yalohize
Páginas: 15 (3654 palabras)
Publicado: 5 de mayo de 2014
Objetivos:
Realizar el análisis de software malicioso para detector su comportamiento.
Malware
Un malware es una pieza de software capaz de realizar cualquier acción que causa algún tipo de daño a un usuario u organización, un equipo, o una red. Esto incluye pero no se limita a los virus, troyanos, gusanos, rootkits, scareware y spyware.
Si sedetermina que la pieza de software encontrada es perjudicial, un análisis de malware es el arte de la disección del software malicioso para entender cómo funciona, cómo identificarlo y cómo derrotarlo o eliminarlo.
Uno de los propósitos y objetivos del análisis de malware suele ser el poder proporcionar la información necesaria para responder a una intrusión en la red. Este propósito incluye eldeterminar exactamente lo que sucedió, y qué alcance y grado de dispersión tuvo en la red.
Al analizar los supuestos elementos de software malicioso, en primer lugar se necesita explorar lo que el archivo binario sospechoso puede hacer, cómo detectarlo en su red, y cómo medir y contener el daño. En esta guía se observará un caso práctico con un virus educativo, el RaDa, al cual someteremos a unaserie de pruebas que revelarán parte de sus intenciones.
Configuración del entorno de laboratorio
En primer lugar, si no se dispone de un entorno de laboratorio adecuado para llevar a cabo un análisis de malware, es posible que se deban volver a examinar las opciones que se tienen, para alinear lo mejor posible los recursos disponibles con la eficacia del análisis. Como ejemplo, se puedeutilizar un entorno virtual para realizar el análisis o tener sistemas físicos separados. A diferencia de los entornos virtuales, los datos pueden tener fugas en el sistema base y esto puede eventualmente perjudicar a todo el sistema. Los malware más modernos son capaces de detectar los sistemas virtuales y cambiar sus comportamientos para permanecer sin ser detectados. Se recomienda la utilización deWMWare para la realización del análisis.
Por otra parte, tener sistemas físicos dedicados puede tener varias desventajas, tales como tener que restaurar el sistema en cada ciclo de análisis. Para ello se sugiere software libre, como la herramienta udpcast disponible para estos fines.
Una vez decidido el entorno en el que se va a trabajar, el siguiente paso es definir el acceso a la red de esossistemas. Los malwares avanzados son capaces de detectar cambios en la dirección IP y se esconden o no revelan la información sobre la ubicación real de otros nodos o puntos de control. Estas detecciones pueden desencadenar algunas otras funciones ocultas, tales como ataque DOS al servidor interno. Por lo tanto, se recomiendan entornos de red aislados con servidores virtuales que incluyen DNSpropios, y servidores HTTP y de correo. En el caso de prueba adicional con conexión a internet, la red aislada puede aplicarse a través de un cortafuegos (Firewall) con reglas estrictas establecidas para supervisar las posibles conexiones abiertas y cerradas, en este caso se recomienda aislar la red mediante su implementación bajo GNS3.
El conjunto de herramientas
Después de haber decidido yconfigurado el entorno de laboratorio, el siguiente paso es seleccionar un conjunto de herramientas que faciliten el proceso de análisis. Se recomiendan las siguientes herramientas que pueden ser útiles en distintas etapas del ciclo de análisis, aunque hay muchas otras disponibles. Principalmente se utilizarán herramientas libres o gratuitas, incluidas las versiones demo de algunas herramientascomerciales.
A continuación se ofrece una breve descripción de cada herramienta que se pueden utilizar para llevar a cabo el análisis.
OllyDbg: Es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal, y...
Objetivos:
Realizar el análisis de software malicioso para detector su comportamiento.
Malware
Un malware es una pieza de software capaz de realizar cualquier acción que causa algún tipo de daño a un usuario u organización, un equipo, o una red. Esto incluye pero no se limita a los virus, troyanos, gusanos, rootkits, scareware y spyware.
Si sedetermina que la pieza de software encontrada es perjudicial, un análisis de malware es el arte de la disección del software malicioso para entender cómo funciona, cómo identificarlo y cómo derrotarlo o eliminarlo.
Uno de los propósitos y objetivos del análisis de malware suele ser el poder proporcionar la información necesaria para responder a una intrusión en la red. Este propósito incluye eldeterminar exactamente lo que sucedió, y qué alcance y grado de dispersión tuvo en la red.
Al analizar los supuestos elementos de software malicioso, en primer lugar se necesita explorar lo que el archivo binario sospechoso puede hacer, cómo detectarlo en su red, y cómo medir y contener el daño. En esta guía se observará un caso práctico con un virus educativo, el RaDa, al cual someteremos a unaserie de pruebas que revelarán parte de sus intenciones.
Configuración del entorno de laboratorio
En primer lugar, si no se dispone de un entorno de laboratorio adecuado para llevar a cabo un análisis de malware, es posible que se deban volver a examinar las opciones que se tienen, para alinear lo mejor posible los recursos disponibles con la eficacia del análisis. Como ejemplo, se puedeutilizar un entorno virtual para realizar el análisis o tener sistemas físicos separados. A diferencia de los entornos virtuales, los datos pueden tener fugas en el sistema base y esto puede eventualmente perjudicar a todo el sistema. Los malware más modernos son capaces de detectar los sistemas virtuales y cambiar sus comportamientos para permanecer sin ser detectados. Se recomienda la utilización deWMWare para la realización del análisis.
Por otra parte, tener sistemas físicos dedicados puede tener varias desventajas, tales como tener que restaurar el sistema en cada ciclo de análisis. Para ello se sugiere software libre, como la herramienta udpcast disponible para estos fines.
Una vez decidido el entorno en el que se va a trabajar, el siguiente paso es definir el acceso a la red de esossistemas. Los malwares avanzados son capaces de detectar cambios en la dirección IP y se esconden o no revelan la información sobre la ubicación real de otros nodos o puntos de control. Estas detecciones pueden desencadenar algunas otras funciones ocultas, tales como ataque DOS al servidor interno. Por lo tanto, se recomiendan entornos de red aislados con servidores virtuales que incluyen DNSpropios, y servidores HTTP y de correo. En el caso de prueba adicional con conexión a internet, la red aislada puede aplicarse a través de un cortafuegos (Firewall) con reglas estrictas establecidas para supervisar las posibles conexiones abiertas y cerradas, en este caso se recomienda aislar la red mediante su implementación bajo GNS3.
El conjunto de herramientas
Después de haber decidido yconfigurado el entorno de laboratorio, el siguiente paso es seleccionar un conjunto de herramientas que faciliten el proceso de análisis. Se recomiendan las siguientes herramientas que pueden ser útiles en distintas etapas del ciclo de análisis, aunque hay muchas otras disponibles. Principalmente se utilizarán herramientas libres o gratuitas, incluidas las versiones demo de algunas herramientascomerciales.
A continuación se ofrece una breve descripción de cada herramienta que se pueden utilizar para llevar a cabo el análisis.
OllyDbg: Es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal, y...
Leer documento completo
Regístrate para leer el documento completo.