Post on 24-Jan-2016
Análisis Forense.Escenario Malware en
entornos Windows
Juan GarridoConsultor Seguridad I64jgarrido@informatica64.com
Código: HOL-SEG03
Agenda Nivel I
► Tipos de Troyanos Troyanos de conexión directa Troyanos de conexión inversa
► Herramientas Netcat Crypcat
► Rootkits Rootkits modo usuario Rootkits modo Kernel
► Phishing Tipos de Phishing Troyanos bancarios
Agenda Nivel II
►Análisis MalwareAnálisis estáticoAnálisis dinámico
►Análisis RAM MemoryVolcados de memoriaVolcados de procesos
►Tipos de Herramientas
Agenda Nivel III
►Malware IndetectableAntivirus
Verificación firmasHeurística
Técnicas utilizadasEncriptaciónMorphingModificación firmasBinders
Detección de firmasHerramientas
Introducción
• Los troyanos no son nada nuevoDesde los 70 ya se conocían troyanos que imitaban
la pantalla de Login. ►La profesionalización del crimen online los ha
“resucitado” como herramienta de fraude. ►En el mercado hay tal cantidad de malware, que para
las empresas antivirus es prácticamente imposible analizarlas todas.
Introducción
►Los métodos tradicionales han ido pasando a la historia
►Hoy en día lo que se lleva son los troyanos personalizados y específicos
Están desarrollados pensando en un fin específicoDiversidad en el código fuente (Malware
multiplataforma)Capacidad para adaptarse al entorno (conexiones
inversas)
Tipos de Conexión
►Conexión directaGran auge en los 80El atacante tenía que establecer la conexiónGran facilidad en aquella época (Usabilidad VS
Seguridad)Se ha ido perdiendo con el paso de los años
►Conexión InversaLa seguridad ha avanzado mucho (FW, IDS, etc..)El troyano se conecta directamente al atacanteFacilidad para pasar Firewalls, burlar antivirus, etc..En algunos casos se requiere conocer cómo
funciona internamente un SO.
Herramientas
►NetcatLa navaja suiza de los administradoresHerramienta adoptada por los atacantesDetectada por algunos antivirus como Hack-ToolPermite ejecutar Shell RemotasCapacidad para compartir conexión con otras
aplicacionesMuy difícil de detectar en ciertas configuraciones
►CrypcatSu homólogo en versión cifrada
Rootkits
Objetivo Ocultación total Muy extendidos En poco tiempo se han convertido en la primera
línea de ataqueTécnicas
Inyección DKOM
Tipos Usuario Kernel
Técnicas y Objetivos (Inyección)
►Conocer qué aplicación llama a determinada API del sistema
►Utilizada ampliamente por spyware y rootkits►Los objetivos son varios
Escuchar mensajes de la aplicaciónModificar datos de la aplicaciónOcultación de todo tipo de elementos del SOAplicación original ejecute código nuestro
Arquitectura Windows
► La arquitectura i386 admite hasta 4 anillos o niveles de privilegios (0,3)
► Impide que código con privilegios inferiores sustituya código y datos de sistema (0)
► Anillo 0.- El más elevado► Anillo 3.- Menos elevado (UserLand)► Windows emplea dos niveles de privilegio (0 y 3)► Se diseñó así para que se pudiese ejecutar en arquitecturas que
no admitiesen los 4 anillos o niveles
Ejemplos
► Nivel 3 (UserLand) Internet Explorer Word Notepad Etc…
►Nivel 0 Controladores (drivers) Plug & Play Memoria virtual Etc…
Cómo funciona
► Aplicaciones de usuario solicitan constantemente información a la capa de Kernel, y ésta al hardware
► Estas peticiones se realizan mediante llamadas al sistema. Todo ello conforma el subsistema Win32
User32.dll Gdi32.dll Kernel32.dll Shell32.dll Etc…
Caminos a recorrer
► Llamada al subsistema Gestiona la solicitud de forma local, sin realizar llamadas al kernel Realizar la llamada a un proceso de la capa de usuario (csrss.exe), responsable de
mantener todo el susbistema Win32. Éste mantiene la información de los procesos Win32 y se los devuelve a la API que ha efectuado la llamada
Envía una llamada de procedimiento remoto (RPC) para que actúe como enlace (Ej.- Recursos compartidos)
Llama a alguna API que necesite servicios de Kernel. Realizará una llamada a una librería de sistema (ntdll.dll)
Ntdll.dll.- Librería especializada que contiene funciones de soporte interna, distribución de servicios
Kernel32.dll.- Se suele confundir con el kernel de Windows. En realidad es una librería que opera en Ring 3 y únicamente transmite la información o llamadas a la librería ntdll.dll, también cargada en Ring3
Ntoskrnl.exe.- Contiene las funciones de kernel. Coopera internamente con otro driver de sistema (win32k.sys)
Rootkits
► Deben alterar este camino o flujo de ruta para conseguir sus objetivos, sean cuales sean
► Este modo de alteración o modificación se puede realizar a través de un proceso llamado “enganche” o “hooking”
► La propia arquitectura de Windows permite una rápida implementación de este tipo de técnica, lo que permite flexibilidad y capacidad de ampliación a una herramienta, sea cual sea su fin
► Por regla general los rootkits modifican los datos que devuelven las llamadas de funciones del sistema de Windows para ocultar procesos, entradas de registro, etc…
Tipos de Hooks
►Los más conocidosSystem Hooks (Inyección)IAT Patching
►Información sobre Hookshttp://msdn2.microsoft.com/en-us/library/ms6449
90.aspxhttp://msdn2.microsoft.com/en-us/library/ms9975
37.aspx
Hooks propiamente dichos
►Un hook (gancho) es un mecanismo por el cual una función puede interceptar eventos antes de llegar a su destino, llegando en algún caso a poder modificar el evento.
►Hay muchos tipos de hooksDe tecladoDe ratónDe mensaje a ventanaDe evento a ratónEtc…
Hooks propiamente dichos
►Las funciones que reciben los eventos son llamadas funciones filtro y se clasifican de acuerdo al tipo de evento que interceptan.
►Para mantener y acceder a este tipo de funciones, las aplicaciones utilizan las siguientes funciones:
SetWindowsHookExUnHookWindowsHookEx
Hooks en Windows
► Las aplicaciones basadas en Windows utilizan las siguientes funciones: SetWindowsHookEx UnhookWindowsHookEx CallNextHookEx
HHOOK SetWindowsHookEx(int idHook,HOOKPROC lpfn,HINSTANCE hMod,DWORDdwThreadId);
Algunos tipos de Inyección
►Inyecciones DLL►Proxy DLL►Parchear llamadas►Parchear la API►Romper las barreras del espacio de memoria►Winsock Hooking
Proxy DLL
► Uno de los más fáciles► Muy antiguo► Se logra muy fácilmente creando un proxy dll, la cual contendrá
funciones exportadas de la librería original de Windows (Winsock). Si renombramos esta librería a la original de Windows (wsock32.dll) y enlazada en el mismo directorio, la intercepción de mensajes ocurre al instante.
► Como contrapartida cabe decir que muchas de las funciones de la librería Winsock de Microsoft, no están documentadas, por lo que una copia de ésta restaría funcionalidad al sistema, siendo más fácil su detección.
► +Info: http://www.microsoft.com/msj/0997/hood0997.aspx
Inyección DLL
► Nuestro código (el maligno), debe estar en el mismo espacio de memoria que el ejecutable o dll a inyectar
Podemos modificar la librería del ejecutable legítimo Crear Hilos de forma remota (CreateRemoteThread) http://msdn2.microsoft.com/en-us/library/ms682437.aspx
► Inyección a través de extensión de aplicaciones Su diseño (IE, Explorador de Windows, etc…) permite que se puedan
“extender” sus funcionalidades.
► HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
Rootkits Modo Kernel
► Programación en modo kernel la utilizan habitualmente aplicaciones legítimas (drivers, antivirus, etc…)
► Los rootkits en modo kernel necesitan cargarse en el espacio de memoria reservado para el kernel
► Una vez que están instalados funcionan de manera similar a como si lo estuviesen haciendo en Ring3, pero con la salvedad de que se están ejecutando en un espacio “reservado” para el Kernel
► Entra en juego nuevas técnicas Modificación de la tabla de descriptores del sistema (SSDT)
Ej.- Crear Carpeta (NTcreateFile)Kernel32.dll ntdll.dllntoskrnl.exeSSDTCrea CarpetaRootkit modificaría la tabla SSDT para que apunte a una función específica del rootkitSe descubren fácilmenteSe puede comparar la tabla SSDT con el TaskManager para ver los procesos en ejecución
DKOM
► Direct Kernel Object Manipulation Modifica los objetos del kernel directamente Muy peligroso Puede dar pantallas azules (BSOD) Llama directamente al administrador de objetos de Windows (Se puede ver
con WinObj) Al modificar directamente los objetos, éste puede ocultar directamente los
procesos sin que pasen a formar parte de una lista interna
http://Windowstips.wordpress.com
http://legalidadinformatica.blogspot.com
TechNews de Informática 64
►Suscripción gratuita en technews@informatica64.com
Contactos
►Informática 64http://www.informatica64.comi64@informatica64.com+34 91 665 99 98
►Profesorjgarrido@informatica64.com