Los códigos maliciosos realizan modificaciones en
los sistemas para acceder a espacios del mismo de manera no autorizada, con
múltiples intenciones más o menos invasivas.
Es en ese momento cuando se pueden interpretar esas
modificaciones que se realizan en el sistema como indicadores de que el sistema
ha sido comprometido.
Esto se conoce como Indicador de Compromiso (Indicator of Compromise - IOC)
Actualmente existen diversas iniciativas para
definir cómo se deben documentar los indicadores de compromiso:
1.- Incident
Object Description and Exchange Format (IODEF)*, creado por miembros del
IETF Extended Incident Handling (INCH) Working Group, que forman parte del IETF
Security Area.
2.- Open
Indicators of Compromise (OpenIOC)**, creado por la empresa de seguridad
MANDIANT.
3.- Cyber
Observable eXpression (CybOX)***, creado por los miembros de MITRE ****
*
http://www.ietf.org/rfc/rfc5070.txt
** http://www.openioc.org
*** http://cybox.mitre.org
**** http://www.mitre.org
Mediante estos IOCs, es posible definir todos los
elementos que compondrían un compromiso, como pueden ser rutas directorios,
nombres de ficheros, firmas MD5, claves del registro de Windows, nombres de
dominio, direcciones IP, etc.
Entre
estos IOCs están los MUTEX
Un MUTEX
(mutual exclusión) es un objeto que permite bloquear un recurso del sistema con
la intención de controlar el uso del mismo por parte de los distintos procesos
lanzados por el sistema, es decir, viene a ser un testigo.
Quién posea
ese testigo podrá hacer uso del recurso controla por el mismo.
Para nuestro objetivo, estos MUTEX pueden ayudar a
descubrir la presencia de un programa malicioso dentro de un sistema, ya que
algunos programas maliciosos usan estos objetos con el mismo propósito que un
programa legítimo. Es decir, un programa malicioso podría usar un MUTEX para indicar
la infección de un sistema, por lo que, si algún otra programa malicioso
chequea el sistema en busca de un MUTEX con un nombre específico y lo
encuentra, sabrá que el sistema ya se encuentra infectado.
NOTA: El
identificador único de un MUTEX es el nombre.
Existen varias herramientas que nos permiten
conocer los mutex que gestiona nuestro sistema, repasemos:
1.- CheckMutex
– Es una herramienta de línea de comandos, desarrollada por Jaime Blasco, que
pregunta a nuestro sistema por la presencia de mutex en concreto (nombre).
Sólo se encuentra disponible el código
fuente
2.- EnumerateMutex
– Es una herramienta de línea de comandos, desarrollada por Jaime Blasco, que
genera una lista con todos los MUTEX activos en nuestro sistema
Sólo se encuentra disponible el código
fuente
3.- Handle
– Herramienta de línea de comandos, ésta vez proporcionada por Microsoft, que
enumera la lista de MUTEX activos en nuestro sistema
NOTA:
Esta herramienta no sólo saca la lista de MUTEX, por lo que para obtener la
información que nos interesa tenemos que escribir:
Handle –a | findstr Mutant
Utilizando la herramienta
“Handle” para encontrar los objetos Mutex
4.- Process
Explorer – Es un herramienta gráfica.
Se obtiene mediante la opción “Find>Find Handle
or DLL …”, en la pantalla emergente solicitar el tipo “Mutant” que se
corresponde con los objetos MUTEX.
Utilizando “Process Explorer”
para buscar los objetos Mutex
5.- Monitor
de recursos – Herramienta gráfica incluida en los sistemas Windows.
Monitor de recursos de un
sistema Windows 7
6.- Volability,
mediante el uso del comando: mutantscan
Referencias:
1.- Guia STIC 423 de Octubre de 2015 (Indicadores de compromiso -IOC)
2.- https://digital-forensics.sans.org/blog/2012/07/24/mutex-for-malware-discovery-and-iocs
3.- https://www.alienvault.com/open-threat-exchange/blog/malware-exploring-mutex-objects
4.-
https://threat.com/new-technique-complicates-mutex-malware-analysis/111517
PD: ¡¡¡¡Muchísimas gracias Josechu!!!!
PD: ¡¡¡¡Muchísimas gracias Josechu!!!!
