Analisis de Malware usando Sysinternals System Monitor (Sysmon)

Sysmon: es una herramienta diseñada por Mark Russinovich y Thomas Garnier diseñado para ejecutarse en segundo plano dentro del sistema Windows, registrando todos los detalles relacionados con la creación de procesos, conexiones de red y cambios en archivos en tiempo de ejecución. todo esto mediante la recopilación de los eventos que genera el uso de los agentes Windows Event Collection o SIEM

Cuya información nos puede ser necesaria en una solución de problema o análisis forense. pero en esta oportunidad como tomar la información como complemento en un laboratorio de análisis de malware.

Instalación

descargar la herramienta desde aqui

Teniendo ya extraida la herramienta entramos a modo consola nos ubicamos donde extraimos y ejecutamos el sgt comando para instalarla.

sysmon -i -n

El parametro i instala la herramientas y drivers

El parametro n solicita las conexiones de red

además de capturar los procesos y eventos de creación de archivos temporales.

Para ver los eventos capturados por el Monitor de sistema, abra Visor de sucesos del sistema ("eventvwr.exe") nos dirigimos a registro de aplicaciones y servicios.  y navegamos por la carpeta /Microsoft/Windows/Sysmon/Operational. en sistemas antiguos los eventos se escriben en el registro de sucesos del sistema

Uso del Monitor de sistema para rastrear una infección

Para experimentar con el Monitor de sistema, vamos usar como laboratorio un sistema infectado con una variante de Pandemiya malware Tenía curiosidad por cómo el Monitor de sistema compararía con otras herramientas que uso en el laboratorio, es decir, el monitor de procesos y Wireshark

Después de activar las herramientas, me encontré con pand.exe nuestro ejecutable malicioso, haciendo doble clic sobre. El monitor del sistema muestra el siguiente evento:

ProcessId 3936
Image C:\Users\REM\Desktop\pand.exe
CommandLine "C:\Users\REM\Desktop\pand.exe"
Hash EF91785633465F1C6F133068832943378D02A22B
ParentProcessId 1336
ParentImage C:\Windows\Explorer.EXE
ParentCommandLine C:\Windows\Explorer.EXE

Como se puede observar el malware se ejecuto por primera vez como pand.exe (ID del proceso 3936.) y su matriz era Explorer.exe (ID 1336) El suceso registrado incluye el hash SHA1 del archivo malicioso. Puede consultar los datos de amenazas asociadas a este hash utilizando servicios en línea como  TotalHash y VirusTotal .

Si quisiera utilizar un algoritmo de hash diferente, se podría haber especificado esta opción de configuración al instalar el Monitor de sistema con la opcion -h por defecto es SHA1

Para la comparación, aquí están los hechos relevantes capturados por el monitor de procesos, que presenta una perspectiva coherente en el Explorador de Windows

Otro hecho relevante registrado por el Monitor de sistema es capturada a continuación. Muestra pand.exe (ID del proceso 3936) el lanzamiento de una gjswaxr.exe proceso hijo con nombre (ID del proceso 3964) desde C:\ProgramData

ProcessId 3964
C:\ProgramData\gjswaxr.exe
CommandLine "C:\ProgramData\gjswaxr.exe" /sd 3936
Hash EF91785633465F1C6F133068832943378D02A22B
ParentProcessId 3936
ParentImage C:\Users\REM\Desktop\pand.exe
ParentCommandLine "C:\Users\REM\Desktop\pand.exe"

Tenga en cuenta que el hash de gjswaxr.exe es identico al de pand.exe. Esto sugiere que el programa malicioso se copió en C:\ProgramData\ y se asignó un nombre diferente. También podemos ver en el caso del Monitor de sistema que gjswaxr.exe fue lanzado con el parámetro "/ sd 3936", que corresponde a la ID de pand.exe proceso padre.

A continuación se muestra un conjunto correspondiente de los eventos en el registro de Monitor de procesos. Usted puede ver los detalles similares, incluyendo la línea de comandos del nuevo proceso y la ID del proceso de su padre. Debido a que el monitor de procesos registra más tipos de eventos que los que maneja el Monitor de sistema, podríamos haber visto otros datos en el registro del monitor de procesos, como la creación del archivo gjswaxr.exe por pand.exe. 

Mirando más en los eventos capturados por el Monitor de sistema, podemos ver la siguiente actividad asociada con el Explorador de Windows, que está representado por el proceso Explorer.EXE (ID 1336):

ProcessId 1336
Image C:\Windows\Explorer.EXE
Protocol tcp
SourceIp 192.168.132.130
SourcePort 49161
DestinationIp 192.168.175.134
DestinationPort 80
DestinationPortName http

El explorador de Windows está iniciando una conexión de puerto TCP 80 a la IP 192.168.175.134. Como era de esperar, el monitor de procesos captura esta actividad, así, como se muestra en la siguiente imagen:Wireshark muestra una perspectiva coherente de la actividad, lo que confirma que la conexión es una petición HTTP

Hay mucho más para el análisis de este ejemplar de malware, pero vamos a envolverla hasta ahora, dado que mi objetivo era empezar a experimentar con el Monitor de sistema.

La utilidad de Monitor de sistema En los experimentos de laboratorio hasta el momento, el Monitor de sistema no proporcionaba una gran cantidad de valor más allá de los detalles que ya se podía ver usando el monitor de procesos. Sin embargo, resulta útil contar con múltiples herramientas que proporcionan información similar de ligeramente diferentes puntos de vista. A veces, una utilidad ofrece una mejor idea de lo que podía deducir de otra herramienta. (Cuando se utiliza el Monitor de sistema, tenga en cuenta que al igual que otras utilidades de Sysinternals estas no tratan de ocultarse de malware.

Fuente:http://digital-forensics.sans.org/blog/2014/08/12/sysmon-in-malware-analysis-lab