A la caza del Mutante. Parte I

Estándar

Parte II

Parte III

Parte IV

Parte V

Un mutante, es como Windows llama de forma común a un Mutex. Un mutex ayuda a la hora de acceder a los recursos del sistema, o como mecanismo que ayude a que sólo una instancia de la aplicación se encuentre corriendo en el sistema.

Las aplicaciones pueden crear mutantes con un nombre específico o con un nombre en particular. Si una segunda instancia de la aplicación es ejecutada en el sistema, ésta intentará crear un mutex sin éxito, lo cual obligaría a la aplicación a terminar.

A menudo este tipo de técnicas son utilizadas por malware de diverso tipo para prevenir múltiples infecciones de una misma cepa. Y a menudo también nos podemos encontrar con aplicaciones que crean Mutex con la finalidad de proteger al sistema operativo. Entre los diferentes mecanismos de protección que puedan ofrecer, uno de ellos es la creación de Mutex a priori utilizados por Malware. Con esto intentan prevenir que algún tipo de virus pueda ejecutarse bajo esta técnica.

Utilizar la búsqueda de Mutex maliciosos como única técnica de detección de Malware es algo muy pobre, debido a que es muy fácil modificar este parámetro. Una prueba de ello lo tenemos en el configurador del archiconocido Poison Ivy.

Imagen 1.- Nombre de Mutex generado automáticamente por Poison Ivy

Es por ello que, unido a mi morbosa curiosidad, y dado el incremento de este tipo de técnicas en la programación de Malware, que dedicaremos 5 entradas sobre las técnicas y herramientas existentes para buscar con éxito mutantes (MUTEX) creados por aplicaciones.  Para ello, iremos realizando las operaciones desde lo más fácil, a lo más difícil, siempre desde mi punto de vista. La búsqueda de Mutex las realizaremos desde el punto de vista de:

  • Herramientas de Sysinternals (Análisis en Vivo)
  • Volatility Framework (Análisis Offline)
  • WinDBG (Debugging Tools de Windows) (Análisis Offline)

Nos vemos en la segunda parte!!

Análisis de Malware Online. Anubis

Estándar

Hola a tod@s!

El análisis de Malware a nivel corporativo, cada día está tomando más importancia y protagonismo. Es de vital importancia conocer, en la medida de lo posible, hacia donde han ido a parar nuestros datos, en caso de intrusión.

International Secure Systems Lab se han hecho eco de esta problemática y han desarrollado un servicio on-line de análisis de Malware, llamado Anubis.

Anubis es un servicio on-line de análisis de Malware o “archivos sospechosos”, que según su propaganda, analiza los ejecutables por ti.

Entre las tareas que desarrolla Anubis se encuentran las siguientes:

  • Claves de registro que lee
  • Claves de registro que modifica
  • Análisis de la red
  • Firmado MD5 & SHA1 de los ficheros
  • Ficheros modificados
  • Actividad de disco

Las opciones de exportación de datos también son muy interesantes, pudiendo, en cualquier caso, exportar el fichero de salida a los siguientes formatos:

  • PDF
  • TXT
  • HTML 
  • XML

Como podéis observar, en una primera instancia, y para ser un servicio totalmente gratuito, nos ofrece muchas alternativas a las ya conocidas, como VirusTotal de Hispasec. El trabajo conjunto de estas dos herramientas, es ya un paso importante para un analista de Malware en su intento de conseguir información.

Leyendo el otro día la entrada de mi colega y amigo Pedro Sánchez, en la que explicaba cómo después de la investidura de Obama, han empezado a florecer en la Web diversas páginas con contenido “extraño y malvado”.

La página en cuestión ya no existe, y en su lugar aparece otra página un poco más…. Romántica… Ayer me descargué el malware y lo analicé con esta herramienta (ando un poco flojete después de las vacas…)

web

La cuestión es que aquí tenéis la información inicial del reporte, junto con su captura de red.

http://anubis.iseclab.org/?action=result&task_id=19382041103f6fdc4515f0b49783df698

Y si el Malware se encuentra en una Web al estilo de JavaScript u objetos realizados en Flash?

Pues los chicos han pensado en ello, y han desarrollado otra plataforma (en Alpha), que se llama Wepawet, un servicio de análisis on-line de Malware basado en Web.

Después de subir el ficherito, y tomarme un par de cubatas, se me ocurrió una idea que tal vez… no sé… Os lo cuento en otro post…

Saludos a tod@s!!

Referencias

http://iseclab.org/

http://anubis.iseclab.org

http://wepawet.iseclab.org/