Super Cuckoo contra el Malware

Está claro que si fuera necesario un superhéroe tecnológico en los tiempos que corren, el que más nos convenía sería aquel que luchara contra los maléficos cibercriminales y las corporaciones que trafican con nuestros datos personales... ¿quizá he sido redundante?. El caso es que se han disparado los casos de malware detectado en los últimos años, especialmente por la proliferación de los dispositivos móviles y que con el beneplácito de gobiernos oscuros se han generado auténticas bandas organizadas de creación de este tipo de software con diferentes fines dependiendo del objetivo, plantas nucleares, elecciones presidenciales o espionaje masivo por cuerpos de seguridad. Recientemente leía éste artículo donde se hablaba de la evolución que había tenido el malware de los dispositivos móviles y verdaderamente te quedabas alucinado de las cifras que se están barajando. Muy recomendable su lectura para los interesados.

Evolución Malware en móviles

The number of attacks blocked by Kaspersky Lab solutions, 2016

El caso es que me está sorprendiendo el talento que existe entre los desarrolladores de éste tipo de software, que aunque los medios rápidamente los acusa de ciberdelicuentes, tengo la sensación que la capacidad que es necesaria para crear software tan sofisticado, como el que últimamente se está desarrollando, requiere un primer reconocimiento y cierto grado de admiración de estos hackers. Pienso además, que probablemente sea un porcentaje bajo de éstos, los que verdaderamente sean ciberdelicuentes que extorsionan o perjudican a la sociedad con su trabajo.
Si tenéis la oportunidad, mirad alrededor de las diferentes seminarios zerodays que ha habido recientemente y sorprendeos de lo que se ha demostrado en ellos. Algunos ejemplos muy recientes son Black Hat o Pwn20Own.

Pwn20Own

Una buena forma de aprender las técnicas que este tipo de software utiliza es estudiar el proceso funcional que siguen y que en ocasiones lo hacen tan eficaz. Para la realización hay diferentes métodos dependiendo del propósito que persigas. En principio los diferentes escenarios que se pueden presentar en el análisis son:

  • Reversing de código. Os recomiendo la lectura introductoria de reversing malware unicorn.
  • Observación dinámica del comportamiento durante el proceso de ejecución.
  • Análisis estático o de código mediante la disección de los recursos del archivo binario sin su ejecución y estudio de sus componentes.
  • Análisis completamente automátizado mediante diferentes herramientas.

Para cada caso existen diferentes herramientas que te pueden ayudar. Por ejemplo, para el análisis binario resource hacker o Pestudio pueden ser perfectos, para desensamblar Radare2 y para el tema de depuración se puede utilizar GNUDebugger entre otros.
Pero en lo que me quiero centrar en el artículo es en la parte en la que se observa el comportamiento de la aplicación dentro de un laboratorio controlado mediante lo que se denominan sandboxes, que al final viene a significar el aislamiento de la ejecución dentro de un host controlado.
Esto nos puede resultar conocido dentro del mundo GNU/Linux ya que desde hace mucho tiempo se vienen implementando soluciones que se realizan mediante SELinux y AppArmor por ejemplo, que mediante la aplicación de reglas se pueden controlar desde el arranque de procesos, pasando por la inyección de código a otras aplicaciones (aislamiento) hasta el control de modificaciones del registro del sistema. No podemos olvidar tampoco a la más antigua chroot jail que tantos quebraderos de cabeza nos causaba a los adminsitradores de Sistemas en su tiempo.

Otras implementaciones de sandboxes pueden ser las denominadas jaulas que mediante restricciones (nivel de red, sistema de ficheros, permisos de usuario...) impiden la ejecución de comandos, la navegación por el arbol de directorios o generar más tráfico de red del asignado por ejemplo. La mayoría de los servicios de Hosting utilizan estas técnicas.
No olvidemos también que los propios lenguajes de programación como HTML5 (para el uso de iframes), Java (no permite código java applet) o .NET (con el uso de Code Access Security) hacen también uso de Sandboxes.
En el ecosistema de los principales sistemas operativos móviles es una práctica utilizada de manera eficaz a partir de Android 6 y sobre todo en Android 7, mejorando las medidas de seguridad entre las aplicaciones que están ejecutándose en el terminal y con los iPhone queda claro que sus usuarios se encuentran enjaulados desde el primer momento :-)

Una vez que nos queda claro que es un sandbox, podemos hacernos una idea más clara de cual sería el procedimiento a seguir para poder observar el comportamiento de malware en el sistema sin correr ningún riesgo. Una buena práctica sería disponer de un entorno de laboratorio propio e independiente para el cual recomendamos la utilización de, entre otras herramientas, Cuckoo en el mismo. Cuckoo es un sistema de análisis automático de malware multiplataforma (GNU/Linux, Windows, OS X y Android) con licencia libre y que establece un entorno aislado de ejecución de malware devolviéndote resultados detallados de las acciones realizadas por el programa a analizar. Las características que detallan en su página web son:

  • Análisis de diferentes tipos de ficheros maliciosos (ejecutables, exploits, java applets...) así como sitios web maliciosos.
  • Traza las llamadas API y el comportamiento general de ficheros.
  • Análisis de tráfico de red aunque está cifrado.
  • Análisis avanzados de memoria del entorno infectado y su integración con Volatility.
  • Diseño modular lo que permite personalizar los procesos y los escenarios de uso a criterio del usuario.

Cuckoo analisis ficheros

Existe también la posibilidad de ejecutar Cuckoo en un entorno Web virtual como este de una manera bastante agradable e intuitiva si no tienes la posibilidad de montarte tu propio laboratorio.

Cuckoo informe 1

Cuckoo informe 2

A partir de ahora ya conoces la forma de analizar previamente cualquier fichero sospechoso que recibas o si tienes interés en aprender técnicas hack con el objetivo de protegerte más adecuadamente y difundiendo el conocimiento.

 

Cuckoo logo

Añadir nuevo comentario

Texto sin formato

  • No se permiten etiquetas HTML.
  • Saltos automáticos de líneas y de párrafos.
  • Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.
Puedes comentar libremente lo que creas conveniente respetando las opiniones del autor como del resto de usuarios y siempre manteniendo un ambiente de cordialidad. Gracias.
CAPTCHA Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.
3 + 4 =
Resuelva este simple problema matemático y escriba la solución; por ejemplo: Para 1+3, escriba 4.