Ingeniería Inversa.

 

Revisión de Malwares.

Esta entrada tiene por objetivo realizar una introducción a algunos de los tipos de malwares existentes, sú definición y descripción; en algunos apartados encontrarán ejemplos de malwares para su posterior estudio en laboratorios controlados.


Flujo común de ataque.

El flujo general de ataque de Malwares adquiere la siguiente secuencia:

  1. Reconocimiento del perímetro.
  2. Infiltración
  3. Reconocimiento interno.
  4. Resguardo.
  5. Ex-filtración.
  6. Purgación.

Clases de Malwares.

Clase Descripción
Virus Porción de código que se propaga (replica) entre los sistemas con la intervención del usuario.
Worm (Gusano) Porción de código que se auto-propaga/replica entre los sistemas sin necesitar la intervención del usuario.
Bot Proceso automatizado que interactúa con otros servicios de red.
Troyano Malware que es raras veces aceptado como software legítimo.
Ransomware Malware que hostiga la información de la victima mediante criptografía u otros métodos.
Rootkit Enmascara sú existencia o la existencia de otro software.
Backdoor (puerta trasera) Permite a un atacante externo a acceder o enviar comandos a la computadora comprometida.
RAT Troyano de acceso remoto, similar a un Backdoor.
Info Stealer Roba información de la víctima, contraseñas u otra información personal.
HackTool Herramientas de administración o programas que pueden ser utilizadas por hackers para atacar sistemas y redes. Por lo general, no son programas maliciosos.
Hoax Programas que pueden entregar un falso positivo sobre un virus o instalar un antivirus falso.
Dropper/Downloader Diseñado para instalar o descargar alguna parte de un malware.
Adware Publicidad para generar ingresos al autor.
PUP/PUA Programa potencialmente no requerido, a veces añadido al sistema sin la intervención o conocimiento del usuario.

Técnicas Malwares.

Las clases de malwares puede mostrar una o mas técnicas. El framework Mitre & Attack provee una amplia referencia a muchas de las técnicas.

Revisión de las técnicas.

Compresión.

Ofuscación.

  • Acto deliberado de crear código ofuscado que es dificil de entender.
  • Cadenas en texto plano aparecen como base64 o Xor.
  • Comportamiento malicioso que incluye salto de funciones o rutinas que no hacen nada mas que descartar la aplicación de reversión.
    • Encriptación de cadenas.
    • Flujo de control plano.

afuscacion

Ejemplo del Malware.

Persistencia.

  • Una vez que el malware obtiene acceso al sistema, puede aparentar quedarse por períodos extendidos de tiempo.
  • Si el mecanismo de persistencia es suficientemente único, puede servir para identificar una parte del malware.

persistencia

Ejemplo de malware:

Escalación de privilegios.

  • Explotrar una falla, diseñar un ataque o una configuración en un sistema operativo o aplicación de software para elevar privilegios que normalmente están protegidas por una aplicación o usuario.
  • Técnicas comunes:
    • Búsqueda de DLL para Hijacking.
    • Inyección de DLL.
    • Explotando una vulnerabilidad.
      • Buffer Over Flow.
      • Stack Over Flow.
      • Heap Spray.
      • Return Orientated Programming (ROP).
    • Robo de credenciales.
    • Bypaseo de UAC.

Evasión de Defensas.

  • Evadir la detección o evitar los mecanismos de defensas.
  • Técnicas comunes:
    • Cerrar el Antivirus.
    • Auto borrarse luego de la ejecución.
    • Bombas de tiempo / tiempo de detección y detención.
    • Robar certificados.
    • Carga lateral de DLL.
    • Enmascaramiento.
    • Procesos enmascarados.
    • Inyección de código.

Ejemplo de un malware.

Robo de credenciales.

  • Atacar luego del almacenamiento de contraseñas.
  • Obtener mediante capturas de pulsaciónes de teclas.
  • Obtener mediante capturas de pantallas.

alt text

Ejemplo de Malware.

Reconocimiento.

  • Obtener conocimiento sobre el sistema y redes internas.

Movimientos laterales.

  • Permite a un adversario acceder y controlar remotamente un sistema en una red.

Ejemplo de malware.

Ejecución.

  • Son técnicas que convergen en una ejecución de un código controlado por un adversario en un sistema local o remoto.
  • Mediante el uso de scripts.
  • Mediante post-explotación.

Colección.

  • Identifican y obtienen información, como archivos sensibles, desde una red objetivo para una exfiltración.

Ejemplo de Malware.

Exfiltración.

  • Remueven archivos e información.

Comandos y Controles.

  • Comunican con sistemas bajo controles.

Ejemplo de malware.


Recuerden revisar los fundamentos, conocer las herramientas y estimar el tiempo en el análisis de malwares.

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">