Garantía Y Seguridad En Sistemas Y Redes. Práctica 3. Ingeniería .
Garan7a y Seguridad en Sistemas y Redes Prác%ca 3. Ingeniería Inversa de Malware Esteban Stafford Departamento de Ingeniería Informá2ca y Electrónica Este tema se publica bajo Licencia: Crea2ve Commons BY- ‐NC- ‐SA 4.0
Grado en Ingenierı́a Informática G678 - Garantı́a y Seguridad en Sistemas y Redes Práctica 3 Ingenierı́a inversa de malware 1. Introducción 2. Objetivos Los objetivos fundamentales que persigue esta práctica son los siguientes: Introducir algunas técnicas de ingenierı́a inversa. Explorar algún ejemplo de malware. 3. 3.1. Conceptos básicos Ingenierı́a Inversa En el sector de la informática se entiende ingenierı́a inversa como el proceso de entender el funcionamiento de un programa sin tener acceso a su código fuente. En lineas generales esto se puede hacer de dos maneras. Por un lado está el análisis estático, en donde el programa no se ejecuta y lo que se hace es investigar directamente el archivo binario. Y por otro el análisis dinámico, que implica la ejecución del programa. 3.2. Formato PE (Portable Executable) Es el formato que Windows utiliza para sus ejecutables, librerias y otros objetos, tanto para 32 como para 64 bits. El formato encapsula toda la información que necesita el sistema operativo para cargar en memoria y ejecutar el código de los programas. Incluyendo, ademas de las secciones de código y datos, tablas de referencias a otras librerias, listas de APIs. 3.3. Compactadores de PE (PE Packers) Resulta que el formato PE puede ser ineficiente en espacio y por ello existen compactadores de PE. Incialmente estos programas tomaban un binario en formato PE, reorganizando las diferentes secciones y eliminando partes vacias, conseguı́a reducir el tamaño del binario final. Estos compactadores han evolucionado con el tiempo utilizando técnicas más agresivas como la compresión, ofuscación o incluso la encriptación. Ası́ lo que incialmente servia para reducir el tamaño de los ejecutables y librerias dinámicas, ahora es usado con los siguiente fines. Limitar el robo de código. Protección de la propiedad intelectual de los creadores de los algoritmos. Esteban Stafford 1
Ocultar cadenas como mensajes, nombres de archivos o URLs. Limitar la modificación del código. En particular en lo referente a protecciones anti-copia. Reducir el tamaño del binario. Sigue siendo un efecto interesante ya que mejora los tiempos de descarga. Es conveniente enfatizar que los packers son ampliamente usados, tanto en malware, como en software legı́timo y comercial. 4. Desarrollo En esta práctica se va a analizar el funcionamiento de un malware. Inicalmente se hará un análisis estático con las herramientas disponibles en la distribución RemNux, que fué concebida para el análisis de malware. La clave del usuario remnux es malware. 4.1. Captura de una imagen de Windows Durante la práctica usaremos como vı́ctima una distribución de WindowsXP sin protección. Es posible que ésta deje de funcionar correctamente debido al malware que vamos a analizar. Por ello es fundamental tener un mecanismo para tomar una imagen de la partición de Windows y poderla restaurar. Con este primer comando se guarda el contenido de la partición primera del disco en un archivo. Es recomendable ponerle la fecha al archivo, o la hora, si se van a manejar varias imágenes. ntfsclone -s -o /extra/image 20151022.img /dev/sda1 Para restaurar la imagen, se usa el siguiente comando. ntfsclone -r -O /dev/sda1 /extra/image 20151022.img 4.1.1. Malware En esta práctica analizaremos dos muestras de malware. Se pueden descargar en las direcciones siguientes: http://172.31.16.10/bootios2.zip http://172.31.16.10/credito.zip Ambos vienen empaquetados en archivos zip cifrados con la clave infected. 4.1.2. Herramientas de análisis Remnux Antes de copiar el malware a la partición de Windows vamos a hacer unos análisis con las herramientas de RemNux. Esteban Stafford 2
4.1.3. strings Esta herramienta es estándar de los sistemas UNIX. Su proposito es mostrar las cadenas de texto presentes en un fichero binario. Es de gran utilidad para obtener pistas sobre el contenido y/o proposito de un binario. Por ejemplo, nos puede mostrar mensajes de texto que se presentarán al usuario, rutas de archivos de configuración, URLs que se van a visitar o identificadores de variables del registro. ¿Qué puedes deducir de la inspección de las cadenas del malware? ¿Utiliza el executable algún packer? 4.1.4. trid Este programa sirve para identificar la estructura interna de un ejecutable. Principalmente indica qué packer se esta usando. ¿Coincide el análisis de trid con lo observado con strings? 4.1.5. bytehist Muestra un histograma de los bytes de un fichero, que puede dar pistas sobre su contenido. 4.1.6. Copiar malware a windows Una vez agotadas las posibilidades de análisis estático desde RemNux. Se puede pasar a un análisis dinámico en Windows. Para copiar el ejecutable a la partición de Windows, se puede usar los siguientes comandos. mount -t ntfs /dev/sda1 /mnt cp NOMBRE .EXE /mnt/Documents And Settings/admin/Escritorio umount /mnt En windows se hará uso de una serie de herramientas de análisis que están disponibles en http://172.31.16.10/tools.tar.gz. 4.1.7. strings Es un programa equivalente al strings de UNIX. 4.1.8. AspackDie Es un desempaquetador del formato Aspack. 4.1.9. ByteHist Es otro programa para visualizar estadı́sticas de los bytes de un fichero. Esteban Stafford 3
4.1.10. Regshot Regshot is an open-source (LGPL) registry compare utility that allows you to quickly take a snapshot of your registry and then compare it with a second one - done after doing system changes or installing a new software product. http://sourceforge.net/projects/regshot/ 4.1.11. Process Monitor Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. 896645.aspx 4.1.12. Capture BAT Capture BAT is a behavioral analysis tool of applications for the Win32 operating system family. Capture BAT is able to monitor the state of a system during the execution of applications and processing of documents, which provides an analyst with insights on how the software operates even if no source code is available. Capture BAT monitors state changes on a low kernel level and can easily be used across various Win32 operating system versions and configurations. https://www.honeynet.org/node/315 4.1.13. Autoruns Para ver qué se ejecuta en inicio y posibles modificaciones de los procesos iniciales. 963902 4.1.14. Malwarebytes Una vez termina el escaneo genera un log de lo que ha encontrado http://es.malwarebytes.org/ 4.1.15. Combofix Lo mismo, cuando finaliza abre un notepad con lo encontrado/limpiado. Este siempre lo ejecuto en modo seguro con red. http://www.bleepingcomputer.com/download/combofix/ 4.1.16. Process Explorer Permite ver en tiempo real lo que se está ejecutando, desde donde se llama, e incluso monitorizar el registro. 896653 Esteban Stafford 4
4.1.17. OllyDbg OllyDbg is a 32-bit assembler level analysing debugger for Microsoft Windows. Emphasis on binary code analysis makes it particularly useful in cases where source is unavailable. http://www.ollydbg.de/ Search all referenced strings. Esteban Stafford 5
Grado en Ingenier a Inform atica G678 - Garant a y Seguridad en Sistemas y Redes Pr actica 3 Ingenier a inversa de malware 1. Introducci on 2. Objetivos
6 MANUAL BASICO DE SEGURIDAD E HIGIENE BÁSICOS DE SEGURIDAD E HIGIENE NOM-019-STPS-2004, Constitución, organización y funciona-miento de las comisiones de seguridad e higiene en los centros de trabajo. Constitución de comisión de seguridad e higiene. Programa anual de recorridos. Actas de verificaciones ordinarias y/o extraordinarias.
que incluye los riesgos de seguridad y los higiénicos. 12 13 S T S T la protección de la familia, con conceptos técnicos, operativos y de productividad. Gráfico 1. Visiones de la seguridad Oswaldo, Romero. La seguridad como valor, Mérida, Ro
El gran libro de la Seguridad Informática 2 Capítulo 1: INICIACIÓN A LA SEGURIDAD INFORMÁTICA El concepto de la seguridad comienza desde nuestro PC, la seguridad a nivel local es lo primero que debemos cuidar. Un 90 % de los ataques vienen por las contraseñas. Es conveniente cambiar-las cada 15 días, o por lo menos una vez al mes.
MANUAL VIGILANCIA Y SEGURIDAD Versión: 01 Vigente a partir de: 01/10/2019 Página: 1 de 26 MANUAL DE VIGILANCIA Y SEGURIDAD . Ley 100 de 1993 Por la cual se organiza el Sistema General de Seguridad Social en Salud en Colombiaµ. Decreto 356 de 2004, Por el cual se expide el estatuto de vigilancia y seguridad .
Seguridad Hotelera y Turística Manual de Pautas de Seguridad para el residente y el visitante de un destíno turístico "Seguridad Turística es la protección de la vida, de la salud, de la integridad física, psicológica y económicas de los visitantes, prestadores de servicios y miembros de las comunidades receptoras" Serie: Seguridad 1
servicios en lo que respecta a la seguridad operacional, de conformidad con lo definido mediante sus metas e indicadores de rendimiento en materia de seguridad operacional Riesgo para la seguridad operacional: La probabilidad y gravedad previstas de las consecuencias o resultados de un peligro. Seguridad operacional.
Manual de Organización del Ministerio de Seguridad Pública 1 . IX. ORGANIZACIÓN Y FUNCIONES DEL MINISTERIO DE SEGURIDAD PÚBLICA . 20 A. MINISTERIO DE SEGURIDAD PÚBLICA . c. Área de Salud, Seguridad e Higiene en el Trabajo, Relaciones Laborales y Bienestar del
vitales de seguridad, centrar los esfuerzos en la seguridad de la información y lograr su protección. Además, con la implementación del Sistema se unen esfuerzos para cumplimiento a los requisitos de la estrategia Gobierno en línea considerados en el eje de Seguridad y privacidad. 1. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
