{"id":1090018,"date":"2023-12-13T13:36:43","date_gmt":"2023-12-13T13:36:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/como-analizar-el-trafico-de-red-de-malware-en-un-entorno-sandbox\/"},"modified":"2023-12-13T13:36:46","modified_gmt":"2023-12-13T13:36:46","slug":"como-analizar-el-trafico-de-red-de-malware-en-un-entorno-sandbox","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/como-analizar-el-trafico-de-red-de-malware-en-un-entorno-sandbox\/","title":{"rendered":"C\u00f3mo analizar el tr\u00e1fico de red de malware en un entorno sandbox"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El an\u00e1lisis de malware abarca una amplia gama de actividades, incluido el examen del tr\u00e1fico de red del malware. Para ser eficaz en ello, es fundamental comprender los desaf\u00edos comunes y c\u00f3mo superarlos. A continuaci\u00f3n se detallan tres problemas frecuentes que puede encontrar y las herramientas que necesitar\u00e1 para abordarlos.<\/p>\n

Descifrando el tr\u00e1fico HTTPS<\/h2>\n

El Protocolo seguro de transferencia de hipertexto (HTTPS), el protocolo para la comunicaci\u00f3n segura en l\u00ednea, se ha convertido en una herramienta para que el malware oculte sus actividades maliciosas. Al ocultar el intercambio de datos entre dispositivos infectados y servidores de comando y control (C&C), el malware puede operar sin ser detectado, extrayendo datos confidenciales, instalando cargas \u00fatiles adicionales y recibiendo instrucciones de los operadores.<\/p>\n

Sin embargo, con la herramienta adecuada, descifrar el tr\u00e1fico HTTPS es una tarea sencilla. Para ello, podemos utilizar un proxy de intermediario (MITM). El proxy MITM act\u00faa como intermediario entre el cliente y el servidor, interceptando su comunicaci\u00f3n.<\/p>\n

El proxy MITM ayuda a los analistas a monitorear en tiempo real el tr\u00e1fico de red del malware, brind\u00e1ndoles una visi\u00f3n clara de sus actividades. Entre otras cosas, los analistas pueden acceder al contenido de los paquetes de solicitud y respuesta, IP y URL para ver los detalles de la comunicaci\u00f3n del malware e identificar datos robados. La herramienta es particularmente \u00fatil para extraer claves SSL utilizadas por el malware.<\/p>\n

Caso de uso<\/h3>\n\n\n\n\n
\"Analizar<\/a><\/td>\n<\/tr>\n
Informaci\u00f3n sobre AxileStealer proporcionada por el sandbox ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En este ejemplo<\/a>, el archivo inicial, de 237,06 KB de tama\u00f1o, elimina el archivo ejecutable de AxilStealer, de 129,54 KB de tama\u00f1o. Como un ladr\u00f3n t\u00edpico, obtiene acceso a las contrase\u00f1as almacenadas en los navegadores web y comienza a transferirlas a los atacantes a trav\u00e9s de una conexi\u00f3n de mensajer\u00eda Telegram. <\/p>\n

La actividad maliciosa est\u00e1 indicada por la regla “STEALER [ANY.RUN] Intento de exfiltraci\u00f3n a trav\u00e9s de Telegram”. Gracias a la funci\u00f3n de proxy MITM, el tr\u00e1fico del malware se descifra, revelando m\u00e1s detalles sobre el incidente.<\/p>\n

An\u00e1lisis de malware<\/span><\/p>\n

Utilice un proxy MITM y docenas de otras funciones avanzadas para un an\u00e1lisis de malware en profundidad en el entorno limitado de ANY.RUN. <\/p>\n

Solicite una prueba gratuita<\/a><\/section>\n

Descubriendo la familia del malware<\/h2>\n

La identificaci\u00f3n de la familia de malware es una parte crucial de cualquier investigaci\u00f3n cibern\u00e9tica. Las reglas de Yara y Suricata son herramientas com\u00fanmente utilizadas para esta tarea, pero su efectividad puede verse limitada cuando se trata de muestras de malware cuyos servidores ya no est\u00e1n activos. <\/p>\n

FakeNET ofrece una soluci\u00f3n a este desaf\u00edo mediante la creaci\u00f3n de una conexi\u00f3n de servidor falsa que responde a solicitudes de malware. Enga\u00f1ar al malware para que env\u00ede una solicitud activa una regla Suricata o YARA, que identifica con precisi\u00f3n la familia de malware.<\/p>\n

Caso de uso<\/h3>\n\n\n\n\n
\"Analizar<\/a><\/td>\n<\/tr>\n
Servidores inactivos detectados por el sandbox ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Al analizar esta muestra<\/a>el sandbox apunta al hecho de que los servidores del malware no responden.<\/p>\n\n\n\n\n
\"Analizar<\/a><\/td>\n<\/tr>\n
Malware Smoke Loader identificado mediante FakeNET<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Sin embargo, despu\u00e9s de habilitar la funci\u00f3n FakeNET, el software malicioso env\u00eda instant\u00e1neamente una solicitud a un servidor falso, lo que activa la regla de red que lo identifica como Cargador de humo<\/a>.<\/p>\n

Detecci\u00f3n de malware evasivo y con orientaci\u00f3n geogr\u00e1fica<\/h2>\n

Muchos ataques y campa\u00f1as de phishing se centran en regiones geogr\u00e1ficas o pa\u00edses espec\u00edficos. Posteriormente, incorporan mecanismos como la geolocalizaci\u00f3n de IP, la detecci\u00f3n de idioma o el bloqueo de sitios web que pueden limitar la capacidad de los analistas para detectarlos. <\/p>\n

Adem\u00e1s de la orientaci\u00f3n geogr\u00e1fica, los operadores de malware pueden aprovechar t\u00e9cnicas para evadir el an\u00e1lisis en entornos sandbox. Un enfoque com\u00fan es verificar si el sistema est\u00e1 utilizando una direcci\u00f3n IP del centro de datos. Si se confirma, el software malicioso detiene la ejecuci\u00f3n.<\/p>\n

Para contrarrestar estos obst\u00e1culos, los analistas utilizan un proxy residencial. Esta ingeniosa herramienta funciona cambiando la direcci\u00f3n IP del dispositivo o m\u00e1quina virtual del analista a las IP residenciales de usuarios comunes de diferentes partes del mundo. <\/p>\n

Esta caracter\u00edstica permite a los profesionales evitar las restricciones geogr\u00e1ficas imitando a los usuarios locales y estudiar actividades maliciosas sin revelar su entorno de pruebas.<\/p>\n

Caso de uso<\/h3>\n\n\n\n\n
\"Analizar<\/a><\/td>\n<\/tr>\n
Malware Smoke Loader identificado mediante FakeNET<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Aqu\u00ed<\/a>, Xworm busca instant\u00e1neamente una direcci\u00f3n IP de alojamiento tan pronto como se carga en un sandbox. Sin embargo, dado que la VM tiene un proxy residencial, el malware contin\u00faa ejecut\u00e1ndose y se conecta a su servidor de comando y control.<\/p>\n

Pruebe todas estas herramientas en ANY.RUN<\/h2>\n

Configurar y utilizar cada una de las herramientas antes mencionadas individualmente puede requerir mucho esfuerzo. Para acceder y utilizarlos todos con facilidad, utilice la plataforma basada en la nube. Caja de arena ANY.RUN<\/a>.<\/p>\n

La caracter\u00edstica clave del servicio es la interactividad, lo que le permite interactuar de forma segura con el malware y el sistema infectado tal como lo har\u00eda en su propia computadora.<\/p>\n

Puede explorar estas y muchas otras caracter\u00edsticas de ANY.RUN, incluido el espacio privado para su equipo, m\u00e1quinas virtuales Windows 7, 8, 10, 11 y la integraci\u00f3n de API de forma totalmente gratuita. <\/p>\n

Solo usa una prueba de 14 d\u00edas,<\/a> Sin condiciones.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n