Analizando muestras con Cuckoo: Entendiendo los reportes (3/5)

Continuando con esta serie sobre el funcionamiento de Cuckoo, vamos a ver en que consisten los reportes generados por la herramienta. Una vez que se ha realizado la instalación y configuración de Cuckoo y conociendo la estructura y los comandos necesarios para hacer el análisis sobre un archivo o una URL particular nos enfrentamos a un informe que nos arroja una cantidad de información de acuerdo a los módulos que tengamos configurados. En este caso vamos a ver el informe arrojado por Cuckoo después de analizar un archivo ejecutable.

El informe al que podemos acceder para cada uno de los análisis realizado va a estar divido en información de la muestra, un análisis estático, el comportamiento de red y las operaciones realizadas por la muestra en el sistema afectado. Veamos en cada una de estas secciones que información relevante podemos encontrar.

Detalles del archivo

La primera parte del informe contiene algunos datos relevantes para identificar la muestra. El nombre del archivo, su tamaño y el tipo además de una serie de códigos hash para identificar unívocamente la muestra analizada como el MD5, el SHA1, SHA256 y SHA512 entre otros para comprobar redundancia.

Información del archivo malicioso Cuckoo

Esta información resulta particularmente útil en el caso que se esté analizando una campaña en la cual se identifica que son varios los archivos utilizados para afectar a los usuarios, pudiendo tener las mismas funcionalidades pero diferencias en la forma que han sido compilados.

También hay otros campos que nos muestra información de Yara, una herramienta para clasificar malware e información de VirusTotal. La forma de instalar estos módulos la veremos en nuestra siguiente entrega.

Análisis estático

La sección de análisis estático contiene información sobre la estructura del ejecutable. Si hay alguna descripción, la versión del archivo entre otros datos adicionales para identificar la muestra.

Análisis estático Cuckoo

También se puede encontrar información sobre las secciones que conforman el archivo y las direcciones de memoria que tiene cada una de ellas. Esta información puede ser particularmente útil en el caso que se quiera entrar a ver el comportamiento de cada una estas secciones en alguna herramienta de debugging.

Igualmente dentro de este campo podemos encontrar si el archivo malicioso importa o exporta algún tipo de librería durante su ejecución.

Comportamiento de red

Como sabemos muchos archivos maliciosos se conectan con algún sitio en Internet para descargar archivos adicionales o para enviar información que roba del sistema.

Comportamiento de red Cuckoo

En esta sección del informe hay un resumen de las direcciones a las cuales se conectó el código malicioso y el tipo de peticiones que realizó. Recordemos que como parte del análisis se hace una captura de todo el tráfico de red, y toda está información se almacena en un archivo pcap. Estas tablas son un resumen de este archivo y nos dan una idea de lo que podemos ir a buscar en la captura de tráfico.

Comportamiento en el sistema

En el caso que el código malicioso que estemos analizando descargue archivos adicionales, Cuckoo nos muestra información característica de cada uno de ellos. Si lo que estamos analizando es una URL maliciosa y utiliza drive-by-download como técnica de propagación en esta sección encontraremos aquellos archivos que se descarguen al sistema.

Archivos descargados Cuckoo

También podemos encontrar un historial de aquellos archivos modificados y las llaves de registro modificadas.

Comportamiento en el sistema Cuckoo

Al final de todo el informe se encuentra una tabla con el resumen de las operaciones realizadas sobre el sistema. Las funciones realizadas están separadas por categorías, dependiendo si fueron funciones de red, sistema de archivos, procesos entre otros.

Procesos ejecutados Cuckoo

En nuestra siguiente entrega, veremos algunas librerías adicionales que se pueden instalar sobre Cuckoo para realizar análisis más específicos de acuerdo a las necesidades que tengamos en nuestro entorno de laboratorio.

Imagen de Tatters en Flickr. Licencia CC BY 2.0

Autor , ESET

Síguenos