Date post: | 12-Jun-2015 |
Category: |
Documents |
Upload: | securinfcom-seguridad-informatica |
View: | 279 times |
Download: | 4 times |
Análisis de Malware
David Moreno GaviriaComunidad DragonJAR
Encuentro de Tecnologías de la Información -SecurInf V.3
La Comunidad DragonJAR
Definiciones e Historia del Malware
Implementación de entornos para el Análisis de Malware / Herramientas
¿Por qué se hace necesario la implementación de este tipo de entornos?
Implicaciones legales del Análisis de Malware
Fases implicadas en el Análisis de Malware:
Tipos de Análisis
Perfilamiento del Malware / Detalles
Comprobaciones criptográficas
Comparación de firmas
Escaneos
Examinación
Extracción y Análisis de Datos
Revelación de datos
Correlación de resultados
Investigación y profundización
Conclusiones y recomendaciones
Análisis de Malware - Securinf
Análisis de Malware - Securinf
• ¿Qué es el Malware?• Tipología del Malware
• BackDoor• BootNet• Exploit• Gusano• Hoax• Keylogger• Phishing• Rouge• Rootkit• Spam• Spyware• Troyano• Virus
• Análisis de Malware
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Implementación de un entorno de Laboratorio Seguro
Requerimientos mínimos:
• Máquinas virtuales / Físicas (Mínimo 3)• Varios S.O• Interfaces de Red• Metodología• Documentación• Debugger• Monitores de procesos• Monitores de sistemas• Monitores de archivos• Monitores de instalaciones• Monitores de red• Editor hexadecimal• AV’s• Des/Ensambladores
Análisis de Malware - Securinf
Montaje de un entorno de Laboratorio Seguro para el Análisis de MalwareAlgunas Herramientas:
• OllyDbg• IDA Pro• PEiD• GNU Debugger (GDB)• Editor Hexadecimal• Syser• Microsoft Debugging Tools• Process Explorer• Process Monitor• RegMon• FileMon• PortMon• System Information for Windows• FCIV• Malcode Analyst Pack• SSDEEP• FileAlyzer• InstallWatch• RegShot
Análisis de Malware - Securinf
¿Por qué implementarlos?
• Bases sólidas del funcionamiento y operatividad del Malware.• Contramedidas al Malware.• Fácil inicio para aprendices• Portables• Simulación de entornos reales.• Implicaciones legales.• Implementación / pruebas de
herramientas AV’s.
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Obtener archivo
Detalles
Hash
Comparación
Clasificación
EscaneoExaminar
Extraer
Revelar
Correlacionar
Investigar
Análisis de Malware - Securinf
Obtener archivo
• Muestras/Listas de Malware (Dominios)• Internet (Postales, Webs infectadas)• USB/CD/DVD
(Video)
Análisis de Malware - Securinf
Instantáneas del Sistema
Análisis de Malware - Securinf
Detalles del Sistema:
• Sistema Operativo• Service Pack• Actualizaciones de Seguridad• Dispositivos• Software Instalado
SIW System Information for Windowswww.gtopala.com
Análisis de Malware - Securinf
Fases Implicadas:Comprobaciones Criptográficas
• Algoritmo MD5 (Reducción)• FCIV (File Checksum Integrity Verifier)
http://support.microsoft.com/kb/841290
• Malcode Analyst Packhttp://labs.idefense.com/software/
• WinVIhttp://www.winvi.de
(Video)
Análisis de Malware - Securinf
Fases Implicadas:Comprobaciones Criptográficas / Alteraciones / Variantes.Computing Context Triggered Piecewise Hashes(CTPH)
• SSDEEPhttp://ssdeep.sourceforge.net
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Clasificación de Archivos
• Extensión del Archivo (no recomendable)• File Signature (Firma del archivo)
20 bytes del archivoWindows Bitmap (.bmp) > Hex: 42 4D > BMEj Ext MW: .exe, .dll, .com, .pif, .ocx, .drv, etc.
• WinVIhttp://www.winvi.de
• File Signature Tablehttp://www.garykessler.net/library/file_sigs.html
• Exeinfowww.geocities.com/exeinfo_PE/
(Video)
Fases Implicadas:
Detección de Empaquetados
• RDG Packer Detectorwww.rdgsoft.8k.com
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Escaneo con AV’s
Anti Virus Locales:• AVIRA
http://www.free-av.com/• Norton AV
http://www.symantec.com/norton/antivirus• Kaspersky
http://www.kaspersky.com/• ESET Smart Security
http://www.eset-la.com/smartsecurity/• McAfee
http://www.mcafee.com/es/
Anti Virus Online:• Virus Total
http://www.virustotal.com/es.• VirSCAN
http://virscan.org/
(Video)
Fases Implicadas:
Información Embebida - Strings
• Malcode Analyst Packhttp://labs.idefense.com/software/
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Dependencias
• OllyDBGhttp://www.ollydbg.de/
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Metadatos
• FileAlyzerhttp://www.safer-networking.org/en/filealyzer/index.html
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Monitoreo de ejecución simple / Análisis DinámicoMonitoreo de instalación• InstallWatch
http://www.epsilonsquared.com/installwatch.htm
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Monitoreo de ejecución simple / Análisis DinámicoInstantáneas del sistema (Registro)• RegShot
http://sourceforge.net/projects/regshot/
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Monitoreo de ejecución simple / Análisis DinámicoEjecución Automática de Archivos / Ocultos• MSCONFIG
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Análisis de archivos generados / EjecuciónComprobación de firmas
• SSDEEPhttp://ssdeep.sourceforge.net
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Análisis de Ejecución simple / Análisis Dinámico
• SysAnalyzerhttp://labs.idefense.com/software/malcode.php
(Video)
Análisis de Malware - Securinf
Fases Implicadas:
Análisis de Ejecución simple / Análisis DinámicoAnálisis de Red
• SysAnalyzerhttp://labs.idefense.com/software/malcode.php
• WireSharkhttp://www.wireshark.org/
(Video)
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware
David Moreno GaviriaComunidad DragonJAR
Encuentro de Tecnologías de la Información -SecurInf V.3