Seguridad de la informacion
actualidad sobre consultoria, normas y seguridad de la informacion
Ethical Hacking
Guias, procesos y manuales sobre Ethical Hacking
Mostrando entradas con la etiqueta malware. Mostrar todas las entradas

Analisis de Malware usando Sysinternals System Monitor (Sysmon)

0 comentarios 7:58 p. m. Publicado por Atoio
Sysmon: es una herramienta diseñada por Mark Russinovich y Thomas Garnier diseñado para ejecutarse en segundo plano dentro del sistema Windows, registrando todos los detalles relacionados con la creación de procesos, conexiones de red y cambios en archivos en tiempo de ejecución. todo esto mediante la recopilación de los eventos que genera el uso de los agentes Windows Event Collection o SIEM

Cuya información nos puede ser necesaria en una solución de problema o análisis forense. pero en esta oportunidad como tomar la información como complemento en un laboratorio de análisis de malware.

Instalación
descargar la herramienta desde aqui
Teniendo ya extraida la herramienta entramos a modo consola nos ubicamos donde extraimos y ejecutamos el sgt comando para instalarla.
sysmon -i -n
El parametro i instala la herramientas y drivers
El parametro n solicita las conexiones de red
además de capturar los procesos y eventos de creación de archivos temporales.

Para ver los eventos capturados por el Monitor de sistema, abra Visor de sucesos del sistema ("eventvwr.exe") nos dirigimos a registro de aplicaciones y servicios.  y navegamos por la carpeta /Microsoft/Windows/Sysmon/Operational. en sistemas antiguos los eventos se escriben en el registro de sucesos del sistema

Uso del Monitor de sistema para rastrear una infección

Para experimentar con el Monitor de sistema, vamos usar como laboratorio un sistema infectado con una variante de Pandemiya malware Tenía curiosidad por cómo el Monitor de sistema compararía con otras herramientas que uso en el laboratorio, es decir, el monitor de procesos y Wireshark

Después de activar las herramientas, me encontré con pand.exe nuestro ejecutable malicioso, haciendo doble clic sobre. El monitor del sistema muestra el siguiente evento:
ProcessId 3936
Image C:\Users\REM\Desktop\pand.exe
CommandLine "C:\Users\REM\Desktop\pand.exe"
Hash EF91785633465F1C6F133068832943378D02A22B
ParentProcessId 1336
ParentImage C:\Windows\Explorer.EXE
ParentCommandLine C:\Windows\Explorer.EXE
Como se puede observar el malware se ejecuto por primera vez como pand.exe (ID del proceso 3936.) y su matriz era Explorer.exe (ID 1336) El suceso registrado incluye el hash SHA1 del archivo malicioso. Puede consultar los datos de amenazas asociadas a este hash utilizando servicios en línea como  TotalHash y VirusTotal .
Si quisiera utilizar un algoritmo de hash diferente, se podría haber especificado esta opción de configuración al instalar el Monitor de sistema con la opcion -h por defecto es SHA1

Para la comparación, aquí están los hechos relevantes capturados por el monitor de procesos, que presenta una perspectiva coherente en el Explorador de Windows
Otro hecho relevante registrado por el Monitor de sistema es capturada a continuación. Muestra pand.exe (ID del proceso 3936) el lanzamiento de una gjswaxr.exe proceso hijo con nombre (ID del proceso 3964) desde C:\ProgramData

ProcessId 3964
C:\ProgramData\gjswaxr.exe
CommandLine "C:\ProgramData\gjswaxr.exe" /sd 3936
Hash EF91785633465F1C6F133068832943378D02A22B
ParentProcessId 3936
ParentImage C:\Users\REM\Desktop\pand.exe
ParentCommandLine "C:\Users\REM\Desktop\pand.exe"

Tenga en cuenta que el hash de gjswaxr.exe es identico al de pand.exe. Esto sugiere que el programa malicioso se copió en C:\ProgramData\ y se asignó un nombre diferente. También podemos ver en el caso del Monitor de sistema que gjswaxr.exe fue lanzado con el parámetro "/ sd 3936", que corresponde a la ID de pand.exe proceso padre.

A continuación se muestra un conjunto correspondiente de los eventos en el registro de Monitor de procesos. Usted puede ver los detalles similares, incluyendo la línea de comandos del nuevo proceso y la ID del proceso de su padre. Debido a que el monitor de procesos registra más tipos de eventos que los que maneja el Monitor de sistema, podríamos haber visto otros datos en el registro del monitor de procesos, como la creación del archivo gjswaxr.exe por pand.exe. 

Mirando más en los eventos capturados por el Monitor de sistema, podemos ver la siguiente actividad asociada con el Explorador de Windows, que está representado por el proceso Explorer.EXE (ID 1336):
ProcessId 1336
Image C:\Windows\Explorer.EXE
Protocol tcp
SourceIp 192.168.132.130
SourcePort 49161
DestinationIp 192.168.175.134
DestinationPort 80
DestinationPortName http
El explorador de Windows está iniciando una conexión de puerto TCP 80 a la IP 192.168.175.134. Como era de esperar, el monitor de procesos captura esta actividad, así, como se muestra en la siguiente imagen:Wireshark muestra una perspectiva coherente de la actividad, lo que confirma que la conexión es una petición HTTP
Hay mucho más para el análisis de este ejemplar de malware, pero vamos a envolverla hasta ahora, dado que mi objetivo era empezar a experimentar con el Monitor de sistema.
La utilidad de Monitor de sistema En los experimentos de laboratorio hasta el momento, el Monitor de sistema no proporcionaba una gran cantidad de valor más allá de los detalles que ya se podía ver usando el monitor de procesos. Sin embargo, resulta útil contar con múltiples herramientas que proporcionan información similar de ligeramente diferentes puntos de vista. A veces, una utilidad ofrece una mejor idea de lo que podía deducir de otra herramienta. (Cuando se utiliza el Monitor de sistema, tenga en cuenta que al igual que otras utilidades de Sysinternals estas no tratan de ocultarse de malware.


Fuente:http://digital-forensics.sans.org/blog/2014/08/12/sysmon-in-malware-analysis-lab

Read more

Colombia, el sexto país en generar mayor actividad maliciosa en línea

0 comentarios 11:56 a. m. Publicado por Atoio

Así lo reveló un estudio de ciberseguridad en América Latina y el Caribe de la OEA y Symantec.
El código malicioso 'ransomware' tuvo un crecimiento del 500 por ciento en 2013.
De acuerdo con el más reciente reporte sobre ‘Tendencias de Ciberseguridad en América Latina y el Caribe’ publicado por la Organización de Estados Americanos (OEA) y la empresa de seguridad Symantec, Colombia se posiciona como el sexto país en generar una mayor actividad maliciosa en línea, según los datos registrados en 2013. (Vea también: ‘El ‘plan Colombia’ para la ciberseguridad’)
El reporte revela el panorama regional sobre las tendencias en materia de seguridad informática en la región y brinda algunas recomendaciones para incrementar la protección de los datos frente a estas amenazas.
“En 2013, las estafas de redes sociales y la presencia de troyanos bancarios se multiplicaron en toda América Latina y el Caribe. Además los eventos deportivos internacionales a celebrarse próximamente en Brasil podrían ser un blanco atractivo para los cibercriminales”, aseguró Cheri McGuire, Vicepresidente de Asuntos Gubernamentales Globales y Políticas de Seguridad Cibernética en Symantec, durante la presentación del Reporte.
Este aumento de la vulnerabilidad se debe, en parte, a la rápida adopción de Internet en la región, un hecho que genera mayores desafíos con relación a la seguridad en línea. (Vea también: ‘Los móviles, blanco de los ciberdelincuentes’)
Entre los ataques que presentaron un mayor crecimiento se encuentran los de ‘ransomware’, en los que un código malicioso cifra la información del equipo infectado y exige dinero al usuario para recuperarla. Estos casos, que tuvieron un crecimiento del 500 por ciento en 2013, estuvieron relacionados con atacantes que se hacían pasar por agentes de las fuerzas de seguridad locales, quienes exigían el pago de una multa falsa a cambio de la información. Con este engaño, lograban obtener entre 100 y 500 dólares por usuario.
Debido a la alta rentabilidad de esta modalidad de ataque, los ciberdelincuentes desarrollaron a ‘Cryptolocker’, una evolución del ‘ransomware’, que exige directamente una suma de dinero para descifrar la información ‘secuestrada’ y no se hace pasar por ninguna entidad.
El informe también destacó las estafas por correo electrónico, ataques de ‘phising’ o ingeniería social para robar información personal de la víctima y de códigos maliciosos dirigidos a instituciones financieras con motivo del Mundial de Fútbol. Adicionalmente, apunta que 15,4 por cuento de los ataques dirigidos registrados en América Latina en 2013 tuvieron como objetivo aquellas organizaciones con 501 hasta 1000 colaboradores.
Nota tomada de ELTIEMPO

Read more
Suscribirse a: Entradas ( Atom )