Malware es un software malicioso que se desarrolla para realizar actividades que causan un daño significativo a la información almacenada, el hardware de la computadora o las redes conectadas [1]. Hay muchos tipos de malware, como troyanos, adware, spyware, ransomware, etc. El proceso de examen,
- cómo funciona el código malicioso
- cómo identificar el malware
- Los métodos de eliminación de malware se denominan ‘Análisis de malware‘ [1].
El análisis de malware se puede lograr en dos metodologías principales. Están análisis estático donde el malware no necesita ser ejecutado por el analista de malware y análisis dinámico método que el analista de malware tiene para ejecutar el analista en un entorno de prueba seguro.
Para demostrar los procedimientos de estos dos tipos de métodos de análisis de malware, Ransomware TeslaCrypt has sido seleccionado. Los archivos de malware originales se han descargado del siguiente repositorio de git.
URL: https://github.com/ytisf/theZoo/tree/68817f0afd70dbdc94e81372162e5bfce062c5da/malwares/Binaries/Ransomware.TeslaCrypt
Análisis de malware estático
Análisis de malware estático o análisis de código es el proceso de análisis de malware mediante la inspección del código fuente o los archivos binarios del malware sin ejecutar malware [2]. El análisis estático avanzado es simplemente un proceso de Ingeniería inversa los códigos binarios del malware [1]. Se puede realizar un análisis de malware estático simple en un archivo de malware comparando los valores hash/firma del archivo de malware con una base de firma de malware confiable. Se ha realizado un estudio estático para el ransomware TeslaCrypt utilizando varias técnicas, como se muestra a continuación.
Escaneo de malware VirusTotal
VirusTotal es un escáner de malware en línea de uso gratuito que actualmente es propiedad de Google Inc. y se asoció con más de 70 organizaciones de antivirus para proporcionar búsqueda de malware estático en tiempo real en una carga de un solo usuario. [3]. La siguiente figura contiene el resultado del análisis VirusTotal para el archivo de muestra de malware TeslaCrypt. De acuerdo a eso 60 servicios antivirus de 69 incluidos los antivirus de nivel superior como AVG, Kaspersky, Bitdefender, F-Secure y Symantec han identificado el archivo de muestra como software malicioso.
Huella digital de malware a través de métodos hash
Para identificar el malware de forma única, el valor hash del archivo malicioso se puede generar a través de un programa hash. MD5 o Message-Digest Algorithm 5 es uno de los algoritmos hash más comunes que se utiliza en el sector de la seguridad informática [1]. El valor hash generado por el algoritmo MD5 se puede utilizar para buscar escáneres de malware en línea como VirusTotal sin cargar el archivo en el escáner a través de la red pública.
El valor hash MD5 de un archivo se puede calcular utilizando herramientas de código abierto como md5deep (programa de línea de comandos) y WinMD5 (programa de interfaz gráfica de usuario). El valor hash MD5 del archivo de muestra de malware TeslaCrypt se calculó utilizando la herramienta WinMD5 como se muestra a continuación.
Valor hash del archivo TeslaCrypt: 209a288c68207d57e0ce6e60ebf60729
Después de buscar el valor hash anterior en la opción de búsqueda Hash, IP y URL de VirusTotal (www.virustotal.com/gui/home/search), se encontró el mismo resultado que la siguiente figura. Además, SecureWorks, Inc., que es una subsidiaria de seguridad de la información de Dell Technologies Inc., revela que el valor hash calculado anteriormente pertenece al ransomware TeslaCrypt como se muestra a continuación.
Aparte de las técnicas anteriores, encontrar cadenas en el código del programa que puede causar actividades maliciosas y detectar el empaquetador a través de una herramienta como IDPE pueden contarse como técnicas de análisis de malware estático.
Análisis dinámico de malware
Análisis dinámico de malware o análisis de comportamiento la forma de estudiar los comportamientos del malware mediante la ejecución del programa de malware en un entorno de prueba aislado que se llama Sandbox [2]. Con base en este tipo de análisis, el analista puede identificar las funciones, el flujo de información y el comportamiento de red del malware en un enfoque práctico. [5]. El análisis dinámico de malware se puede realizar fácilmente mediante el uso de herramientas de sandboxing automatizadas como Arenero de cuco, REMnux que simplemente crean un entorno virtualizado para ejecutar el malware.
El malware TeslaCrypt se ejecutó utilizando el marco Cuckoo Sandboxing y presentó el resultado a continuación.
Informe en línea de Cuckoo Sandbox:
La información más importante que revela el informe de análisis de malware generado se explica en las siguientes páginas.
Como se explica en la Parte A del informe .ecc es un formato de archivo cifrado que solía ser descifrado solo por la parte atacante de TeslaCrypt. El informe anterior revela que la 2463 archivos en el entorno de sandboxing han sido cifrados en el formato de archivo .ecc por el programa de malware enviado.
El mensaje de rescate del atacante se ha guardado en las máquinas de la víctima como HELP_TO_DECRPT_SUS_ARCHIVOS.txt. Este mensaje se mostró a la víctima como una ventana de aplicación normal en la máquina Cuckoo Sandbox. Alternativamente, este mensaje puede ser enviado al usuario en una interfaz de color azul donde la víctima ni siquiera permite iniciar sesión en su cuenta de Windows.
De acuerdo con la siguiente figura, el malware TeslaCrypt ha canales TOR establecidos para controlar de forma segura la máquina de la víctima, lo que le da al atacante la capacidad de realizar horriblemente el proceso de descifrado en caso de que la víctima pague el rescate. Y también, el marco de análisis de malware ha identificado el servidor de comando y control del malware como 50.7.138.132.
El ransomware se ha plantado como un programa que se ejecuta en el inicio de Windows tener control sobre el inicio de sesión de Windows para evitar el acceso incluso a la cuenta de usuario de la víctima de la máquina infectada.
Cambiar el fondo de escritorio a la imagen que contiene el mensaje de rescate o algo que asuste a las víctimas es una configuración tradicional de la familia de ransomware. El ransomware TeslaCrypt también ha intentado realizar esa actividad en el entorno de espacio aislado de Windows. Sin embargo, no tuvo éxito en el entorno limitado de configuración de acuerdo con el siguiente identificador de informe.
Terminando
La realización de una inspección de código (análisis estático) para estos archivos de muestra de malware y el análisis de los comportamientos del malware al ejecutarlos en un entorno seguro llamado sandbox (análisis dinámico), permite a los analistas de malware identificar la infección de malware y desarrollar los parches de seguridad necesarios para mitigar este malware. infecciones
Referencias
[1] M. Sikorski, Análisis práctico de malware: la guía práctica para diseccionar software malicioso, No Starch Press, 2012.
[2] D. Distler, «Análisis de malware: una introducción», 12 de febrero de 2008. [Online]. Disponible: https://www.sans.org/reading-room/whitepapers/malicious/paper/2103. [Accessed 02 September 2019].
[3] F. Lardinois, «Google adquiere virus en línea, software malicioso y analizador de URL VirusTotal», TechCrunch, 7 de septiembre de 2012. [Online]. Disponible: https://techcrunch.com/2012/09/07/google-acquires-online-virus-malware-and-url-scanner-virustotal/. [Accessed 02 September 2019].
[4] Unidad contra amenazas de Dell SecureWorks, “TeslaCrypt Ransomware”, SecureWorks, 12 de mayo de 2015. [Online]. Disponible: https://www.secureworks.com/research/teslacrypt-ransomware-threat-analysis. [Accessed 22 July 2019].
[5]M. Egele, T. Scholte, E. Kirda y C. Kruegel, «Una encuesta sobre herramientas y técnicas de análisis de malware dinámicas y automatizadas», ACM Computing Surveys (CSUR), vol. 44, núm. 2, 2012.
