El análisis de malware abarca una amplia gama de actividades, incluido el examen del tráfico de red del malware. Para ser eficaz en ello, es fundamental comprender los desafíos comunes y cómo superarlos. A continuación se detallan tres problemas frecuentes que puede encontrar y las herramientas que necesitará para abordarlos.
Descifrando el tráfico HTTPS
El Protocolo seguro de transferencia de hipertexto (HTTPS), el protocolo para la comunicación segura en línea, se ha convertido en una herramienta para que el malware oculte sus actividades maliciosas. Al ocultar el intercambio de datos entre dispositivos infectados y servidores de comando y control (C&C), el malware puede operar sin ser detectado, extrayendo datos confidenciales, instalando cargas útiles adicionales y recibiendo instrucciones de los operadores.
Sin embargo, con la herramienta adecuada, descifrar el tráfico HTTPS es una tarea sencilla. Para ello, podemos utilizar un proxy de intermediario (MITM). El proxy MITM actúa como intermediario entre el cliente y el servidor, interceptando su comunicación.
El proxy MITM ayuda a los analistas a monitorear en tiempo real el tráfico de red del malware, brindándoles una visión clara de sus actividades. Entre otras cosas, los analistas pueden acceder al contenido de los paquetes de solicitud y respuesta, IP y URL para ver los detalles de la comunicación del malware e identificar datos robados. La herramienta es particularmente útil para extraer claves SSL utilizadas por el malware.
Caso de uso
 |
| Información sobre AxileStealer proporcionada por el sandbox ANY.RUN |
En este ejemplo, el archivo inicial, de 237,06 KB de tamaño, elimina el archivo ejecutable de AxilStealer, de 129,54 KB de tamaño. Como un ladrón típico, obtiene acceso a las contraseñas almacenadas en los navegadores web y comienza a transferirlas a los atacantes a través de una conexión de mensajería Telegram.
La actividad maliciosa está indicada por la regla «STEALER [ANY.RUN] Intento de exfiltración a través de Telegram». Gracias a la función de proxy MITM, el tráfico del malware se descifra, revelando más detalles sobre el incidente.
Utilice un proxy MITM y docenas de otras funciones avanzadas para un análisis de malware en profundidad en el entorno limitado de ANY.RUN.
Descubriendo la familia del malware
La identificación de la familia de malware es una parte crucial de cualquier investigación cibernética. Las reglas de Yara y Suricata son herramientas comúnmente utilizadas para esta tarea, pero su efectividad puede verse limitada cuando se trata de muestras de malware cuyos servidores ya no están activos.
FakeNET ofrece una solución a este desafío mediante la creación de una conexión de servidor falsa que responde a solicitudes de malware. Engañar al malware para que envíe una solicitud activa una regla Suricata o YARA, que identifica con precisión la familia de malware.
Caso de uso
 |
| Servidores inactivos detectados por el sandbox ANY.RUN |
Al analizar esta muestrael sandbox apunta al hecho de que los servidores del malware no responden.
 |
| Malware Smoke Loader identificado mediante FakeNET |
Sin embargo, después de habilitar la función FakeNET, el software malicioso envía instantáneamente una solicitud a un servidor falso, lo que activa la regla de red que lo identifica como Cargador de humo.
Detección de malware evasivo y con orientación geográfica
Muchos ataques y campañas de phishing se centran en regiones geográficas o países específicos. Posteriormente, incorporan mecanismos como la geolocalización de IP, la detección de idioma o el bloqueo de sitios web que pueden limitar la capacidad de los analistas para detectarlos.
Además de la orientación geográfica, los operadores de malware pueden aprovechar técnicas para evadir el análisis en entornos sandbox. Un enfoque común es verificar si el sistema está utilizando una dirección IP del centro de datos. Si se confirma, el software malicioso detiene la ejecución.
Para contrarrestar estos obstáculos, los analistas utilizan un proxy residencial. Esta ingeniosa herramienta funciona cambiando la dirección IP del dispositivo o máquina virtual del analista a las IP residenciales de usuarios comunes de diferentes partes del mundo.
Esta característica permite a los profesionales evitar las restricciones geográficas imitando a los usuarios locales y estudiar actividades maliciosas sin revelar su entorno de pruebas.
Caso de uso
 |
| Malware Smoke Loader identificado mediante FakeNET |
Aquí, Xworm busca instantáneamente una dirección IP de alojamiento tan pronto como se carga en un sandbox. Sin embargo, dado que la VM tiene un proxy residencial, el malware continúa ejecutándose y se conecta a su servidor de comando y control.
Pruebe todas estas herramientas en ANY.RUN
Configurar y utilizar cada una de las herramientas antes mencionadas individualmente puede requerir mucho esfuerzo. Para acceder y utilizarlos todos con facilidad, utilice la plataforma basada en la nube. Caja de arena ANY.RUN.
La característica clave del servicio es la interactividad, lo que le permite interactuar de forma segura con el malware y el sistema infectado tal como lo haría en su propia computadora.
Puede explorar estas y muchas otras características de ANY.RUN, incluido el espacio privado para su equipo, máquinas virtuales Windows 7, 8, 10, 11 y la integración de API de forma totalmente gratuita.
Solo usa una prueba de 14 días, Sin condiciones.