Scribd
Cargar
70 vistas32 páginas

Análisis Malware

Este documento describe las fases involucradas en el análisis de malware, incluyendo la obtención de archivos sospechosos, la extracción de detalles, el escaneo con antivirus, el examen dinámico y la correlación de resultados para llegar a conclusiones y recomendaciones. También discute la necesidad de implementar entornos de laboratorio seguros para realizar análisis de malware y enumera varias herramientas comunes que se pueden usar en cada fase del proceso de análisis.

Cargado por

Rodrigo Arturo Carreño Vallejo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
70 vistas32 páginas

Análisis Malware

Este documento describe las fases involucradas en el análisis de malware, incluyendo la obtención de archivos sospechosos, la extracción de detalles, el escaneo con antivirus, el examen dinámico y la correlación de resultados para llegar a conclusiones y recomendaciones. También discute la necesidad de implementar entornos de laboratorio seguros para realizar análisis de malware y enumera varias herramientas comunes que se pueden usar en cada fase del proceso de análisis.

Cargado por

Rodrigo Arturo Carreño Vallejo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Análisis de Malware

David Moreno Gaviria


Comunidad DragonJAR

Encuentro de Tecnologías de la Información -


SecurInf V.3
 La Comunidad DragonJAR
 Definiciones e Historia del Malware
 Implementación de entornos para el Análisis de Malware / Herramientas
 ¿Por qué se hace necesario la implementación de este tipo de entornos?
 Implicaciones legales del Análisis de Malware
 Fases implicadas en el Análisis de Malware:
 Tipos de Análisis
 Perfilamiento del Malware / Detalles
 Comprobaciones criptográficas
 Comparación de firmas
 Escaneos
 Examinación
 Extracción y Análisis de Datos
 Revelación de datos
 Correlación de resultados
 Investigación y profundización
 Conclusiones y recomendaciones
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware - Securinf

• ¿Qué es el Malware?
• Tipología del Malware
• BackDoor
• BootNet
• Exploit
• Gusano
• Hoax
• Keylogger
• Phishing
• Rouge
• Rootkit
• Spam
• Spyware
• Troyano
• Virus
• Análisis de Malware
Análisis de Malware - Securinf
Análisis de Malware - Securinf

Implementación de un entorno de Laboratorio


Seguro

Requerimientos mínimos:

• Máquinas virtuales / Físicas (Mínimo 3)


• Varios S.O
• Interfaces de Red
• Metodología
• Documentación
• Debugger
• Monitores de procesos
• Monitores de sistemas
• Monitores de archivos
• Monitores de instalaciones
• Monitores de red
• Editor hexadecimal
• AV’s
• Des/Ensambladores
Montaje de un entorno de Laboratorio
Seguro para el Análisis de Malware
Algunas Herramientas:

• OllyDbg
• IDA Pro
• PEiD
• GNU Debugger (GDB)
• Editor Hexadecimal
• Syser
• Microsoft Debugging Tools
• Process Explorer
• Process Monitor
• RegMon
• FileMon
• PortMon
• System Information for Windows
• FCIV
• Malcode Analyst Pack
• SSDEEP
• FileAlyzer
• InstallWatch
• RegShot
Análisis de Malware - Securinf
Análisis de Malware - Securinf

¿Por qué implementarlos?

• Bases sólidas del funcionamiento y


operatividad del Malware.
• Contramedidas al Malware.
• Fácil inicio para aprendices
• Portables
• Simulación de entornos reales.
• Implicaciones legales.
• Implementación / pruebas de
herramientas AV’s.
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Análisis de Malware - Securinf
Obtener
archivo
Investigar Detalles

Correlacionar Hash

Revelar Comparación

Extraer Clasificación

Examinar Escaneo
Análisis de Malware - Securinf

Obtener archivo

• Muestras/Listas de Malware (Dominios)


• Internet (Postales, Webs infectadas)
• USB/CD/DVD

(Video)
Análisis de Malware - Securinf

Instantáneas del Sistema


Análisis de Malware - Securinf

Detalles del Sistema:

• Sistema Operativo
• Service Pack
• Actualizaciones de Seguridad
• Dispositivos
• Software Instalado

SIW
System Information for Windows
www.gtopala.com
Análisis de Malware - Securinf

Fases Implicadas:
Comprobaciones Criptográficas

• Algoritmo MD5 (Reducción)


• FCIV (File Checksum Integrity Verifier)
http://support.microsoft.com/kb/841290

• Malcode Analyst Pack


http://labs.idefense.com/software/

• WinVI
http://www.winvi.de

(Video)
Análisis de Malware - Securinf

Fases Implicadas:
Comprobaciones Criptográficas / Alteraciones /
Variantes.
Computing Context Triggered Piecewise Hashes
(CTPH)

• SSDEEP
http://ssdeep.sourceforge.net

(Video)
Fases Implicadas:

Clasificación de Archivos

• Extensión del Archivo (no recomendable)


• File Signature (Firma del archivo)
20 bytes del archivo
Windows Bitmap (.bmp) > Hex: 42 4D > BM
Ej Ext MW: .exe, .dll, .com, .pif, .ocx, .drv, etc.

• WinVI
http://www.winvi.de

• File Signature Table


http://www.garykessler.net/library/file_sigs
.html

• Exeinfo
www.geocities.com/exeinfo_PE/

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Detección de Empaquetados

• RDG Packer Detector


www.rdgsoft.8k.com

(Video)
Fases Implicadas:

Escaneo con AV’s

Anti Virus Locales:


• AVIRA
http://www.free-av.com/
• Norton AV
http://www.symantec.com/norton/antivirus
• Kaspersky
http://www.kaspersky.com/
• ESET Smart Security
http://www.eset-la.com/smartsecurity/
• McAfee
http://www.mcafee.com/es/

Anti Virus Online:


• Virus Total
http://www.virustotal.com/es.
• VirSCAN
http://virscan.org/

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Información Embebida - Strings

• Malcode Analyst Pack


http://labs.idefense.com/software/

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Dependencias

• OllyDBG
http://www.ollydbg.de/

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Metadatos

• FileAlyzer
http://www.safer-
networking.org/en/filealyzer/index.html

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Monitoreo de ejecución simple / Análisis


Dinámico
Monitoreo de instalación
• InstallWatch
http://www.epsilonsquared.com/installwat
ch.htm

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Monitoreo de ejecución simple / Análisis


Dinámico
Instantáneas del sistema (Registro)
• RegShot
http://sourceforge.net/projects/regshot/

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Monitoreo de ejecución simple / Análisis


Dinámico
Ejecución Automática de Archivos / Ocultos
• MSCONFIG

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Análisis de archivos generados / Ejecución


Comprobación de firmas

• SSDEEP
http://ssdeep.sourceforge.net

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Análisis de Ejecución simple / Análisis Dinámico

• SysAnalyzer
http://labs.idefense.com/software/malcode.php

(Video)
Análisis de Malware - Securinf

Fases Implicadas:

Análisis de Ejecución simple / Análisis Dinámico


Análisis de Red

• SysAnalyzer
http://labs.idefense.com/software/malcode.php

• WireShark
http://www.wireshark.org/

(Video)
Análisis de Malware - Securinf
Análisis de Malware

David Moreno Gaviria


Comunidad DragonJAR

Encuentro de Tecnologías de la Información -


SecurInf V.3

También podría gustarte