02 mayo 2014

Análisis de Malware en la nube: Anubis + Wepawet = Lastline




Hace unos días tuve la oportunidad de asistir a un workshop que se dio en Ireo, un mayorista de soluciones de seguridad, en el que nos explicaron las maravillas que era capaz de hacer Lastline. Esta es una solución comercial (por favor, ten paciencia y no pares de leer este post aquí :D) que permite detectar ataques de tipo APT (Advanced Persistent Threat) analizando el tráfico de red, tanto de navegación como de correo electrónico. 

Como digo, Lastline es la solución comercial, llevada a cabo por los creadores de Anubis y Wepawet, que son las herramientas gratuitas sobre las que quiero hablar aquí un poco más en profundidad, aunque ya han sido mencionadas en Security By Default por mis compañeros Yago y Alejandro, aquí y aquí.

Anubis

Es un servicio gratuito que permite que subamos binarios sospechosos (o indiquemos una URL desde la que pueda descargárselo). Una vez arriba, serán ejecutados en un entorno sandbox y se generará un informe con la actividad que éste genere. Desde las librerías que cargue el binario al arranque, en tiempo de ejecución, interacción con en el registro de Windows (claves que lee, modifica y/o escribe), interacción con ficheros (que crea, borra, lee, modifica y/o escribe) e incluso un análisis de actividad de red, que será ofrecida al analista en formato pcap, para su posterior análisis, con herramientas como wireshark por ejemplo. 

Probé a subir un binario raruno que me encontré en un peritaje forense que tuve que hacer, y me dí cuenta que si hubiese contado con esta herramienta en su momento, me habría ahorrado un montón de tiempo buscando actividad realizada por este binario, así como los ficheros que dependían de él.



Bajo estas líneas podéis ver algún pantallazo de cómo presenta la info Anubis, y os dejo el enlace completo al informe del análisis del binario (que ya había sido subido y analizado anteriormente)

Resumen:


Actividad de red:


Interacción con ficheros:



Análisis del PCAP abierto con Wireshark




[+] Análisis completo del binario: Descarga en diferentes formatos PDF, HTML, XML o Texto


Wepawet 

Si lo que queremos analizar es código Javascript, Flash o un PDF sospechoso, utilizaremos Wepawet. 

El modo de funcionamiento es similar al de Anubis, un formulario para subir el fichero o la URL donde éste se encuentra alojado, o una web a analizar.

En el momento de escritura de este artículo, por algún motivo que desconozco, el servicio no está funcionando con la rapidez que se presupone. Al subir un PDF (que creo que no tiene nada), se queda en “Waiting to be processed….” de manera, que o hay una cola importante esperando a ser procesados, o se tratará de algún problema puntual.

En cualquier caso, si te registras en el servicio gratuito, puedes acceder posteriormente, en tu perfil, para ver el resultado de los diversos ficheros subidos, por lo que en algún momento, se desencolará el que he subido y se podrá ver.   


Sí que es cierto que hay varios ejemplos en la web de informes generados. En el caso de un PDF con veneno, podéis ver cómo lo detecta


2 comments :

Inder Techboy dijo...

if you want earn money click here http://www.seomatts.com/

ofprieto dijo...

Muchas gracias lorenzo buen post.