Antes de cazar malware, todo investigador necesita encontrar un sistema donde analizarlo. Hay varias formas de hacerlo: cree su propio entorno o use soluciones de terceros. Hoy repasaremos todos los pasos para crear un entorno aislado de malware personalizado donde puede realizar un análisis adecuado sin infectar su computadora. Y luego compárelo con un servicio ya hecho.
¿Por qué necesita un sandbox de malware?
Un sandbox permite detectar amenazas cibernéticas y analizarlas de forma segura. Toda la información permanece segura y un archivo sospechoso no puede acceder al sistema. Puede monitorear los procesos de malware, identificar sus patrones e investigar el comportamiento.
Antes de configurar un sandbox, debe tener un objetivo claro de lo que quiere lograr a través del laboratorio.
Hay dos formas de organizar su espacio de trabajo para el análisis:
- Caja de arena personalizada. Hecho desde cero por un analista por su cuenta, específicamente para sus necesidades.
- Una solución llave en mano. Un servicio versátil con una gama de configuraciones para satisfacer sus demandas.
¿Cómo construir su propia caja de arena de malware?
Cómo hacer su propia caja de arena de malware
Repasemos todos los pasos que necesita para configurar el entorno simple para la investigación de malware:
1 — Instalar una máquina virtual
La ejecución de malware debe ocurrir en un entorno debidamente aislado para evitar la infección de un sistema operativo host. Es mejor tener una computadora aislada, pero puede configurar una máquina virtual o más bien algunas de ellas con diferentes versiones de sistemas operativos. Hay un montón de máquinas virtuales presentadas en el mercado: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels o Xen.
2 — Comprobar artefactos
El malware moderno es inteligente: entiende si se ejecuta en la máquina virtual o no. Por eso es esencial deshacerse de los artefactos. Verifique el código, elimine la detección y otros.
3 — Usa una red diferente
Otra precaución es utilizar un sistema de red diferente. Es importante prevenir cualquier infección de otras computadoras en su red. Obtenga un servicio VPN y configúrelo correctamente. No puede permitir que la fuga de tráfico ocurra desde una dirección IP real.
4 — Asignar una cantidad realista de recursos
Nuestro objetivo es hacer que un sistema parezca lo más auténtico posible para engañar a cualquier programa malicioso para que se ejecute. Asegúrese de asignar una cantidad realista de recursos: más de 4 Gb de RAM, un mínimo de 4 núcleos y espacio en disco de 100 Gb y más. Ese es un requisito básico para pretender ser un sistema legítimo. Y aún así, ten en cuenta que el malware comprueba la configuración de los equipos. Si hay el nombre de una máquina virtual en alguna parte, un objeto malicioso la identifica y deja de funcionar.
5 — Instalar software de uso común
Si instalas Windows y lo dejas como está, un objeto malicioso conseguirá que sea analizado.
Instale algunas aplicaciones, como Word, navegadores y otros programas que todos los usuarios suelen tener.
6 — Abre varios archivos
Aquí necesitamos mostrar que es una computadora real que pertenece a alguien. Abra algunos documentos para acumular registros y algunos archivos temporales. Varios tipos de virus comprueban esto. Puede usar Regshot o Process monitor para realizar registros de cambios en el registro y en el sistema de archivos. Tenga en cuenta que estos programas pueden ser detectados por malware cuando se está ejecutando.
7 — Imitar una conexión de red
Algunos tipos de malware verifican si pueden conectarse a sitios web como Google. ¿Cómo engañar a un programa malicioso para que piense que está en línea? Utilidades como INetSim y la herramienta FakeNet imitan una conexión real a Internet y nos permiten interceptar las solicitudes que realiza el malware. Intente verificar los protocolos de red entre un objeto malicioso y su servidor host. Pero de antemano, averigüe con qué se conecta la muestra analizada usando WireShark. Y se necesita un esfuerzo para no ceder esta herramienta al malware, tenga cuidado.
8 — Instalar herramientas de análisis
Prepare las herramientas que usará para el análisis y asegúrese de saber cómo usarlas. Puede utilizar las herramientas Flare VM o hacer uso de estos programas:
- Depuradores: x64dbg investiga el código malicioso ejecutándolo.
- Desensambladores: Ghidra facilita la ingeniería inversa, con acceso a la salida del descompilador. También se puede utilizar como depurador.
- Analizadores de tráfico: Wireshark comprueba la comunicación de red que solicita el malware.
- Analizadores de archivos: Process Monitor, ProcDOT tiene como objetivo monitorear y comprender cómo los procesos tratan con los archivos.
- Monitores de procesos: Process Explorer, Process Hacker ayudan a observar el comportamiento del malware.
9 — Actualice su sistema a la última versión
Su sistema debe estar actualizado, así como todo el software. Filtre los cambios regulares de Windows que ocurren con bastante frecuencia. Sin embargo, su experimento puede requerir una versión diferente, por ejemplo, cómo el malware explota algunos errores del sistema operativo. En este escenario, elija y configure la versión necesaria.
10: apague Windows Defender y el firewall de Windows.
Deshabilite cosas como Windows Defender. Si está trabajando con malware, puede activar el antivirus.
11 — Preparar los archivos para el análisis
Cree una carpeta compartida, seleccione un directorio que necesite.
Configure una instantánea para retroceder al estado posterior de la máquina virtual en caso de error.
Si completa todos estos pasos, está listo para comenzar el análisis.
¿Existe una opción más eficiente para analizar el malware?
Todos estos pasos toman mucho tiempo y preparación. Y aún así, existe la posibilidad de que su sandbox no sea lo suficientemente seguro, invisible para el malware y proporcione la información necesaria. Entonces, ¿cuál es una mejor solución? Aquí viene la segunda opción: use una solución preparada. Echemos un vistazo a ANY.RUN.
CUALQUIER EJECUTAR es un entorno limitado de malware en línea que puede usar para detectar, monitorear y analizar amenazas. La mejor parte es el tiempo y la comodidad:
- Solo lleva unos minutos completar un análisis de una muestra maliciosa.
- La mayoría de las herramientas están listas para usted, solo elija lo que necesita y comience la tarea.
- Sus archivos, sistema y red están completamente seguros.
- La interfaz es lo suficientemente simple incluso para analistas principiantes.
Todavía se puede personalizar: seleccione un sistema operativo, un conjunto de software, localización y otros detalles para sus propósitos. ¡Pero la ventaja es que no necesitas instalar nada! Tome su computadora y ya está todo listo.
Por lo general, dos minutos son suficientes para descifrar incluso un malware avanzado, y la mayoría de los trucos anti-evasión modernos no funcionan aquí. ANY.RUN los caza a todos.
Disfruta de una solución más rápida
La mejor experiencia es tuya, por eso te ofrecemos probar el sandbox por ti mismo y comprobar las características de CUALQUIER EJECUTAR. Y aquí hay una oferta especial para nuestros lectores: puede probar el servicio de forma gratuita:
¡Escriba el código de promoción «HACKERNEWS» en el asunto del correo electrónico en [email protected] y obtenga 14 días de suscripción premium ANY.RUN gratis!
Por supuesto, depende de usted cómo realizar el análisis de malware. Puede dedicar algún tiempo a crear su propio entorno virtual o realizar análisis en varios minutos utilizando un espacio aislado conveniente como ANY.RUN. La decisión es tuya. Lo más importante es qué harás con estos servicios y cómo lograrás tus objetivos allí. Pero esa es otra historia. ¡Caza exitosa!