¿Cómo hacer un análisis de malware?

Según los hallazgos de Malwarebytes’ Threat Review para 2022, en 2021 se detectaron 40 millones de amenazas de computadoras comerciales con Windows. Para combatir y evitar este tipo de ataques, el análisis de malware es esencial. En este artículo, desglosaremos el objetivo de la investigación de programas maliciosos y cómo hacerlo. análisis de malware con un arenero.

¿Qué es el análisis de malware?

El análisis de malware es un proceso de estudio de una muestra maliciosa. Durante el estudio, el objetivo del investigador es comprender el tipo, las funciones, el código y los peligros potenciales de un programa malicioso. Recibir la información que la organización necesita para responder a la intrusión.

Resultados del análisis que obtienes:

cómo funciona el malware: si investigas el código del programa y su algoritmo, podrás evitar que infecte todo el sistema.
características del programa: mejorar la detección mediante el uso de datos sobre malware como su familia, tipo, versión, etc.
cuál es el objetivo del malware: desencadenar la ejecución de la muestra para verificar a qué datos está dirigido, pero, por supuesto, hacerlo en un entorno seguro.
quién está detrás del ataque: obtenga las IP, el origen, los TTP utilizados y otras huellas que ocultan los piratas informáticos.
un plan sobre cómo prevenir este tipo de ataque.

Tipos de análisis de malware

Análisis de malware estático y dinámico

Pasos clave del análisis de malware

A lo largo de estos cinco pasos, el objetivo principal de la investigación es descubrir todo lo posible sobre la muestra maliciosa, el algoritmo de ejecución y la forma en que funciona el malware en varios escenarios.

Creemos que el método más efectivo para analizar software malicioso es mezclar métodos estáticos y dinámicos. Aquí hay una breve guía sobre cómo hacer un análisis de malware. Solo sigue los siguientes pasos:

Paso 1. Configura tu máquina virtual

Puede personalizar una máquina virtual con requisitos específicos, como un navegador, Microsoft Office, elegir el valor de bits del sistema operativo y la configuración regional. Agrega herramientas para el análisis e instálalas en tu VM: FakeNet, MITM proxy, Tor, VPN. Pero podemos hacerlo fácilmente en CUALQUIER EJECUTAR sandbox.

Personalización de VM en ANY.RUN

Paso 2. Revisa las propiedades estáticas

Esta es una etapa para el análisis de malware estático. Examine el archivo ejecutable sin ejecutarlo: verifique las cadenas para comprender la funcionalidad del malware. El contenido de hashes, cadenas y encabezados proporcionará una descripción general de las intenciones del malware.

Por ejemplo, en la captura de pantalla a continuación, podemos ver los hash, el encabezado PE, el tipo mime y otra información de la muestra de Formbook. Para tener una breve idea sobre la funcionalidad, podemos echar un vistazo a la sección Importar en una muestra para el análisis de malwaredonde se enumeran todas las DLL importadas.

Descubrimiento estático del archivo PE

Paso 3. Supervise el comportamiento del malware

Este es el enfoque dinámico para el análisis de malware. Cargue una muestra de malware en un entorno virtual seguro. Interactuar directamente con el malware para hacer que el programa actúe y observar su ejecución. Verifique el tráfico de red, las modificaciones de archivos y los cambios de registro. Y cualquier otro evento sospechoso.

En nuestro muestra de sandbox en líneapodemos echar un vistazo dentro de la transmisión de la red para recibir la información de las credenciales del delincuente en C2 y la información que fue robada de una máquina infectada.

Credenciales del atacante

Revisión de los datos robados

Paso 4. Desglosa el código

Si los actores de amenazas ofuscaron o empaquetaron el código, use técnicas de desofuscación e ingeniería inversa para revelar el código. Identifique las capacidades que no se expusieron durante los pasos anteriores. Incluso si solo busca una función utilizada por el malware, puede decir mucho sobre su funcionalidad. Por ejemplo, la función «InternetOpenUrlA» indica que este malware establecerá una conexión con algún servidor externo.

En esta etapa, se requieren herramientas adicionales, como depuradores y desensambladores.

Paso 5. Escriba un informe de malware.

Incluya todos sus hallazgos y datos que haya averiguado. Provee la siguiente informacion:

Resumen de su investigación con el nombre, origen y características clave del programa malicioso.
Información general sobre tipo de malware, nombre de archivo, tamaño, hash y capacidades de detección de antivirus.
Descripción del comportamiento malicioso, el algoritmo de infección, técnicas de propagación, recopilación de datos y formas de comunicación С2.
Bits, software, ejecutables y archivos de inicialización necesarios del sistema operativo, DLL, direcciones IP y scripts.
Revisión de las actividades de comportamiento, como de dónde roba las credenciales, si modifica, elimina o instala archivos, lee valores y verifica el idioma.
Resultados del análisis de código, datos de encabezados.
Capturas de pantalla, registros, líneas de texto, extractos, etc.
COI.

Análisis de malware interactivo

Los antivirus y cortafuegos modernos no podían manejar amenazas desconocidas como ataques dirigidos, vulnerabilidades de día cero, programas maliciosos avanzados y peligros con firmas desconocidas. Todos estos desafíos se pueden resolver mediante una caja de arena interactiva.

La interactividad es la principal ventaja de nuestro servicio. Con ANY.RUN puede trabajar con una muestra sospechosa directamente como si la abriera en su computadora personal: haga clic, ejecute, imprima, reinicie. Puede trabajar con la ejecución retrasada del malware y elaborar diferentes escenarios para obtener resultados efectivos.

Durante su investigación, usted puede:

Obtenga acceso interactivo: trabaje con VM como en su computadora personal: use un mouse, ingrese datos, reinicie el sistema y abra archivos.
Cambiar la configuración: conjunto de software preinstalado, varios sistemas operativos con diferentes bits y compilaciones están listos para usted.
Elija herramientas para su máquina virtual: FakeNet, proxy MITM, Tor, OpenVPN.
Conexiones de la red de investigación: interceptar paquetes y obtener una lista de direcciones IP.
Acceso instantáneo al análisis: la VM inicia inmediatamente el proceso de análisis.
Supervisar los procesos de los sistemas: observar el comportamiento del malware en tiempo real.
Recoge los COI: Las direcciones IP, los nombres de dominio, los hashes y otros están disponibles.
Obtenga la matriz MITRE ATT@CK: revise TTP en detalle.
Tener un gráfico de proceso: evaluar todos los procesos en un gráfico.
Descargue un informe de malware listo para usar: imprimir todos los datos en un formato conveniente.

Todas estas características ayudan a revelar malware sofisticado y ver la anatomía del ataque en tiempo real.

¡Escriba el código de promoción «HACKERNEWS» en el asunto del correo electrónico en [email protected] y obtenga 14 días de suscripción premium ANY.RUN gratis!

Intente descifrar malware utilizando un enfoque interactivo. Si usa ANY.RUN sandbox, puede realizar análisis de malware y disfrutar de resultados rápidos, un proceso de investigación simple, investigar incluso malware sofisticado y obtener informes detallados. Siga los pasos, use herramientas inteligentes y busque malware con éxito.

ttn-es-57

Tres finales de remo, tres oportunidades de medalla holandesa

Olympia en directo – Baloncesto 3×3: Femenino, Alemania – Canadá

Fleetwood Mac: Nuevo álbum en vivo “Mirage Tour ’82”

A la espera del atletismo, hay medallas de plata que valen su peso en oro