Análisis Antimalware Live

Práctica 4.4 Análisis Antimalware Live

AVG Rescue CD: Es una herramienta que podemos emplear para rescatar archivos y analizar el malware de un sistema. Es un conjunto independiente de herramientas que se puede iniciar desde un CD o un disco flash USB. Puede utilizarse para recuperar equipos que no permitan el reinicio o que estén infectados y no puedan funcionar con normalidad. Tanto el CD como la unidad flash USB constituyen un sistema autónomo con el sistema operativo GNU/Linux y AVG preinstalados.

http://www.avg.com/es-es/avg-rescue-cd 

Realizaremos el ejemplo con una memoria USB:

·       En primer lugar descargaremos el archivo RAR  desde la web del fabricante y se extraerá en la raíz de un dispositivo USB (unidad flash). Para que nuestro USB sea arrancable, seleccionándolo desde la BIOS, ejecutaremos desde Windows el archivo makeboot.bat extraído, al ejecutarse, el archivo sobrescribirá el registro de arranque. En la ventana de línea de comandos de Windows abierta, presiona cualquier tecla para preparar la unidad flash USB.Una vez dispuestos los archivos en la memoria podremos arrancar nuestro equipo seleccionando como primer dispositivo de arranque la unidad USB. Una vez arrancado AVG Rescue mostrará en primer lugar una pantalla de bienvenida, seleccionaremos por defecto la primera opción AVG Rescue CD. Durante el arranque real, AVG Rescue CD montará automáticamente todos los discos duros del equipo. De este modo, los discos duros podrán analizarse y editarse. Así mismo, la conexión de red se configurará automáticamente, si es necesario se indicarán los parámetros de red.

·       En el siguiente paso, se pregunta si deseamos ejecutar una actualización de AVG, será recomendable realizarla, teniendo en cuenta que debemos disponer de una conexión a Internet activa.

·       Una vez finalizado el procedimiento de arranque se abrirá una sencilla interfaz de usuario, como la que se muestra a continuación.

 

 

 

·       Desde este menú, se puede obtener acceso a todas las funciones esenciales de AVG Rescue CD que son entre otras:

o   Analizar: para iniciar un análisis malware.

o   Resultados del análisis: visualizar informes de análisis finalizados.

o   Actualizar: iniciar una actualización AVG.

o   Montar: iniciar el montaje de los dispositivos de almacenamiento.

o   Red: para configurar la conexión de red.

o   Utilidades: conjunto de herramientas útiles como se presenta en el siguiente menú. Ej.: para editar el registro de Windows  en caso de que haya sido acaparado y no modificable por algún rootkit. Otras opciones: recuperar archivos borrados con Testdisk y Photorec, un explorador de archivos, etc.

Análisis antimalware a fondo.

Práctica 4.5 . Análisis antimalware a fondo.

En los  sistemas operativos es necesario realizar tareas de monitorización y control exhaustivas para detectar anomalías y modificaciones no deseadas. A continuación veremos que para sistema Windows existen diversas herramientas que nos permiten controlar y detectar modificaciones si las inspeccionamos periódicamente y analizamos las variaciones que se produzcan:

·       Los procesos de arranque en el sistema, mediante la ejecución de la herramienta msconfig.

 

·       Los procesos en ejecución podemos analizarlos mediante la herramienta Autoruns y Process Explorer, que se incluyen en la suite de herramienta Sysinternals. Con Autoruns podremos identificar el fabricante y la ruta de ejecución del proceso. Existen otras pestañas como: listado de DLL conocidas, servicios, procesos de inicio de sesión, localización de driver registrado, etc. Process Explorer muestra los vínculos entre cada proceso y los archivos y DLLs que emplea, socket que abre, usuario que lanza el proceso, hilos de ejecución, etc.

https://technet.microsoft.com/es-es/sysinternals/bb963902.aspx

·       Herramientas avanzadas de análisis del sistema como la proporcionada por Trend Micro HiJackThis: permite la búsqueda exhaustiva de elementos no deseados en el arranque, el registro de Windows o los directorios de sistema. Par cada una de las entradas, podemos buscar información acerca de si es potencialmente malicioso o no. A partir de la información suministrada en web de seguridad podremos hacer una desinfección del sistema en caso de infección.

 

http://www.trendmicro.es/productos/herramientas-y-servicios-gratuitos/

 

 

Antivirus ClamAv (GNU/Linux)

Practica 4.3 : Antivirus ClamAv (GNU/Linux)

La herramienta que presentamos es el antivirus ClamAv, y su versión gráfica Clamtk. Es posible instalarla mediante el comando:

·       sudo apt-get install clamav

Primer paso: actualizar la herramienta de forma online, mediante el comando: sudo freshclam.

Una vez realizada la actualización de la base de datos de virus, podemos escanear el directorio deseado (/home en este caso) de forma recursiva (opción –r) y que tan solo nos muestre los archivos infectados (-i), por ejemplo. clamscan –r/home.

En el caso de ejecutar la versión gráfica mediante: sudo  apt-get install clamtk

En este caso se ha empleado la herramienta para un caso anteriormente comentado: escanear un sistema de archivos Windows sin arrancar el sistema operativo propio. Se ha arrancado en modo Live el sistema desde el CD de instalación de Ubuntu, configurado los parámetros de red para tener conexión con el repositorio de aplicaciones, instalado clamAV y clamTk, y montando la partición deseada (en este caso /mnt/win).

En este caso no se ha detectado ningún virus como podemos observar en la siguiente imagen:

Madrid capital del spam.

Ejercicio 3 (unidad 4): Madrid capital del spam.

http://cso.computerworld.es/alertas/madrid-capital-del-spam

¿Cómo se denomina al correo basura y por qué?

http://es.wikipedia.org/wiki/Spam

Los términos correo basura y mensaje basura hacen referencia a los mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La palabra equivalente en inglés, spam, proviene de la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada spam, que en los Estados Unidos era y sigue siendo muy común. Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty Python's Flying Circus, en el que se incluía spam en todos los platos.

¿Cuál es el país con mayor emisión de correo basura?

A nivel internacional, Brasil se sitúa encabeza la lista de países emisores de spam, seguido por India, Corea, Vietnam y Estados Unidos. Por ciudades, el primer puesto del ranking lo ocupa Seúl, seguido de cerca por Hanoi, Nueva Delhi, Bogotá, Sao Paulo y Bombay.

¿En qué posición se encuentra España?

España ocupa el puesto número 18 en el ranking mundial por emisión de correo basura, con el 1,6% del total.

Comenta algún caso en el que hayas recibido correo basura con intento de phishing y cómo lo detectaste.

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta.

Usualmente los mensajes indican como remitente del correo una dirección falsa. Por esta razón, no sirve de nada contestar a los mensajes de spam: las respuestas serán recibidas por usuarios que nada tienen que ver con ellos.

Ejemplo: BBVA   www.bbvaoficina.net URL incorrecta pidiendo claves de acceso con cualquier motivo(actualización de datos , etc)

La Mejor Herramienta Antimalware.

4.3.2 : La Mejor Herramienta Antimalware.

Conocer la que mejor se ajusta a mis necesidades en cuanto a consumo de recursos, opciones de escaneo, y cantidad de malware encontrado en test de prueba no es fácil.

Empresas desarrolladoras de Software antimalware: Muestran estudios en sus propias web mostrando que son mejor que la competencia, pero pierden validez al ser conducidos por la propia empresa.

Propios usuarios: la muestra de virus es muy pequeña o se pueden malinterpretar los resultados. Ej: contando la detección de un falso positivo como verdadera cuando no lo es y debería contarse como falsa.

Tasa de detección: a tener en cuenta, pudiendo variar de mes a mes, debido al gran número de malware que se crea, aunque esta suele ser pequeña  lo mejor es comparar un estudio con otro un poco más antiguo (meses). Recordaremos que ningún antivirus es perfecto y que no existe  un 100 % de detección, y que un antivirus detecte uno y el otro antivirus no lo detecte o viceversa.

Estudios hechos por empresas o laboratorios independientes (con más validez), entre las más importante y precisas encontramos:

·       AV Comparatives (http://www.av-comparatives.org).

·       AV-Test.org (http://www.av-test.org).

·       ICSA Labs (http://www.icsalabs.com).

·       Virus Bulletin (http:///www.virusbtn.com)

·       West Coast Labs (http://www.westcoaslabs.org)

Herramientas Antimalware: En ocasiones no suponen una solución ya que detectan posibles amenazas pero no corrigen el problema. Más efectivo un control a fondo de los procesos de arranque, los que se encuentran en ejecución y otros archivos del sistema que hagan uso por ejemplo de las conexiones de red establecidas.

 

 

 

 

ANTIMALWARE

Práctica 4.2 (unidad 4): Antimalware

Utilizaremos el software Malwarebytes. Su descarga e instalación es sencilla. http://es.malwarebytes.org/mwb-download/?language=es

Una vez que lo hemos instalado mediante el asistente, pulsaremos en Analizar ahora para realizar un análisis completo del sistema.

 

 

Podremos cambiar el idioma, en este caso lo he dejado en Ingles en un primer análisis.Pulsamos Scan Now y comenzara el proceso de detección por unidades, registro, sistema etc.

 

El programa comienza a detectar entradas en el registro.

Pulsamos en Aplicar acciones, donde nos aparecerá esta ventana que nos indica que ha terminado la limpieza.

Tras realizar el escáner podremos analizar cada una de las entradas y eliminar las que deseemos. Podremos ver el registro detallado pinchando en Ver registro detallado. Se abrirá una ventana donde aparece el Historial del registro del análisis detallado y donde nos indica que lo podremos exportar en el formato que queremos.

 

Esta herramienta es muy útil frente a rootkits que haya modificado el registro de Windows y no permita su edición o la ejecución de comandos mediante consola.

Ha sido capaz de detectar código malware (malware, trace), puestas traseras (backdor), troyanos (trojan),etc.

 

 

KEYLOGGER.

 

PRACTICA 4.1. KEYLOGGER.

 

http://es.wikipedia.org/wiki/Keylogger

 

Utilizaremos para la práctica Revealer Keylogger programa que se ejecuta al inicio y se encuentra oculto.

 

Revealer Free Edition es un keylogger de fácil manejo que destaca por su fiabilidad y eficacia a la hora de registrar absolutamente cualquier pulsación de teclado que realices.

El programa lógicamente se ejecuta de manera silenciosa, no dejando rastros de su actividad en tu PC, y podremos asignarle una contraseña para que otros no puedan acceder a él de ninguna manera.

Además, aunque el programa esté en funcionamiento podremos ordenarle que deje de monitorear la actividad del teclado en un momento dado, y guardar el texto resultante en un fichero TXT para visualizarlo más cómodamente.

Revealer Free Edition muestra en su interfaz no sólo el texto registrado, sino también la hora, el proceso a través del cual se introducen las pulsaciones de teclado, e incluso el título de la ventana bajo en la que se haya escrito, de manera que podamos saber a ciencia cierta a través de qué programa se ha insertado un texto en el ordenador.

Instalamos el programa en su versión free.

 

 

A continuación nos abre la interface para ejecutar el programa tan solo deberemos de pulsar inicio.

 

Para la captura de pantallas necesitaremos la versión pro, la cual no es gratuita.

Realizamos dos búsquedas en Explorer y se nos muestran en la pantalla , tan solo tendremos que importar los datos y se nos mostraran en formato txt.

 

 

Las opciones más importantes del programa a su inicio son la configuración del mismo en el panel de opciones

 

 

En esta ventana configuraremos el idioma, la ejecución de inicio y se nos muestra la combinación de acceso rápido, así como programación de limpieza de registros.

 

En esta pantalla configuraremos las entregas de los registros.

Las opciones de seguridad habilitan la contraseña de inicio y la ocultación de los procesos.

 

 

PROTECCION Y DESINFECCION

4.3: PROTECCION Y DESINFECCION

Recomendaciones de seguridad:

·         Mantenerse informado en cuanto a novedades y alertas de seguridad.

·         Mantener actualizado  tu equipo, tanto el Sistema Operativo como cualquier aplicación que tengas instalada, sobre todo herramientas antimalware (base de datos actualizada en función del nuevo malware que se conozca).

·         Copias de seguridad: Hacerlas con cierta frecuencia y guardarlas en un lugar y soporte seguro.

·         Software legal: Mayor garantía y soporte.

·         Contraseñas: Fuertes para dificultar la suplantación de  tu usuario.

·         Crear diferentes usuarios en tu sistema: Permisos mínimos necesarios (realizar acciones permitidas) y utilizar la mayor parte del tiempo usuarios limitados (no modificar la configuración del sistema ni instalar aplicaciones).

·         Utilizar Herramientas de seguridad: Proteger y reparar el equipo frente a amenazas. Actualizar la base de datos malware antes de realizar cualquier análisis ya que el malware  muta y se transforma constantemente.

·         Analizar nuestro sistema de fichero con varias herramientas. Ya que si una herramienta no encuentra malware no significa que no estemos infectado. Es bueno el contrate de herramientas.

·         Escaneo de puertos, test de velocidad y de las conexiones de red: Realizarlos periódicamente.

·         No fiarse de herramientas antimalware que pueden descargase por internet sobre todo si son de forma gratuita o alertan que tu sistema está infectado. ya que algunas pueden estar infectadas.

 4.3.1: CLASIFICACION DEL SOFTWARE ANTIMALWARE

Antivirus: Programa informático específicamente diseñado para detectar, bloquear y eliminar códigos maliciosos. Pretende ser un escudo de defensa en tiempo real para evitar ejecuciones de archivos o accesos a web maliciosas. Existen versiones de pago y gratuitas.

Variantes actuales que podemos encontrar:

·         Antivirus de escritorio: Instalado como una aplicación, permite el control antivirus en tiempo real o del sistema de archivos.

·         Antivirus en línea: Aplicaciones web que permiten mediante instalación de plugins analizar nuestro sistema de archivos.

·         Análisis de ficheros en línea: Comprobar si algún fichero sospechoso contiene o no algún tipo de código malicioso.

·         Antivirus portable: No requiere instalación en nuestro sistema y consume una pequeña cantidad de recursos.

·         Antivirus Live: Arrancable y ejecutable desde una unidad extraíble USB, CD, DVD. Permite analizar nuestro disco duro en caso de no poder arrancar nuestro sistema operativo tras quedar inutilizable.

 

Herramientas especificas:

·         Antispyware: El spyware o programa espía: Son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna empresa de publicidad. Herramientas de escritorio y en línea.

·         Herramientas de bloque web: Informan de la peligrosidad de los sitios web que visitamos. Existen varios tipos de analizadores en función de cómo se accede al servicio: los que realizan un análisis en línea, los que se descargan como extensión/plugin de la barra del navegador y los que se instalan como una herramienta de escritorio.

CLASIFICACION DEL MALWARE

4.2 CLASIFICACION DEL MALWARE

Los más comunes son:

Virus: Infectan un sistema cuando se ejecuta el fichero infectado. Generalmente son ejecutables: .exe, .src o en versiones antiguas .com, .bat.

Gusano: Realizar el máximo número de copias para facilitar su propagación. Métodos de propagación: correo electrónico, archivos falsos P2P, mensajería instantánea.

Troyano: código malicioso con capacidad de crear una puerta trasera o backdoor, que permita la administración remota a un usuario no autorizado. Diferentes formas de las que puede llegar: descargado, visitar página web o dentro de otro programa.

Clasificación genérica que engloban varios tipos de códigos maliciosos:

·         Ladrones de información (infostealers):Roban información del equipo infectado:

o   Keyloggers: capturadores de pulsaciones de teclado.

o   Spyware: espías de hábitos de uso  e información de usuario.

o    PWstealer: Ladrones de contraseñas.

·         Código delictivo (crimeware): Programas que realizan una acción delictiva en el equipo básicamente con fines lucrativos.

o   Scam: Estafas electrónicas.

o   Rogueware: venta de falsas herramientas de seguridad.

·         Greyware (o grayware): Aplicaciones que realizan alguna acción que no es, al menos de forma directa dañina, tan solo molesta o no deseable.

§  Adware: Software de visualización de publicidad no deseada.

§  Espías: que solo roban información de costumbres de usuario para realizar campañas publicitarias.

§  Bromas(joke)

§  Bulos (hoax)

4.2.1: MÉTODOS DE INFECCIÓN

¿Cómo llega al ordenador el malware y cómo prevenirlos?  Existen varias formas de llegar y en la mayoría de los casos prevenir  la infección resulta fácil conociéndolos:

·         Explotando una vulnerabilidad: ejecutar comandos no deseados o introducir programas maliciosos en el ordenador.

·         Ingeniera social: Técnicas de abuso de confianza (apremiar al usuario, fraudulenta y beneficio económico).

·         Por un archivo malicioso: spam, ejecución aplicaciones web, archivos descarga P2P,  generadores de claves y crackers de software pirata, etc.

·         Dispositivos extraíbles: Gusanos dejan copias de sí mismos para que mediante la ejecución automática puedan ejecutarse e infectar al nuevo equipo.

·         Cookies maliciosas: Son pequeños ficheros de texto que se crean en carpetas temporales del navegador al visitar páginas web (cookes). Las maliciosas monitorizan y registran las actividades del usuario en internet con fines maliciosos. Ej: capturar datos y contraseñas, vender hábitos de navegación a empresas.