Malware lab

Abstract

[cat] En el present TFG s’aborda com crear un entorn segur i virtualizat per a l’anàlisi de programari maliciós centrat en Windows. Aixı́ mateix s’analitzen i expliquen les eines necessàries per poder determinar si un fitxer és maliciós o no. Finalment s’analitzen dos fitxers maliciosos, un de conegut i altre totalment desconegut explicant quins indicadors trobem per poder afirmar que ambdós fitxers són programari maliciós. Per fer-ho s’ha creat un entorn virtualizat amb VirtualBox amb diferents màquines virtuals Windows i una màquina virtual Linux que s’usarà com a proveı̈dor d’internet. L’anàlisi de programari maliciós es divideix en dues parts: anàlisi estàtica i anàlisi dinàmica. Durant l’anàlisi estàtica s’analitza el fitxer sense executar-lo. Per això es fa ús d’eines gratuı̈tes com Pestudio o CFF Explorer que permeten extreure informació sobre el fitxer executable com strings, referències a llibreries dinàmiques de Windows aixı́ com les funcions que el fitxer utilitzarà. Durant aquesta anàlisi generem també el hash criptogràfic del fitxer per facilitar la cerca d’informació sobre el mateix. Aixı́ mateix analitzem el fitxer amb plataformes en lı́nia com VirusTotal o Hybrid-analysis. Aquestes plataformes ens aportaran informació sobre la ràtio de detecció per a diferents antivirus. L’anàlisi estàtica ens permet preveure com interactuarà el fitxer amb el sistema i quines capacitats té. Durant l’anàlisi dinàmica monitorem el fitxer durant la seva execució una altra vegada amb eines gratuı̈tes com Process Hacker 2 o Noriben. Aquestes eines ens permeten extreure informació de com actua el fitxer una vegada executat, com interactua amb el sistema i quins canvis fa en el mateix i com es comunica amb internet. Els objectius d’aquesta anàlisi són varis. Primer poder determinar de manera inequı́voca si el fitxer és maliciós o no i si ho fos, determinar perquè ho és de maliciós. Aixı́ mateix de ser maliciós volem saber si el programari maliciós és d’algun tipus de famı́lia de programari maliciós conegut o si és d’un actor maliciós conegut o no. Després d’explicar les eines gratuı̈tes disponibles per crear un laboratori de programari maliciós s’han generat dos reports sobre l’anàlisi de dos fitxers maliciosos indican perquè ho són i aportant dades objectives. Finalment s’ha fet una petita introducció educada al món del programari maliciós mitjançant de la seva història per comprendre com ha anat evolucionant des del seu naixement en els anys 70 fins al present. Perquè algú sense coneixement previ del tema tingui un context i entengui la necessitat dels laboratoris de programari maliciós i els seus usos.