fbpx

La formación en ingeniería inversa ante el reto del malware

La formación en ingeniería inversa ante el reto del malware
27 Ene

La formación en ingeniería inversa ante el reto del malware

en Tecnología
Share
(3 votos)

“Una de las principales tareas que nos encontramos en la ingeniería inversa, el análisis de malware o la búsqueda de vulnerabilidades es entender que hace un programa. Es imposible obtener un resultado en cualquiera de estas áreas sin leer código, analizarlo, comprenderlo y extraer el sentido original que su creador o creadores quisieron otorgarle. Por utilizar una analogía, no poseer estas habilidades sería el equivalente a intentar hacer un resumen de una novela escrita en un idioma que desconoces completamente”

El texto, sacado del temario de la asignatura de Análisis de Código Fuente del Master en Reversing, Análisis de Malware y Bug Hunting, destaca uno de los principales rasgos que el analista ha de poseer para poder desenvolverse con soltura en el día a día de sus atribuciones profesionales. Si bien es cierto que las distintas herramientas disponibles facilitan enormemente la tarea de análisis, existe un momento en el que el profesional se detiene, organiza la información que posee y pasa a “modo manual”.

Formación en ingeniería inversa ante el reto del malware por David García

David García

Ese modo manual no es otra cosa que su pericia, experiencia y una vista entrenada para interpretar lo que tiene delante. ¿Qué tendrá delante? Eventos registrados, conexiones de red y tráfico capturado, trazas de llamadas al sistema, archivos abiertos por el objeto de análisis, etc. Y en el centro de toda esa maraña de información se encontrará el código.

Ya sea un desensamblado, código fuente ofuscado o el original intacto, de la única forma que el analista dará con la clave es desenredando hilo a hilo el enigma que encierra el código. Solo así se sabrá como un malware genera los dominios (DGA) para conectarse a su centro de control o que tipo de cifrado efectúa sobre las fotos y datos de una víctima (Ransomware); por poner algunos ejemplos sacados no precisamente de la ficción.

¿Y si no te gusta programar? No pasa nada. Precisamente, el trabajo de un ingeniero de reversing es justo lo contrario. Si un programador comienza con un diseño, lo codifica y finalmente lo compila; terminará obteniendo un producto listo para ser ejecutado. La tarea del reversing es, como decimos, desandar el camino. Esto es, tienes el producto final, procesas su contenido para obtener el código original (o una versión lo más cercana posible) y lo estudias para descubrir las intenciones con las que fue creado.

Evidentemente, las cosas no son tan fáciles como aparentan. Ese camino de vuelta está plagado de trampas y adversidades puestas ahí a propósito para impedir llegar con facilidad. Sino fuera así, es decir, si fuera sencillo desentrañar el funcionamiento de un malware, este sería descubierto en las primeras etapas de propagación y se detectaría con bastante facilidad. De ahí el interés de los creadores de malware en poner piedras en el camino del analista.

Por ello, formación como la que te ofrece el Master de Reversing, está encaminada precisamente en dar a los alumnos el arsenal de conocimiento necesario para enfrentarse en la tarea del análisis. En concreto, la asignatura de Análisis de Código Fuente se dedica por completo a darte los conocimientos necesarios para poder obtener el código, en su forma más legible, y poder entender como funciona de arriba abajo.

Si fuera sencillo desentrañar el funcionamiento de un malware, este sería descubierto en las primeras etapas de propagación y se detectaría con bastante facilidad. De ahí el interés de los creadores de malware en poner piedras en el camino del analista.

APRENDE MÁS CON EL MÁSTER EN REVERSING

Vamos a presentar un caso particular. CCleaner, un popular programa de mantenimiento para sistemas Windows, sufrió un ataque que permitió a cibercriminales troyanizar la versión 5.33 (inyectaron malware en un programa original) y consiguieron infectar a un buen número de usuarios de la herramienta.

Uno de los IOCs (indicador de compromiso) por los que se podía detectar la infección de un sistema era a través de los dominios que el malware pretendía resolver para conectarse. Es decir, accedía a un dominio para tanto enviar información como para recibir órdenes. Este tipo de dominio no eran como los que estamos habituados a ver. Tenían el siguiente aspecto:

ab3c2b0d28ba6[.]com

ab99c24c0ba9[.]com

ab2e1b782bad[.]com

ab253af862bb0[.]com

El malware, no tenía una lista de dominios guardada. De haberlo hecho, sería muy sencillo avisar al registrador y neutralizarlos de antemano. En vez de ello, el malware posee un algoritmo que genera dominios de forma qué, en base a unos parámetros, es complejo determinar cual será el siguiente. Esta es una de las piedras en el camino que comentábamos antes.

¿Podríamos sin necesidad de interpretar el código adivinar cual será el siguiente dominio?

Es posible, pero muy complicado. Tendríamos que tirar de estadística y dejar que se generen muchos dominios para poder trabajar sobre un gran conjunto de datos. Esto es inviable, no se dispone de tanto tiempo ya que lo que pretenden los analistas es acortar cuando antes la ventana de infección. Es decir, es una carrera contrarreloj.

En vez de ello, se hace un análisis de código, en este caso de código ensamblador. Mediante la observación de las rutinas que proceden a la generación de dominios aleatorios se realiza un ejercicio de ingeniería inversa y se procede a sintetizar un algoritmo que emula el que posee el malware. Con ello, nos anticipamos al comportamiento del malware, podemos registrar los dominios futuros y neutralizar el malware impidiendo que prospere.

Observemos el código final de un generador de dominios aleatorios usado para detener la actividad del malware:

código final de un generador de dominios aleatorio

Ese algoritmo, disponible aquí, fue fruto de la investigación de un laboratorio de seguridad e hizo que la catástrofe no fuera a más. Sin lugar a duda, usaron las mismas técnicas de exploración, análisis y síntesis de una solución que son objeto de docencia en el Master de Ingeniería Inversa y más en concreto en la asignatura de Análisis de Código Fuente.

Gracias a la pericia, experiencia y formación de profesionales en ingeniería inversa es posible evitar males mayores e incluso así, la ingente cantidad de malware que es creado y liberado cada día, supone un reto para los laboratorios de seguridad; es por ello, que la profesión de analista de malware o bughunter sea tan demandada.

APRENDE MÁS CON EL MÁSTER EN REVERSING

 

 

Visto 9114 veces Modificado por última vez en Viernes, 31 Marzo 2023 09:45

Artículos relacionados (por etiqueta)

Inicia sesión para enviar comentarios
volver arriba

Suscripción al Boletín:

Introduce tu e-mail y pulsa Enter para suscribirte

Apúntate y recibe mensualmente tips, noticias, eventos, recomendaciones...
  • Campus Internacional de Ciberseguridad
    Calle Campo de Gomara, 4.
    47008, Valladolid. España.
  • Tel.: +34 983 390 716 
  • E-mail: info@campusciberseguridad.com

Utilizamos cookies de propias y de terceros

Para analizar sus hábitos de navegación con fines publicitarios, y para determinar su presencia en redes sociales con el fin de ofrecerle una mejor experiencia. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar su configuración, pulsando en Saber más

Acepto

¿Qué son las cookies?

Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma que utilice su equipo, pueden utilizarse para reconocer al usuario.

¿Para qué utiliza las cookies esta página web y cuáles son?

Esta página web puede utilizar las cookies para una serie de finalidades, incluidas:

Análisis

Son aquellas cookies que bien, tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio.

Publicitarias

Sirven para gestionar la frecuencia y el contenido de los anuncios

Técnicas

Este tipo de cookies facilita información sobre el uso que el usuario realiza de la Web, como por ejemplo, qué paginas ha visitado o si ha tenido problemas técnicos en los accesos. Estas cookies no permiten identificarle, puesto que la información que recogen es anónima y será utilizada únicamente para trabajos de mejora de diseño de la página y de navegación, estadísticas de uso, etc. Permiten que la web funcione de forma más ágil y adaptada a las preferencias de los usuarios.

De registro

Se crean al registrarse o cuando inicia una sesión como usuario de la Web.

De personalización

Permiten personalizar las funciones o contenidos del sitio web en función de los datos obtenidos del navegador.

Estado de la sesión

Estas cookies guardan la información necesaria durante la sesión y los cambios relacionados con ella, y también determinan si está registrado o no en la web.

Procesos

Las cookies de procesos permiten el funcionamiento del sitio web y ofrecen servicios esperados por el usuario que accede al sitio web como, por ejemplo, la navegación por páginas web o el acceso a áreas seguras del sitio web. Las cookies de tipo “Propias” son utilizadas sólo por el propietario de esta web y las cookies “De terceros” son utilizadas, también, por el prestador del servicio que está detallado en el cuadro.

¿Cómo puedo desactivar o eliminar estas cookies?

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador accediendo a los siguientes enlaces.

El detalle de las cookies utilizadas en esta página web es el siguiente:    

 Cookies

COPYRIGHT © 2017 TODOS LOS DERECHOS RESERVADOS. EXCELLENCE-INNOVA S.L.

SÍGUENOS EN: