Llegamos a ustedes gracias a:



Reportajes y análisis

¿Infectado con malware? Verifique su registro de Windows

[23/12/2017] Con cientos de millones de variantes, el malware en Microsoft Windows no siempre modifica la base de datos del registro de Windows (es decir, el registro) ... pero generalmente lo hace. El malware modificará el registro para asegurarse de que se pueda iniciar después de un reinicio, para ocultarlo mejor o para integrarse con un proceso legítimo existente. Entonces, tiene sentido monitorear las áreas de registro que a menudo son manipuladas por el malware.

El problema es que el software legítimo modifica estas mismas claves de registro, lo que resulta en un falso "ruido positivo. Las cosas que realmente deberían captar su atención probablemente pasen de largo y se mezclen con las cosas por las que realmente no tiene que preocuparse. Pero si lo hace bien, ésta puede ser una excelente forma de detectar malware y alertar a los recursos que responden.

Decidir qué llaves de registro auditar

¿Qué llaves de registro -entre las decenas de miles que hay- se deberían auditar? No tengo una lista completa que sea 100% precisa, pero la mejor fuente es el programa Sysinternals Autoruns de Microsoft.

Si revisa las claves de registro que inspecciona Autoruns, tendrá una de las listas más completas de las llaves de registro que le gusta manipular al malware. Autoruns es bastante completo, puesto que es capaz de cubrir 19 secciones distintas de llaves de registro. Algunas personas prefieren un script similar llamado Silent Runners.vbs, pero yo prefiero Autoruns. No solo está alojado en Microsoft, sino que fue creado por el legendario Mark Russinovich y, frecuentemente, es actualizado por él y su equipo.

Los nuevos vectores de ataque encuentran rápidamente su camino hacia Autoruns. El programa tiene una gran GUI que le permite ver rápidamente -y deshabilitar- las entradas que operan por sí solas, enviar hashes de archivos para VirusTotal.com y ejecutar comparaciones entre antes y después. La secuencia de comandos SilentRunners.vbs abarca muchas de las mismas llaves de registro, y podría ser más fácil para algunas personas extraer rutas de llave de registro. (Puede extraer claves de registro de Autoruns utilizando su opción Guardar o utilizando la versión de línea de comandos, Autorunsc.exe).

Sin embargo, tenga en cuenta que tal vez el 1% del malware de hoy solo reside en la memoria; es decir, que no se escribe en el almacenamiento permanente. Como tal, no modifica las llaves de registro analizadas.

Encontrar el malware con VirusTotal

En el registro, el verdadero truco está en descifrar qué modificaciones son maliciosas y cuáles son legítimas. Hace muchos años, esta actividad tomaba años de experiencia y cerca de una hora por máquina. Ahora puede descifrarlo en aproximadamente 15 segundos con la mejor precisión posible. Simplemente active la funcionalidad VirusTotal de Autoruns.

VirusTotal es un servicio que pertenece a Google y ejecuta cada hash de archivos contra cada antivirus participante. Actualmente tiene 67 motores antivirus, aunque ese número sube y baja. VirusTotal es genial en sí mismo. Los usuarios pueden enviar archivos individualmente y descubrir si están infectados con malware. Pero donde realmente se vuelve perfecto es cuando los programas se integran con él, como Autoruns y Process Explorer.

Cuando ejecuta cualquiera de las utilidades y habilita la opción Check VirusTotal, cada archivo involucrado se enviará automáticamente a VirusTotal y luego se devolverá un ratio para cada archivo. El denominador (la mitad inferior) muestra cuántos motores antivirus inspeccionaron el envío. Por lo general, este número es 67 o algo menor. El numerador -la mitad superior- muestra cuántos de estos motores antivirus detectaron el envío de archivos como malicioso. Si el numerador es un 0, entonces el archivo involucrado no es malicioso. Si el numerador tiene 3 o más, generalmente es porque tiene un programa malicioso. Desafortunadamente, si el numerador muestra 1 o 2, generalmente es un falso positivo por un motor antivirus relativamente desconocido. Si sigue estas reglas, VirusTotal es bastante preciso.

Ejemplo de integración de Autoruns y VirusTotal con ratios reportados.
Virus, registro Windows

El enlace de Autoruns / VirusTotal.com le ayudará, pero no conozco una manera fácil de automatizar o guiar el proceso. Simplemente recopilar y agregar modificaciones de llave de registro al menos es un buen comienzo. Luego puede analizar lo que está recopilando y determinar qué tan difícil o fácil será detectar un agente malicioso. Si ha leído hasta aquí, ya está más avanzado que la mayoría de los administradores.

Habilitar la auditoría de registro

Las entidades empresariales deben habilitar la auditoría de registro, lo que se puede lograr utilizando las funciones integradas de auditoría de Windows. Debe comenzar, por supuesto, habilitando la auditoría de registro de Windows. Es un proceso de dos pasos.

Primero necesita activar la auditoría de registro en el registrador de Eventos Windows. Puede hacerlo utilizando Active Directory o la política de grupo local para buscar y habilitar la opción Registro de auditoría en la subcategoría Acceso a Objetos en Configuración de Política de Auditoría Avanzada (Configuración del equipo > Configuración de Windows > Configuración de seguridad). Habilite las opciones de Éxito y Fracaso. Para la última configuración, siempre es bueno saber qué programa (o qué usuarios) intentaron modificar una clave de registro cuando carecían de los permisos adecuados.

A continuación, debe abrir cada clave de registro individual con Regedit.exe, hacer clic con el botón derecho en las claves de registro que desea auditar, seleccionar la opción Permisos, luego hacer clic en el botón de Avanzado y finalmente seleccionar la pestaña Auditoría. Agregue el grupo Todos como principal para auditar, y en lugar de elegir uno de los tres Permisos básicos, elija Mostrar permisos avanzados en su lugar. Luego habilite los siguientes permisos:

  • Valor Establecido
  • Crear Subkey
  • Crear enlace
  • Escribir DAC
  • Escribir el Propietario

Repita esa rutina de permisos para cada llave de registro que desee supervisar.

La auditoría de registro no es para los débiles de corazón. Mi mejor consejo es centrarme en supervisar las llaves de registro en las computadoras que contienen datos de alto valor y otros activos estratégicos (como controladores de dominio, servidores de infraestructura, cajas de salto, etc.) los cuales no deberían cambiar con frecuencia.

La auditoría del registro puede ser un poco intimidante, pero es otra gran herramienta para detectar cosas malas en sus computadoras y redes. Hágalo con expectativas realistas, elimine el ruido y agregue una pieza importante a su régimen de detección general.