Español
English
En este blog hablaremos de la importancia de la herramienta SysInternals suite para analizar un ordenador o servidor y sacar la información estructurada. Nos centraremos en 3 aplicaciones, dentro de la suite de SYSINTERNALS, para analizar procesos maliciosos que se están ejecutando en nuestra máquina sin ser conscientes de ello.
Historia
En 1996, Mark Russinovich junto con Bryce Cogswell diseñaron la herramienta con la finalidad de analizar y solucionar problemas que puedan surgir en el sistema, buscando la seguridad de la máquina en cuestión. Posteriormente, la empresa Microsoft adquirió éste producto.
Análisis de procesos
En este apartado veremos las 3 herramientas dentro de la suite que podemos utilizar para analizar los procesos y ver si hay algún proceso no deseado en los equipos informáticos que queramos analizar.
1. AUTORUNS
Este pequeño ejecutable nos muestra los programas, servicios y drivers que se inician al encender el ordenador. Con esto podemos ver si tenemos un software o servicio malicioso ejecutándose cada vez que encendemos el ordenador, como si fuese una tarea programada.
Una vez descargado la suite, iniciaremos autoruns para ver dichos procesos. Como podéis apreciar en la pestaña “Everything” veremos toda la información que contiene el programa. Podremos apreciar todos los servicios y/o programas que se ejecuten en el inicio del sistema operativo.
En el apartado de «drivers» podemos ver en detalle todos los drives que hay instalados en nuestro equipo, verificar su legitimidad y identificar drivers que no corresponden con los componentes que tenemos en nuestra estación de trabajo:
Otro apartado muy interesante es el «Scheduled Tasks». Sirve para identificar un malware que se esté ejecutando en el inicio, que tenga una tarea programada para lanzar cualquier comando o ejecutarse en el sistema con privilegios:
Existe también una función para escanear los drivers y servicios. Si un registro ha sido modificado o en caso de haber sido infectado por una DDL (malware), cabe la posibilidad de verificar la amenaza en la base de datos de “VirusTotal”. El apartado scan options ofrece la posibilidad de iniciar el escaneo del sistema contra la base de datos de VirusTotal:
2. PROCESS EXPLORER
Es una herramienta interesante porque nos da gran información sobre los procesos que se están ejecutando como: el uso de recursos de CPU o RAM, origen, ID, atributos y propiedades de estos. Como podemos apreciar en la siguiente imagen vemos los procesos del sistema. Si algún subproceso se estuviera ejecutando dentro de un proceso legítimo de Windows, nos lo mostraría y podríamos proceder a la investigación de este u obtener información.
Si hacemos clic en cualquier proceso nos aparecerán múltiples opciones para poder tratar el proceso y ver si es legítimo o no. Tenemos diferentes opciones para poder analizar el proceso o incluso para eliminarlo. Cabe destacar que si se elimina se tendrá que mirar en el programa anterior llamado “autorun”.
3. PROCESS MONITOR
Es una herramienta para monitorizar cualquier actividad que se produce en el sistema: creación de ficheros temporales, operaciones de lectura o escritura en disco, escrituras o modificaciones del registro y creación de procesos, aparte de muchas más utilidades.
Pulsando CTRL+L podemos ir a una parte interesante de la herramienta que es el “Filter”. Se usa para establecer ciertas reglas y poder filtrar la actividad que nos interesa y así hacer el análisis sobre información relevante. Es una de las herramientas más personalizable dentro de la suite de Sysinternals.
También podemos apreciar haciendo clic en un proceso la dirección de memoria donde se están ejecutando las acciones para determinar si hay alguna inyección:
Tenemos un conjunto de herramientas para el análisis exhaustivo del sistema operativo y para determinar posibles errores o acciones maliciosas por parte de un software malintencionado. Desde A2SECURE se recomienda la utilización de esta herramienta para hacer análisis a máquinas que puedan estar infectadas o para tener constancia de los procesos que corren en los activos de una empresa.
Autor: Iker López