miércoles, 3 de febrero de 2016

Analizando malware (ofuscación y empaquetado)

Algunas de las técnicas utilizadas al momento de desarrollar malware consiste en utilizar mecanismos que compliquen el análisis de manera estática el malware. Ello se puede conseguir ofuscando el malware o empaquetandolo o comprimiendolo.


  • Malware Ofuscado: Esta técnica busca ocultar la ejecución del malware como tal, de tal forma que las instrucciones del malware queden protegidas ante los análisis que se pretendan desarrollar en su contra.   
  • Malware Empaquetado o comprimido: Esta técnica busca comprimir el malware, ocultando sobre otro portador. De esta forma al momento de realizar un análisis, se realizara sobre el portador en vez de realizar dicho análisis sobre el malware como tal.  
Como se ha visto un malware o cualquier programa ofrece una gran cantidad de cadenas incorporadas en si y pueden ser extraídas para un análisis estático, una característica bien usual en el malware que ha sido ofuscado o comprimido es que la cantidad de cadenas sera mucho mas limitada. Sin embargo algo usual en malware que se ha ofuscado o empaquetado es encontrar llamadas a las funciones LoadLibrary y GetProcAddress, para obtener acceso a funciones adicionales.  

Para detectar si un programa se ha empaquetado o comprimido podemos utilizar la herramienta PEiD, en el caso del malware que hemos desarrollado no se ha empaquetado no lo esta. Con esta herramienta podemos detectar el tipo de empaquetado, el compilador con el cual se ha desarrollado, lo cual facilita el análisis. Un empaquetado utilizado comúnmente es UPX.

Imagen 1: Detectando empaquetado de Guabit.

Saludos.
Lexer Pars.
  

No hay comentarios:

Publicar un comentario