Segundo video tutorial enfocado al Análisis práctico de Malware. Como objetivo de este, veremos diferentes métodos de recolección de la Información sobre el sistema afectado y el Sistema de Análisis. Además veremos distintos maneras de llevar a cabo el proceso de creación y verificación de firmas criptográficas de el/los archivos sospechosos que son el objeto del Análisis.

• Repaso sesión anterior.
• Detalles del Sistema.
• Valores Hash (Firmas Criptográficas).
• CTPH (Context Triggered Piecewise Hashing).

Resumen:

• Rápido repaso del video tutorial anterior y del Enfoque del Análisis.
• Identificación y Documentación del origen del archivo sospechoso y del sistema que lo contiene (Sistema Operativo, Versión, Service Pack, A.V’s, etc.)
• Generación y comprobación de valores Hash del archivo sospechoso (md5sum.exe, File Checksum Integrity Verifier, md5deep, MAP / Malcode Analysis Pack, HashOnClick, WinMD5, etc.).
• Generación y verificación por medio de CTPH (Context Triggered Piecewise Hashing) a archivos intensionalmente modificados. (ssdeep, SSDeepFE)

Copia del archivo malicioso (Malware/Virus Medellín-wind.exe) (Archivo publicado con fines meramente educativos/divulgativos. El mal uso de este, es responsabilidad de cada usuario. El autor de este artículo queda exento de responsabilidad en el momento en que el usuario descarga dicho archivo). A la fecha, casi la totalidad de Antivirus detectan este fichero como malicioso. Operar solo bajo entornos controlados de laboratorios.
Password: www.dragonjar.org
MD5: A0A1382EF2A6593CE322F2E2457F78D7

Descargar Video Tutorial (Password: www.dragonjar.org)

A pesar de ello, muchos procedimientos registrados en los videos pueden ser utilizados en diferentes escenarios que se asemejen de alguna forma.

Verificación de la integridad de los archivos (imágenes) mediante su firma MD5, esta imágen corresponde al sistema previamente comprometido y que será objeto del análisis.

Se hace necesario además aclarar el concepto de firmas y comprobación MD5:

Los resúmenes MD5 se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores. Esto protege al usuario contra los ‘Caballos de Troya’ o ‘Troyanos’ y virus que algún otro usuario malicioso pudiera incluir en el software. La comprobación de un archivo descargado contra su suma MD5 no detecta solamente los archivos alterados de una manera maliciosa, también reconoce una descarga corrupta o incompleta.

Para comprobar la integridad de un archivo descargado de Internet se puede utilizar una herramienta MD5 para comparar la suma MD5 de dicho archivo con un archivo MD5SUM con el resumen MD5 del primer archivo. En los sistemas UNIX, el comando de md5sum es un ejemplo de tal herramienta. Además, también está implementado en el lenguaje de scripting PHP como MD5(“”) entre otros.

Una vez acalarado el punto anterior, procedemos entonces a verificar la integridad del archivo descargado, esto con la finalidad de comprobar de que verdaderamente el archivo descargado corresponde a la imágen que los administradores generaron.

Para este caso se utilizó la herramienta Md5Checker y en el video tutorial se muestra el modo de uso.

Descargar Videotutorial en formato swf (password: www.dragonjar.org)

Referencias:

Algoritmo MD5 en Wikipedia
Verificando archivos mediante firmas md5
Md5Checker – Descargar Md5Checker

Escenario propuesto:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

Objetivos:

El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imágen (o copia) de dicho sistema.

Permitir determinar los siguientes puntos de interés para el análisis:

• Motivos de la intrusión.
• Desarrollo de la intrusión.
• Resultados del análisis.
• Recomendaciones.

Instalación de un entorno de trabajo en el que, de forma segura y garantizando el no modificar la evidencia, proceder a la ejecución de las herramientas de análisis forense seleccionadas, la mayoría de carácter público y accesibles en la red.

Puntos a cubrir:

• Antecedentes del incidente
• Recolección de los datos
• Descripción de la evidencia
• Entorno del análisis –Descripción de las herramientas–
• Análisis de la evidencia –Información del sistema analizado–
• Características del SO
• Aplicaciones
• Servicios
• Vulnerabilidades
• Metodología
• Descripción de los hallazgos
• Huellas de la intrusión
• Herramientas usadas por el atacante
• Alcance de la intrusión
• El origen del ataque
• Análisis de artefactos
• Cronología de la intrusión
• Conclusiones
• Recomendaciones específicas
• Referencias

La imágen del sistema a analizar puede ser descargada desde los siguientes enlaces (haciendo uso de algún cliente FTP)

ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz
ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz

Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son

• 062cf5d1ccd000e20cf4c006f2f6cce4 – windows2003.img
• 33a42d316c060c185f41bfcacf439747 – windows2003.img.gz

Más información sobre el reto de Informática Forense