Análisis de Malware
Enviado por PacoPantoja • 12 de Junio de 2023 • Trabajo • 892 Palabras (4 Páginas) • 42 Visitas
Asignatura | Datos del estudiante | Fecha |
Hacking Ético y Análisis de Malware | Apellidos: ANA LUCIA | 11/05/23 |
Nombre: PANTOJA HURTADO |
ANALISIS DE MALWARE
Realizado por:
ANA LUCIA PANTOJA HURTADO
Al Profesor:
WILSON CASTAÑO GALVIS
Fundación Internacional Universitaria de la Rioja
Especialización en Seguridad Informática
San Juan de Pasto, 11 de mayo de 2023
Preparación del laboratorio para el análisis del Malware
Para la construcción de este laboratorio se utilizó como herramienta de virtualización Virtual Box 7.0 donde en primer lugar se instaló una máquina virtual Windows 10 Enterprise a la cual se le desactivó la protección antivirus, el firewall y las demás opciones de seguridad de Windows, posteriormente se configuraron las conexiones de red de tal manera que nos permita por un lado tener acceso a internet mediante un adaptador “NAT” y por otro lado, una conexión privada para Virtual Box mediante un adaptador “solo anfitrión” .
[pic 1]
[pic 2]
Para completar la preparación del laboratorio, se instaló sobre la máquina virtual Windows 10, una especie de máquina virtual llamada FLARE VM, desarrollada por FireEye, la cual contiene herramientas para debugging, desemsamblado, decompiladores, análisis dinámico, análisis estático, análisis y manipulación de red, análisis web, explotación, entre otras.
El resultado del laboratorio para análisis de malware se muestra en la figura siguiente:
[pic 3]
Se realizó el snapshot con el fin de conservar los datos de la maquina virtual antes de ejecutar el malware.
[pic 4]
Al ejecutar Pafish se analizó la verisimilitud del entorno. Entre la información que se pudo obtener de dicha ejecución fue el sistema operativo es Windows el cual se encuentra en el hipervisor Virtual Box, detecciones basadas en la información de la CPU, con la detección de debuggers descartó errores en el software, chequeo los movimientos del mouse, validó los recursos del hardware que confirman un entorno real, y detectó algunos software específicos.
[pic 5]
[pic 6]
Se descargó la muestra de malware desde la página Malware Bazzar la cual tiene como hash SHA256: e3ca0aef57fe55a74ad6447da1cdc694f34f5421fec760beb6c731641ae778ab
[pic 7][pic 8]
Con RegShot se procede a realizar una muestra de los registros antes de ejecutar la muestra del malware:
[pic 9]
Con CFF Explorer se analiza la muestra y se encuentra técnicas de ofuscación en las líneas de comando.
[pic 10]
[pic 11][pic 12]
Luego de la ejecución del malware, se revisó la carpeta Downloads y no se encontró el archivo descargado, es decir, este se auto eliminó posterior a su ejecución, lo cual puede considerarse también como una técnica de ofuscación.
[pic 13]
[pic 14]
Con ProcessExplorer se encontró una línea de comando muy larga, lo cual puede indicar que se encuentra encriptada.
[pic 15]
Deshabilita los mensajes de error de aplicación (SetErrorMode)
Process Monitor es la herramienta que permitió analizar el comportamiento del malware mientras se estaba ejecutando y entre la información que se pudo obtener fue el nombre del proceso el cual se identificó como PowerShell.exe cuyo PID es 9956.
[pic 16]
Se realizó el segundo Shot y el resultado reportó un total de 330 cambios en el registro de Windows, 109 valores modificados, 142 valores agregados, 4 valores borrados.
[pic 17]
...