on

Análisis Forense de una Infección por Malware – PARTE II

Retomando el tema de análisis de malware que introducimos en el post anterior “Análisis Forense de una Infección por Malware – PARTE I“, ahora nos centraremos más en analizar los artefactos de Windows para así obtener más información de las modificaciones efectuadas por especimen en la infección del equipo analizado. Para ello, nos centraremos en analizar:

  • Ficheros Prefetch: Microsoft guarda en la carpeta de Prefetch, parte del programa (y dlls) que hemos usado, para cargarlos en memoria la próxima vez que iniciemos, para que nuestro acceso sea mas rápido la próxima vez. Desde el punto de vista forense es ideal, ya que deja un estupendo registro de cuales son los últimos programas que se han utilizado.
  • Tareas Programadas del equipo: Tal y como el nombre indica, las tareas programadas son una lista de acciones que el sistema operativo Windows debe de realizar cada cierto tiempo. Habitualmente son un foco para el malware ya que permiten realizar ejecuciones periódicas o programadas con privilegios de SYSTEM.
  • Registro de Windows: Es una base de datos jerárquica de información acerca de la configuración del equipo. Almacena cantidad de información acerca de configuración hardware, aplicaciones y personalización de usuarios.

¡Vamos a ello !

Empezaremos con el análisis del registro de Windows, y para ello, volveremos a hacer uso de la herramienta regripper, mediante la cual hemos identificado modificaciones sospechos en las siguientes claves:

  • SOFTWARE: MicrosoftWindowsCurrentVersionRun : En ésta clave se indican los procesos que arrancarán en el inicio de sesión del usuario.
  • SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon: Es la clave de configuración del login interactivo de los usuarios del sistema.
  • NTUSER.DAT: SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{ID}Count: La clave muestra los últimos programas ejecutados por el usuario en un equipo Windows.

Como hemos podido ver a través del análisis realizado en el registro, el especimen ha modificado dos claves que permiten que en cada inicio de sesión el malware se autoejecute (los ejecutables detectados en la clave corresponden a todos los identificados en el post anterior), asegurándose de éste modo su permanencia en el sistema. Además, a través del análisis del fichero NTUSER.DAT, hemos podido corroborar como como el usuario ha ejecutado cada una de las copias del malware situadas en las diferentes subcarpetas de “Mis documentos” y “Datos de programa”.

Como vimos en anteriores posts, el malware quiere ocultarse del Administrador en la carpeta “System Volume Information”, ya que sólo SYSTEM dispone de privilegios para acceder a ella. Una de las maneras que tiene el especimen para elevar privilegios administrativos a provilegios de SYSTEM sería ejecutando comandos a través del programador de tareas de Windows, AT.EXE como vimos en el timeline del post anterior. Por ello, hemos analizado el log que éste deja cuando las tareas se han ejecutado o no. Dicho log, se encontraba vacío por lo que se han analizado los últimos procesos que han entrado en ejecución a través de los Prefetch de Windows…

Como podemos observar, después de haber realizado algunos filtrados por fecha y por la palabra “Prefetch” en nuestro fichero de timeline, obtenemos que el proceso AT.EXE ha entrado justo en ejecución poco tiempo después que se introdujera el USB, confirmando así la teoría que sospechábamos en el post anterior. Además, se observa como las copias del malware “Mis documentos.exe, …” también han entrado en ejecución en días posteriores a la infección.

Finalmente, a modo de comprobar qué ficheros utiliza cualquier muestra del malware, se ha extraído uno de los ficheros prefetch de un ejecutable presente en una subcarpeta de “Mis documentos” para posteriormente analizarlo con la herramienta prefetch_info, mediante la cual se han obtenido que el ejecutable carga las siguientes librerías dll:

[sourcecode language=’html’]

DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32NTDLL.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32KERNEL32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32UNICODE.NLS
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32LOCALE.NLS
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SORTTBLS.NLS
DEVICEHARDDISKVOLUME2MIS DOCUMENTOSMIS IM�GENESBICICLETABICICLETA.EXE
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32MSVBVM60.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32USER32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32GDI32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32ADVAPI32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32RPCRT4.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SECUR32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32OLE32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32MSVCRT.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32OLEAUT32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32IMM32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32CTYPE.NLS
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32RPCSS.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32UXTHEME.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32MSCTF.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SYNTPFCS.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32VERSION.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SXS.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32MSCTFIME.IME
DEVICEHARDDISKVOLUME1DOCUME~1USERCONFIG~1TEMP~DF4399.TMP
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SHELL32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SHLWAPI.DLL
DEVICEHARDDISKVOLUME1WINDOWSWINSXSX86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.5512_X-WW_35D4CE83COMCTL32.DLL
DEVICEHARDDISKVOLUME1WINDOWSWINDOWSSHELL.MANIFEST
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32COMCTL32.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32USERENV.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32SETUPAPI.DLL
DEVICEHARDDISKVOLUME2MIS DOCUMENTOSDESKTOP.INI
DEVICEHARDDISKVOLUME2MIS DOCUMENTOSMIS IM�GENESDESKTOP.INI
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32MLANG.DLL
DEVICEHARDDISKVOLUME1WINDOWSSYSTEM32APPHELP.DLL
DEVICEHARDDISKVOLUME1WINDOWSAPPPATCHSYSMAIN.SDB
DEVICEHARDDISKVOLUME1WINDOWSEXPLORER.EXE
DEVICEHARDDISKVOLUME1$MFT
DEVICEHARDDISKVOLUME1DOCUME~1USERCONFIG~1TEMP~DF136A.TMP

[/sourcecode]

Hasta aquí hemos realizado un análisis del malware basado en un timeline del sistema de ficheros y algumos artefactos de Windows como el registro, logs, prefetch,… Con el objetivo de seguir avanzando en el análisis y obtener mayor precisión de las acciones del malware, en el próximo post realizaremos un análisis dinámico de una de las múltiples copias del especimen que idenficamos.

Un saludo!

El registro de Windows; son un conjunto de archivos que contienen información acerca de cómo funciona su computadora, es tan sólo una base de datos jerárquica donde Windows almacena su propia configuración, la del hardware, la de las aplicaciones instaladas y la personalización de cada usuario, si se han creado perfiles
Demo Free Trial MSSP
Program