Después de muchos artículos sobre las participaciones en radio, hoy por fin voy a realizar uno sobre un tema que no esté relacionado con los medios de comunicación y si tenga algo que ver con la parte que ocupa más tiempo en mi día a día. El desarrollo software y la seguridad informática.
Hoy voy a hablar de uno de mis proyectos personales en los que he trabajado y que más cariño tengo, y no es otro que Kung-Fu Malware. Este proyecto nació tras una charla con mi buen amigo Román Ramírez en el Museo de la Casa de la Moneda en 2015. Durante esta conversación hablábamos sobre como el mundo de la seguridad estaba en un momento en el que la tecnología de la que más se hablaba eran las sandboxes y como se estaba jugando al gato y al ratón entre los fabricantes de soluciones de seguridad y los desarrolladores de malware.
Las sandbox son soluciones que permiten ejecutar un malware en un entorno aislado y seguro. De esta forma se puede analizar su comportamiento en un periodo de tiempo relativamente corto y antes de que llegue a ser ejecutado por un usuario. Estas soluciones han demostrado ser buenas y útiles, pero los desarrolladores de malware también las conocen y por ello introducen en sus códigos maliciosos técnicas y trucos para detectar cuando se esta ejecutando dentro de un entorno virtual. Así, cuando detectan que su malware esta ejecutando dentro de una sandbox, el malware puede decidir no ejecutar la parte maliciosa de su código y lograr pasar desapercibido ante estas soluciones. Los fabricantes de soluciones de seguridad también se dieron cuenta de estos comportamientos por parte del malware y comenzaron a buscar trucos y formas para engañar al malware y hacerle creer que esta ejecutando en un entorno real, fuera de una sandbox, para poder desencadenar la ejecución de la parte maliciosa del malware.
Evidentemente esta carrera nunca termina y ninguno de los dos bandos acabará ganando, ya que cada progreso de uno de los dos bandos, hace que el bando contrario reaccione con una nueva técnica o truco. La conversación que mantenía con Román nos llevó a la idea de cambiar el enfoque de esa pelea. ¿Y si en lugar de tratar de ocultar un entorno virtualizado, conseguimos que todos los ordenadores normales aparenten ser una sandbox o un entorno de análisis de malware? Sin ser conscientes estábamos entrando en las tecnologías de deception o engaño, que actualmente son una de las tecnologías más punteras. Este proyecto nos permitió estar en diversas conferencias de referencia como fueron las IX Jornadas STIC del CCN-CERT de ese año 2015, resultamos premiados en las II Jornadas Nacionales de Investigación en Ciberseguridad JNIC de 2016 lo cual nos permitió estar en la edición de Cybercamp de ese mismo año y también nos abrió las puertas de BlackHat en Las Vegas entre otras muchas conferencias.
La prueba de concepto que realizamos esta disponible en mi github, pero he de reconocer que durante estos años se ha quedado en una prueba de concepto que no he evolucionado y cuyo proceso de instalación no era sencillo. Es por ello que hace unas semanas y tras una petición de ayuda a la hora de instalarla decidí hacer un instalador que facilite esta tarea un poco. Para ello he programado un script en PowerShell que se encarga de este proceso y que podéis encontrar en este enlace.
Conviene recordar que Kung-Fu Malware sólo está probado y compilado para versiones Windows 7 de 32 bits. El instalador esta probado en la versión 4 de PowerShell. Para comprobar la versión de PowerShell en la que estamos basta con abrir una consola de PowerShell y poner $PSTableVersion tal y como se muestra en la imagen inferior.
Si por algún motivo se tuviera una versión inferior, se puede seguir la siguiente guía para actualizar PowerShell. Como se puede ver en la tabla contenida en esta guía se requiere tener instalado el SP1 de Windows 7 y tener instalada la versión 4.5 de .NET. Los instaladores de ambos están enlazados en la tabla.
Una vez actualizada la versión podéis ejecutar el fichero PowerShell desde el path donde se haya guardado el script, no sería raro obtener un fallo como el que se muestra en la imagen inferior. Este fallo nos indica que esta deshabilitada la ejecución scripts de PowerShell. Este punto se puede comprobar ejecutando la orden Get-ExecutionPolicy. Debemos obtener como respuesta Restricted.
Para cambiar esta configuración debemos abrir una consola de PowerShell como administrador y ejecutando el comando Set-ExecutionPolicy Unrestricted como se puede ver en la imagen inferior. Este cambio debe ser revertido una vez terminada la ejecución del instalador.
Una vez resuelto este punto podemos lanzar el instalador tal y como se muestra en la imagen inferior. El resultado que obtendremos es la creación de las rutas y la descarga en las mismas del software que compone Kung-Fu Malware
Cuando haya terminado la descarga de elementos necesarios, procederemos a limitar de nuevo la ejecución de scripts de PowerShell con el comando Set-ExecutionPolicy Restricted, revirtiendo así la modificación que hicimos antes de ejecutar el instalador.
A continuación y desde una línea de comandos (cmd.exe) con permisos de administrador debemos proceder como se muestra en la imagen inferior. Con la opción -h nos muestra las distintas configuraciones que se pueden tomar.
Una vez lanzada su ejecución, nos aparecerán unas cuantas ventanas que simulan ser herramientas utilizadas por analistas de malware, pero son aplicaciones señuelo que no consumen apenas recursos en el ordenador. El resultado de la ejecución se parecerá al que se puede ver en la imagen inferior.
Para detener Kung-Fu Malware y eliminar las ventanas que han aparecido, basta con ir a la consola donde lanzamos su ejecución y pulsar ENTER. Para comprobar que realmente esta funcionando se puede utilizar Pafish de Alberto Ortega antes y después de lanzar Kung-Fu Malware. Pafish es una herramienta que se ha convertido casi en un estándar a la hora de validar la correcta configuración de una sandbox. Cuando este ejecutandose Kung-Fu Malware deben aparecen mensajes de las comprobaciones en rojo, mientras que si no esta ejecutando Kung-Fu Malware aparecerán en verde. En la imagen inferior podemos observar como Pafish nos muestra en rojo los puntos en los que ha detectado que el sistema es una sandbox.
Gracias por leer esta entrada y nos vemos en la red.