Análisis de Malware 3. Análisis estático y Sandbox online.
Disclaimer:
Manipular muestras de malware es una actividad peligrosa que puede
poner en riesgo nuestros equipos y nuestra propia seguridad. Existen
recursos (libros, tutoriales, blogs...) para iniciarse con confianza.
Como prometimos en el anterior post vamos a realizar un análisis estático de un troyano real.
El análisis en Virus Total arroja 40 detecciones sobre 70 antivirus utilizados; ya sabemos que es malicioso.
El gráfico siguiente nos muestra las relaciones del fichero inicial que genera un mínimo de dos ejecutables nuevos.
El comportamiento nos muestra que abre ficheros, escribe en ellos y los borra. Según parece afecta de alguna forma al actualizador de Chrome.
En la siguiente imagen vemos el resultado de "soltar" el malware dentro de una sandbox online. Ya hablaremos en próximas entradas de esta interesante cuestión.
Aqui dejo el informe completo de Joe Sandbox que no tiene desperdicio:
Los análisis automáticos son geniales, pero nosotros lo que queremos es aprender desde la base.
Se ha utilizado Sandboxie para ejecutar PE view y PE explorer en la fase final de desensamblado.
Una alternativa online para leer cabeceras PE puede ser
View EXE/PE file contents.
Una alternativa online para leer cabeceras PE puede ser
View EXE/PE file contents.
Al
no ejecutar el malware se podría haber abierto el troyano fuera de una
Sandbox, pero es mejor acostumbrarnos a un plus de seguridad.
Si revisamos los tamaños de memoria asignada y de datos en crudo, no parece existir empaquetamiento.
La tabla de importación de funciones de Windows demuestra que se llama a la delicada librería Kernel32.dll y que se van a utilizar funciones que buscarán ficheros a lo largo del disco duro...
Para más Inri encontramos en las cadenas de texto ASCII un archivo fake que probablemente sustituirá a uno legítimo, el ya mencionado vital kernel32.dll, usurpando su nombre casi en su totalidad; para permanecer oculto a la vista. Diabólico ¿no?
Finalmente el código desensamblado con un visor más potente que el básico PEview, PEexplorer.
Un programador experto podría desentrañar el funcionamiento del malware y aprender a paliar sus efectos.
Vemos que un pequeño programa de apenas 80 líneas puede provocar daños considerables en software de millones de líneas y con inversiones millonarias como Windows o Google Chrome.
Comentarios
Publicar un comentario