Ingeniería Inversa.

 

Revisión de Malwares.

Esta entrada tiene por objetivo realizar una introducción a algunos de los tipos de malwares existentes, sú definición y descripción; en algunos apartados encontrarán ejemplos de malwares para su posterior estudio en laboratorios controlados.


Flujo común de ataque.

El flujo general de ataque de Malwares adquiere la siguiente secuencia:

  1. Reconocimiento del perímetro.
  2. Infiltración
  3. Reconocimiento interno.
  4. Resguardo.
  5. Ex-filtración.
  6. Purgación.

Clases de Malwares.

Clase Descripción
Virus Porción de código que se propaga (replica) entre los sistemas con la intervención del usuario.
Worm (Gusano) Porción de código que se auto-propaga/replica entre los sistemas sin necesitar la intervención del usuario.
Bot Proceso automatizado que interactúa con otros servicios de red.
Troyano Malware que es raras veces aceptado como software legítimo.
Ransomware Malware que hostiga la información de la victima mediante criptografía u otros métodos.
Rootkit Enmascara sú existencia o la existencia de otro software.
Backdoor (puerta trasera) Permite a un atacante externo a acceder o enviar comandos a la computadora comprometida.
RAT Troyano de acceso remoto, similar a un Backdoor.
Info Stealer Roba información de la víctima, contraseñas u otra información personal.
HackTool Herramientas de administración o programas que pueden ser utilizadas por hackers para atacar sistemas y redes. Por lo general, no son programas maliciosos.
Hoax Programas que pueden entregar un falso positivo sobre un virus o instalar un antivirus falso.
Dropper/Downloader Diseñado para instalar o descargar alguna parte de un malware.
Adware Publicidad para generar ingresos al autor.
PUP/PUA Programa potencialmente no requerido, a veces añadido al sistema sin la intervención o conocimiento del usuario.

Técnicas Malwares.

Las clases de malwares puede mostrar una o mas técnicas. El framework Mitre & Attack provee una amplia referencia a muchas de las técnicas.

Revisión de las técnicas.

Compresión.

Ofuscación.

  • Acto deliberado de crear código ofuscado que es dificil de entender.
  • Cadenas en texto plano aparecen como base64 o Xor.
  • Comportamiento malicioso que incluye salto de funciones o rutinas que no hacen nada mas que descartar la aplicación de reversión.
    • Encriptación de cadenas.
    • Flujo de control plano.

afuscacion

Ejemplo del Malware.

Nombre: EXTRAC32.EXE
Hash: f4d9660502220c22e367e084c7f5647c21ad4821d8c41ce68e1ac89975175051
Enlace de estudio: https://www.virustotal.com/en/file/f4d9660502220c22e367e084c7f5647c21ad4821d8c41ce68e1ac89975175051/analysis/

Persistencia.

  • Una vez que el malware obtiene acceso al sistema, puede aparentar quedarse por períodos extendidos de tiempo.
  • Si el mecanismo de persistencia es suficientemente único, puede servir para identificar una parte del malware.

persistencia

Ejemplo de malware:

Nombre: Troyano Bancario
Hash: cb07ec66c37f43512f140cd470912281f12d1bc9297e59c96134063f963d07ff
Enlace de descarga: https://www.virustotal.com/en/file/cb07ec66c37f43512f140cd470912281f12d1bc9297e59c96134063f963d07ff/

Escalación de privilegios.

  • Explotrar una falla, diseñar un ataque o una configuración en un sistema operativo o aplicación de software para elevar privilegios que normalmente están protegidas por una aplicación o usuario.
  • Técnicas comunes:
    • Búsqueda de DLL para Hijacking.
    • Inyección de DLL.
    • Explotando una vulnerabilidad.
      • Buffer Over Flow.
      • Stack Over Flow.
      • Heap Spray.
      • Return Orientated Programming (ROP).
    • Robo de credenciales.
    • Bypaseo de UAC.

Evasión de Defensas.

  • Evadir la detección o evitar los mecanismos de defensas.
  • Técnicas comunes:
    • Cerrar el Antivirus.
    • Auto borrarse luego de la ejecución.
    • Bombas de tiempo / tiempo de detección y detención.
    • Robar certificados.
    • Carga lateral de DLL.
    • Enmascaramiento.
    • Procesos enmascarados.
    • Inyección de código.

Ejemplo de un malware.

Nombre: Darkcomet / Backdoor
Hash: 1be0ca062facda59239cc5621d0a3807a84ed7d39377041489b09d3870958fee
Enlace de descarga: https://www.virustotal.com/en/file/1be0ca062facda59239cc5621d0a3807a84ed7d39377041489b09d3870958fee/analysis/

Robo de credenciales.

  • Atacar luego del almacenamiento de contraseñas.
  • Obtener mediante capturas de pulsaciónes de teclas.
  • Obtener mediante capturas de pantallas.

alt text

Ejemplo de Malware.

Nombre: mimikatz
Hash: b4d7bfcfb8f85c4d2fb8cb33c1d6380e5b7501e492edf3787adee42e29e0bb25
Enlace: https://www.virustotal.com/en/file/b4d7bfcfb8f85c4d2fb8cb33c1d6380e5b7501e492edf3787adee42e29e0bb25/analysis/

Reconocimiento.

  • Obtener conocimiento sobre el sistema y redes internas.

Movimientos laterales.

  • Permite a un adversario acceder y controlar remotamente un sistema en una red.

Ejemplo de malware.

Nombre: winmail.dat^QGIS-KOMIT .zip^QGIS-KOMIT .exe

Hash: c0f38384dd6c1536a0e19100b8d82759e240d58ed6ba50b433e892e02e819ebb

Enlace: https://www.virustotal.com/en/file/c0f38384dd6c1536a0e19100b8d82759e240d58ed6ba50b433e892e02e819ebb/analysis/

Ejecución.

  • Son técnicas que convergen en una ejecución de un código controlado por un adversario en un sistema local o remoto.
  • Mediante el uso de scripts.
  • Mediante post-explotación.

Colección.

  • Identifican y obtienen información, como archivos sensibles, desde una red objetivo para una exfiltración.

Ejemplo de Malware.

Nombre: keylogger
Hash: 5d5c01d72216410767d089a3aabddf7fdbe3b88aff3b51b6d32280c3439038fa
Enlace: https://www.virustotal.com/en/file/5d5c01d72216410767d089a3aabddf7fdbe3b88aff3b51b6d32280c3439038fa/analysis/

Exfiltración.

  • Remueven archivos e información.

Comandos y Controles.

  • Comunican con sistemas bajo controles.

Ejemplo de malware.

Nombre: backdoor
Hash: 02fc2d262cb0d5e9d3e8202ea69013c5c8cc197685c73c0689cbeb243d508e76
Enlace: https://www.virustotal.com/en/file/02fc2d262cb0d5e9d3e8202ea69013c5c8cc197685c73c0689cbeb243d508e76/analysis/

Recuerden revisar los fundamentos, conocer las herramientas y estimar el tiempo en el análisis de malwares.

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>