CheatSheet.- ANALYZING MALICIOUS DOCUMENTS

Creo que esta chuleta debería estar en el escritorio de cualquiera ya que en los tiempos que corren la infección a través de archivos Microsoft Office, RTF y Adobe Acrobat (PDF) están a la orden del día y si te gusta este mundo, tienes que saber como poder analizar este tipo de archivos de una forma fácil y segura. 

 

 

Así que, gracias a esta chuleta sabremos que pasos tenemos que realizar si queremos analizar un documento sospechoso y que herramientas tenemos que usar. 

• https://digital-forensics.sans.org/media/analyzing-malicious-document-files.pdf

Si, podría haber subido solo la imagen pero el PDF tiene los enlaces a los diferentes githubs de las herramientas que deberíamos usar. Así que es mucho mas practico. 

Sed Buenos ;)

Antivmdetection.- Analiza Malware tranquilamente.

Hemos hablado mucho sobre [que tipo de información buscaba un Malware] para descubrir si está corriendo en una máquina virtual y de esta manera cambiar su manera de actuar para que no podamos descubrir que hace. Por eso, Mikael Keri ha creado un script para preparar nuestro Windows para que podamos analizar el bicho tranquilamente sin que mute a un proceso inocuo.

Muchas mas información y enlace al GitHub:

• https://github.com/nsmfoo/antivmdetection

Aprovechadlo antes de que los malos modifiquen sus códigos para saltarse esto también. 

Sed Buenos ;) 

Entendiendo el análisis de binarios ELF

Siempre el análisis de binarios me ha parecido algo tocho y que necesitaba muchas horas para entenderlo bien, pero si hay aportes como el de Michael Boelen en el blog de [LinuxAudit], donde hace un gran repaso e profundidad sobre los binarios Executable and Linkable Format (ELF). 

Muy recomendable aunque yo me lo he de tomar con filosofía para poder entenderlo, aquí tenéis el enlace a la entrada: 

• https://linux-audit.com/elf-binaries-on-linux-understanding-and-analysis/

Sed Buenos ;) 

VBA Macro que detecta Máquinas Virtuales

Llevo una temporada muy metido en la detección de maquinas virtuales por parte de diferentes Malwares.  Yo, hasta hace unos días, pensaba que esta habilidad solo la podían poseer software puramente hecho con un fines malicioso y no desde una Macro VBA desde un Word. 

Pues nada mas lejos de la realidad,  existen Macros VBA que son capaces de detectar si están corriendo en una máquina virtual hasta de 3 maneras:

1. El primer método de detección tiene dos etapas: 
1. La primera etapa de estas verificaciones, es mirar si la variable de entorno "USERNAME" es igual a "USER" y "USERDOMAIN" es igual a "HOST". Si ambos valores son verdaderos se activa la detección. Si no, salta a la segunda etapa.
2. En la segunda etapa y con la ayuda de WMI (Windows Management Instrumentation), el método de detección llama al comando: GetObject ( " winmgmts: ") .InstancesOf ( " Win32_ComputerSystem "). Esto crea con el comando WMI "winmgmts" una instancia de " Win32_ComputerSystem" . Este ejemplo contiene toda la información sobre el sistema. Ademas se busca información sobre el "Fabricante" y "Modelo" y comprueba si contiene una de las siguientes cadenas: "KVM", "QEMU", "HAT", "VIRTUAL", "VMware", " XEN ". Si lo hace, el método de detección activa y devuelve un True.
2. El segundo método también utiliza WMI para obtener toda la lista de procesos en ejecución:
1. GetObject ( " winmgmts: ") .ExecQuery ( " Select * from Win32_Process ")
2. En una seguna etapa la macro buscará las siguientes cadenas en la lista de procesos:
   “FIDDLER”, “PROCEXP”, “PROCMON”, “SNORT”, “SURICATA”, “WIRESHARK”
3. Para acabar solo se hace una búsqueda a la siguiente cadena 1461591186_usa en el directorio del documento, para ello se utiliza la siguiente comando:
1. InStr(1, callByName(ThisDocument, "Path", 2), "1461591186_usa") <> 0

Fuente y muchísima mas información sobre sobre el destripar de las Macros: 

• https://www.vmray.com/word-macro-detects-vm-environments/

Sed Buenos ;) 

¿Donde se conecta Windows una vez instalado?

Hoy me ha asombrado toparme con el análisis que ha realizado Fernando Vesga para el grupo de seguridad informática de Latino América de Linkedin. Donde a través de tres archivos de capturas de red, uno para Windows 7 y dos para Windows 10 con y sin las opciones de rastreo, se ha "descubierto" a los sitios donde Windows, una vez instalado por defecto, se conecta para sacar o reportar información.

Mapa Windows 7:

Mapa Windows 10 con las opciones de rastreo:

 

Mapa Windows 10 sin las opciones de rastreo: 

Las imágenes no se ven todo lo grandes que me gustaría así que os recomiendo ir a la fuente y leeros todo el articulo que es muy interesante. Aunque, como dato curioso, diré que el archivo de captura de red de Windows 10 con opciones de rastreo es casi el doble de grande que sin estas opciones activadas. 

Fuente:

• http://fvesga.webs.com/analisis-red-windows-10.htm

Sed Buenos ;) 

Paper.- Analisis de Neutrino Exploit Kit

Siempre mola analizar un Exploit kit a ver que nuevas vulnerabilidades contienen o para ver de que manera estaban dando caña a los usuario. Así que, encontrar un paper donde han diseccionado al Exploit Kit Neutriono casi paso a paso es normal que os lo recomiende.

"Estas amenazas no son nuevas y han existido durante los últimos 10 años. No obstante, han evolucionado y ahora son más sofisticados que nunca. Los autores de malware detrás de ellos utilizan diferentes técnicas para evadir su detención y frustrar así la obtención de evidencias. Este paper demuestra un conjunto de herramientas y técnicas para llevar a cabo el análisis de Neutrinos Exploit Kit. El objetivo principal es hacer crecer la experiencia y el conocimiento acerca de la seguridad este tipo de amenazas. Las personas habilitadas para defender a los usuarios y empresas, deben no sólo estudiar estas amenazas, sino que también debe estar profundamente involucrados en su análisis."

Enlace al paper:

• https://www.sans.org/reading-room/whitepapers/detection/neutrino-exploit-kit-analysis-threat-indicators-36892

Sed Buenos ;)

Video.- Huellas en la memoria para Análisis de malware

Hoy navegando por aquí y allá sin ninguna idea de que postear hoy pero al final he dado con esta conferencia de Mateo Martinez en la DragonJAR Security Conference de 2014donde habla de como analizar malware a través de dumps de memoria.Y si, os la recomiendo muchísimo aunque la escuchéis en plan clandestino en el trabajo, seguro que aprenderéis mucho.

Sed Buenos ;) 

Paper.- Analizar La Memoria RAM Comprimida en OSX y Linux

En estos días de vacaciones donde cazar puntos wifis decentes se ha convertido en uno de mis que haceres diarios (Aunque también me he ido de vacaciones y por eso no ha habido entradas estos días), voy a seguir con las recomendaciones de papers. 

La verdad es no he hablado mucho de los procesos de extracción y análisis en la memoria RAM y menos de la Comprimida. 

La memoria RAM comprimida no es mas que una "mejora" que tienen sobretodo los dispositivos con OSX para gestionar mejor este tipo de memoria. De esta manera no sirven los métodos clásicos de extracción pero os recomiendo el siguiente paper para que aprendamos como realizarlo.  

Paper realizado por Golden G. Richard III, Andrew Case:

• http://www.dfrws.org/2014/proceedings/DFRWS2014-1.pdf

Espero que os guste.

Sed Buenos ;) 

Google Analiza el DDoS a GitHub

Hace ya un mes GitHub revivió uno de los ataques DDoS mas grandes de su historia, el cual resolvieron bastante rápido pudiendo dar servicio a todos sus usuarios en menos de un par de días. ¡Un punto para la gente de GitHub!

Hoy estando en plana cacería de vulnerabilidades me ha saltado el análisis que Google ha hecho sobre este ataque. La verdad es que me parece la mar de curioso ya que los primeros síntomas ya empezaron el 3 de marzo pero no fue hasta os días 12 o 13 donde empezaron a tener serios problemas.

Después de la gráfica y por si tenéis mas curiosidad os dejo el enlace al análisis que realmente merece que le echéis una ojeada:

• http://googleonlinesecurity.blogspot.com.ar/2015/04/a-javascript-based-ddos-attack-as-seen.html

Sed Buenos ;)