Asignatura Datos del alumno Fecha

Apellidos:
Seguridad en el Software
Nombre:

Actividad: Análisis de malware

Objetivos de la actividad

Malware es cualquier programa que se ejecuta en un sistema informático sin

conocimiento del usuario y le provoca un perjuicio.

Un paso importante para facilitar la adquisición de conocimiento sobre un malware

concreto es la realización de un proceso sistemático y metodológico de análisis,
cuyo principal objetivo es el obtener una comprensión completa del mismo, en lo
relativo a su funcionamiento, identificación y formas de eliminación. De forma
general las fases de la metodología y su procedimiento de aplicación sería el
siguiente:

Metodología análisis de malware

© Universidad Internacional de La Rioja (UNIR)

▸ Acciones iniciales: dirigidas principalmente a obtener una línea base fiable del
estado de la máquina previo.
▸ Clasificación: sin ejecutar el fichero sospechoso y siempre fuera de la máquina
en cuestión se realiza una búsqueda de información y un análisis en internet del

Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

fichero en cuestión. Existe múltiples páginas que permiten este análisis y que
proporcionan información detallado sobre el posible malware y sus efectos.
▸ Análisis estático y dinámico del código: en cada de disponer de herramientas y
conocimientos de programación y debugging, se puede analizar el código del
malware buscando entender su funcionamiento.
▸ Análisis de comportamiento: consiste básicamente en la ejecución propiamente
dicha del fichero sospechoso y la comprobación de sus efectos e implicaciones.
Esta práctica se centra principalmente en este apartado

Con la presente actividad a se pretende conseguir los siguientes objetivos:

▸ Justificar los beneficios obtenidos mediante el análisis de malware, a fin de
comprender su funcionamiento y evaluar el daño causado por un ataque,
valorar sus intenciones y capacidades.
▸ Conocer los aspectos fundamentales que comprende una metodología de
análisis de malware.
▸ Iniciar al alumno en la ejecución de los diferentes pasos de la metodología
mediante el uso de las diferentes herramientas propuestas.
▸ Realizar los pasos de la metodología clasificación, análisis dinámico.

© Universidad Internacional de La Rioja (UNIR)

Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

Descripción de la actividad y pautas de elaboración

Para el ejercicio individual de este tema tendrás que realizar un ejercicio práctico en
base al siguiente enunciado.

De la metodología de análisis de malware estudiada en el tema 4 y presenta de

forma resumida en el apartado anterior, se van a realizar los siguientes pasos de la
metodología:

▸ Acciones Iniciales.
▸ Clasificación.
▸ Análisis dinámico o de comportamiento.

El malware se obtiene de plataforma informática de la unir en el siguiente enlace (el

archivo tiene una contraseña que es: infected

http://descargas.unir.net/escueladeingenieria/05%20Seguridad_del_Software/
Fichero%20An%C3%A1lsis%201.rar

Las herramientas de análisis para sistema operativo Windows XP se descargarían en

el siguiente enlace:

http://descargas.unir.net/escueladeingenieria/05
Seguridad_del_Software/Herramientas%20XP.rar

© Universidad Internacional de La Rioja (UNIR)

Este entorno está disponible, ya instalado en VIRTUAL BOX en la máquina virtual
VICTIMA XP, en el escritorio virtual de la UNIR:

https://salainformaticaunir.u-cloudservices.com/

Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

Si se quisiera montar el entono de análisis en un PC, los enlaces de la plataforma

virtual VMWARE o virtual BOX están disponibles:

https://my.vmware.com/web/vmware/downloads
https://www.virtualbox.org/wiki/Downloads

Ejecuta el malware de laboratorio mientras lo monitorizas mediante las

herramientas básicas de análisis dinámico en un entorno seguro. El fichero funciona
sobre el sistema operativo Windows XP, aunque podría funcionar sobre Windows 7
32 bits.

El sistema operativo que tendrás que utilizar será Windows XP (por motivos de
seguridad), aunque si no se dispone de él se podrá utilizar Windows 8 con Windows
XP Mode for Windows 8, que facilita la instalación y ejecución de muchos de sus
programas que se ejecutan en Windows XP directamente desde un equipo con
Windows 8.

Podrás encontrar más información en los siguientes enlaces:

http://softlay.net/operating-system/windows-xp-sp3-iso-full-version-free-
download.html
Para bajarse una máquina virtual de Windows 8.1 y XP mode:
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
http://www.microsoft.com/es-es/download/details.aspx?id=8002

© Universidad Internacional de La Rioja (UNIR)

En estos enlaces encontrarás unas instrucciones para instalar un software que

emula el sistema operativo XP:
http://blogs.itpro.es/octaviordz/2014/08/04/ejecutar-windows-xp-mode-en-
windows-8-1-con-vmlite/

Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

https://www.youtube.com/watch?v=-UWlzOyLahY
Acciones Iniciales

Acciones encaminadas a obtener un registro de la configuración de las máquinas

que intervienen en el análisis. Se obtendrá una referencia que nos permita
comparar el estado de las mismas, antes y después de ejecutar el malware bajo
estudio:
▸ Iniciar la máquina virtual provista para la práctica (Windows XP Victima).
▸ Tomar una instantánea del estado en el menú Máquina  Tomar instantánea.
▸ Verificar la integridad del fichero de línea base de referencia mediante la
utilidad MD5summer.
o Selecciono como directorio raíz C:\WINDOWS y solicito crear el hash
md5 de todos los ficheros (add recursively). No todos los ficheros serán
útiles, ya que los interesantes son los ejecutable binarios, pero este
método es el más sencillo.
▸ Inicio Process Explorer. Observo procesos habituales y hago una grabación de
los mismos.

Clasificación

Consiste en examinar el archivo ejecutable del malware sin acceder al código

malicioso, para identificarlo y obtener información inicial para la realización de las
siguientes fases. Comprende los siguientes pasos:

▸ Identificación del malware, obteniendo el hash del mismo. Herramienta

© Universidad Internacional de La Rioja (UNIR)
WinMD5.
▸ Comprobación del tipo de malware que es y si pertenece a una familia anterior
por modificación de alguno de sus componentes. Subir el hash del malware (no
el fichero) a VirusTotal en el botón Search.

Actividades 5
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

▸ Búsqueda de cadenas de texto en el archivo ejecutable. Herramienta BindText.

▸ Identificación de técnicas de ofuscación y empaquetamiento. Herramienta PEiD.
▸ Formato y estructura del fichero. Herramientas: PEViewer, Dependecy Walker,
PEStudio, Procdump y Resource hacker.

Analisis Dinanico o de comportamiento

Ejecuta el malware en la máquina victima aislada, mientras lo monitorizas mediante

las herramientas básicas de análisis dinámico en un entorno seguro.

▸ Process Explorer.
▸ Process Monitor.
▸ Strings.
▸ Notepad.

El entorno seguro se realizará en base a un software virtual tipo VMAWARE player,

virtual box con una máquina con sistema operativo de Microsoft, con la tarjeta de
red en modo aislado (HOST ONLY).

Una vez realizado el ejercicio responde a las siguientes preguntas:

1. Hash MD5 de archivo malicioso.
2. ¿Cuál es el punto original de entrada del ejecutable (OEP)?

3. ¿A qué DLL hace referencia el fichero?

4. ¿Esta comprimido el fichero? En caso afirmativo indique cual es el compresor.

5. ¿Qué indicadores sospechosos presenta el archivo?

© Universidad Internacional de La Rioja (UNIR)
6. ¿Qué observas al supervisar este malware con Process Explorer?

7. ¿Puedes identificar modificaciones de las cadenas del proceso en memoria con

respecto al disco?
8. ¿Qué archivos crea?

Actividades 6
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

9. ¿Cuál es el propósito de este?

Como ayuda puedes consultar los manuales de las herramientas disponibles en los
siguientes sitios web:

https://www.youtube.com/watch?v=4ZsGMbjQEWs
https://www.youtube.com/watch?v=5FMpfk8knNQ
https://www.youtube.com/watch?v=KWAmlfmdWwo
https://www.youtube.com/watch?v=0TkAxXjW7lQ
https://www.youtube.com/watch?v=BL-hsRDRkUg

Nota: se recomienda leer antes de realizar el trabajo el apartado de Análisis Dinámico

del tema.

Extensión

En la solución a enviar, sólo se deberán incluir las tablas que se piden rellenar a lo
largo del enunciado de la actividad y el mapeo de los patrones de ataque. La
extensión máxima de la actividad será de 15 páginas.

Rúbrica

Puntuación
Peso
Análisis de malware Descripción máxima
%
(puntos)
Preguntas 1 a 5 bien contestadas a 0,6
Criterio
© Universidad Internacional de La Rioja 1
(UNIR) 3 30%
puntos cada una
Preguntas 6 a 9 bien contestadas a 1
Criterio 2 4 40%
puntos cada una
Calidad de la memoria. Incluye
Criterio 3 explicación detallada de los resultados 3 30%
obtenidos
10 100%

Actividades 7
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

© Universidad Internacional de La Rioja (UNIR)

Actividades 8