Malware | Cyberhades

Taller de análisis de malware, segunda parte

Malware Unicorn

*Malware Unicorn*

Este nuevo taller de análisis de malware es una continuación de otro taller de introducción del cual ya hablamos anteriormente [aquí] ( https://www.cyberhades.com/2017/03/28/taller-de-analisis-de-malware/) .

Titulado como: Reverse Engineering Malware 102 , Amanda Rousseau , nos guía a través del proceso de análisis de malware REAL. Con este taller aprenderás a analizar binarios Delphi, técnicas de evasión usadas por malware real para complicarnos la vida a la hora hacer uso de la ingeniería inversa. También aprenderamos a usar el motor Unicorn e identificar técnicas de compresión no comunes.

Distribución de seguridad basada en Windows

FLARE VM

*FLARE VM*

Inspirada en la archi conocida distribución Kali Linux , FLARE VM es una distribución basada en Windows para el análisis de malware, respuesta de incidentes y auditorías de seguridad.

Esta distribución se instala sobre Windows 7 o posterior. Todo lo que tienes que hacer es acceder a través de Internet Explorer (otro navegador no sirve) a:

http://boxstarter.org/package/url?[FLAREVM_SCRIPT]

Donde FLAREVM_SCRIPT es el fichero que quieres instalar. Por ejemplo para instalar la edición de análisis de malware (única disponible hasta el momento):

Análisis de malware online con Cuckoo

Cuckoo Sandbox web

*Cuckoo Sandbox Dashboard*

Idealmente si nos dedicamos al análisis de malware, deberíamos tener nuestro propio laboratoriio. Una de las herramientas esenciales en dicho laboratorio debería ser Cuckoo .

Pero si no nos dedicamos a ello, no tenemos los recursos para montar nuestro laboratorio o simplemente no tenemos acceso al mismo, podemos ayudarnos de herramientas online, como: VirusTotal o en este caso, motivo de esta entrada, desde este sitio web: https://linux.huntingmalware.com/ .

Taller de análisis de malware

Malware Unicorn

*Malware Unicorn*

Amanda Rousseau ha liberado el material de su taller sobre introducción a la ingeniría inversa de software malicioso (malware) .

El contenido está dividido en 6 secciones:

Fundamentals
Malware Overview
1. Typical Attack Flow
2. Malware Techniques
Reverse Engineering (RE) Tools
Triage Analysis
Static Analysis
Dynamic Analysis
1. Dynamic Analysis
2. Finale

El contenido no es muy extenso, pero tiene bastante contenido gráfico que lo hace más ameno.

Kit de herramientas usadas en el libro Practical Malware Analysis

Uno de mis libros favoritos de mi pequeña colección es el Practical Malware Analysis. El contenido del mismo y la forma en que se explican los conceptos es excepcional.

Dicho libro también viene con varias prácticas (con malware real), las cuales te puedes descargar desde la web de apoyo al mismo: https://practicalmalwareanalysis.com/labs/ .

Por supuesto para llevar a cabo las prácticas y a través del contenido del libro se usan y discuten una gran número de herramientas. La número de herramientas aparecida no es pequeña y prácticamente todas son gratuitas (algunas con opción de pago). Aunque en el libro aparecen enlaces a las mismas, algunos enlaces están rotos o han cambiado.

Repositorio público con malware real

theZoo, también conocido como Malware DB, es una base de datos / repositorio con ejemplos de malware real. Entre estos, también puedes acceder a su código fuente. El objetivo de esta base de datos es la poner a disposición del público de una forma fácil, software malicioso para su estudio. Normalmente acceder a ejemplares de malware real no se fácil.

Dicho proyecto se encuentra alojado en Github, éste contiene un directorio llamado malwares que a su vez contiene dos subdirectorios: Binaries y Source. Dentro de Binaries tenéis los ejemplos que se incluyen en este proyecto. Estos están organizados en directorios igualmente y dentro de cada uno tenéis un fichero (.pass) que contiene el password (infected) para descomprimir el fichero .zip en el mismo directorio, que contiene el malware real. Ojo, que ¡ES MALWARE REAL! El resto de ficheros no son más que el hash (md5 y sha256) del fichero malicioso para comprobar su integridad.

Conoce tus enemigos

A finales del año pasado el Instituto para tecnología de infraestructuras críticas (Institute for critical infrastructure technology ) publicó un documento dónde recogían información sobre los grupos activos detrás de ataques, malware, amenazas, etc. En estos incluyen desde gobiernos a hacktivistas.

Este mes de febrero se ha publicado la segunda versión de dicho documento llamado Know your enemies 2.0 (PDF). El documento está organizado por países, consta de 81 páginas y contiene información general de cada grupo. No es nada técnico aunque requiere tener conocimiento de la jerga “hacker”. Al final del documento tienes dos apéndices, uno con un pequeño vocabulario y el segundo con algunas de las técnicas más comunes usadas como vector de ataque.

Museo del malware

En la impresionante web de archive.org han publicado un repositorio con malware (virus) distribuido durante los años 80s y 90s.

El Museo del Malware, así se llama, es parte de la librería de software de MS-DOS y contiene ahora mismo un vídeo y 78 ficheros:

Normalmente estos especímenes no son dañinos, en su mayoría, simplemente mostraban alguna animación por la pantalla o gastaban algún tipo de broma, pero en algunos casos, podrían ser dañinos.

Puedes bajarte los ficheros y probarlos por ti mismo. Según dice la web, aquellos con código maligno, han sido modificados para quitarles dicho código, con lo que deberían de ejecutarse sin dañar tu sistema. Si quieres probarlos por ti mismo, tu mejor opción posiblemente sea bajarte una versión de FreeDOS o algo parecido, pero siempre puedes verlos funcionar en el emulador embebido en el navegador que tienes en cada una de las páginas de los ficheros.

Curso de análisis de malware

El Instituto Politécnico de Rensselaer ha publicado el material creado para su curso Malware Analysis - CSCI 4976.

El material publicado lo podéis descargar desde este enlace, su contenido es el siguiente:

Este curso usa como libro base el popular Practical Malware Analysis. El temario del mismo lo tenéis en este PDF.

Aunque el curso no requiere conocimientos previos sobre ingeniería inversa, sí que se recomienda tener conocimientos sobre arquitectura de ordenadores, C, ensamblador, manejo de memoria, etc.

Linux.Encoder.1 y la esperanza de recuperar tus ficheros

Linux.Encoder.1 es un ransomware (malware que “rapta”/encripta tus ficheros y que chantajea de forma económica típicamente si quieres recuperar tus datos) que está siendo noticia últimamente. No porque este tipo de malware sea nuevo, sino porque parece ser que es el primero (que se sepa hasta la fecha) que ataca sistemas Linux.

Éste concretamente se aprovecha de una vulnerabilidad en Magento, un carrito de la compra electrónico. Una vez dentro de tu sistema, Linux.Encoder.1 busca los directorios /home, /root y/var/lib/mysql, y encripta su contenido usando AES, un algoritmo de clave simétrica. Dicha clave luego es encriptada con RSA. Una vez hecho esto, el malware empieza a encriptar el directprio raíz (/), excluyendo algunos ficheros críticos.

Bokken, una interfaz gráfica encima de Radare y Pyew

Aunque Pyew y mucho menos Radare necesitan presentación, en un par de párrafos muy cortos voy intentar describir a ambas.

Radare no es sólo una herramienta o un conjunto de éstas, sino además provee un conjunto de librerías que te permiten poder integrarlas en tus propias utilidades. Entre algunas de sus características más destacadas, cuenta con desensamblador/ensamblador, depurador, información de binarios, etc. Desde finales del año pasado, Radare también dispone de una interfaz gráfica basada en viz.js.

Muestras de malware Mac OS X

¿Intersado en el análisis de malware para Mac OS X?

Aquí puedes encontrar un archivo .zip con ocho muestrar de malware para Mac OS X:

El archivo está protegido con la contraseña infect3d

Recalco que esto no son muestras de ensayo, es malware real, así que ándate con cuidado.

Herramientas de seguridad para Android

Como todos ya sabemos el mercado móvil está dominado por dispositivos que corren Android. Esto lo hace objetivo prioritario para los creadores de malware. Prácticamente la misma historia por la que Windows es el más atacado, no por que sea menos seguro que el resto, sino porque es el que más cuota de mercado abarca.

Por lo tanto no es de estrañar que los investigadores sobre seguridad también se vuelquen en él.

Clase gratuita sobre análisis dinámico de malware

En una de mis webs favoritas acaban de publicar los vídeos de la clase sobre análisis dinámico de malware.

La clase está planificada para 3 días, pero desafortunadamente, debido a un problema técnico, los vídeos del tercer día no están disponibles. De todas formas hay bastante material publicado.

Te puedes descargar todo el material en formato PDF u ODP. Dentro del archivo ZIP, hay otro archivo ZIP con malware, éste ZIP está protegido por la contraseña “infected” (sin las comillas).

El "Metasploit" para investigadores de malware

El metasploit para analistas o investigadores de malware, es una de las formas en las que Viper se define a sí mismo, de acuerdo con la documentación oficial.

Viper es una framework o marco de trabajo que facilita la organización y análisis binario de malware y exploits. Está orientado al investigador y/o analista de estos. Está escrito en Python y su interfaz en esta versión 1.0 es muy similar a la de metasploit y ofrece la posibilidad de extenderlo a través de plugins.

Process Explorer 16 ahora integrado con VirusTotal

Integración de VirusTotal (fíjate en la última columna) en Process Explorer

Todo conocemos la fantástica herramienta de SysInternals, Process Explorer (creado por Mark Russinovich). Pues ahora la revista WindowsITPro anuncia que ahora se puede enviar directamente desde la aplicación, información sobre el proceso sospechoso a VirusTotal. En concreto no envía el fichero completo, supuestamente se envía sólo el hash del mismo. Esto facilita realmente el análisis de procesos maliciosos en el ordenador con dos click de ratón.

RAT open source

Hay varias formas con las que nos podemos hacer con una botnet: comprar, alquilar, hacerte con la botnet tú mismo (¿robar?) o hacerte la tuya propia.

Comprar o alquilar, si dispones del dinero y quieres hacer dicha inversión… Hacerte con una botnet existente no es fácil y se requieren ciertos conocimientos técnicos, tiempo y paciencia. Y al hacerte tu propia botnet, pues más de lo mismo, conocimientos muy técnicos para construir la infraestructura y mucho tiempo.

Clases sobre ingeniería inversa y análisis de malware

Desde securityxploded.com podemos acceder al meterial de dos clases sobre ingeniería inversa y análisis de malware. La primera es de iniciación y la segunda sobre temas más avanzados.

En el material de las mismas podrás encontrar vídeos, diapositivas, referencias a libros, herramientas, etc. La clase de iniciación está completa y te puedes descargar todo el material desde aquí. En la avanzada, como podemos ver más abajo, faltan algunas de las sesiones, que supongo publicarán en un futuro. Mientras tantos hay material para entretenerse un rato.

Presentaciones de la Virus Bulletin 2013

El pasado 2 - 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 - Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia.

Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente

Corporate stream

Andreas Lindh ('Surviving 0-days - reducing the window of exposure')
Sabina Datcu ('Targeted social engineering attacks. Sensitive information, from a theoretical concept to a culturally defined notion')
Michael Johnson ('Make it tight, protect with might, and try not to hurt anyone')
Randy Abrams & Ilya Rabinovich ('Windows 8 SmartScreen application control - what more could you ask for?')
Axelle Apvrille ('Analysis of Android in-app advertisement kits')
Vanja Svajcer ('Classifying PUAs in the mobile environment')
Roman Unuchek ('Malicious redirection of mobile users')
Craig Schmugar ('Real-world testing, the good, the bad, and the ugly')
Ciprian Oprisa & George Cabau ('The ransomware strikes back')
Jarno Niemela ('Statistically effective protection against APT attacks')
Sergey Golovanov ('Hacking Team and Gamma International in "business-to-government malware"')

Technical stream

Carsten Willems & Ralf Hund ('Hypervisor-based, hardware-assisted system monitoring')
James Wyke ('Back channels and bitcoins: ZeroAccess' secret C&C communications')
Xinran Wang ('An automatic analysis and detection tool for Java exploits')
Rowland Yu ('GinMaster: a case study in Android malware')
Samir Mody ('"I am not the D'r.0,1d you are looking for": an analysis of Android malware obfuscation')
Farrukh Shazad ('The Droid Knight: a silent guardian for the Android kernel, hunting for rogue smartphone malware applications')
Fabio Assolini ('PAC - the Problem Auto-Config (or "how to steal bank accounts with a 1KB file")')
Samir Patil ('Deciphering and mitigating Blackhole spam from email-borne threats')
Evgeny Sidorov ('Embedding malware on websites using executable webserver files')
Amr Thabet ('Security research and development framework')

'Last-minute' technical papers

Gabor Szappanos ('Hide and seek - how targeted attacks hide behind clean applications')
Ross Gibb ('Lessons learned: sinkholing a peer-to-peer botnet')
Dennis Batchelder & Hong Jia ('Working together to defeat attacks against AV automation')

Análisis rápido de los ficheros maliciosos encontrados en Cyberhades

Como prometía ayer en la entrada donde os contaba la incidencia en el blog, os comento en esta entrada el pequeño y rápido análisis de unos de los ficheros: bergpfh.php. El otro fichero es básicamente igual que éste, pero con un par de pequeños cambios, así que sólo hablaremos del primero.

Como os comentaba, los ficheros están ofuscados, aquí podéis ver el código original:

Para de-ofuscar (o llámalo como quieras) el fichero eché de mano de un poco de Ruby. Para los curiosos, aquí tenéis el código del script tal y como lo dejé, o sea, hecho una porquería:

Nuevo contenido en OpenSecurityTraining

Ya os hemos hablado con anterioridad de OpenSecurityTraining.info. Un magnífico sitio lleno de clases orientada a la seguridad informática, totalmente gratuito.

El motivo de esta entrada es que han añadido material nuevo. Una clase nueva llamada Understanding Cryptology, Core concepts.

Sobre la cual han subido, por ahora, las diapositivas. Esperamos que suban pronto los vídeos también. El índice de dicha clase es el siguiente:

Intro to cryptology, cryptography, cryptanalysis
Overview of cryptography
Symmetric cryptography
Asymmetric cryptography
Protocols
Overview of adversary capabilities
Overview of types of attacks
Case studies of real attacks on real systems
Standards

El otro material nuevo son los vídeos de la clase llamada: Reverse Engineering Malware.

En la que se tratan los siguientes conceptos:

El malware está en todas partes

Fuente

Análisis estático de aplicaciones Android en la nube

Para ser honestos no soy muy defensor de la nube o el cloud computing, pero la verdad es que esta tecnología tiene grandes ventajas.

El tema del malware en Android es un tema muy candente, realmente el malware en general, ya que todas las plataformas se ven afectadas por este tipo de especímenes. Pero cuando hablamos que tecnología móvil y malware todas las miradas apuntan a Android. Cuando hablo con alguien sobre este tipo de temas, les digo que Android es en el mundo móvil lo que Windows en el mundo del escritorio.

¿De dónde viene el malware? (Infografía)

Fuente

Proyecto Ghost USB

El Proyecto Honeyet acaba de lanzar un nuevo honeypot llamado Ghost USB cuya finalidad es la de emular un lápiz USB en un sistema Windows, de manera que si dicho sistema está infectado por algún malware que se expanda a través de dispositivos USB, eventualmente acabe copiándose a este dispositivo emulado.

En la web del proyecto puedes encontrar tanto el código fuente como los binarios, así como las instrucciones para instalarlo.

Aquí tenéis un vídeo con la presentación de este proyecto (en inglés):

Seguridad de sistemas y análisis de código malicioso

La Universidad de Dallas, Texas, uno de los muchos cursos que ofrece es llamado: System Security and Malicious Code Analysis (Seguridad de sistemas y análisis de código malicioso). Éste no es uno de esos cursos que se han puesto de moda últimamente que puedes tomar online. Aunque no hay disponibles ni vídeo ni audio, sí que están disponibles las diapositivas usadas en el mismo. Después de un echar un vistazo rápido, me han parecido muy completas en interesantes. Además en la web de dicho curso también podemos encontrar una muy buena lista de enlaces a información externa, muchos de ellos son literatura propia sobre el tema.

Seguridad Móvil: pasado, presente y futuro (Infografía)

Fuente

Tutoriales sobre el análisis de malware por Dr. Fu

Para los que os mováis por el mundo del análisis del malware, el blog sobre seguridad de Dr. Fu es una gran fuente de información sobre esta materia. En el mismo podemos encontrar una serie de entradas muy didácticas sobre el análisis del malware. Hasta ahora tiene publicados 16 tutoriales:

Sin duda alguna un gran blog que debes seguir si te interesa este tema.

Libro "Fraude online. Abierto 24 horas", colección de Informatica64

Me lo entregó en mano el Maligno el jueves pasado y ya me lo leído enterito, aunque este es uno de esos libros que no puedes leer una sola vez (hay demasiada información que asimilar en una sola lectura).

Cuando vimos a Mikel Gastesi y Dani Creus (de S21sec) en su charla en el pasado Asegúr@IT Camp (aquí puedes ver las diapositivas) ya teníamos fichado el libro "Fraude online. Abierto 24 horas". La charla nos abrió los ojos y nos "acojonó" un poco a medida que iban explicando la infraestructura global que existe alrededor del malware y sus herramientas. Eso sin hablar de lo sencillo que resulta alquilar servicios, para entre otras cosas, realizar ataques DoS a diestro y siniestro por una mísera cantidad de dinero o del tremendo negocio que existe con las tarjetas de créditos y como fluyen esos números por todas las cuentas de todas las mafias detrás del malware o el fraude online.

¿Por dónde nos llega el malware? (Infografía)

Fuente

Grave fallo de seguridad en los Apple MacBook a través de la batería

Actualización (tuxotron): Aquí tenéis todos los detalles.

El investigador de seguridad Charlie Miller nos explica una forma interesante de hack para el MacBook usando la batería.

El portátil tiene un circuito propio que se utiliza para monitorizar y reportar al OS el estado de la batería. En los MacBook, la baterías se envían con una contraseña por defecto. Eso significa que el firmware de la batería se puede controlar para hacer muchas cosas, entre ellas destruirla usando algún tipo de malware (ese circuito que tienen los MacBook, entre otras cosas controla que no se sobrecaliente o se sobrecarge, ya sabéis por donde voy ... ). Y ojo, si se instala, según Miller no se podría eliminar, anque reinstales el OS, el malware se podría almacenar en la batería, tendrías que cambiarla.

8 artículos para aprender a analizar malware en Android

Tal y como avanzan las cosas, los terminales móviles en muy poco tiempo podría ser el objetivo número uno de las mafias o delincuentes informáticos.

Últimamente casi por semana aparece alguna noticia sobre algún tipo de malware para terminales móviles o fallos de seguridad en dichos sistemas, que permiten el robo de datos.

Por su popularidad las 2 plataformas más atacadas son iOS y Android, siendo esta última, quizás, la más afectada en cuando al mercado de malware. Desde mi punto de vista, no porque sea menos segura que iOS, sino porque hoy en día tiene más mercado y la publicación de aplicaciones en el mercado es mucho menos restrictiva.

Ingeniería inversa del Mac Defender

Últimamente por la atmósfera de Apple han estado las cosas un poco revueltas y no por el keynote que Steve Jobs dio ayer anunciando lo que nos deparará este año, sino más bien por los problemas de seguridad que el sistema operativo de Apple has estado sufriendo, entre ellos el del ya conocido Mac Defender.

Lo que quería comentar era esta entrada, muy didáctica sobre como se comporta dicho malware. El autor, haciendo uso de IDA Pro (versión demo :)) nos va guiando por las entrañas de Mac Defender.

Botnet en Android usando SMS

Esto no es más que una prueba de concepto, hasta la fecha no se conoce ningún malware que haga uso de este tipo de tecnología.

La idea en este caso es sustituir el modulo radio de nuestro terminal. Una vez hecho eso, cualquier mensaje que recibamos por SMS que no empiece por BOT: se considera un SMS legítimo y si empieza por BOT: lo interpreta como un mensaje enviado desde la bot.

El análisis del Cuco

Esto me recordó a El huevo del Cuco, un libro basado en hechos reales que si no has leído y eres lector de este blog te encantará.

Bueno, de lo que quería hablaros en esta entrada es de un proyecto llamado Cuckoo Sandbox. Éste es un proyecto para el análisis de malware a través de la virtualización y así creando la sandbox o caja de arena para que cuando el especimen corra, lo haga de forma aislada.

Asegúr@IT 9 con Informatica64 y Microsoft. La cabeza en las nubes, los pies en el suelo.

SWIVEL SECURE – PINSafe: La gente de Swivel Secure contra los passwords en los post-it. En esta ponencia se nos habla de PINsafe, una herramienta que da autenticación para acceso a través de redes privadas virtuales (VPN), sitios web y aplicaciones corporativas basadas en la web, mediante el uso de dispositivos móviles y exploradores web. Sus campos de actuación son el skimming, el phishing, el shoulder-surfing, el key-logging. Esta tecnología se podrá aplicar a las conexiones Forefront IAG o UAG para implantar sistemas de VPN robusta. El token no siempre es la solución.

The truth about Malware and Linux (Kaspersky Lab)

(Recuerda activar los subtítulos usando “cc” en el video)

Malware Analyst's DVD

Malware Analyst’s Cookbook es un libro que trata sobre el análisis de Malware, como habrás podido deducir.

Algo estuve leyendo sobre este libro el otro día y lo estuve ojeando por Amazon y tiene una pinta estupenda, además las revisiones del mismo son muy buenas.

Bueno, el motivo de esta entrada no es realmente hablar sobre este libro, sino del DVD que lo acompaña. Dicho DVD está lleno de utilidades relacionadas con el análisis de malware y el contenido del mismo está a disposición de todos los públicos, hayas comprado o no el libro.

Dentro del negocio del malware (infografía)

(Click para ver la infografía a tamaño completo)

Genial infografía donde nos muestran el funcionamiento interno del negocio del malware, spam y botnets.

Visto en ComputerSchool.

Android Market Security Tool, trojanized version

A raíz del último troyano que apareció para Android y del que hablamos aquí, Google sacó una herramient llamada: “Android Market Security Tool”. El propósito de la misma era el poder deshacer los cambios creado por el troyano anteriormente mencionado. De hecho esta herramienta ni siquiera tenías que instalártela tú, sino que se instalaba como una actualización del Android Market en aquellos terminales infectados.

La cosa que es que se ha detectado una versión troyanizada de la misma. Ésta se ha encontrado en los mercados de aplicaciones chinos. La versión troyanizada no es más que la herramienta original de Google re-empaquetada con código malicioso, capaz de enviar SMS usando técnicas de C&C (command and control) a través de:

El malware para Android evoluciona... y de que manera

Ayer publicaba en Twitter una noticia que hablaba sobre que Google había quitado del mercado de aplicaciones 21 de éstas por temas de malware. Hasta aquí nada nuevo bajo el sol, en Cyberhades hemos hablado algunas veces sobre esto.

La novedad esta vez, es que dichas aplicaciones preparadas para robar información de tu terminal, venían cargada con el famoso rageagainstthecage, un exploit para ganar acceso root en el sistema.

De Brain a Stuxnet, 25 años del virus informático

Fuente

Colección de Malware

Nada mejor para un profesional a la hora de aprender y ganar experiencia y conocimiento que enfrentarse a situaciones reales dentro de su campo.

En el campo de la seguridad informática sucede lo mismo. Tanto para el aprendiz como para el experto siempre es bueno el poder investigar por uno mismo malware real, activo o no.

Lenny Zeltser ha publicado una entrada en su web donde recopila algunos enlaces desde los cuales te puedes bajar todo tipo de malware. Podrás encontrar incluso algún especimen que todavía está vivito y coleando por la web.

Negocios del Malware

Enlace original

Como empezar en el análisis de malware

En esta entrada escrita por Lenny Zeltser intenta hacer una pequeña introducción para aquellos que se quieran adentrar en el análisis de malware, dónde recopila una serie de recursos online donde puedes empezar a leer y practicar. También nos recomienda algunos libros, así como varios foros sobre el tema. Y por supuesto le da un poco de publicidad al curso que él mismo imparte en SANS (éste no es gratuito, pero si de verdad que te quieres convertir en un profesional no tengo duda alguna en que merece la pena).

Visto en el blog del autor.

Hakin9 - Noviembre: Spyware – Someone is always watching...

Aquí os dejo el índice de este nuevo número:

An analysis of the spyware threat and how to protect a PC by Julian Evans
Emerging Threats: Electronic Cold War by Matthew Jonkman
Deploying & Utilizing Intrusion Detection Using Snorby by Joshua Morin
Malware Incident Response – Outbreak Scenario by Rajdeep Chakraborty
TDSS botnet – full disclosure by Andrey Rassokhin and Dmitry Oleksyuk
When XOR is your friend… by Israel Torres
Proactive Defenses and Free Tools by Gary S. Miliefsky

La podéis descargar desde aquí.

REMnux

De forma muy resumida, REMnux es una distribución Linux basada en Ubuntu y especialmente diseñada para el análisis de malware a través de ingeniería inversa.

El autor de dicha distribución es Lenny Zeltser, experto en el análisis de software y profesor en SANS.

De acuerdo con la web oficial, dicha distribución es descargable en forma de imagen VMWare. Se supone que también deberías de poder la imagen en VisrtualBox.

A continuación copio y pego las utilidades que vienen en el sistema específicas para el análisis de malware:

AVG Rescue CD (o USB), limpiando de virus el ordenador

Linux / Windows

Todos conocemos el fantástico antivirus gratuito AVG, pero yo no tenía ni idea de que existía una versión en CD (también USB) y arrancable. ¿Para qué arrancar con este CD?, muy sencillo, la mejor forma de eliminar un virus o software malicioso es haciendo un arranque limpio desde un dispositivo externo (CD, usb, etc ...) y luego hacer la limpieza del disco duro. De esta forma evitamos cualquier tipo de ejecución no deseada de este software malicioso o también nos aseguramos así de poder eliminarlo o desinfectarlo.

Malware en extensiones de Firefox

Mozilla ha anunciado en su blog oficial sobre al menos 2 extensiones o plugins donde se han detectado código malicioso.

Concretamente, estas dos extensiones son Sothink Video Downloader 4.0 y Master Filer. En ambos casos, según parece el objetivo son usuarios de Windows, por lo que usuarios de otros sistemas no se verían afectados.

Sothink Video Downloader estaría infectado con el troyano Win32.LdPinch.gen (versiones posteriores a la 4.0 no están infectadas) y en el caso de Master Filer con Win32.Bifrose.32.Bifrose. Mozilla ya deshabilitado ambos plugins del repositorio de plugins.

Análisis de Malware en 5 pasos

Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos.

Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual.

Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico. Las ventajas de los sistemas virtuales son muy claras sobre la de los físicos. Menos maquinaria, menos calor en la habitación, menos broncas de mami o papi: niño este mes hemos pagado un ojo de la cara de luz, como la próxima factura sea igual o peor, te corto todos los cables…

Análisis detallado de iKee.b

virusbarrier-ibotnet-alert

iKee.b es el nombre con el que se bautizó al cliente de una botnet para iPhone allá por finales del mes de Noviembre. La finalidad del este malware, era la de robar los SMS del teléfono donde se alojaba y se coordinaba con un servidor en Lituania. En sri.com nos deleitan con un detallado análisis del funcionamiento y la lógica del mismo, así como sus ficheros de configuración. iKee.b parece ser, hasta la fecha, el malware más sofisticado para terminales móviles, aunque no llega todavía a la ingeniería de las botnets que podemos encontrar hoy en día para PCs.

Análisis de malware en PDFs

malware

Acabo de leer en el prestigioso blog de SANS, una entrada donde explican de forma muy sencilla de como analizar un fichero PDF en busca de malware. Últimamente Adobe está teniendo bastante trabajo con su Adobe Reader. En su día ya publicamos aquí un 0day y hace unos días apareció otro.

De todas formas, si te gusta juguetear con el tema de ingeniería inversa, análisis forense, etc. Ya tienes con lo que distraerte este fin de semana navideño.

Command and Control in the Cloud

malware

Si hace algún tiempo ya hablamos en Cyberhades sobre como los bots usaban las redes sociales, ahora nos hacemos eco de como éstos hacen uso de los nuevos sistemas de computación en la nube. El malware ha sido encontrado concretamente en un Google AppEngine. El malware es un ejecutable comprimido con UPX. Es un pequeño motor HTTP que atiende a peticiones (comandos) del tipo:

http://xiaoiboxip.appspot.com/XXXX?hostname= &&systemcpoy= &&userName=

Command and Control

Command and control es una de las técnicas usadas por las botnets, donde los PCs zombies or infectados reciben ordenes que a continuación son ejecutadas. Ultimamente, el uso de esta técnica se está extendiendo hacia las redes sociales, de manera que dichas botnets no dependen de servidores propietarios el cual el creador tiene que mantener. Si hace unas semanas, era Symantec quien descubría un nuevo troyano al que bautizaron como Google Group Trojan el cuál hace uso de los grupos de Google para lanzar las ordenes que los ordenadores infectados recibirán y ejecutarán, ahora también podemos ver una prueba de concepto de lo mismo, pero esta vez haciendo uso de los servicios de Twitter.

Malware en multas de tráfico

parking1rt5

Aparece una nueva forma de para la distribución de software malicioso o malware. Este nueva forma se basa básicamente en lo que se conoce como ingeniería social. Según comentan en la web de SANS, en Grand Forks, Dakota del norte, en un parking publico se colocaron sobre algunos coches, lo que pretendía ser una multa por violación de las normas de dicho parking. En la nota, que pretendía ser una multa, decía que para ver las fotos con mas información sobre la supuesta infracción, podías visitar la pagina web que proporcionaban en dicha nota. Si se visitaba esa pagina, te decía que para ver las fotos de tu vehículo, y aquí el engaño, tenias que instalar una barra de búsqueda de fotos, que evidentemente no es una barra de búsqueda ni mucho menos. Aquí podéis encontrar información mas detallada sobre este caso concreto, como: que se instala en un tu sistema y que es lo que hace.

Consejos para evitar ataques de código malicioso en GNU/Linux

linux_tux

De todos es sabido, que el tráfico de viruses en GNU/Linux es muy muy bajo. Esto no quita que nada pueda dañar nuestro sistema. En Laptoplogic han publicado un artículo sobre algunas buenas prácticas para evitar ataques de código malicioso a nuestro sistema. Resumo a continuación los consejos que nos dan:

Nunca ejecutes un fichero script, a menos que entiendas lo que hace el código y confíes en la persona que te lo dio.