIDOR 1 IPS SOLO TRAFICO SSH Servicios B Monitorización B TCPdump NFSEM Wireshark Web. se considera como primera opción a la hora de trabajar. No obstante dada la facilidad. Laboratorio Analisis Malware HONEY NET EXTERNA Internet Internet LAN VIRTUALIZADA MAQUINA VIRTUALIZADA DMZ Victima B WINDOWS DHCP. HTTP. gateway por defecto LINUX SERVER Figura 4. recogida y análisis de datos obtenidos. figura 4. clasificación y ejecución del malware. SMTP. sistema de actualizaciones y comunicaciones. es decir un entorno controlado en el que los acontecimientos inesperados son inexistentes o reducidos al mínimo. ftp HONEY NET DMZ LAN FISICA Victima A Monitorización A Servicios A TCPdump NFSEM Wireshark Web. ftp IPS WINDOWS WINDOWS SERVER DHCP. (2007). En la siguiente tabla se indica la utilidad de estos servicios y su distribución en las diferentes máquinas. con la aplicación IIS instalada. A. Maquina Servicios Plataforma virtual o Servicios Servicios o Monitorización y Servicios Windows Servicios Servicios Monitorización y Servicios Windows Tabla 2 . Construido en base a un sistema operativo Ubuntu Server u otro tipo de distribución Linux. o Servicios. Cebo para el malware con archivos confidenciales. Adaptada de Sanabria. Malware Analysis: Environment Design and Artitecture. Chat. El objetivo de este servidor es el de proporcionar servicios al malware en su interactuación con el entorno. proporcionar servicios específicos de sistemas Windows. o Monitorización y servicios Windows. DHCP. para simular su entorno de ejecución. Construido en base a un sistema operativo servidor de Windows el 2003 server o superior. con herramientas instaladas como Inetsim y netcat. tal y como pueden ser Http. y para establecer la maquina Servicios como puerta de enlace. aparentemente sin vigilancia. FTP. Servicio DNS DHCP HTTP FTP SMTP SMB Utilidad Redirigir los accesos a internet realizados por el malware a los servidores de servicios monitorización y servicios Windows Necesario para que los sistemas de laboratorio obtengan una IP. para redirigir y capturar los intentos de comunicación del malware Capturar el tráfico redirigido generado por el malware Capturar el tráfico redirigido generado por el malware Capturar el tráfico redirigido generado por el malware Compartición de ficheros de Windows. Su objetivo será el constituir la plataforma donde se va a ejecutar y monitorizar el malware para estudiar su comportamiento. IRC Server. dispondría cada uno de los siguientes dispositivos: o Víctima. Su objetivo es el realizar la grabación y monitorización del tráfico de red producido por el malware. como SMB y la realización de las fases de clasificación y análisis estático de código. SANS Institute TEMA 4 – Ideas clave . DNS y SMTP.Seguridad en el Software Este laboratorio de malware constará de los siguientes subsistemas: Subsistemas de análisis físico y virtual. Construido en base a una máquina Windows con sistema operativo XP u otro que se considere. Servicios del laboratorio. Streams AutoRuns TCPView Fport Hfind Vision. Para la extracción del malware se tendría un acceso por SSH a las dos honeynet a iniciar sólo desde la parte interna.Seguridad en el Software Subsistema Recolección de Malware. regla a incluir en los cortafuegos. con honeypots de alta y baja interacción. tal y como se ha descrito en el apartado anterior. A continuación presentamos una tabla. con cometido de captura y análisis de datos producidos de la actividad del código dañino o malware. TEMA 4 – Ideas clave . Filewatch Attacker Winalysis Md5sums md5deep WinMD5 YARA ClamAV Ssdeep Bitdefender AntiVir Panda Strings PEiD Dependency Walker PEBrowse Windump Wireshark Snort WinHex IDA Pro Reverse Engineering Compiler. Victima Monitorización y Servicios Windows Servicios Strings BinText. en la que se indica la máquina donde se debe instalar cada una de las herramientas presentadas y servicios. Se trataría de un sistema virtual de arquitectura de Generación III. Se debería disponer de una Honeynet en una DMZ y otra en Internet. McAfee Rootkit Remover. ProcDump 32 Ollydbg PE Explorer Windbg Fake DNS Fakenet ISS Netcat HTTP Apache Aplicación FTP Fake DNS inetsim AVG F-prot Tabla 3 Herramientas análisis de malware relacionadas con la máquinas del laboratorio donde deben ser instaladas. PEBrowse BGInfo Process Explorer Process Hacker Process Monitor. PsFile RootkitRevealer. en entornos con diferente niveles de seguridad. Consiste básicamente en la realización de un análisis del comportamiento del malware en ejecución. primero de confirmar si es algún tipo de malware y si lo es obtener información sobre su funcionalidad que pueden permitir la realización firmas simples de red. TEMA 4 – Ideas clave . con el objeto de observar su comportamiento y obtener las acciones que realiza sobre el sistema objetivo (modificaciones del registro. con el objetivo. o Foto de la situación inicial «snap shot» si estamos en el entorno virtual o una imagen si estamos en el entorno físico. antes y después de ejecutar el malware bajo estudio. identificación y formas de eliminación. Principalmente las actividades a ejecutar serán: o Realizar un hash MD5 de todas las herramientas que van a utilizar para verificar la integridad de las mismas. Consiste principalmente en la realización de una serie de acciones encaminadas a obtener un registro de la configuración con el propósito de disponer de una referencia para obtener datos por comparación. Análisis estático. no siendo modificadas. ficheros.6. Las fases que se proponen en la metodología propuesta son: Acciones Iniciales. etc. Es un proceso básico. sencillo y rápido que permite obtener información inicial para la realización de las siguientes fases. navegando través de él al objeto de conseguir una mejor comprensión y funcionamiento del mismo. Clasificación. Metodología de análisis de malware Un paso importante para facilitar la adquisición de conocimiento sobre un malware concreto es la realización de un proceso sistemático y metodológico de análisis. Consiste básicamente en la realización de un análisis de código ensamblador del malware. o Realizar una línea de base de la configuración del sistema víctima.) y trafico de red que genera. Análisis dinámico. cuyo principal objetivo es el de obtener una comprensión completa del mismo. en lo relativo a su funcionamiento. Consiste en examinar el archivo ejecutable del malware sin acceder al código malicioso. asegurarse de que el malware no instala un Rootkit.Seguridad en el Software 4. Clasificación 3. Acciones iniciales 2. Análisis dinámico estático Figura 5. dada la gran cantidad de tipos de códigos maliciosos existentes y tecnologías empleadas en su construcción. pretende ser una base para la realización de un proceso sistemático y metodológico de análisis de malware. TEMA 4 – Ideas clave . Análisis 4. de carácter flexible que puede requerir ligeras variaciones.Seguridad en el Software 1. Metodología Análisis de Malware La metodología propuesta. TEMA 4 – Lo + recomendado . medio de espionaje electrónico de gran capacidad de obtención de información y difícil defensa.Seguridad en el Software Lo + recomendado Lecciones magistrales Amenazas avanzadas persistentes En la presente lección magistral se va a realizar una introducción a un tipo específico de malware denominado Advanced Persistent Threat (APT). El vídeo está disponible en el aula virtual. en lo referente a las características que lo definen y las estrategias de protección que las organizaciones deben adoptar. En cambio.sans.Seguridad en el Software No dejes de leer… Analysis of a Simple HTTP Bot Asjley. H. D. que es un fenómeno relativamente raro en el mundo del malware. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www. Por lo tanto. SANS Institute. El análisis se centra en algunos de los componentes del Motor de búsqueda HTTP que pueden estar presentes en los más complejos bots HTTP. la comprensión de los componentes de este ejemplar de malware puede permitir comprender a un analista más fácilmente un bot HTTP más complejo. este trabajo no se centra en esos aspectos. Dado que ya hay mucha literatura que describe sus capacidades maliciosas individuales. Este artículo describe los métodos de ingeniería inversa utilizados para analizar un simple Bot HTTP. Clash of the Titans: ZeuS v SpyEye. Accede una parte del libro desde el aula virtual o a través de la siguiente dirección web: http://www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeusspyeye_33393 TEMA 4 – Lo + recomendado . Se describe la forma de realizar ingeniería inversa de los dos binarios y las técnicas de ofuscación utilizadas por ellos. la atención se centra principalmente en la comunicación entre procesos entre los dos binarios.org/reading_room/whitepapers/malicious/analysis-simple-httpbot_33573 Clash of the Titans: ZeuS v SpyEye Nayyar. En este trabajo se analiza el funcionamiento de dos bots Zeus y SpyEye. SANS Institute. Analysis of a Simple HTTP Bot. ME. se le llmó "Nimda". El 18 de septiembre de 2001. The Nimda Worm: An Overview. Code Red Worm Invasion. Documento que analiza el funcionamiento del el malware Code Red. SANS Institute.sans. E. NT.Seguridad en el Software The Nimda Worm: An Overview Aronne. S. Nimda explota varias vulnerabilidades conocidas y corregible en Microsoft Windows 9x.sans. 2000 y sistemas. integridad y disponibilidad de los diferentes recursos a través de Internet. Durante su ciclo de vida ha comprometido la confidencialidad.org/reading_room/whitepapers/malicious/code-red-worminvasion_93 TEMA 4 – Lo + recomendado . Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www. un nuevo gusano de rápida propagación apareció en Internet. J.org/reading_room/whitepapers/malicious/nimda-wormoverview_95 Code Red Worm Invasion Bristow. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://www. SANS Institute. brighttalk.Seguridad en el Software No dejes de ver… World-Class Malware Defense: Using the Cloud to Secure Your Business Vídeo acerca de un novedoso tipo de antivirus.com/webcast/8303/55577 Real Advances in Android Malware Conferencia sobre lo que los autores de malware y delincuentes están haciendo para mejorar la eficacia y la capacidad de evasión de su código malicioso en sistemas Android. GFI Software. Senior Sales Engineer.youtube. Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: https://www. Phil Owens.com/watch?v=i3pRSmNc1Ng TEMA 4 – Lo + recomendado . Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: http://www. y dibujos de ataque. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://makingsecuritymeasurable.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_a tacantes A Structured Language for Attribute-Based Malware Characterization Descripción del estándar de caracterización y clasificación de malware MAEC.org/docs/maec-intro-handout.pdf TEMA 4 – + Información .mitre. Accede al documento desde el aula virtual o a través de la siguiente dirección web: http://www.org/about/docs/Introduction_to_MAEC_white_paper.mitre. monitorizando a los atacantes Artículo que trata en profundidad los diferentes tipos de honeypots. artefactos. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://maec.pdf Malware Attribute Enumeration and Characterization Documento que presenta y define un lenguaje para caracterizar malware sobre la base de sus comportamientos.Seguridad en el Software + Información A fondo Honeypots.inteco. org/ Enciclopedia Virus Kaspersky Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Kasperky. y los patrones de ataque. Página web que introduce y define un lenguaje para la caracterización de malware basado en sus comportamientos.com/es/resources/reports/rp-quarterly-threat-q1-2012.com/eng/ TEMA 4 – + Información .pdf Webgrafía MAEC Malware Attribute Enumeration and Characterization (MAEC).viruslist. hasta la fecha. http://www.mcafee. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www. https://maec. artefactos.Seguridad en el Software Informe de McAfee sobre amenazas Informe que describe las tendencias del malware ocurridas durante el primer trimestre del 2012.mitre. M. http://www. Richard. B. hasta la fecha. McGraw-Hill. Bodmer. Wiley Publishing. Malware Analyst’s Cookbook and DVD.com/vinfo/virusencyclo/ Bibliografía Davis. Wiley Publishing. Hacking Exposed™ Malware & Rootkits: Security Secrets & Solutions. (2010). Gregg. M. (2008).. Hartstein.Seguridad en el Software Enciclopedia Virus Symantec Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Symantec. Lemasters.symantec. TEMA 4 – + Información . M. Hale Ligh. Build Your Own Security Lab: A Field Guide for Network Testing. hasta la fecha..html Enciclopedia Virus Trend Micro Página web donde se pueden consultar las diferentes características de los diversos tipos de malware detectados por la empresa Trend Micro. (2011). Adair. Inc.com/avcenter/vinfodb. S. A. Tools and Techniques for Fighting Malicious Code. S.trendmicro. Inc. M. http://securityresponse.... Inc. H.. Fighting Spyware.. Sikorki.Seguridad en el Software Sharif. A. Viruses. P. and Honing. M. and Malware. Absolute Beginner’s Guide to Security. (2008). Practical Malware Analysis. V. Georgia Institute of Technology. Spyware & Viruses (Absolute Beginner’s Guide). Yegneswaran. (2012). Saidi. E. M. No Starch Press. Spam. and Porras. Tittel. TEMA 4 – + Información . Technical Report Number: SRI-CSL-08-01 SRI Project 17382 Computer Science Laboratory and College of Computing. Eureka: A Framework for Enabling Static Analysis on Malware. PC Magazine® Wiley Publishing. The hans-on guide dissecting malicious software. El entorno seguro se realizará en base a un software virtual tipo VMAWARE player.k-state. Stringas.k-state.net/projects/pmalabs/ mientras lo monitorizas mediante las herramientas básicas de análisis dinámico en un entorno seguro.edu/its/security/training/2009-49/presentations/handouts/Process_Monitor_Tutorial_Handout.exe obtenido de http://sourceforge.pdf TEMA 4 – Actividades . Process Monitor.Seguridad en el Software Actividades Trabajo: Análisis dinámico de malware En este trabajo debes ejecutar el malware encontrado en el archivo Lab03-03. virtual box con una máquina con sistema operativo de Microsoft.edu/its/security/training/2009-49/presentations/handouts/Process_Explorer_Tutorial_Handout. Herramientas a utilizar (en los apuntes del tema 4 están los enlaces para descargárselas): Process Explorer. Notepad. con la tarjeta de red en modo aislado.pdf http://www. Preguntas: ¿Qué observas al supervisar este malware con Process Explorer? ¿Puedes identificar modificaciones en la memoria? ¿Qué archivos crea? ¿Cuál es el propósito de este? Como ayuda consultar los manuales de las herramientas disponibles en los siguientes sitios web: http://www. 5. (2012). TEMA 4 – Actividades . and Honing. The hans-on guide dissecting malicious software. No Starch Press.Seguridad en el Software Se debe enviar una memoria que responda a la preguntas del ejercicio y contenga una descripción detallada de las actividades realizadas. A. fuente Georgia 11 e interlineado 1.) Se recomienda leer antes de realizar el trabajo el apartado de análisis dinámico de los apuntes del profesor elaborados para este tema. (Ejercicio obtenido de LAB 3.3 del tema 3 del libro: Sikorki. Extensión máxima de la actividad: 8 a 12 páginas. Practical Malware Analysis. M. 5. 2. Puertas traseras. B. C. Descubrir otras máquinas que han sido afectadas por el mismo malware. para obtener la actualización del software que la mitigue. A. Envío de correos personales.Seguridad en el Software Test 1. Análisis heurístico. Los mecanismos de propagación del malware. Acciones que el malware suele realizar sobre la máquina víctima. Integración en espacios vacios de ficheros. Señala la incorrecta: A. Pasos de la metodología de análisis de malware. C. File dropper. Beneficios del análisis de malware. A. D. Degradación del rendimiento. 4. Indica la respuesta falsa. B. Gusanos. 3. D. C. File dropper. Clasificación. D. Señala la incorrecta. D. si está disponible. B. Determinar el nivel de expansión del malware. C. Redes Peer-To-Peer (P2P). Señala la incorrecta. A. TEMA 4 – Test . Correos electrónicos. Actividades iniciales. Señala la incorrecta: A. Vectores de infección. B. Obtención de datos necesarios para poder implementar defensas. B. Modificación de archivos. D. Inestabilidad del sistema. Identificar la vulnerabilidad que fue aprovechada por el malware. Análisis dinámico. C. Servicios de red vulnerables. Back Orifice. A. Mecanismos de obtención del malware. ¿En qué fase se debe realizar un hash MD5 de todas las herramientas que van a utilizar para verificar la integridad de las mismas? A. Vocabulario. B. Señala la incorrecta. C. Bajándolo de páginas de Internet. Señala la incorrecta. C. Componentes del Malware Attribute Enumeration and Characterization (MAEC). Ejemplos de troyanos. D. SaranWrap. Formato de salida estándar. Análisis estático. B. D. Capturándolo en una honeynet. Estructura de datos. C. B. Clasificación. Normaliza los datos registrados por cada herramienta de captura de datos. Esquema de definición. 8. ¿Qué principales mejoras introduce la Generación III de Honeynet? A. D. B. Señala la incorrecta. 9. B. C. D. en lugar de un router. C. Análisis dinámico. A. 10. Mejora las versiones del Hardware. Capturándolo en una máquina infectada. TEMA 4 – Test .Seguridad en el Software 6. NetBus. A. D. Las tareas de control y captura de datos ahora están centralizadas en un solo dispositivo llamado Honeywall. Acciones iniciales. Comprarlo a una empresa de prestigio internacional. Utiliza como Gateway acceso un dispositivo de Capa que actúa como un puente. Titan Rain. 7.