sábado, 26 de abril de 2014

ProcDot - herramienta para visualización gráfica de malware




ProcDot es una herramienta diseñada para ayudar al analista de malware a visualizar gráficamente la actividad de la muestra.

Para poder mostrar dicho gráfico utiliza Process Monitor (Procmon), Windump y Graphviz.


¿Cómo funciona?

Una vez capturamos todas las conexiones de red con Windump, debemos guardarlo en un archivo ".pcap".

Luego en Procmon guardaremos los eventos en un fichero con extensión ".CSV".

Con estos dos ficheros ProcDot generará un gráfico en función del tiempo, donde podremos ver las actividades que se han realizado en la máquina infectada.

En dicho gráfico podremos observar como se reproduce la muestra en el equipo (cambios en el registro, creación de archivos y ejecución de procesos entre otros datos).


Configuración

Para que funcione correctamente esta herramienta, aparte de instalar los 3 programas ya mencionados al principio de la entrada, debemos configurarlos.

Lo primero que haremos será agregar el filtro "Thread ID" en Procmon, para eso iremos a la siguiente ruta: Options->Select Columns


Ahora si sabemos el nombre del ejecutable malicioso, podríamos añadir un filtro para mostrar sólo el proceso que vamos a analizar, así el tamaño de nuestro CSV será menor al guardarlo y analizarlo.


Ya tenemos todo preparado, así que abriremos ProcDot para que nos genere un gráfico de la muestra.

**Yo pondré el análisis de una variante del Win32/Dorkbot.B que fué analizada por ESET.**


En la parte superior tendremos que buscar la ruta de los logs que hemos creado anteriormente con Procmon y Windump.

Una vez seleccionados, pinchamos en "Launcher" para que muestre el gráfico del proceso que deseamos analizar.


En la parte inferior de ProcDot se nos mostrará el gráfico y podremos ir reproduciendo la actividad de la muestra del malware a medida que se va ejecutando en un sistema.


Como podéis ver, no es necesario ejecutar la muestra de malware en el mismo sistema donde se encuentre instalado ProcDot, por lo que podemos ejecutar dicha muestra en un sistema preparado para dicha función y luego pasar las capturas a un sistema seguro en el que tengamos instalado el programa.



Saludos.



Referencias:
http://www.welivesecurity.com/la-es/2013/04/22/visualizacion-analisis-malware-procdo/
http://www.procdot.com/


**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.** 

No hay comentarios:

Publicar un comentario