Continuamos con el análisis de malware, la semana pasada terminamos con la creación de laboratorio y con las muestras... Esta semana comenzamos con el análisis propiamente dicho, que comience el juego! 

Para este tutorial vamos a utilizar la siguiente muestra:

Muestra: Lab01-01.exe SHA1: 9dce39ac1bd36d877fdb0025ee88fdaff0627cdb

________________________________________________________________

ANÁLISIS DE MALWARE

________________________________________________________________

Episodio 01 - HASH

El hash es un método común utilizado para identificar malware. Una ves que se obtiene el hash, este puede ser usado de la siguiente forma:

• Usar el hash como etiqueta del malware
• Compartir el hash con otros analistas para ayudar a identificar malware
• Buscar el hash en internet para ver si el archivo ha sido realmente identificado.
• Para generar los strings utilizaremos el utilitario de sysinternals sigcheck.

sigcheck.exe -h nombredelarchivo

Con el MD5 o el SHA1 podemos hacer una búsqueda en VirusTotal y validar el si el archivo es malicioso.

En este caso la búsqueda nos informa que el archivo tiene una tasa de detección de 26 / 64, es decir 26 motores de antivirus indican que el archivo es malicioso.

Episodio 02 - Archivos PE

El formato de archivo PE (Portable Executable) es usado por ejecutables en entornos Windows, objetos y librerías (DLL’s). El archivo PE es una estructura de datos que contiene la información necesaria para que el sistema operativo Windows pueda administrar el código ejecutable.

En esta ocasion vamos a utilizar PEview, una herramienta que muestra el encabezado y las secciones de un archivo PE, por ejemplo en el encabezado de la imagen del archivo podemos visualizar la fecha de compilación de la muestra.

La herramienta PEiD detecta los packers, cryptors o compiladores en archivos PE.

La muestra nos indica que este fue compilado en Microsoft Visual C++

Ahora utilizaremos Dependency Walker, la cual nos permite ver las funciones de las cuales depende la muestra que estámos analizando, en la muestra analizada observamos funciones como CopyFileA y CreateFileA, si damos doble click sobre la función nos enviará a la base de conocimiento de Microsoft para entender que hace la función.

Episodio 03 - Strings

Un string o cadena en un programa es una secuencia de caracteres, son generalmente almacenados en formato ASCII o Unicode.

Desde la carpeta de sysinternals ejecutamos el comando strings.exe para analizar las cadenas de caracteres de la muestra, pasamos como parámetro adicional el comando more con el fin de ver la salida de forma paginada:

strings.exe "C:\Users\KALQ\Desktop\samples\Practical Malware Analysis Labs\BinaryCollection\Chapter_1L\Lab01-01.exe"  | more

con la barra espaciadora vamos cambiando de página hasta ver todo el contenido, al final veremos un texto que dice lo siguiente:

WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

Podemos pasar parámetros de búsqueda de strings específicos utilizando el comando grep como parámetro. Por ejemplo buscar todas las cadenas relacionadas con dll’s

Bueno, con esto damos por concluida la parte 2 de analisis de Malware, espero les haya gustado! Nos vemos la proxima con mas tutoriales de Analisis de Malware!

La anterior entrada la tienen disponible:

• Análisis de Malware 101 - Parte I

Leer Mas

Hey! nos veremos la próxima semana en el OWASP Latam Tour, que se realizara en la ciudad de La Paz este año, ya que años anteriores si la memoria de 26kb no me falla se realizaba en Santa Cruz.

 

Fechas y paises donde se realizará

En esta oportunidad Snifer@L4b's estara presente con mi persona Snifer, presentando el tema Hacking Web Applications con Burp Suite - Top 10 OWASP,  en el cual estare compartiendo sobre como utilizar Burp Suite para realizar un análisis de seguridad a una página WEB, tomando como un Checklist el TOP 10 de OWASP, a la vez  posterior al evento irá saliendo el update de la serie en el blog con el anterior TOP 10 que por cierto lo tienen en el siguiente enlace. Guia de Burp Suite.

Se tiene a continuación los expositores y los temas que se tratarán son los dias 13 y 14 Viernes y Sabado.

 

 Además de ello se tendrán 3 talleres adicionales, que pueden ver los temas y el contenido  en las siguientes imágenes.

 

 

El horario de las charlas en las próximas horas actualizaran los organizadores y por mi parte hare lo mismo en el post. 

 Donde se realizara?

Aqui te dejo la ubicación que nos brindan para que se den cuenta si no llegan a dar con la Vicepresidencia. 

Si no eres de este lado del charco y te gustaria conocer mas sobre el evento y si habrá cerca de ti, se tiene en la página web OWASP LatamTour2018, si quieres verlo de manera rapida tienes a continuación las fechas y paises donde se realizará en el caso de Ecuador y  Uruguay en este momento ya se esta realizando. 

Agenda

• Abril, 5: Quito, Ecuador REGISTRARSE AQUÍ
• Abril, 5-6: Montevideo, Uruguay REGISTRARSE AQUI
• Abril, 13: Manizales, Colombia
• Abril, 13: Guatemala
• Abril, 13-14: La Paz, Bolivia REGISTRARSE AQUI
• Abril, 19-20-21: Cancún, Mexico
• Abril, 20: Patagonia, Argentina. REGISTRARSE AQUI
• Abril, 20: Asunción, Paraguay.
• Abril, 20: Coronel Oviedo, Paraguay.
• Abril, 22: São Paulo, Brazil
• Abril, 25: El Salvador
• Abril, 25-26: Santiago de Chile. Inscribete aquí
• Abril, 26: Córdoba, Argentina
• Abril, 27: Honduras.
• Abril, 27: Buenos Aires, Argentina REGISTRESE AQUÍ
• Abril, 27-28: Lima, Perú
• Abril, 28: República Dominicana. REGISTRARSE AQUI
• Abril, 29-30: Cusco, Perú
• Abril, 30: San José, Costa Rica
• Mayo, 4-5: Rio de Janeiro, Brasil REGISTRESE AQUÍ
• Mayo, 5: Sao Paulo, Brasil
• Mayo, 10-11: Bogotá, Colombia REGISTRESE AQUÍ
• Mayo, 12: Espírito Santo, Brasil
• Mayo, 23: Panamá City, Panamá
• Mayo, 25: Cali, Colombia

"No todas mis ideas son correctas, si lo fueran, sería inutil compartirlas o entrar en debate." - Anónimo

Regards,
Snifer

Leer Mas

Quien Soy?

Voy a empezar presentándome, me llamo Matias pero todos dicen KALQ (calcu) soy fanático de los productos Microsoft y de la (in)Seguridad Informática, análisis forense, Malware y ataques de todo tipo y color =D.

En este blog van a encontrar colaborando con SNIFER! Voy a estar escribiendo sobre temas de seguridad informática, malware, análisis forense y demás cosas que me gustaría leer!! Todo presentado y explicado lo más fácil posible, para que comprendan los que quieren iniciar en este mundo.

Análisis de Malware 101

Capítulo 01

ANTECEDENTES

En ocasiones debo realizar análisis de malware como parte de auditorias de computación forense, cuando el malware es mi principal sospechoso como causante del evento que estoy analizando. Dado que la tecnología avanza a pasos agigantados constantemente trato de investigar sobre nuevas formas y herramientas para el análisis de Malware.

¿QUÉ ES UN ANÁLISIS DE MALWARE?

Para empezar definamos el término malware:

“El malware (del inglés malicious software), programa malicioso o programa maligno, también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. Antes de que el término malware fuera acuñado por Yisrael Radai en 1990, el software malicioso se agrupaba bajo el término «virus informático»”

(Wikipedia, 2018).

Objetivo

Un análisis de malware comprende el estudio del o los archivos maliciosos recuperados como parte de la evidencia de una computadora o sistema de información infectados con el mismo, con el objetivo de determinar cuál es el propósito del código malicioso, en qué lenguaje fue escrito, qué uso de librerías o llamadas a funciones hace, si crea archivos o escribe cambios en el sistema, en definitiva… determinar qué hace y cómo lo hace.

Razones para efectuar un análisis de malware:

-   Como parte de una Auditoría Forense

-   Para conocer el funcionamiento de un Malware denominado zero day (un software malicioso que aún no es detectado por ningún antivirus porque es nuevo)

-   Porque es divertido y se aprende mucho (comentario Nerd).

Pasos A Seguir Durante Un Análisis De Malware

Existen criterios divididos a este respecto. Hay quienes dicen que se puede analizar un malware usando análisis estático solamente, otros en cambio abogan sólo por el análisis dinámico. Yo particularmente creo que se deben realizar AMBOS!

Por eso a partir de ahora les voy a compartir mis conocimientos  para que entiendan el “Paso a Paso” del análisis de Malware de modo que puedan aprender sobre el tema y si tienen algo que yo no hago, les pido por favor comenten y me compartan sus ideas / técnicas / software / metodologías.

Bueno ya terminamos de hablar, ahora manos a la obra!

________________________________________________________________

LABORATORIO DE MALWARE

________________________________________________________________

Episodio 01 - Máquina Virtual

Antes de hacer “algo” debemos tener un ambiente de trabajo empezamos por la creación de nuestro Laboratorio de Análisis de Malware, el mismo consta en principio de la creación de una máquina virtual ya que no queremos infectar nuestra computadora o aún peor e infectar toda la red, por esa razón, siempre les recomiendo ser precavidos….

Para crear nuestro laboratorio vamos a necesitar lo siguiente:

-    Sistema de Virtualización (Virtualbox - VMware - Hyper-X)

-    Maquina Virtual

El sistema de virtualización que voy a usar es VirtualBox que es gratis, lo descargan de acá.

La máquina virtual que vamos a usar es de 32 bits ya que es donde funcionan la mayoría de los malware’s, obviamente ustedes pueden usar lo que tengan ganas… =D

Para las máquinas virtuales recomendamos usar las máquinas gratuitas ofrecidas en el sitio oficial de Microsoft

Ya que estas máquinas expiran a los 90 días por lo que se recomienda generar un snapshot una vez configurada.

Episodio 02 - Armado de Laboratorio

Una vez iniciada la máquina recuerden instalar las Guest Additions o las VMware Tools según corresponda y luego deben habilitar el uso compartido del portapapeles (modo bidireccional lo que nos permitirá que puedan copiar y pegar comandos entre la máquina anfitrión y la VM).

Una vez finalizada la instalación y configuración de la máquina de laboratorio, vamos a instalar las herramientas necesarias en esta oportunidad utilizaremos un conjunto de herramientas desarrolladas por FireEye que se llaman FlareVM (https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html) ingresamos desde internet explorer a la siguiente url http://boxstarter.org/package/url?https://raw.githubusercontent.com/fireeye/flare-vm/master/flarevm_malware.ps1  y ejecutamos el script de PowerShell.

El proceso de descarga tomará algunos minutos, al finalizar la descarga se ejecutará automáticamente un cmd.exe el cual iniciará la descarga de múltiples herramientas, este proceso tomará varios minutos.

Cuando finalice la instalación, procederemos a instalar una serie de herramientas extra:

●  Dependency Walker http://www.dependencywalker.com/

●  Jasmin https://sourceforge.net/projects/jasmin/

●  7Zip Descargamos e instalamos 7zip desde el sitio oficial http://www.7-zip.org/download.html

●  Muestras de Malware Descargamos las muestras de malware que suministra el autor del libro Practical Malware Analysis https://practicalmalwareanalysis.com/labs/

Creamos una carpeta en el escritorio llamada Muestras y descomprimimos el contenido del archivo PracticalMalwareAnalysis-Labs.7z en esta carpeta, la contraseña para el archivo 7z es “malware” (sin las comillas).

Luego descargamos otro conjunto de muestras desde la siguiente url: https://drive.google.com/file/d/0B_0DJl2kuzoNRTEtQmx0SjJYZXc/view las mismas provienen de un curso llamado RE101 y lo descomprimimos nuevamente dentro de la carpeta “Muestras” utilizando la password  “FLqkNMY7jGmWz7gt”

Episodio 03 - Configuración de Laboratorio

Una vez finalizada la descarga de muestras procedemos a apagar la máquina y a realizar los cambios más importantes de todo el LAB!

Configuración de Red: La máquina de análisis de malware deberá estar aislada de nuestra red LAN ya que al ejecutar cualquier malware corremos el riesgo de que este se distribuya por la red. Para evitar esto, cambiamos el adaptador de red a modo Red interna, asignando a una red nueva que llamaremos malware-análisis.

Iniciamos la máquina virtual y asignamos un direccionamiento IP para esta red.

●  IP: 192.168.0.2

●  Default GW: 192.168.0.1

Primer Snapshot Con la máquina en ejecución, generamos un snapshot el cual servirá para restaurar la máquina cada vez que finalicemos un análisis.

Con estas acciones hemos finalizado la configuración del entorno de laboratorio de Malware.

Espero que les haya gustado nos vemos la semana que viene…

Leer Mas

Tarde o temprano, todos nos acostumbramos a ver deslizar nuestras tarjetas bancarias por la hendidura de terminales de pago (TPV/Pos), en todo tipo de comercios y locales de ocio. Sin darnos cuenta, fuimos seducidos por las facilidades que nos brindaba la, ya veterana, Banda Magnética, introducida por las entidades financieras en los años setenta.

 Figura 1: Tarjeta de crédito con banda magnética

Sin embargo, esta facilidad de uso no estaba exenta de riesgos, y junto a su creciente popularidad, también se incrementaron los casos de fraude, ocasionados principalmente por la copia de la información contenida en la banda magnética y posterior clonación de la tarjeta, haciendo uso de la misma suplantando a su legítimo titular.

                     

Para contrarrestar las debilidades de la banda magnética, en el año 2000 las entidades financieras y los intermediarios de medios de pago, impulsaron la incorporación a las tarjetas de un “chip” basado en el estándar EMV de interoperabilidad de tarjetas, que incrementa notablemente la seguridad en las transacciones, ya que además de no poder ser duplicado, posibilita la autenticación del titular mediante su PIN, tecleado en el momento de realizar cualquier pago.

La transición al “chip” se realizó de manera gradual, ya que este podía coexistir con la banda magnética. Durante varios años se mantuvieron en funcionamiento terminales y tarjetas en formato dual, los cuales podían operar tanto con banda magnética como con chip, prevaleciendo este último si estaba disponible por ambas partes.

No obstante, la picaresca de los clonadores de tarjetas, o simplemente una mala práctica de los comercios, llevaba a deslizar la banda magnética en primer lugar, antes de introducir la tarjeta para la lectura del chip, prologando así la posibilidad de fraude, tal y como se explica detalladamente en el “Fraude en Puntos de Venta”.

Figura 2: TPV/PoS lector de chip EMV

Aunque parece un gesto sencillo, pasar de deslizar la tarjeta a introducirla en el TPV supuso un cambio radical, tanto para los usuarios, como para las infraestructuras que soportan los procesos transaccionales entre los diferentes actores: entidad emisora, entidad receptora e intermediaros del pago.

Pero cuando apenas acabábamos de adaptarnos al “chip”, llegó la auténtica revolución, la tecnología NFC, gracias a la cual, no es necesario introducir la tarjeta en el TPV, basta con situarla a una pequeña distancia, para que la comunicación se realice de forma inalámbrica, “sin contacto” o “contactless” por su denominación inglés.

Tecnología NFC en los medios de pago

NFC es una tecnología de comunicación inalámbrica por radio frecuencia análoga a RFID, cuyo protocolo está estandarizado bajo la norma ISO/IEC 14443.

Además de las tarjetas bancarias, la tecnología NFC se ha incorporado también en los smartphones de última generación, e incluso las operadoras de telefonía más innovadoras  la incluyen en sus SIMs, habilitando así cualquier teléfono móvil como medio de pago.

De forma similar a como ocurrió con el chip y la banda magnética, la tecnología NFC cohabita con ambas, pero a diferencia del chip, que expone visiblemente sus terminales de contacto, el NFC queda oculto en el interior de la tarjeta, por lo que deberemos localizar su logotipo, para reconocer una tarjeta capaz de realizar un pago “sin contacto”, con tan solo acercarla a escasos cinco centímetros de un terminal de pago que cuente también con NFC. 

Figura 3: Logotipo de NFC

NFC funciona mediante el acoplamiento inductivo en un campo electromagnético creado entre dos dispositivos dotados de una antena de radiofrecuencia a tal efecto. A través de este acoplamiento se realiza la comunicación de datos bidireccional entre ambos dispositivos, pudiendo efectuarse a diferentes velocidades, 106, 212, 424 ó 848 Kbit/s.

De forma similar a otras tecnologías RFID, NFC utiliza la banda ISM de 13.56 MHz, la cual no requiere de una licencia específica, aunque está fuertemente regulada tanto técnicamente, como en sus condiciones de uso. La utilización de las bandas ISM es tratada en este artículo.

Tarjetas NFC “Contactless”

Las tarjetas NFC incorporan en su interior un transpondedor pasivo, junto con una antena en espiral, capaz de captar la energía proporcionada por un dispositivo lector NFC activo, al mismo tiempo que efectúan la comunicación de datos con el chip EMV.

Figura 4: Tarjeta de crédito con chip EMV y antena pasiva NFC

Las tarjetas plásticas, al igual que otros dispositivos pasivos conocidos como “antenas”, necesitan obtener energía del campo electromagnético generado por un dispositivo activo, como un lector NFC, el cual actúa como iniciador de la comunicación.

Existen también dispositivos NFC activos, los cuales cuentan con una pequeña batería, gracias a la cual pueden generar su propio campo electromagnético sin necesidad de una iniciación externa.

Lectores NFC “Contactless”

Los dispositivos encargados de interactuar con las tarjetas NFC se conocen como “lectores”, aunque estrictamente pueden realizar operaciones tanto de lectura, como de escritura, ya que ambas están soportadas por el protocolo ISO/IEC 14443.

Están compuestos por una antena, un transceptor y un decodificador, requiriendo de una fuente de energía externa y continua para permanecer activos, enviando señales en búsqueda de tarjetas en su radio de acción.

Figura 5: TPV/POS lector NFC

Seguridad de las tarjetas NFC

Si bien es cierto que el chip EMV proporciona un mayor grado de seguridad, contrariamente a la creencia generalizada, la información que contiene no se almacena cifrada, está en texto claro, y de igual forma se transmite al lector, ya sea a través de los contactos del chip, o por la conexión sin contacto NFC, la cual tampoco incorpora ningún mecanismo de cifrado.

Las transacciones de pago si se cifran criptográficamente, por lo que están seguras ante cualquier tipo de intercepción, manipulación o repetición, pero el resto de la información de la tarjeta: Número PAN (Primary Access Number), nombre del titular y fecha de caducidad, podrían ser capturados ilícitamente por un dispositivo conocido como scanner, ya que con estos datos se podrían efectuar compras fraudulentas a través de Internet en comercios online que no requieran introducir como segundo factor de autenticación, el código de tres dígitos conocido como CVV, serigrafiado en el reverso de las tarjetas bancarias.

Ataque “Cibercartereo”

La ausencia de cifrado en la comunicación NFC entre la tarjeta y el lector, es aprovechada para obtener ilícitamente la información almacenada en el chip EMV, mediante la aproximación sigilosa de un lector NFC a la tarjeta NCF de una víctima desprevenida. Existen varios precedentes de estos casos, conocidos como “Cibercartereo”.

Este tipo de ataques es relativamente fácil de llevar a cabo, ya que hay disponibles diferentes lectores NFC que se conectan a un computador o Tablet por USB, incluso se pueden encontrar fácilmente lectores NFC autónomos de pequeño tamaño, los cuales permiten acercarse discretamente, a menos de cinco centímetros, de una víctima y leer los datos de su tarjeta NFC.

Una excelente demostración de este ataque se llevó a cabo por Renaud Lifchitz durante su ponencia en la conferencia de Seguridad “8.8” realizada en Santiago de Chile en 2013. En ella se llegaron a obtener hasta la relación de los pagos realizados, tal y como se muestra a continuación.

 Figura 6: Obtención de datos vía lector NFC en 8.8 2013

Ataque de Replay en NFC

El ataque de Relay en NFC, está basado en el ataque conocido como de “hombre en el medio”, o MitM por sus siglas en inglés.

Básicamente consiste en que el atacante se intercala entre los dos interlocutores de una conexión NFC, retrasmitiendo los mensajes de una parte a otra, pero capturando toda la información e incluso manipulándola a su antojo.

Como se puede apreciar en la siguiente figura, el atacante realiza el ataque de Relay NFC empleando dos smartphones intercomunicados por bluetooth; uno actúa como “proxy Reader” para leer los datos de la tarjeta NFC de la víctima y enviarla al “proxy toquen”, que a su vez la hace llegar al lector NFC legítimo. En este trayecto, toda la información ha quedado capturada para su posterior utilización fraudulenta.

Figura 7: Ataque de Replay en NFC.

 Ataques de malware NFC

Las debilidades de la tecnología NFC no han pasado desapercibidas por los desarrolladores de malware, los cuales desde hace un tiempo están creando aplicaciones maliciosas, especialmente para dispositivos Android.

Estas aplicaciones maliciosas suenen pasar desapercibidas, ya que se camuflan simulando una aplicación legitima conocida, como algún juego de gran popularidad, pero una vez instalada se activa como lector de NFC en modo silencioso, capturando toda la información de cuantas tarjetas encuentre a su alcance.

En caso más relevante de este tipo de malware se conoce como Android.Ecardgrabber.

¿Cómo protegerse?

Aunque pudiera parecer una broma, la mejor forma de afrontar los ataques de NFC, pasaría por evitar que alguien se nos acercase lo suficiente para leer nuestras tarjetas; esto resultaría fácil si vamos siempre acompañados de un perro feroz que lo evitara, pero como esta opción no estará siempre disponible, deberemos enfocarnos en la seguridad física de nuestras tarjetas.

Podemos encontrar fundas para tarjetas bloqueadoras de NFC, en ElevenPaths las ofrecemos gratuitamente como suvenir, y recientemente hay una gran oferta billeteras anti NFC. Como último recurso, podemos forrar con papel de aluminio la cartera donde transportemos nuestras tarjetas NFC.

Figura 8: Protector de tarjetas anti NFC.

En nuestros teléfonos móviles solo deberíamos activar el NFC cuando vayamos a utilizarlo, y siempre que nuestra entidad financiera o intermediario lo permita, habilitar un segundo factor de autenticación, como el PIN, incluso si las operaciones son de importes reducidos.

Encontramos también aplicaciones de pago o monederos móviles, desarrollados por emisores de pagos sin elementos seguros (Host Card Emulation - HCE), que implementan tokens de pago únicos, junto con otras capas de seguridad software, que incrementan la seguridad en las transacciones.

Finalmente, debemos proteger la información que almacenamos en nuestros teléfonos móviles, con algún software antimalware que deberemos mantener actualizado y estableciendo una contraseña suficiente segura, que evite que el teléfono pueda utilizarse por una persona ajena en caso de pérdida o robo.

Lo ideal sería que la industria implementara los protocolos criptográficos adecuados para establecer un canal seguro de comunicación NFC, que proporcione la confidencialidad, integridad y autenticidad apropiada para los datos transferidos entre dispositivos.

Mientras tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestra comunidad.

 

Gabriel Bergel

CSA - Chief Security Ambassador

@gbergel

gabriel.bergel@global.11paths.com

Leer Mas