MyGeekSide

Hola!!

Aquí estoy nuevamente. Hace buen tiempo que no he posteado. He estado muy ocupado en cuestiones laborales y algunas situaciones un tanto complicadas de la vida, pero aquí estoy, y esta vez trayendo un tema muy interesante: El análisis del comportamiento de software malicioso. Con esta guía trataré de explicar cómo es que tú mismo puedes analizar el comportamiento de muchos programas de los cuales sospeches y puedas ver qué es lo que hacen exactamente en tu sistema, esto quiere decir: modificaciones que hagan del sistema, creación de archivos, etc.

En el tema anterior hemos tratado sobre la instalación, configuración y uso de máquinas virtuales (http://www.mygeekside.com/?p=21). Así que con este conocimiento vamos a experimentar con software malicioso para ver qué es lo que hace en nuestro sistema y de este modo poder buscar una solución para contrarrestar sus efectos, esto implica: detectar el software malicioso, defensa contra los efectos perniciosos, eliminación del software malicioso y en lo posible restaurar el sistema al estado previo a la infección.

Vamos a tomar como ejemplo principal al tan conocido y odiado y recordado AMVO.

Jejeje, empecemos con la acción:

PASO 1: Conseguir muestras del software malicioso

Este paso no ha sido muy dificil. Fui a una cabina pública de internet y a propósito conecté mi memoria USB a una máquina infectada. Con esto ya conseguí las muestras necesarias.

PASO 2: Preparar y/o instalar software para el análisis

En este caso 3 programas:

• 1. Wireshark. - Nos permitirá monitorear el tráfico de nuestra tarjeta de red, con esto veremos la actividad del software malicioso en la red y en el internet.
• 2. Proccess Monitor (Procmon) .- Con este programa se monitorea en tiempo real toda la actividad en el sistema, como la creación de archivos, ejecución de procesos, manipulación del registro, etc. Es muy interesante, también puedes usar filtros para mostrar sólo los procesos o accciones que decidas.
• 3. Active Registry Monitor. - Este programa también monitorea el Registro del sistema, pero con la especial característica de que puedes sacar copias de seguridad del registro en determinados momentos y luego comparar las modificaciones que han sufrido estos estados.

En la siguiente imagen se muestra la máquina virtual con Windows XP instalado. Están enmarcado en rojo las muestras del virus listas para ser ejecutadas(archivos m1t8ta.com, juok3st.bat, autorun.inf). Y en verde están enmarcados los programas que usaremos para analizar el software malicioso.
Leer el resto de este post »

Hola a todos, después de mucho tiempo me doy un tiempito para poder postear nuevamente.
Hoy hablaré de las máquinas virtuales. Para los que no hayan escuchado de esto: las máquinas virtuales son entornos en los que podemos emular hardware físico similar a una PC de modo que se pueda correr un sistema operativo dentro de él. El desarrollo de estos entornos ha sido tan impresionante que incluso se pueden instalar varias máquinas virtuales en una sola PC, y si tu equipo lo soporta - me refiero a velocidad de procesador y memoria - puedes correrlos al mismo tiempo, e incluso ponerlos en red como si fueran máquinas reales.
Estos entornos virtuales son muy usados ahora en muchos entornos corporativos de diversos modos. Tienen tantas ventajas que trataré de describir las mayores que pueda:

1. Puedes instalar la máquina virtual en una sola PC y transportarla a otros equipos de modo que no estés instalando el mismo sistema operativo en los diversos equipos con las máquinas virtuales.

2. Puedes usar las máquinas virtuales para probar software de todo tipo sin preocuparte por dañar tu sistema operativo, sin temor a perder información. Esta aplicación la usaré y mostraré más adelante para correr software malicioso y analizarlo sin poner en peligro la máquina real.

3. Capacidad de crear Snapshots, que son imágenes de los sistemas operativos instalados en determinados momentos. De modo que podemos regresar siempre a estados previos después de experimentar software, virus, troyanos en las máquinas virtuales.

4. Puedes poner estos equipos en red, etc, etc, etc.

VMWARE:

VMWare es un software comercial y de pago, esta empresa está especiliazada en software de virtualización. Hay diversos tipos, el que yo usaré en las demostraciones será el VMWare WorkStation 6.0. La versión de prueba caduca en cierto tiempo y se debe comprar la licencia para poder seguir usándolo. Las ventajas de este software y que me encantan son la habilidad de poner la máquina virtual en red de diversos modos: local, bridge, NAT y Sin conexión. También te permite configurar los recursos: memoria, espacio de disco, procesador, lector de CD, disquetera, sonido, video y red que quieres asignar a la máquina virtual creada. Puedes instalar diversos sistemas operativos también entre los cuales están toda la familia de S.O. de Microsoft, desde el DOS hasta Windows Vista, la familia de distribuciones de Linux, e incluso algunos de la famlia UNIX, como lo son Solaris y *BSD. Puedes incluso bajar imágenes de sistemas operativos ya instalados de modo que no tienes que pasar por el proceso de instalación de todo el sistema operativo.

Procedamos a describir el proceso de instalación:

1. Descargar VMWare Workstation de www.vmware.com .

2. Una vez descargado el Instalador procedemos a ejecutarlo.

Leer el resto de este post »