Software malicioso es un software malicioso que se desarrolla para realizar actividades que causan un daño significativo a la información almacenada, el hardware de la computadora o las redes conectadas [1]. Hay muchos tipos de malware, como troyanos, adware, spyware, ransomware, etc. El proceso de examen,
- cómo funciona el código malicioso
- cómo identificar el malware
- Los métodos de eliminación de malware se denominan ‘Análisis de malware‘ [1].
El análisis de malware se puede lograr en dos metodologías principales. Son análisis estático donde no es necesario que el analista de malware ejecute el malware y análisis dinámico método que tiene el analista de malware para ejecutar al analista en un entorno de prueba seguro.
Para demostrar los procedimientos de estos dos tipos de métodos de análisis de malware, TeslaCrypt ransomware has sido seleccionado. Los archivos de malware originales se han descargado del siguiente repositorio de git.
URL: https://github.com/ytisf/theZoo/tree/68817f0afd70dbdc94e81372162e5bfce062c5da/malwares/Binaries/Ransomware.TeslaCrypt
Análisis de malware estático
Análisis de malware estático o análisis de código es el proceso de analizar el malware mediante la inspección del código fuente o los archivos binarios del malware sin ejecutar malware [2]. El análisis estático avanzado es simplemente un proceso de Ingeniería inversa los códigos binarios del malware [1]. Se puede realizar un análisis de malware estático simple en un archivo de malware comparando los valores de hash / firma del archivo de malware con una base de firmas de malware confiable. Se ha realizado un estudio estático para el ransomware TeslaCrypt utilizando varias técnicas como se indica a continuación.
Escaneo de malware VirusTotal
VirusTotal es un escáner de malware en línea de uso gratuito que actualmente es propiedad de Google Inc. y se asoció con más de 70 organizaciones antivirus para proporcionar búsqueda de malware estático en tiempo real en una sola carga de usuario. [3]. La siguiente figura contiene el resultado del análisis de VirusTotal para el archivo de muestra de malware TeslaCrypt. De acuerdo a eso 60 servicios antivirus de 69 incluidos los antivirus de nivel superior como AVG, Kaspersky, Bitdefender, F-Secure y Symantec han identificado el archivo de muestra como software malicioso.
Huellas dactilares de malware a través de métodos hash
Para identificar de forma única el malware, el valor hash del archivo malicioso se puede generar a través de un programa de hash. MD5 o algoritmo 5 de resumen de mensajes es uno de los algoritmos hash más comunes que se utiliza en el sector de la seguridad informática [1]. El valor hash generado por el algoritmo MD5 se puede utilizar para buscar escáneres de malware en línea como VirusTotal sin cargar el archivo en el escáner a través de la red pública.
El valor hash MD5 de un archivo se puede calcular utilizando herramientas de código abierto como md5deep (programa de línea de comandos) y WinMD5 (Programa GUI). El valor hash MD5 del archivo de muestra de malware TeslaCrypt se ha calculado utilizando la herramienta WinMD5 como se muestra a continuación.
Valor hash del archivo TeslaCrypt: 209a288c68207d57e0ce6e60ebf60729
Después de buscar el valor hash anterior en la opción de búsqueda Hash, IP y URL de VirusTotal (www.virustotal.com/gui/home/search), se ha encontrado el mismo resultado que en la siguiente figura. Además, SecureWorks, Inc., que es una subsidiaria de seguridad de la información de Dell Technologies Inc., revela que el valor hash calculado anteriormente pertenece al ransomware TeslaCrypt como se muestra a continuación.
Aparte de las técnicas anteriores, encontrar cadenas en el código del programa que puede causar actividades maliciosas y detectar el empaquetador a través de una herramienta como PEid puede contarse como técnicas de análisis de malware estático.
Análisis dinámico de malware
Análisis dinámico de malware o análisis de comportamiento la forma de estudiar los comportamientos del malware mediante la ejecución del programa de malware en un entorno de prueba aislado que se llama Sandbox [2]. Con base en este tipo de análisis, el analista puede identificar funciones, flujo de información y el comportamiento de red del malware en un enfoque práctico. [5]. El análisis dinámico de malware se puede realizar fácilmente mediante el uso de herramientas de sandboxing automatizadas como Caja de arena de cuco, REMnux que simplemente crean un entorno virtualizado para ejecutar el malware.
El malware TeslaCrypt se ha ejecutado mediante el marco de Cuckoo Sandboxing y presenta el resultado como se muestra a continuación.
Informe en línea de Cuckoo Sandbox:
La información más significativa revelada por el informe de análisis de malware generado se explica en las páginas siguientes.
Como se explica en la Parte A del informe .ecc es un formato de archivo cifrado que solía ser descifrado únicamente por la parte atacante de TeslaCrypt. El informe anterior revela que el 2463 fichas en el entorno de zona de pruebas se han cifrado en el formato de archivo .ecc por el programa de malware enviado.
El mensaje de rescate del atacante se ha guardado en las máquinas de la víctima como HELP_TO_DECRPT_YOUR_FILES.txt. La víctima recibió una vista previa de este mensaje como una ventana de aplicación normal en la máquina Cuckoo Sandbox. Alternativamente, este mensaje se puede solicitar al usuario en una interfaz de color azul donde la víctima no permite ni siquiera iniciar sesión en su cuenta de Windows.
Según la siguiente figura, el malware TeslaCrypt ha canales TOR establecidos para controlar de forma segura la máquina de la víctima, lo que le da al atacante la capacidad de realizar horriblemente el proceso de descifrado en caso de que la víctima pague el rescate. Y también, el marco de análisis de malware ha identificado el servidor de comando y control del malware como 50.7.138.132.
El ransomware se ha plantado como un programa que se ejecuta en el inicio de Windows tener control sobre el inicio de sesión de Windows para evitar el acceso incluso a la cuenta de usuario víctima de la máquina infectada.
Cambiar el fondo de escritorio a la imagen que contiene el mensaje de rescate o algo que asuste a las víctimas es una configuración tradicional de la familia de ransomware. TeslaCrypt ransomware también ha intentado realizar esa actividad en el entorno de espacio aislado de Windows. Sin embargo, no se logró en el entorno limitado de configuración según el siguiente identificador de informe.
Terminando
La realización de una inspección de código (análisis estático) para estos archivos de muestra de malware y el análisis de los comportamientos del malware ejecutándolos en un entorno seguro llamado sandbox (análisis dinámico), permite a los analistas de malware identificar la infección de malware y desarrollar los parches de seguridad necesarios para mitigar este malware. Infecciones.
Referencias
[1] M. Sikorski, Análisis práctico de malware: la guía práctica para diseccionar software malicioso, No Starch Press, 2012.
[2] D. Distler, «Malware Analysis: An Introduction», 12 de febrero de 2008. [Online]. Disponible: https://www.sans.org/reading-room/whitepapers/malicious/paper/2103. [Accessed 02 September 2019].
[3] F. Lardinois, “Google Acquires Online Virus, Malware and URL Scanner VirusTotal”, TechCrunch, 7 de septiembre de 2012. [Online]. Disponible: https://techcrunch.com/2012/09/07/google-acquires-online-virus-malware-and-url-scanner-virustotal/. [Accessed 02 September 2019].
[4] Unidad contra amenazas Dell SecureWorks, “TeslaCrypt Ransomware”, SecureWorks, 12 de mayo de 2015. [Online]. Disponible: https://www.secureworks.com/research/teslacrypt-ransomware-threat-analysis. [Accessed 22 July 2019].
[5]M. Egele, T. Scholte, E. Kirda y C. Kruegel, “Una encuesta sobre técnicas y herramientas automatizadas de análisis dinámico de malware”, Encuestas de Computación ACM (CSUR), vol. 44, no. 2, 2012..
