lunes, 25 de enero de 2016

Analizando malware (cambios usuales en sistema)

Después de desarrollar un malware vamos a proceder al análisis del malware. Para realizar el analisis del malware que desarrollamos, utilizaremos una maquina virtual. El primer análisis consiste en verificar los cambios que usualmente genera un malware en el sistema.

Aunque desde luego, no en todos los casos suele suceder esto, puede aunque una multitud de malware sigue la estructura que definimos, hay otro buen grupo de malware con estructura diferente y para verificarlo es necesario utilizar diferentes técnicas de análisis.

Verificamos el panorama inicial del sistema, en los cuales puede notarse un cambio en el sistema:

  1. Cambios en el registro de Windows.
  2. Creación de directorios.
  3. Conexiones a un host en los registros de red.

Imagen 1:  Configuración del sistema antes de infección.

Imagen 2: Directorios antes de la infección.

Imagen 3: Conexiones activas antes de la infección.


Después de ejecutar el malware, se puede ver los cambios realizados en el sistema. El principal consisten en la persistencia del malware, el cual altera el registro de Windows y que puede visualizarse en la configuración del sistema.

 Imagen 4: Persistencia de malware, primer cambio en el sistema.

Creación de directorios, donde se alojara el malware o donde almacenara logs de eventos, pulsaciones de teclado, etc. Cabe mencionar que el directorio puede variar, utilizando una ruta poco conocida por el usuario para si detección , mas complicada. 

Imagen 5: Creación de directorios, segundo cambio en el sistema.

Y desde luego quedan las conexiones activas que se realizan, en este caso hay una conexión por el puerto 8555 nueva, la cual no ha logrado conectarse con el servidor.  

Imagen 5: Conexiones activas en el sistema.

Estos son unos de los principales cambios que puede generar un malware en el sistema, aunque para lograr entender mejor su funcionamiento y tener una desinfección mas precisa hay que utilizar mas técnicas que proporcionen información mas detallada de que hace, como lo hace, porque lo hace.

Abordaremos algunas técnicas mas adelante que nos permitan lograr tener una mejor comprensión de un malware y tener los conocimientos de que hacer en caso de tener sospechas de un malware que el sistema antimalware haya pasado por alto.

Saludos.
Lexer Pars. 

No hay comentarios:

Publicar un comentario