Por: M.C. Hugo González
Durante el verano de la ciencia 2011, se trabajó en desarrollar un sistema automatizado para análisis de comportamiento de malware, el trabajo fue desarrollado en conjunto con el alumno del Instituto Tecnológico Superior de San Juan del Rio, Leonardo Valdés Arteaga.
Este tipo de análisis consiste en ejecutar una pieza de malware en un ambiente controlado, registrando todos los cambios generados en el sistema. Estos cambios incluyen la creación de archivos, modificación del registro de windows, solicitudes a internet, entre otros.
Para preparar el ambiente de ejecución controlado se utilizo Cuckoo Sandbox[1] un sistema de código fuente abierto, que consta de una maquina virtual con un sistema operativo Windows, donde se ejecuta el código malicioso o malware, y un conjunto de aplicaciones escritas en python para facilitar la creación de la lista de malware a ejecutar, y almacenar la información en una base de datos. Así como un sistema para generar reportes de la actividad de dicho malware.
Primero se instaló Linux Ubuntu en los dos equipos de trabajo.
El segundo paso consistió en la instalación y puesta a punto de este sistema, donde se detectó la falta de algunos detalles en la documentación. Una vez que estuvo listo, este sistema, y documentados los detalles de configuración se analizaron varias muestras de malware.
Los resultados del sandbox son bastante extensos y muy técnicos, no son fáciles de leer, así que luego se desarrolló un sistema para interpretar estos archivos y simplificar el resultado final en una escala de 5 de que tan peligroso o sospechoso puede resultar un archivo enviado.
Se implementaron dos servicios en el sistema, uno que monitorean un directorio específico y al encontrar un archivo lo pone en la lista para ser ejecutado por el sandbox. El otro que monitorea los resultados del sandbox para procesarlos y obtener un resultado simplificado.
Se finalizó el proceso con el desarrollo de un portal web para que los usuarios puedan mandar sus archivos sospechosos y obtener un resultado de 1 a 5 de que tan sospechoso o peligroso es su archivo.
El sistema todavía esta en pruebas y se espera que esté operando dentro de la Universidad Politécnica de San Luis Potosí en un corto tiempo.
Este sistema es de gran ayuda también para los administradores al tener documentados todos los cambios que produce un malware en el sistema, y saber si es posible recuperarlo o si es mejor volver a instalar el sistema operativo.
Si requieren más información, una demostración del sistema o documentación pueden contactarme para solicitarla.
[1] http://www.cuckoobox.org/
28 octubre 2011
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario