Ing. Humberto Aguilar Lobo - R.N.I. 29057
Es Ingeniero Informático de la Universidad Técnica de Oruro con Maestrías en Seguridad Informática y Educación Superior basada en Competencias, PhD(c) en Ciencia y Tecnología.
RESUMEN
Este artículo tiene por objeto contribuir al estudio de la auditoría informática en función al término “ofuscación”, técnica para transformar un código comprensible en uno en el que no tenga coherencia semántica ni lógica, en documentos Microsoft Office del tipo macro VBA (Visual Basic para Aplicaciones). Se trata de un estudio de enfoque cuantitativo, del tipo descriptivo, en el que se empleó un diseño no experimental de corte transeccional o transversal. La variable de estudio fue la auditoría informática en archivos “Open XML”, formato predeterminado en todas las versiones de Microsoft Office. La población estuvo constituida por Documentos Word del tipo “OLE” (Incrustación y Enlazado de Objetos), de ella se tomó como muestra 5 Documentos. El instrumento empleado fue herramientas de encriptación y análisis de datos. Los resultados demostraron que en 2 documentos Microsoft Word se encontraron código ofuscado malicioso, siendo está una investigación muy útil para el ámbito de la auditoría informática.
Palabras clave: Auditoría informática, Microsoft Office Word, Ofuscación, VBA (Visual Basic para Aplicaciones).
INTRODUCCIÓN
En términos generales, se entiende por “ofuscar un código” a un proceso mediante el cual se transforma un código perfectamente legible y entendible en otro de funcionalidad equivalente en un ciento por ciento, pero totalmente ilegible e incomprensible para un lector humano. El propósito de la ofuscación es incrustar código malicioso en un Documento Word, de manera que sea muy difícil de entender para los filtros de protección de un sistema. En este propósito, la interrogante general que motiva la presente investigación es: ¿Cuáles serían los resultados de aplicar una Auditoría informática en Documentos Microsoft Office maliciosos del tipo macro VBA Ofuscado (Visual Basic para Aplicaciones)?
Después de las consideraciones anteriores, es importante empezar por una definición pertinente de este tema. Al respecto el autor (Caro Avia, 2022) afirma:
La ofuscación es un método para dificultar el seguimiento de un código fuente. Estos casos resultan más complejos y pueden requerir implementar algún software adicional para tratar de des ofuscar el código y tener una imagen de lo que se supone que el programa debería realizar. Entonces, podría decirse que gracias a la ingeniería inversa podemos llegar a obtener el código fuente del malware partiendo del código ejecutable, llegando de este modo a una información más entendible. (p. 22)
MÉTODOS Y MATERIALES
- Métodos. La metodología a utilizar tiene su fundamento en la siguiente tabla (1):
Tabla 1. Metodología aplicada en la investigación.
Metodología |
Característica |
Enfoque y diseño |
Se sustentó en el enfoque cuantitativo, del tipo de diseño no experimental, transeccional descriptivo. El objetivo es describir los resultados de aplicar una Auditoría Informática en Documentos Microsoft Office maliciosos del tipo macro VBA Ofuscado (Visual Basic para Aplicaciones) |
Población y muestra |
Se define como población a un conjunto finito de elementos con características comunes y que concuerdan con determinadas especificaciones (Documentos Word del tipo “OLE” (Incrustación y Enlazado de Objetos). La muestra es del tipo no probabilística —desde la visión cuantitativa— su utilidad requiere no tanto una “representatividad” de elementos de una población, sino una cuidadosa y controlada elección de casos con ciertas características especificadas. Está se integra por 5 Documentos Microsoft Word. |
Instrumentos de recolección de datos |
A los efectos de este, se aplicó sistemas de medición por aparatos, a través de instrumentos de software especializado de encriptación y análisis de datos, permitiendo la validación y verificación del objetivo de la investigación. Los resultados son tabulados, codificados, procesados y analizados, manejando procedimientos propios de la Auditoría Informática. |
Fuente: Elaboración propia.
- Materiales.
Tabla 2. Materiales que se utilizó en la investigación.
Descripción |
|
|
|
Software especializado |
|
Fuente: Elaboración propia.
RESULTADOS
Al respecto, a continuación, se muestra el procedimiento y los resultados obtenidos de la Auditoria Informática y análisis de los archivos tipo Microsoft Word maliciosos con la herramienta “CYBERCHEF”
Utilizando la herramienta online bajo la dirección web https://gchq.github.io/CyberChef/ para la realización y el análisis de los Documentos Microsoft Office Word y la detección del tipo macro VBA Ofuscado (Visual Basic para Aplicaciones) en los mismos, se utilizó el método “DETECT FILE TYPE” de la herramienta, obteniendo los siguientes resultados:
Figura 1. Resultados del método “DETECT FILE TYPE” en la herramienta “CIBERCHEF”.
Fuente: Elaboración propia.
A continuación, de los archivos muestra en cuestión, se realizó el proceso de descompresión utilizando la terminal del Sistema Operativo Kali Linux, teniendo:
Figura 2. Resultados proceso descompresión utilizando Sistema Operativo Kali Linux.
Fuente: Elaboración propia.
Una vez realizado el anterior paso, se analizó cada uno de los archivos “descomprimidos” (uno a uno) para poder verificar su codificación, encontrando líneas de código ofuscado dentro de 2 muestras, en archivos del tipo “document.xml”, y abriendo los mismos, se tiene:
Figura 3. código ofuscado dentro de 2 muestras en archivos del tipo “document.xml”.
Fuente: Elaboración propia.
Análisis. En estos archivos encontrados se puede observar CÓDIGO OFUSCADO a través de juegos de caracteres, que posiblemente sean dañinos o maliciosos. En ese entendido se realizó el procedimiento para des ofuscar utilizando los métodos “FromBase64” y “DES – OFUSCACIÓN REVERSE” en la herramienta, teniendo:
Figura 4. Procedimiento para des ofuscar códigos encontrados.
Fuente: Elaboración propia.
Ya en este punto, se puede observar que el código encontrado es legible para su análisis, teniendo:
Tabla 3. código des ofuscado (legible) para su análisis.
ANÁLISIS DE LOS RESULTADOS OBTENIDOS
Como análisis de los resultados se puede observar las siguientes líneas de código:
- ActiveXObject. Son controles del tipo Active X, pequeños bloques empleados para la creación de programas, que se usa para crear aplicaciones que funcionan a través de Internet.
- GET. Es una petición que solicita a un servidor información o un recurso concreto.
- http://coursemcclurez.com. Es el sitio web específico del cual descarga algún tipo de archivo malicioso.
- Estatus 200. Es un código de respuesta “OK” del servidor HTTP ofreciendo estatus correcto ante una petición estándar a la responde sin problemas.
- varLst.savetofile("c:\\users\\public\\collectionBoxConst.jpg. Esta línea realiza el procedimiento de guardado del archivo descargado (virus) en una ruta específica del ordenador.
DISCUSIÓN.
A través de esta investigación se ha intentado describir los resultados de aplicar una Auditoría informática en Documentos Microsoft Office maliciosos del tipo macro VBA Ofuscado (Visual Basic para Aplicaciones) en función a herramientas de encriptación y análisis de datos. De las mismas se puede mencionar que dentro de los Documentos Microsoft Word existe código malicioso, el cual se instala y se ejecuta, y lo más probable es que dé al ordenador la instrucción de descargar algún tipo de malware malicioso. Frecuentemente, este tipo de malware hará que el usuario vea una notificación de actualización falsa y, una vez la instale, le abrirá una puerta trasera al ciber delincuente para que este robe su información de manera persistente.
CONCLUSIÓN
Dadas las condiciones, se concluye que la auditoría informática en Documentos Microsoft Office maliciosos del tipo macro VBA Ofuscado (Visual Basic para Aplicaciones) representa un punto muy importante en la actualidad, y particularmente el análisis de código ofuscado, el procedimiento llevado a cabo en este artículo, puede ser calificado como satisfactorio, y es que se logró evidenciar resultados de investigación, siguiendo la metodología adecuada para cada uno de los procedimientos realizados, desde la implementación de las herramientas de análisis de datos en Documentos Word, demostrando y observando código ofuscado malicioso que puede llegar a ejecutarse dentro de un ordenador teniendo consecuencias críticas para el usuario.
REFERENCIAS BIBLIOGRÁFICAS.
- Caro Avia, P. (2022). Análisis y ejecución de Malware y Códigos Maliciosos en un entorno controlado. [Bachelor thesis, Universitat Politècnica de Catalunya]. https://upcommons.upc.edu/handle/2117/372262
BIBLIOGRAFÍA.
- Hernández-Sampieri, R., & Torres, C. P. M. (2018). Metodología de la investigación (Vol. 4). México Ed. F DF: McGraw-Hill Interamericana.
- Arias, F. G. (2012). El proyecto de investigación. Introducción a la metodología científica. 6ta. Fidias G. Arias Odón.
- Arias, F. G. (2008). Perfil del profesor de metodología de la investigación en educación superior. Universidad Central de Venezuela.
- Posada, J. A. C. (2001). Metodología de la Investigación (Vol. 58). Bib. Orton IICA/CATIE.
- Flores, M. D., Franco, M. E. V. E., Ricalde, D. C., Garduño, A. A. L., & Apáez, M. R. (2013). Metodología de la investigación. Editorial Trillas, SA de CV.
- Namakforoosh, M. N. (2000). Metodología de la investigación. Editorial Limusa.
- Moguel, E. A. R. (2005). Metodología de la Investigación. Univ. J. Autónoma de Tabasco.
- Vélez, A. (2011). Metodología de la investigación. Medellín: EAFIT.