Análisis y detección de malware en documentos ofimáticos basado en reglas de Yara

Abstract

[ES] Este proyecto ha consistido en el estudio de diferentes muestras de documentos maliciosos de los más comunes para poder obtener el máximo entendimiento sobre estos y, posteriormente, encontrar las mejores vías para mitigar el impacto de los mismos en las diferentes organizaciones aportando a los analistas la máxima cantidad de información relevante sobre las muestras. Tras el estudio de este tipo de documentos, y con la finalidad de automatizar la recogida de toda la información relevante, me he apoyado en distintas herramientas que ya existen intentando obtener el máximo partido posible con el fin de poder filtrar los documentos que realmente requieran la atención activa de un analista y reducir el tiempo empleado en análisis irrelevantes. De entre todas estas herramientas, la principal ha sido Yara, puesto que me ha permitido, por un lado, apoyarme en el esfuerzo de diferentes organizaciones por mejorar su capacidad de obtención de indicadores relevantes sobre los diferentes tipos de ficheros que he analizado y, por otro lado, crear indicadores propios que he considerado necesarios a partir del estudio anteriormente realizado. Una vez llegado a este punto, mi objetivo ha sido unir todos estos resultados y los de otras herramientas para conseguir, de una forma lo más automática posible, resumir toda la información relevante y ofrecerle al analista un resumen y una puntuación que le permita saber, en la medida de lo posible, la peligrosidad de cada documento y, si es necesario o no, analizarlo manualmente con mayor profundidad.

[EN] This project has consisted in the study of different samples of malicious documents from the most common ones in order to obtain the maximum understanding on these and, later, to find the best ways to mitigate the impact of them in the different organizations. Offering the maximum amount of relevant information about the samples to the analysts. After studying this type of documents, and in order to automate the collection of all relevant information, I have relied on different tools that already exist, trying to get the most out of them, in order to be able to filter out the documents that actually require the active attention of an analyst and reduce the time spent in irrelevant analyzes. Among all the tools used, the most relevant one has been Yara, since it has enabled me, on the one hand, to support myself in the effort of improving the ability to obtain relevant indicators on the different types of files that I have analyzed and, on the other hand, to create own indicators that I considered necessary. Once this point has been reached, my objective has been to join all these results and those of other tools, to summarize, in a way as automatically as possible, all relevant information and offer the analyst a summary and a score that let him know, as far as possible, the dangerousness of each document and, to decide if it is necessary or not a manual deeper analysis.