Malware es un software malicioso desarrollado para realizar actividades que causan un daño significativo a la información almacenada, el hardware de la computadora o las redes conectadas [1]. Existen muchos tipos de malware, como troyanos, adware, spyware, ransomware, etc. El proceso de examen,
- cómo funciona el código malicioso
- cómo identificar el malware
- Los métodos de eliminación de malware se denominan ‘Análisis de malware’ [1].
El análisis de malware se puede lograr en dos metodologías principales. Son análisis estático donde el malware no necesita ser ejecutado por el analista de malware y análisis dinámico método que el analista de malware tiene que ejecutar al analista en un entorno de prueba seguro.
Para demostrar los procedimientos de estos dos tipos de métodos de análisis de malware, TeslaCrypt ransomware has sido seleccionado. Los archivos originales de malware se han descargado del siguiente repositorio de git.
Análisis de malware estático
Análisis de malware estático o análisis de código es el proceso de análisis de malware mediante la inspección del código fuente o los archivos binarios del malware sin ejecutar malware [2]. El análisis estático avanzado es simplemente un proceso de Ingeniería inversa los códigos binarios del malware [1]. Se puede realizar un análisis simple de malware estático en un archivo de malware comparando los valores de hash / firma del archivo de malware con una base de firma de malware confiable. Se realizó un estudio estático para el ransomware TeslaCrypt utilizando varias técnicas como se detalla a continuación.
VirusTotal Malware Scan
VirusTotal es un escáner de malware en línea gratuito que actualmente es propiedad de Google Inc. y se asoció con más de 70 organizaciones antivirus para proporcionar una búsqueda estática de malware en tiempo real en una carga de un solo usuario [3]. La siguiente figura contiene el resultado del análisis de VirusTotal para el archivo de muestra de malware TeslaCrypt. De acuerdo a eso 60 servicios antivirus de 69 incluidos los antivirus de nivel superior como AVG, Kaspersky, Bitdefender, F-Secure y Symantec han identificado el archivo de muestra como software malicioso.
Huellas digitales de malware a través de métodos de hash
Para identificar de forma exclusiva el malware, el valor hash del archivo malicioso se puede generar a través de un programa hash. MD5 o Algoritmo de resumen de mensaje 5 es uno de los algoritmos de hashing más comunes que se usa en el sector de la seguridad informática [1]. El valor hash generado por el algoritmo MD5 se puede utilizar para buscar escáneres de malware en línea como VirusTotal sin cargar el archivo en el escáner a través de la red pública.
El valor hash MD5 de un archivo se puede calcular utilizando herramientas de código abierto como md5deep (programa de línea de comandos) y WinMD5 (Programa GUI). El valor hash MD5 del archivo de muestra de malware TeslaCrypt se ha calculado utilizando la herramienta WinMD5 como se muestra a continuación.
Valor hash del archivo TeslaCrypt: 209a288c68207d57e0ce6e60ebf60729
Después de buscar el valor hash anterior en la opción de búsqueda de hash, IP y URL de VirusTotal (www.virustotal.com/gui/home/search) se ha encontrado el mismo resultado que la siguiente figura. Además, SecureWorks, Inc., que es una subsidiaria de seguridad de la información de Dell Technologies Inc., revela que el valor hash calculado anteriormente pertenece al ransomware TeslaCrypt como se muestra a continuación.
Aparte de las técnicas anteriores, encontrar cadenas en el código del programa que puede causar actividades maliciosas y detectar empaquetador a través de una herramienta como PEid puede contarse como técnicas de análisis de malware estático.
Análisis dinámico de malware
Análisis dinámico de malware o análisis de comportamiento la forma de estudiar los comportamientos del malware ejecutando el programa de malware en un entorno de prueba aislado que se llama Sandbox [2]. Basado en este tipo de análisis, el analista puede identificar funciones, flujo de información y el comportamiento de la red del malware en un enfoque práctico [5]. El análisis dinámico de malware se puede realizar fácilmente mediante el uso de herramientas de sandboxing automatizadas como Sandbox de cuco, REMnux que simplemente crean un entorno virtualizado para ejecutar el malware.
El malware TeslaCrypt se ejecutó utilizando el marco Cuckoo Sandboxing y presentó el resultado de la siguiente manera.
Informe en línea de Cuckoo Sandbox: https://cuckoo.cert.ee/analysis/1383009/summary/
La información más importante que revela el informe de análisis de malware generado se explica en las páginas siguientes.
Como se explica en la Parte A del informe .ecc es un formato de archivo cifrado que solía ser descifrado solo por la parte atacante de TeslaCrypt. El informe anterior revela que el 2463 archivos en el entorno de sandboxing han sido encriptados en el formato de archivo .ecc por el programa de malware enviado.
El mensaje de rescate del atacante se ha guardado en las máquinas víctimas como HELP_TO_DECRPT_YOUR_FILES.txt. Este mensaje fue presentado previamente a la víctima como una ventana de aplicación normal en la máquina Cuckoo Sandbox. Alternativamente, este masaje puede ser solicitado al usuario en una interfaz de color azul donde la víctima ni siquiera permite iniciar sesión en su cuenta de Windows.
Según la siguiente figura, el malware TeslaCrypt tiene canales TOR establecidos para controlar de forma segura la máquina de la víctima que le da la capacidad al atacante para realizar horriblemente el proceso de descifrado en caso de que la víctima pague el rescate. Y también, el marco de análisis de malware ha identificado el servidor de comando y control del malware como 50.7.138.132.
El ransomware se ha plantado como un programa que se ejecuta en el inicio de Windows tener control sobre el inicio de sesión de Windows para evitar el acceso incluso a la cuenta de usuario víctima de la máquina infectada.
Cambiar el fondo de escritorio a la imagen que contiene el mensaje de rescate o algo que asusta a las víctimas es una configuración tradicional de la familia de ransomware. El ransomware TeslaCrypt también ha intentado realizar esa actividad en el entorno de espacio aislado de Windows. Sin embargo, no se logró en el entorno limitado de configuración de acuerdo con el siguiente identificador de informe.
Terminando
Realizar una inspección de código (Análisis estático) para estos archivos de muestra de malware y analizar el comportamiento del malware ejecutándolos en un entorno seguro llamado sandbox (Análisis dinámico), permite a los analistas de malware identificar la infección de malware y desarrollar parches de seguridad necesarios para mitigar este malware infecciones
Referencias
[1] M. Sikorski, Análisis práctico de malware: la guía práctica para diseccionar software malicioso, No Starch Press, 2012. [2] D. Distler, «Análisis de malware: una introducción», 12 de febrero de 2008. [Online]. Disponible: https://www.sans.org/reading-room/whitepapers/malicious/paper/2103. [Accessed 02 September 2019]. [3] F. Lardinois, «Google adquiere VirusTotal en línea de virus, malware y escáner de URL», TechCrunch, 7 de septiembre de 2012. [Online]. Disponible: https://techcrunch.com/2012/09/07/google-acquires-online-virus-malware-and-url-scanner-virustotal/. [Accessed 02 September 2019]. [4] Unidad de amenaza de contador SecureWorks de Dell, “TeslaCrypt Ransomware”, SecureWorks, 12 de mayo de 2015. [Online]. Disponible: https://www.secureworks.com/research/teslacrypt-ransomware-threat-analysis. [Accessed 22 July 2019]. [5]M. Egele, T. Scholte, E. Kirda y C. Kruegel, «Una encuesta sobre técnicas y herramientas de análisis dinámico automatizado de malware», ACM Computing Surveys (CSUR), vol. 44, no. 2 de 2012.
