Análisis binarios con Mandiant Redline
Bueno, todos sabemos que hay en el mercado varias aplicaciones de nuestros queridos “Mandiant”, no lo digo con sarcasmos porque hay varias aplicaciones que me gustan.
Y bien, sacaron a la luz una aplicación llamada Redline, lo que hace es analizar la memoria, como si fuera “Volatility” pero con GUI.
El trabajo de Redline consiste en analizar la memoria y valorándola mostrar qué proceso tiene más posibilidad de ser malware y cuál menos, contando puntos MRI (Malware Risk Index), pues nada vamos a ver qué tal funciona.
La prueba fue realizada en una maquina infectada con Banker, según Kaspersky – Trojan-Banker.Win32.Banker.mq.
La maquina es de 2 cores y con 1GB de RAM. En más adelante podéis haceros una idea sobre las necesidades de la aplicación.
Bueno, descargamos y vemos que es un .msi, empezamos bien, por todos los santos, nos pide .NET 4.0, bueno que remedio, descargamos, instalamos.
Se instala en un periquete, algo bueno.
Al instalar nos muestra varias opciones de análisis, muy interesante tiene la opción de análisis sobre un “Saved memory File”, que parece a Volatility, elegí el análisis de la maquina local “Analyzing this Computer“. Pinchando ahí vemos que nos permite analizar muchas cositas interesantes como por ejemplo: Hooks, Drivers con sus Exports e Imports, Procesos con sus actividades, etc.
No vamos a jugar con tonterías y pinchamos en “Full Audit” y OK.
Es muy curioso, pero con las características de mi maquina, Redline acabo el análisis en unos 25-30 minutos, curioso la memoria casi no la toca, pero del procesador tira pero que muy bien. Vamos que con un 8008 vais listos =)
Bueno ya tenemos el análisis acabo, vamos a echar un vistazo. Tenemos una lista de procesos, algunos se marcan en rojo, pasos a seguir para el análisis, interesante, seguiremos los pasos.
Un review de los procesos con su valoración, pinchando en cada uno de ellos nos mostrara info más detallada del veredicto.
Vamos a ver porqué están marcados en rojo, pinchamos en uno y nos muestra los factores positivos y negativos por los que valora los procesos. Cuanto más factores negativos mas posibilidad a que lo marque en rojo como sospechoso, bueno buscamos un malware, nos interesan negativos. No puede ser ¡! nos marca un proceso svchost en rojo, porque, por solo 2 factores (indexación de ficheros index.dat).
Y los demás 3 svchost ni si quiera tienen factores negativos, 100% positivo, sin embargo los marca en rojo.
Según mi análisis, mi Banker abrió un iexplorer bajo svchost pero el svchost ni si quiera ha sido detectado, incluso mi iexplorer tenía una conexión establecida con una IP americana con el puerto 80 y por otro lado escuchaba en el puerto 1308 por UDP, pero solo marcó mi iexplorer en 50% sospechoso. El proceso oswin32.exe es nuestro Banker, y también lo marca en gris, jejejeje.
El siguiente paso del análisis que nos indica Redline es verificar las conexiones, vamos a ver, jejejeje mirad, mi iexplorer con sus conexiones pero esta en 50% de amenaza. También con doble clic sobre la conexión os llevara al proceso.
Podemos elegir alguno de los filtros de las conexiones: puertos en escucha, conexiones establecidas o todos.
Bueno, seguimos, el siguiente paso es un Review de las secciones de memoria y DLLs, un punto bastante interesante, hay varios filtros para ver qué es lo que nos interesa, por ejemplo: Mostrar secciones nombradas que se utilizan por menos de 4 procesos, o las mismas secciones pero las que se marcaron en rojo como desconfiados, otro filtros también bastante interesante es el que muestra las secciones de memoria inyectadas.
También una comodidad de Windows, haciendo doble click nos lleva al proceso, si pulsamos sobre las inyecciones que aparecen me lleva al proceso del propio Mandiant Redline Es decir, no confía ni si quiera en las inyecciones suyas, jajajajaja
Otro paso que nos dice a seguir Redline es revisar los handles desconfiados.
Aquí también hay filtros de “solo desconfiados” o todos.
Bueno, el siguiente paso son los Hooks, tenemos varios filtros de diferentes tipos de hooks, parece que confía en todos
Nada interesante, seguimos.
Y por fin nuestro último paso de nuestro análisis es “Drivers and Devices”, aquí no tenemos ningún filtro, es decir, todo a mano, es una información bastante interesante que nos proporciona. Pinchando en cada uno de ellos nos muestra la info completa sobre él, hasta las funciones que tiene, que importa y que exporta, strings, certificados, etc.
Bueno, hemos seguido los pasos, y parece que no nos ayudaron en nada, claro que si hubiéramos analizado alguno de los pasos anteriores más a fondo seguramente hubiéramos encontrado algo interesante.
Más cositas interesantes, podemos ver secciones de memoria, strings, puertos utilizados o handles de todo tipo por cada proceso, esto ya me gusta más.
Muy interesante en la parte de Detailed Sections tenemos todas las secciones del proceso, a la derecha podremos hacer búsquedas en cada uno de ellos y ver qué es lo que exporta, importa, etc.
Otra cosita muy interesante, los strings de cada proceso, podemos buscar patrones por ahí, por ejemplo yo encontré una keyword de Banco Popular
Otra cosa que vi, la pestaña Host, proporciona la información completa sobre los procesos, punto muy interesante son procesos en jerarquía, conexiones establecidas, drivers, hooks, información detallada del equipo y el SO, vamos lo mismo pero en genérico.
Algunos de los puntos más positivos que encontré son: la aplicacion nos permite crear un Agente portable directamente desde el menú de la aplicación, muy útil para un análisis externo y sin necesidad de instalarlo, permite guardar el análisis y seguir con el mismo en otro momento.
Bueno, resumiendo, la aplicación no está nada mal, pero es como utilizar Volatility con GUI o SysInternals TODO EN 1.
La interfaz gráfica es muy amigable y fácil de manejar. Para un análisis yo no lo aconsejaría para una persona que se basara solo en los veredictos de la aplicación ya que Redline da unos Falsos positivos brutales. Un claro ejemplo con los svchost, aparte marca su proceso también como sospechoso en un 24%
Podría mejorar el análisis, si mi Banker hubiera cerrado la conexión antes de que lanzara analizar, las conexiones no hubieran aparecido y mi iexplorer no lo hubiera marcado como 50% de sospechoso, pero bueno por otra parte no olvidemos que es un análisis sobre la memoria.
La veo útil en algunas ocasiones y cómoda para utilizar. Sin embargo la interfaz algunas veces en mi equipo tarda en reaccionar, parece que le faltan cores
Estoy seguro que la próxima versión será mucho más currada y arreglaran los cálculos de los factores positivo, negativos y de los veredictos.
Y bien, sacaron a la luz una aplicación llamada Redline, lo que hace es analizar la memoria, como si fuera “Volatility” pero con GUI.
El trabajo de Redline consiste en analizar la memoria y valorándola mostrar qué proceso tiene más posibilidad de ser malware y cuál menos, contando puntos MRI (Malware Risk Index), pues nada vamos a ver qué tal funciona.
La prueba fue realizada en una maquina infectada con Banker, según Kaspersky – Trojan-Banker.Win32.Banker.mq.
La maquina es de 2 cores y con 1GB de RAM. En más adelante podéis haceros una idea sobre las necesidades de la aplicación.
Bueno, descargamos y vemos que es un .msi, empezamos bien, por todos los santos, nos pide .NET 4.0, bueno que remedio, descargamos, instalamos.
Se instala en un periquete, algo bueno.
Al instalar nos muestra varias opciones de análisis, muy interesante tiene la opción de análisis sobre un “Saved memory File”, que parece a Volatility, elegí el análisis de la maquina local “Analyzing this Computer“. Pinchando ahí vemos que nos permite analizar muchas cositas interesantes como por ejemplo: Hooks, Drivers con sus Exports e Imports, Procesos con sus actividades, etc.
No vamos a jugar con tonterías y pinchamos en “Full Audit” y OK.
Es muy curioso, pero con las características de mi maquina, Redline acabo el análisis en unos 25-30 minutos, curioso la memoria casi no la toca, pero del procesador tira pero que muy bien. Vamos que con un 8008 vais listos =)
Bueno ya tenemos el análisis acabo, vamos a echar un vistazo. Tenemos una lista de procesos, algunos se marcan en rojo, pasos a seguir para el análisis, interesante, seguiremos los pasos.
Un review de los procesos con su valoración, pinchando en cada uno de ellos nos mostrara info más detallada del veredicto.
Vamos a ver porqué están marcados en rojo, pinchamos en uno y nos muestra los factores positivos y negativos por los que valora los procesos. Cuanto más factores negativos mas posibilidad a que lo marque en rojo como sospechoso, bueno buscamos un malware, nos interesan negativos. No puede ser ¡! nos marca un proceso svchost en rojo, porque, por solo 2 factores (indexación de ficheros index.dat).
Y los demás 3 svchost ni si quiera tienen factores negativos, 100% positivo, sin embargo los marca en rojo.
Según mi análisis, mi Banker abrió un iexplorer bajo svchost pero el svchost ni si quiera ha sido detectado, incluso mi iexplorer tenía una conexión establecida con una IP americana con el puerto 80 y por otro lado escuchaba en el puerto 1308 por UDP, pero solo marcó mi iexplorer en 50% sospechoso. El proceso oswin32.exe es nuestro Banker, y también lo marca en gris, jejejeje.
El siguiente paso del análisis que nos indica Redline es verificar las conexiones, vamos a ver, jejejeje mirad, mi iexplorer con sus conexiones pero esta en 50% de amenaza. También con doble clic sobre la conexión os llevara al proceso.
Podemos elegir alguno de los filtros de las conexiones: puertos en escucha, conexiones establecidas o todos.
Bueno, seguimos, el siguiente paso es un Review de las secciones de memoria y DLLs, un punto bastante interesante, hay varios filtros para ver qué es lo que nos interesa, por ejemplo: Mostrar secciones nombradas que se utilizan por menos de 4 procesos, o las mismas secciones pero las que se marcaron en rojo como desconfiados, otro filtros también bastante interesante es el que muestra las secciones de memoria inyectadas.
También una comodidad de Windows, haciendo doble click nos lleva al proceso, si pulsamos sobre las inyecciones que aparecen me lleva al proceso del propio Mandiant Redline Es decir, no confía ni si quiera en las inyecciones suyas, jajajajaja
Otro paso que nos dice a seguir Redline es revisar los handles desconfiados.
Aquí también hay filtros de “solo desconfiados” o todos.
Bueno, el siguiente paso son los Hooks, tenemos varios filtros de diferentes tipos de hooks, parece que confía en todos
Nada interesante, seguimos.
Y por fin nuestro último paso de nuestro análisis es “Drivers and Devices”, aquí no tenemos ningún filtro, es decir, todo a mano, es una información bastante interesante que nos proporciona. Pinchando en cada uno de ellos nos muestra la info completa sobre él, hasta las funciones que tiene, que importa y que exporta, strings, certificados, etc.
Bueno, hemos seguido los pasos, y parece que no nos ayudaron en nada, claro que si hubiéramos analizado alguno de los pasos anteriores más a fondo seguramente hubiéramos encontrado algo interesante.
Más cositas interesantes, podemos ver secciones de memoria, strings, puertos utilizados o handles de todo tipo por cada proceso, esto ya me gusta más.
Muy interesante en la parte de Detailed Sections tenemos todas las secciones del proceso, a la derecha podremos hacer búsquedas en cada uno de ellos y ver qué es lo que exporta, importa, etc.
Otra cosita muy interesante, los strings de cada proceso, podemos buscar patrones por ahí, por ejemplo yo encontré una keyword de Banco Popular
Otra cosa que vi, la pestaña Host, proporciona la información completa sobre los procesos, punto muy interesante son procesos en jerarquía, conexiones establecidas, drivers, hooks, información detallada del equipo y el SO, vamos lo mismo pero en genérico.
Algunos de los puntos más positivos que encontré son: la aplicacion nos permite crear un Agente portable directamente desde el menú de la aplicación, muy útil para un análisis externo y sin necesidad de instalarlo, permite guardar el análisis y seguir con el mismo en otro momento.
Bueno, resumiendo, la aplicación no está nada mal, pero es como utilizar Volatility con GUI o SysInternals TODO EN 1.
La interfaz gráfica es muy amigable y fácil de manejar. Para un análisis yo no lo aconsejaría para una persona que se basara solo en los veredictos de la aplicación ya que Redline da unos Falsos positivos brutales. Un claro ejemplo con los svchost, aparte marca su proceso también como sospechoso en un 24%
Podría mejorar el análisis, si mi Banker hubiera cerrado la conexión antes de que lanzara analizar, las conexiones no hubieran aparecido y mi iexplorer no lo hubiera marcado como 50% de sospechoso, pero bueno por otra parte no olvidemos que es un análisis sobre la memoria.
La veo útil en algunas ocasiones y cómoda para utilizar. Sin embargo la interfaz algunas veces en mi equipo tarda en reaccionar, parece que le faltan cores
Estoy seguro que la próxima versión será mucho más currada y arreglaran los cálculos de los factores positivo, negativos y de los veredictos.