Según los hallazgos de Malwarebytes' Threat Review para 2022, en 2021 se detectaron 40 millones de amenazas de computadoras comerciales con Windows. Para combatir y evitar este tipo de ataques, el análisis de malware es esencial. En este artículo, desglosaremos el objetivo de la investigación de programas maliciosos y cómo realizar un análisis de malware con un sandbox.
¿Qué es el análisis de malware?
El análisis de malware es un proceso de estudio de una muestra maliciosa. Durante el estudio, el objetivo del investigador es comprender el tipo, las funciones, el código y los peligros potenciales de un programa malicioso. Recibir la información que la organización necesita para responder a la intrusión.
Resultados del análisis que obtienes:
Cómo funciona el malware: si investigas el código del programa y su algoritmo, podrás evitar que infecte todo el sistema.
Características del programa: mejorar la detección mediante el uso de datos sobre malware como su familia, tipo, versión, etc.
Cuál es el objetivo del malware: desencadenar la ejecución de la muestra para verificar a qué datos está dirigido, pero, por supuesto, hacerlo en un entorno seguro.
Quién está detrás del ataque: obtenga las IP, el origen, los TTP utilizados y otras huellas que ocultan los piratas informáticos.
Un plan sobre cómo prevenir este tipo de ataque.
Pasos clave del análisis de malware
A lo largo de estos cinco pasos, el objetivo principal de la investigación es descubrir todo lo posible sobre la muestra maliciosa, el algoritmo de ejecución y la forma en que funciona el malware en varios escenarios.
Creemos que el método más efectivo para analizar software malicioso es mezclar métodos estáticos y dinámicos. Aquí hay una breve guía sobre cómo hacer un análisis de malware. Solo sigue los siguientes pasos:
Paso 1. Configura tu máquina virtual
Puede personalizar una máquina virtual con requisitos específicos, como un navegador, Microsoft Office, elegir el valor de bits del sistema operativo y la configuración regional. Agrega herramientas para el análisis e instálalas en tu VM: FakeNet, MITM proxy, Tor, VPN. Pero podemos hacerlo fácilmente en ANY.RUN sandbox.
Paso 2. Revisa las propiedades estáticas
Esta es una etapa para el análisis de malware estático. Examine el archivo ejecutable sin ejecutarlo: verifique las cadenas para comprender la funcionalidad del malware. El contenido de hashes, cadenas y encabezados proporcionará una descripción general de las intenciones del malware.
Paso 3. Supervise el comportamiento del malware
Este es el enfoque dinámico para el análisis de malware. Cargue una muestra de malware en un entorno virtual seguro. Interactuar directamente con el malware para hacer que el programa actúe y observar su ejecución. Verifique el tráfico de red, las modificaciones de archivos y los cambios de registro. Y cualquier otro evento sospechoso.
Paso 4. Desglosa el código
Si los actores de amenazas ofuscaron o empaquetaron el código, use técnicas de desofuscación e ingeniería inversa para revelar el código. Identifique las capacidades que no se expusieron durante los pasos anteriores. Incluso si solo busca una función utilizada por el malware, puede decir mucho sobre su funcionalidad. Por ejemplo, la función "InternetOpenUrlA" indica que este malware establecerá una conexión con algún servidor externo.
En esta etapa, se requieren herramientas adicionales, como depuradores y desensambladores.
Paso 5. Escriba un informe de malware.
Incluya todos sus hallazgos y datos que haya averiguado. Provee la siguiente información:
Resumen de su investigación con el nombre, origen y características clave del programa malicioso.
Información general sobre tipo de malware, nombre de archivo, tamaño, hash y capacidades de detección de antivirus.
Descripción del comportamiento malicioso, el algoritmo de infección, técnicas de propagación, recopilación de datos y formas de comunicación С2.
Bits, software, ejecutables y archivos de inicialización necesarios del sistema operativo, DLL, direcciones IP y scripts.
Revisión de las actividades de comportamiento, como de dónde roba las credenciales, si modifica, elimina o instala archivos, lee valores y verifica el idioma.
Resultados del análisis de código, datos de encabezados.
Capturas de pantalla, registros, líneas de texto, extractos, etc.
COI.
Análisis de malware interactivo
Los antivirus y cortafuegos modernos no podían manejar amenazas desconocidas como ataques dirigidos, vulnerabilidades de día cero, programas maliciosos avanzados y peligros con firmas desconocidas. Todos estos desafíos se pueden resolver mediante una caja de arena interactiva.
La interactividad es la principal ventaja de nuestro servicio. Con ANY.RUN puede trabajar con una muestra sospechosa directamente como si la abriera en su computadora personal: haga clic, ejecute, imprima, reinicie. Puede trabajar con la ejecución retrasada del malware y elaborar diferentes escenarios para obtener resultados efectivos.
Durante su investigación, usted puede:
Obtenga acceso interactivo: trabaje con VM como en su computadora personal: use un mouse, ingrese datos, reinicie el sistema y abra archivos.
Cambie la configuración : conjunto de software preinstalado, varios sistemas operativos con diferentes bits y compilaciones están listos para usted.
Elija herramientas para su máquina virtual : FakeNet, proxy MITM, Tor, OpenVPN.
Investigue las conexiones de red: intercepte paquetes y obtenga una lista de direcciones IP.
Acceso instantáneo al análisis: la VM inicia inmediatamente el proceso de análisis.
Supervise los procesos de los sistemas: observe el comportamiento del malware en tiempo real.
Recopile IOC: direcciones IP, nombres de dominio, hashes y otros están disponibles.
Obtenga la matriz MITRE ATT@CK: revise TTP en detalle.
Tenga un gráfico de proceso: evalúe todos los procesos en un gráfico.
Descargue un informe de malware listo para usar: imprima todos los datos en un formato conveniente.
Todas estas características ayudan a revelar malware sofisticado y ver la anatomía del ataque en tiempo real.
Comments