Ingeniería Inversa.

 

Tiempo invertido.

Underc0de - tiempo invertido

Dependiendo la carga laboral que posea, quiere pasar el menor tiempo posible tratando de determinar que es lo que el malware hace y como atraparlo. Muchos analistas de malwares utilizan su propio tiempo de análisis, similar al tiempo de espera en la sala de emergencia en un hospital.

Querrá encontrar rápidamente información e indicadores antes de pasar a un análisis estático y dinámico.

Esta lista de tareas es útil para el laboratorio y análisis:

  • Contexto del archivo.
  • Información del archivo y headers de analisis.
  • Obtener informacíon básica del PE.
  • Busqueda simple.
  • Colectar strings.
  • Verificar proveedores de anti-virus.
  • Rápida explotación de una máquina virtual.
  • Capturar informacíon de red.

Descargar el malware desconocido.

 


Contexto del archivo.

Al recibir el binario del malware, es importante preguntarse ¿cómo el malware llego allí?

Preguntas a formular:

 

  • ¿Llegó desde un e-mail?
  • ¿Fué por una descarga utilizando un navegador web?
  • ¿Estuvo en la cuarentena de un anti-virus?
  • ¿Es un proceso en ejecución con código malicioso?
Información del archivo y headers de analisis.
  • Utilice la línea de comando (sniffer VM) para determinar el tipo de archivo.
  • Verifique el header utilizando hex editor (HxD)
Obtener informacíon básica del PE.
  • Utilice CFF Explorer para obtener información del header del PE.
  • Determin sus recursos, librerías importadas y utilizadas.
    • Por ejemplo: Si ve Ws2_32.dll, puede estar estableciendo una conexión de red debido que es utilizado para setear conexiones.
  • Calcule el hash del archivo y verifique en la web si ha ya sido analizado.
Colectar strings.
  • Utilizando la consola en linux o la herramienta BinTex, extraiga cadenas para hallar pistas.
Verificar proveedores de anti-virus.
  • Ejecute el archivo en un anti-virus o en virus total para conocer si ya hay alguna detección.
Rápida explotación de una máquina virtual.
  • Utilice un servicio de explotación de máquinas virtuales como hybrid-analysis.com o malwr.com para conocer su comportamiento de forma rápida.
Capturar informacíon de red.
  • Utilice un servicio de explotación de máquinas virtuales para capturar tráfico de conexiones de red o paquetes.
  • Si no puede realizarlo entonces necesitará debugear en forma dinámica el malware.

Reporte y análisis.

Querrá capturar ésta información a través de la investigación con notas o documentos.

Puede utilizar el reporte y analisis aquí brindado.


Primer laboratorio.

  1. Ejecute la máquina virtual víctima.
  2. Copie el archivo desconocido.
  3. Verifique el header del archivo abriendolo con el editor HxD.
    • Note que los primeros 2 bytes son MZ ésto significa que son binarios PE.underc0de - hxd editor
  4. Añada la extensión .exe al archivo desconocido, entonces será reconocido como unknown.exe. Ahora haga click derecho en el archivo y elija CFF explorer para analizar el PE header.
    • Note la importancia de su uso.underc0de - cff explorer
  5. Calcule el hash utilizando quickhash, vaya a virustotal.com y busque el hash.
  6. Abra el archivo con BinText y anote cadenas interesantes.
  7. Detonelo rápido.

El punto focal de una detonación(ejecucuón) rápida es capturar , archivos de sistema, registros y actividad de conexiones de red. La máquina virtual está configurada de tal forma que el tráfico de red de la máquina virtual victima es capturado por la maquina virtual sniffer.

 

underc0de - maquina virutal sniffer

En la máquina virtual sniffer, lance una terminal y ejecute sudo wireshark, para que wireshark comience a inteceptar el trafico de la máquina virtual victima.

Asegurese qué InetSim se encuentra en ejecución, ante cualquier inquietud revise los fundamentos sobre el funcionamiento de InetSim.

En la máquina virtual victima inicie procmon.exe y procexp.exe para monitorear archivos de sistemas y eventos de los procesos.

underc0de - sniffing proc y red

Ahora detone el malware.

En la máquina virtual sniffer busque solicitudes HTTP. Haga clic derecho y siga la secuencia (Follow -> Tcp Stream). Veremos las solicitudes HTTP que utilicen el método GET que son enviadas por el malware.

underc0de - wireshark siguiendo streams

No olvides pasar por los fundamentos, revisiones y herramientas del laboratorio de Ingeniería Inversa de Malwares.

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">