Análisis de malware en sandboxes online

Actualmente existen diversos servicios online gratuitos capaces de analizar malware de forma automática en un entorno virtual y cerrado de tipo sandbox. En lugar de intentar analizar y revertir el código del malware para ver lo que hace, simplemente lo ejecutan en un SO Windows virtual y trazan su comportamiento: monitorizan el tráfico de red que genera el malware, las DLLs que son cargadas, los cambios realizados en el registro e incluso qué está ocurriendo en el sistema de ficheros:

• Anubis
• Comodo Instant Malware Analisys
• CWSandbox (y la instancia en Sunbelt Software)
• EUREKA!
• Joebox
• Norman SandBox
• ThreatExpert
• Wepawet ť Home
• Xandora

Para ver un poco más en detalle cómo funcionan estos servicios, buscamos un ‘espécimen’ en la red para analizarlo. Para ello, consultamos webs como Malware Domain List o Fighting Malware y descargamos un troyano ZBot (load.exe) que intentan 'colarnos' a través de un exploit de un antiguo 0-day para IE, incluido en el pack de Eleonore.
Subimos el binario a alguno de estos servicios y fijaros qué datos tan interesantes podemos extraer de su comportamiento:

• http://anubis.iseclab.org/?action=result&task_id=105ddd6b090670fd475d002e675024f14&call=first
• http://camas.comodo.com/cgi-bin/submit?file=58c411aa27f1b0728746739acb4e2c803ca70d9e94b92b3a2e0d46841a7b95ed
• http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12059292&cs=BB0ACF1217B5BD0079EA4E8AB3E57DFE
• http://eureka.cyber-ta.org/OUTPUT/4d3362a8e128086928ba6a1e31968ecf/
• http://www.threatexpert.com/report.aspx?md5=4d3362a8e128086928ba6a1e31968ecf

Por favor, si queréis obtener vuestras propias muestras de malware para probar el análisis online, ser extremadamente cautos al descargar o acceder a este tipo de URLs. Como dicen por ahí, ¡nosotros no nos hacemos responsables!

Por último, tengo que decir que, aunque estos servicios online sandbox son enormemente útiles porque son gratuitos y pueden ahorrarnos bastante tiempo, no son siempre efectivos.

No hay más que echar un vistazo a la imagen con las capacidades anti-debug del builder de un conocido como Spy-Net.

Hoy en día, la industria del crimeware escribe códigos cada vez más complejos y capaces de distinguir entre un sistema de usuario final y un sistema de análisis de malware, por lo que mi recomendación final es usar estos servicios online como complemento y utilizar además un equipo ‘físico’ para realizar el análisis real y en detalle, utilizando las herramientas de siempre: exploradores y monitorizadores de procesos, sniffers, detectores de cambios tipo regshot, desensambladores y depuradores como Olly e IDA, etc, etc...