Gestión de incidentes práctica. Actuaciones ante malware (I). Laboratorio.

En esta serie de tres artículos se va a proponer un ejercicio de gestión de un incidente, concretamente un incidente relacionado con Malware. Se aplicará una de las metodologías de resolución de incidentes más extendida, y se analizaran las diferentes acciones que se deben tomar para gestionar un incidente relacionado con un malware. En este caso vamos a trabajar en un incidente relacionado con malware real, por lo que se necesitara un laboratorio para poder analizar el espécimen.

Además de una Cuckoo sandbox, que podéis ver como se instala en este otro artículo, vamos a necesitar una serie de herramientas:

Un equipo anfitrión, en este caso se trata de un Linux, con el siguiente software:

Equipo huésped Windows XP:

Una buena práctica para el análisis de malware que siempre hay que tener en cuenta es no dejar que el espécimen se conecte a Internet. El motivo principal es que no podemos determinar si se trata de un virus común o de un APT, y si se trata de un APT no se deben realizar contactos para no dar indicios no controlados a los atacantes. Hay varias herramientas que nos pueden ayudar a simular dicha conexión.

Configuración de la máquina virtual

En el Virtualbox se configurará el adaptador como sólo anfitrión, en este caso la interface vboxnet0 y en el Windows configuramos la IP estática de manera manual, ejemplo:

IP: 192.168.56.25
Mascara:255.255.255.0
Puerta de enlace: 192.168.56.1
DNS: 192.168.56.1

Es necesario tomar instantánea o snapshot de la máquina, ya que esta máquina la vamos a usar para probar el malware, por lo que va a ser infectada por un virus, y de esta forma con la snapshot podemos volver al punto anterior de la infección.

Maquina Anfitrión

Se configura el adaptador vboxnet0 de la siguiente manera:

ifconfig vboxnet0 192.168.56.1 netmask 255.255.255.0

Dnschef se usa para simular un servidor DNS, para esto es necesario levantarlo en la interface vboxnet0:

python dnschef-0.2.1/dnschef.py -i 192.168.56.1 --fakeip 192.168.56.1

Mediante la herramienta netcat se puede simular un servidor web escuchando en el equipo anfitrión:

nc -k -l -p 80

También es necesario poner en marcha el whireshark en el equipo anfitrión, capturando todo el tráfico de la interface vboxnet0, por si hay algún contacto que no sea WEB o DNS, o cualquier petición WEB que no requiera resolución de dominio.

Para probar que está todo bien configurado, podemos hacer un ping desde el equipo Windows XP (equipo huésped) a por ejemplo www.google.es:

El equipo con el que vamos a poder interactuar y en el que vamos a poder ejecutar el Malware ya está preparado. Esta parte es bastante tediosa, pero necesaria para poder seguir todos los pasos, y además este laboratorio se podrá usar para analizar la mayoría de los especímenes de malware.

El malware que se va a usar para este ejercicio, que veremos en el siguiente artículo, es un tipo de malware que últimamente está ganando mucha importancia, se trata de un fichero “.doc” con Macros, al ejecutar las Macros se descarga un ejecutable y lo ejecuta en el equipo.

En la siguiente parte se entrará en profundidad en la gestión de incidentes, así como diferentes maneras de investigar el malware y las contramedidas y soluciones oportunas.