Scribd
Cargar
104 vistas27 páginas

Template Analisis Amlware

analisis malware

Cargado por

Doloran Doloran
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
104 vistas27 páginas

Template Analisis Amlware

analisis malware

Cargado por

Doloran Doloran
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 27

Asignatura Datos del estudiante Fecha

Hacking Ético y Análisis Apellidos: Otero Jiménez


14/05/2023
de Malware Nombre: Carlos Arturo

UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

ACTIVIDAD 2: ANÁLISIS DE MALWARE

AUTOR
CARLOS OTERO JIMÉNEZ

PROFESOR
WILSON CASTAÑO GALVIZ
© Universidad Internacional de La Rioja (UNIR)

BOGOTÁ D.C., 2023

1
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Actividad. Análisis de malware

Objetivos

El objetivo de esta práctica es que el alumno construya un laboratorio de análisis de


malware con el que manejar de forma segura las muestras. A lo largo del ejercicio
pondrás en práctica los conocimientos teóricos sobre análisis básico de malware.
Aprenderás también a manejar muestras reales de malware.

Es muy importante que el alumno tenga muchísima precaución cuando trabaje con
la muestra, para evitar dañar ningún sistema. Estás trabajando con una muestra real
de malware.

Pautas de elaboración

Instalar una máquina virtual Windows lo más verosímil posible desde


https://www.microsoft.com/en-us/evalcenter/evaluate-windows-10-enterprise,
para realizar un análisis dinámico de comportamiento. Debemos tener en cuenta que
debe ser segura para evitar riesgos en nuestra infraestructura. Para ello, puedes
seguir este procedimiento:
© Universidad Internacional de La Rioja (UNIR)

2
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

1. Preparar el entorno con todas las herramientas necesarias.


Instalación de FlareVM en máquina virtual con Windows Enterprise
Se descarga el paquete en el siguiente enlace https://github.com/mandiant/flare-vm

Abrir PowerShell como administrador y situarse en la ruta de descarga del ejecutable


cd C:\Users\Enterprise\Downloads\flare-vm-main\flare-vm-main
© Universidad Internacional de La Rioja (UNIR)

3
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Luego ejecutar el comando Set-ExecutionPolicy Unrestricted para iniciar con la


instalación

Luego se sitúa nuevamente en la ruta inicial y se ingresa el comando .\install.ps1

Posterior a esto se inicia el proceso de instalación, el cual es un poco demorado y


durante esté se reinicia la maquina en varias ocasiones.
© Universidad Internacional de La Rioja (UNIR)

4
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

5
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Al finalizar la instalación el fondo del Escritorio cambia por el logo de FlareVM, como
se muestra a continuación.
© Universidad Internacional de La Rioja (UNIR)

6
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

2. Realizar un snapshot de base.


La instantánea o Snapshot conserva toda la configuración de la máquina virtual
incluidos programas y aplicaciones.
© Universidad Internacional de La Rioja (UNIR)

7
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

8
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

3. Desactivar antivirus.
© Universidad Internacional de La Rioja (UNIR)

9
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Se desmarcan todas las opciones de seguridad que estaban activas


© Universidad Internacional de La Rioja (UNIR)

10
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Se procede a desactivar el Firewall de Windows


© Universidad Internacional de La Rioja (UNIR)

11
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

12
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

4. Introducir la muestra y, antes de ejecutarla, asegurar que la máquina anfitrión


esté aislada.
Configuración de red
© Universidad Internacional de La Rioja (UNIR)

13
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Verificación con Pafish


© Universidad Internacional de La Rioja (UNIR)

14
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Resultados de análisis con Pafish

Maquina Remnux
© Universidad Internacional de La Rioja (UNIR)

15
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Actualización de REMnux, utilizar comando remnux update


© Universidad Internacional de La Rioja (UNIR)

16
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Habilitación de proxy

5. Realizar otro snapshot (con la máquina encendida, para tener mayor fluidez en
las iteraciones).
© Universidad Internacional de La Rioja (UNIR)

17
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Se procede a introducir la muestra de Malware.


https://bazaar.abuse.ch/sample/eb9c9eb6572805d03da8b824b1d179301cded34
e9c9a71dd1573daa0b2978953
SHA256:
eb9c9eb6572805d03da8b824b1d179301cded34e9c9a71dd1573daa0b2978953
© Universidad Internacional de La Rioja (UNIR)

18
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Se ejecuta el archivo .exe

Al analizar la maquina después de la ejecucion del Malware en la herramienta


Process Monitor, se evidencia creación de archivos .dll en la carpeta System32
© Universidad Internacional de La Rioja (UNIR)

19
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

20
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Vista mas detallada de un proceso


© Universidad Internacional de La Rioja (UNIR)

21
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

22
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Con la herramienta Process Explorer se pueden visualizar los procesos actuales y


nuevos de la máquina, en este caso se muestran en color verde los nuevos procesos
generados y en color rojo los procesos que están siendo finalizados.
© Universidad Internacional de La Rioja (UNIR)

23
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo
© Universidad Internacional de La Rioja (UNIR)

24
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Responder a las siguientes preguntas:


1. Verificar con pafish la verosimilitud del entorno. ¿Qué concluyes de los resultados
arrojados?
Una vez realizada la prueba con la herramienta pafish se evidenció que hubo
detecciones al utilizar virtualbox en las llaves de registro.

2. ¿La muestra hace uso de alguna tecnología de ofuscación?


Luego de analizar las acciones de la muestra se evidencia que en muchas carpetas
del sistema se crearon archivos en estas rutas, teniendo en cuenta que la
ofuscación convierte el código de un software o proyecto en un tipo de código que
es más difícil de comprender para los humanos.

3. ¿Modifica algún registro?


SI, se evidencio mediante la herramienta Regshot que fueron realizados 5 cambios
© Universidad Internacional de La Rioja (UNIR)

25
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

4. ¿Cómo se llama el proceso iniciado por el malware?


Filtrado en Process Monitor.

5. ¿Qué aproximación seguirías si necesitases analizar el código?


Se puede hacer un seguimiento mas detallado revisando con un lenguaje de
programación en su respectivo entorno de programación, de igual forma se puede
realizar un análisis bastante completo en herramientas como Anyrun, Cuckoo,
CAPE, entre otras.

6. ¿Crea o modifica algún archivo?


Se puede evidenciar que se crearon muchos archivos de diferentes extensiones
tanto en las carpetas del sistema como en la misma ubicación donde este se
ejecutó.
© Universidad Internacional de La Rioja (UNIR)

26
Actividades
Asignatura Datos del estudiante Fecha
Hacking Ético y Análisis Apellidos: Otero Jiménez
14/05/2023
de Malware Nombre: Carlos Arturo

Describir todo el proceso, incluyendo evidencias, como capturas de pantalla


(relevantes y con la calidad mínima necesaria para ampliarse), textos generados por
las aplicaciones, etc. Se valorará cualquier información adicional que el alumno pueda
aportar de su análisis: discusión de los resultados y conclusiones.

Extensión y formato

La memoria (que se entregará en formato PDF) debe tener una extensión máxima de
20 páginas, excluyendo portada, índice y referencias. Puedes utilizar este archivo
como plantilla para referencia del formato (fuente, interlineado, etc.)

El formato de las referencias debe ser APA.

Rúbrica

Puntuación
Título de la Peso
Descripción máxima
actividad %
(puntos)
Criterio 1 Calidad de la memoria 1 10%

Criterio 2 Creación y documentación del


3 30%
laboratorio

Criterio 3 Documentación del análisis dinámico


2,5 25%
básico

Criterio 4 Respuestas (5% por respuesta) 3,5 35%


© Universidad Internacional de La Rioja (UNIR)

27
Actividades

También podría gustarte