Archivo | Análisis de Malware Fuente RSS para esta sección

Video Tutorial / Detalles del Sistema y Firmas Criptográficas en el Análisis de Malware

Continua desde “Video tutorial / Intoducción y Conceptos Básicos en el Análisis de Malware“.

Segundo video tutorial enfocado al Análisis práctico de Malware. Como objetivo de este, veremos diferentes métodos de recolección de la Información sobre el sistema afectado y el Sistema de Análisis. Además veremos distintos maneras de llevar a cabo el proceso de creación y verificación de firmas criptográficas de el/los archivos sospechosos que son el objeto del Análisis.

  • Repaso sesión anterior.
  • Detalles del Sistema.
  • Valores Hash (Firmas Criptográficas).
  • CTPH (Context Triggered Piecewise Hashing).

Resumen:

Copia del archivo malicioso (Malware/Virus Medellín-wind.exe) (Archivo publicado con fines meramente educativos/divulgativos. El mal uso de este, es responsabilidad de cada usuario. El autor de este artículo queda exento de responsabilidad en el momento en que el usuario descarga dicho archivo). A la fecha, casi la totalidad de Antivirus detectan este fichero como malicioso. Operar solo bajo entornos controlados de laboratorios.
Password: www.dragonjar.org
MD5: A0A1382EF2A6593CE322F2E2457F78D7

Descargar Video Tutorial (Password: www.dragonjar.org)

Recopilación de libros enfocados al Análisis de Malware

El siguiente listado de libros pretende ser un recopilatorio de libros enfocados al Análisis de Malware (Definiciones, Investigaciones, soluciones, tendencias, etc). La mayoría de estos libros son los que vengo utilizando para desarrollar dichos Laboratorios.

Del mismo modo, estaré publicando otras recopilaciones enfocadas a diferentes temáticas (Test de Penetración, Informática Forense, Firewalls, Herramientas de Seguridad, etc.)

  • Absolute Beginner’s Guide to Security, Spam, Spyware & Viruses (Absolute Beginner’s Guide)

Batten down the hatches! Hackers, spammers and thieves (oh my!) are after you! The mere act of turning on an Internet-connected computer can put you, your family, and your personal finances at risk by exposing you to viruses, scam artists, hackers, identity thieves, and spammers. How do you fight back? Absolute Beginner’s Guide to Security, Spam, Spyware and Viruses is your first line of defense.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • The Art of Computer Virus Research and Defense (Symantec Press) (Paperback)

Symantec’s chief antivirus researcher has written the definitive guide to contemporary virus threats, defense techniques, and analysis tools. Unlike most books on computer viruses, “The Art of Computer Virus Research and Defense” is a reference written strictly for white hats: IT and security professionals responsible for protecting their organizations against malware. Peter Szor systematically covers everything you need to know, including virus behavior and classification, protection strategies, antivirus and worm-blocking techniques, and much more.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Computer Viruses and Malware (Advances in Information Security)

Our Internet-connected society increasingly relies on computers.  As a result, attacks on computers from malicious software have never been a bigger concern. Computer Viruses and Malware draws together hundreds of sources to provide an unprecedented view of malicious software and its countermeasures. This book discusses both the technical and human factors involved in computer viruses, worms, and anti-virus software.  It also looks at the application of malicious software to computer crime and information warfare.

Computer Viruses and Malware is designed for a professional audience composed of researchers and practitioners in industry. This book is also suitable as a secondary text for advanced-level students in computer science.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Computer Viruses For Dummies

A rootkit is a type of malicious software that gives the hacker “root” or administrator access to your network. They are activated before your system’s operating system has completely booted up, making them extremely difficult to detect. Rootkits allow hackers to install hidden files, processes, and hidden user accounts. Hackers can use them to open back doors in order to intercept data from terminals, connections, and keyboards. A rootkit hacker can gain access to your systems and stay there for years, completely undetected.

Learn from respected security experts and Microsoft Security MVPs how to recognize rootkits, get rid of them, and manage damage control.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Computer Viruses: from theory to applications (Collection IRIS)

This book deals with computer viruses envisaged from three different points of view, namely the theoretical fundamentals of computer virology, algorithmic and practical aspects of viruses and their potential applications to various areas. The theoretical formalization by means of Turing machines, self-reproducing automata and recursive functions enable a precise and exhaustive description of the different types of malware. It follows that the main stakes of computer defense and antiviral fighting are easily highlighted. Detailed analysis of the source code for representative members of each virus/worm family allows the reader to grasp the basic algorithmic aspects involved in self-reproducing codes. The C programming language has been systematically used for a better understanding of the considered codes.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • E-mail Virus Protection Handbook : Protect your E-mail from Viruses, Tojan Horses, and Mobile Code Attacks

All of the big viruses of recent times (think “Melissa” and the “Love Bug”) have used e-mail protocols to propagate themselves–often taking advantage of the address-book features of e-mail clients to identify their victims. The E-mail Virus Protection Handbook explores how you, as an administrator of an e-mail server (and perhaps some of the network resources that surround it), can protect your users from productivity loss that results from e-mail virus infection. This book is best suited to administrators of smallish networks who have responsibility for (and direct control over) firewalls and network-wide antivirus strategies, as well as e-mail readers on the client side.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Viruses Revealed

Hardly a week goes by without news of some malicious program or other playing hob with large numbers of computers somewhere on the Internet. Viruses Revealed shows where computer viruses come from, how they spread, and how you can protect the computers you’re responsible for. It recognizes that viruses are inherent in the modern computing environment (which makes it easy to share data among machines) and that there’s no absolutely certain way to maintain any degree of usefulness in a computer while eliminating all risk of viral infection. From there, the three authors proceed to make their readers informed participants in a dangerous computing world. They do this by defining terms (like dropper, a program that isn’t a virus itself but which serves to install one), explaining concepts (like the difficulties antivirus programs face in detecting Trojan programs), and documenting historical events (infamous viruses of the past–Love Bug, Kournikova, and so on–and why they worked).

Más información y venta>>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Professional Rootkits (Programmer to Programmer)

Whether you want to learn how to develop a robust, full-featured rootkit or you’re looking for effective ways to prevent one from being installed on your network, this hands-on resource provides you with the tools you’ll need. Expert developer Ric Vieler walks you through all of the capabilities of rootkits, the technology they use, steps for developing and testing them, and the detection methods to impede their distribution.

This book provides the detailed, step-by-step instructions and examples required to produce full-featured, robust rootkits. Presented in modular sections, source code from each chapter can be used separately or together to produce highlyspecific functionality. In addition, Vieler details the loading, configuration, and control techniques used to deploy rootkits. All ancillary software is fully detailed with supporting source code and links to the compilers, utilities, and scripts necessary to build and run every example provided.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Rootkits for Dummies (For Dummies (Computer/Tech))

A rootkit is a type of malicious software that gives the hacker “root” or administrator access to your network. They are activated before your system’s operating system has completely booted up, making them extremely difficult to detect. Rootkits allow hackers to install hidden files, processes, and hidden user accounts. Hackers can use them to open back doors in order to intercept data from terminals, connections, and keyboards. A rootkit hacker can gain access to your systems and stay there for years, completely undetected.

Learn from respected security experts and Microsoft Security MVPs how to recognize rootkits, get rid of them, and manage damage control.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • How to Do Everything to Fight Spam, Viruses, Pop-Ups, and Spyware

Swat spam, vanquish viruses, knock down pop-ups, and expose spyware with help from this one-of-a-kind resource. Loaded with insightful advice, practical tips, and trial software, this book-and-CD defense will help you rid your computer of the perils and nuisances of Web surfing once and for all. Author and tech expert Ken Feinstein gives easy-to-understand explanations of the technologies at work, and just exactly what steps you can take to take back your e-mail, your surfing enjoyment, your privacy, and your computer.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

  • Malware Forensics: Investigating and Analyzing Malicious Code

Dissecting the dark side of the Internet — with its infectious worms, botnets, rootkits, and Trojan horse programs (known as malware)– this in-depth, how-to guide details the complete process of responding to a malicious code incident, from isolating malware and testing it in a forensic lab environment, to pulling apart suspect code and investigating its origin and authors. Written by information security experts with real-world investigative experience, Malware Forensics: Investigating and Analyzing Malicious Code is the most instructional book available on the subject, providing practical step-by-step technical and legal guidance to readers by featuring tools, diagrams, examples, exercises and checklists.

Más información >>

Previsualizar libro / Capítulos de ejemplo>>

————————————————————————————————————————————————-

Video tutorial / Intoducción y Conceptos Básicos en el Análisis de Malware

Primer video tutorial enfocado al Análisis práctico de Malware. Como objetivo de este, veremos diferentes métodos de investigación sobre Análisis de Malware como principal amenaza a los usuarios de Internet/Computadoras.

  • Definiciones básicas.
  • Montaje de un entorno de Laboratorio Seguro.
  • Herramientas básicas relacionadas con el Análisis de Malware.
  • Análisis práctico de Malware.

Resumen:

  • Definiciones básicas relacionadas con el Malware (Software Malicioso) y su tipología (Independiente / Necesidad de un programa anfitrión).
  • Montaje de un entorno de Análisis Seguro como base fundamental de las investigaciones, ya que estos garantizan que el archivo sospechoso u objetivo del análisis no entrará a afectar de algún modo el sistema de producción o anfitrión.
  • Rápido recorrido sobre las publicaciones relacionadas con las herramientas utilizadas en los análisis.
  • Métodos de distribución y Factores comunes (Desconocimiento del origen del archivo, Aparentemente familiar, Nombre similar, Detección de actividad anómala, etc).
  • Perfilamiento del archivo sospechoso (Tipo de archivo, Propósito, Funcionalidad, Sofisticación, Alcance, Subsistencia).
  • Tipos de Análisis (Estático y Dinámico/Comportamiento).
  • Enfoques generales en el Análisis de Malware (Detalles, Hash, Comparación, Clasificación, Escaneo, Examinar, Extraer/Analizar, Revelar, Correlacionar, Investigar).

Cheat Sheet: Análisis de Malware

Un Cheat Sheet puede ser definido como un conjunto o agrupación de notas (comandos, instrucciones, parámetros, etc.) que sirven o se aplican como referencia inmediata para una determinada herramienta (software), lenguaje de programación, materia o procedimiento (técnica).

El siguiente Cheat Sheet proporciona diversas instrucciones de ejemplo sobre el uso de los debugger OllyDBG y IDA Pro enfocados al Análisis de Malware.

Contenido:

  • Aproximación General
  • Análisis del comportamiento
  • IDA Pro para análisis estático
  • OllyDbg para análisis dinámico
  • Evadiendo defensas de Malware
  • Registros x86 y usos comunes

Descargar Cheat Sheet de Análisis de Malware / PDF (Password: www.dragonjar.org)

Este Cheat Sheet fué desarrollado y publicado por Lenny Zeltser y Traducido y complementado al español por Jose Selvi de PenTester.es

Cheat Sheet: IDA Pro / Interactive Disassembler

Un Cheat Sheet puede ser definido como un conjunto o agrupación de notas (comandos, instrucciones, parámetros, etc.) que sirven o se aplican como referencia inmediata para una determinada herramienta (software), lenguaje de programación, materia o procedimiento (técnica).

El siguiente Cheat Sheet proporciona diversas instrucciones de ejemplo sobre el uso del desensamblador y debugger IDA Pro.

Contenido:

  • Navigation
  • Search
  • Graphing
  • Open Subviews
  • Data Format Options
  • File Operations
  • Debugger
  • Miscellaneous

Descargar Cheat Sheet de IDA Pro / PDF (Password: www.dragonjar.org)

Este Cheat Sheet fué desarrollado y publicado por Datarescue.

Herramientas comúnmente utilizadas en el Análisis de Malware

Este post pretende ser una recopilación de las herramientas comúnmente utilizadas los procedimientos de Análisis de Malware.

Durante el transcurso de los próximos post de análisis de malware haremos uso de todas las herramientas aquí descritas. Además realizaré otro listado de herramientas más avanzadas para dichos análisis.

OllyDbg

OllyDbg es un potente depurador (Debugger) Windows con un motor de ensamblado y desensamblado integrado. Tiene numerosas otras características . Muy útil para parcheado, desensamblado y depuración.

Más información sobre OllyDbg>>

Descargar OllyDbg

IDA Pro

Es un desensamblador y debugger programable e interactivo. IDA Pro permite realizar ingeniería inversa con cualquier tipo de ejecutable o aplicación existente. IDA Pro puede manejar archivos de  consolas y máquinas como Xbox, Playstation, Nintendo, sistemas para Macintosh, PDA. Plataformas, Windows, UNIX, y un sinfín de archivos.

Más información sobre IDA Pro>>

Descargar IDA Pro

PEiD

Detector de más de 600 firmas diferentes de archivos PE (Portable Ejecutable). PEiD detecta compiladores, cifradores, Packers, etc. Cuenta además con una interfaz grafica muy intuitiva que facilita su uso.

Más información sobre PEiD>>

Descargar PEiD

GNU Debugger (GDB)

GDB o GNU Debugger es el depurador estándar para el sistema operativo GNU. Es un depurador portable que se puede utilizar en varias plataformas Unix y funciona para varios lenguajes de programación como C, C++ y Fortran. GDB fue escrito por Richard Stallman en 1988. GDB es software libre distribuido bajo la licencia GPL.

Más información sobre GDB>>

Descargar GDB Linux / Windows

Editor Hexadecimal

Un editor hexadecimal (o editor de archivos binarios) es un tipo de programa de ordenador que permite a un usuario modificar archivos binarios. Los editores hexadecimales fueron diseñados para editar sectores de datos de disquetes o discos duros por lo que a veces se llaman “editores de sectores”.

Más Información sobre Editores Hexadecimales>>

Descargar Editores Hexadecimales: HexplorerUltraEditMadEditHxD

Syser

El depurador Syser pretende ser un reemplazo completo de SoftICE. Se ejecuta en las versiones 32-bit de Windows Vista/XP/2003/2000, y soporta SMP, HyperThreading y CPUs multinúcleo.

Más información sobre Syser>>

Descargar Syser

Micrisoft Debugging Tools

Microsoft Debugging Tools 32/64-bit Version es un conjunto de herramientas de depuración, que detecta y permite la corrección de errores en el código fuente de programas, controladores, servicios y el núcleo (kernel) de Windows.

Descargar Microsoft Debugging Tools

Process Explorer

Process Explorer muestra información acerca de los procesos de identificadores y DLL que se han abierto o cargado.

Más información sobre Process Explorer>>

Descargar Process Explorer

Process Monitor

Process Monitor es una herramienta avanzada de supervisión para Windows que muestra en tiempo real el sistema de archivos, el Registro y la actividad de los procesos y subprocesos. Combina las características de dos utilidades heredadas de Sysinternals, Filemon y Regmon, y agrega una amplia lista de mejoras, entre las que se incluyen las siguientes: filtrado rico y no destructivo, completas propiedades de evento como Id. de sesión y nombres de usuario, información de proceso confiable, completas pilas de subprocesos con compatibilidad integrada de símbolos para cada operación, registro simultáneo en un archivo, etc. Sus características, de eficacia única, harán de Process Monitor una utilidad imprescindible en el conjunto de herramientas de solución de problemas de sistema y eliminación de malware.

Más información sobre Process Monitor>>

Descargar Process Monitor

RegMon

Regmon es una utilidad de supervisión del Registro que le mostrará qué aplicaciones tienen acceso al Registro, a qué claves tienen acceso y los datos del Registro que leen y escriben, todo en tiempo real. Esta utilidad avanzada va un paso más allá con respecto a las funciones que las herramientas estáticas de Registro pueden hacer, con objeto de permitirle consultar y conocer exactamente cómo usan los programas el Registro. Con las herramientas estáticas, es posible que pueda ver qué claves y qué valores del Registro cambian. Con Regmon, verá cómo han cambiado los valores y las claves.

Más información sobre RegMon>>

Descargar RegMon

FileMon

FileMon supervisa y muestra la actividad del sistema de archivos de un sistema en tiempo real. Sus capacidades avanzadas la convierten en una herramienta eficaz para explorar el modo de funcionamiento de Windows, ver cómo usan las aplicaciones los archivos y las DLL, o realizar un seguimiento de los problemas de configuraciones de archivos de aplicaciones o del sistema. La característica de marca de hora de Filemon le mostrará con precisión cuándo se produce la apertura, la lectura, la escritura o la eliminación, y la columna de estado ofrecerá los resultados. FileMon es tan fácil de usar que se convertirá en un experto en pocos minutos. Empieza a supervisar cuando se inicia y su ventana de resultados se puede guardar en un archivo para verla sin conexión. Tiene una capacidad de búsqueda completa y, si considera que se está produciendo una sobrecarga de información, sólo tiene que configurar uno o más filtros.

Más información sobre FileMon>>

Descargar FileMon

PortMon

Portmon es una utilidad que supervisa y muestra la actividad de todos los puertos serie y paralelos de un sistema. Cuenta con capacidades avanzadas de filtrado y búsqueda que la convierten en una herramienta eficaz para explorar el modo en que funciona Windows, viendo cómo las aplicaciones usan los puertos o localizando los problemas de las configuraciones del sistema o las aplicaciones.

Más información sobre PortMon>>

Descargar PortMon

Análisis de Malware: Artículos y definiciones básicas relacionadas con el Malware

Veamos ahora, algunas definiciones relacionadas con el tema objetivo de estudio y algunos artículos publicados por la Comunidad de Investigación y lucha contra el Malware: InfoSpyware.

Además algunas definiciones de tipologías de Malware ofrecidas por Segu-Info:

Tipos de Malware

En próximos posts ingresaremos propiamente en materia sobre el Análisis de Malware.

Laboratorios: Análisis de Malware, Introducción y Contenido

Laboratorios de Análisis de Malware nace como una nueva propuesta de Laboratorios virtuales y presenciales de Labs.DragonJAR.org.

Esta nueva propuesta de capacitación e investigación sobre Análisis de Malware llevará a cabo diferentes Laboratorios relacionados con las Amenazas y el Software Dañino/Malicioso (Malware) al que están expuestos los usuarios de Internet y las computadoras.

Se hace necesario entonces definir el concepto de Malware, pues este será el objeto de distintos análisis a travéz de cada post.

Malware:

Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño, con finalidades muy diversas, ya que en esta categoría encontramos desde un troyano a un spyware.

Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión “virus informático” es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware. Se debe considerar que el ataque a la vulnerabilidad por malware, puede ser a una aplicación, una computadora, un sistema operativo o una red.

Leer Más >>

Una vez definido el objetivo principal de esta serie de Laboratorios vemos el contenido temático a tratar en esta serie de publicaciones:

Contenido Temático (Propuestas con ejemplos prácticos de laboratorios)

  • Malware (Software Malicioso) / Tipos de Malware
    • Adware
    • Backdoor
    • Bomba fork
    • Bots
    • Bug
    • Caballo de Troya (Troyanos ó  Trojans)
    • Cookies
    • Crackers
    • Cryptovirus, Ransomware o Secuestradores
    • Dialers
    • DoS
    • Exploit
    • Falso antivirus (Rogue)
    • Hijacker
    • Hoaxes, Jokes o Bulos
    • Keystroke o keyloggers
    • Pharming
    • Phishings
    • Pornware
    • Rootkit
    • Spam
    • Spyware
    • Ventanas emergentes/POP-UPS
    • Worms o gusanos
  • Contramedidas al Malware
  • Enfoques de Anti-Malwares
  • Técnicas de Anti-Malwares
  • Técnicas de Análisis de Malware
  • Programación de Malware
  • Lenguajes de programación C/C++/Ensamblador ó ASM/VB
  • Ingeniería Inversa / Reversing

Este será entonces el contenido temático a manera de propuesta, el mismo puede ser modificado, agregando nuevo tópicos a tratar.

La idea es que los post sigan realizandose de la misma manera que he publicado los anteriores Labs, es decir, de una manera didáctica y pedagógica, la cual permita que cualquier usuario independientemente de su nivel de experticia pueda seguir y desarollar los mismos.

Queda abierta la invitación como siempre a colaboradores que quieran enviar sus propios laboratorios, análisis o videos. Pues este último medio de transmisión será el más utilizado en cada post.

Sean entonces bienvenid@s…