Incident Response, Security and Forensics"

.

martes, 14 de octubre de 2008

¿Que hace mi troyano?

Desde hace un tiempo estamos dando un servicio a nuestras Cajas de analisis forense 'on-site'.

Esto consiste en analizar y obtener las pruebas (normalmente algún troyano bancario) para a continuación mandar al laboratorio el especimen y poder destripar el ejecutable y ver que 'coño' hace.

En algún caso lo hacemos nosotros con nuestras propias herramientas y en otros casos por tiempo lo subcontratamos a otras empresas con laboratorio propio. (no doy nombre que luego se enfadan 'los otros').

En estos días me encuentro con una ¿utilidad? o ¿servicio? que permite 'destripar' y analizar bichos informáticos. Según pone en su web, Sunbelt CWSandbox proporciona un rápido análisis de virus, spyware, troyanos, u otras muestras de malware. Permite cargar las muestras de malware para analizar y obtener resultados devueltos por correo electrónico. CWSandbox permite la recogida automática de malware de diferentes equipos, un servidor web / interfaz, o un directorio. En pocas palabras: Potente automatizador de análisis de malware. Incluidos los infectados por troyanos, los documentos de Office, objetos de ayuda de navegador (BHOs), URLs maliciosos y más - por la ejecución del código dentro de un ambiente controlado, es decir lo deben de ejecutar en algún tipo de Vmware controlado y automatizado.

Como tiene buena pinta, me pongo las pilas y subo un troyanico muy simple (el tini.exe) que abre una puerta trasera poniendose a la escucha desde el puerto 7777.

Para 'subir' el ejecutable lo hago desde la siguiente dirección que me proporciona la herramienta/servicio:

http://research.sunbelt-software.com/Submit.aspx

y este es el resultado obtenido:






Conclusiones: Herramienta de ayuda que te puede dar una idea del escenario de ejecución de un posible malware (siempre que sepas cual es el ejecutable) y de sus actuaciones. Habrá que probarlo con algún troyano más avanzado

3 comentarios:

Hola Pedro,

Acabo de descubrir tu blog, enhorabuena me parece muy interesante, acabas de entrar a formar parte de los feeds de "los listos" :)

Nosotros aqui usamos Norman SandBox y ThreatExpert (que básicamente hacen lo mismo que la página que has puesto)

Víctor Pérez Roche
Analista de Seguridad
Universidad de Zaragoza

Saludos

Gracias, tomo buena nota. Rochem, siendo que estamos al lado, ¿por que no nos conocemos?.

Saludos

Pedro

Pues si :)

Estamos casi puerta con puerta... Y me resulta simpatico no haber sabido de ti hasta hace un par de semanas que me hablaron de un curso de análisis forense que ibas a dar y que por responsabilidades familiares no iba a poder asistir (aunque me cuentan que parece que se ha caido ... :(, una verdadera lástima, con lo poco bueno que hay en ZGZ de estos temas), junto con una entrada en el blog de silverhack (al que conocemos de un HOL que hizo hace un par de años aqui). Casualidades :)

Habrá que organizar una cerveza-la_zaragozana-forense un dia de estos...

Saludos