{"id":1386222,"date":"2024-10-03T02:38:52","date_gmt":"2024-10-03T02:38:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/cinco-herramientas-imprescindibles-para-un-analisis-dinamico-eficaz-de-malware\/"},"modified":"2024-10-03T02:38:57","modified_gmt":"2024-10-03T02:38:57","slug":"cinco-herramientas-imprescindibles-para-un-analisis-dinamico-eficaz-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cinco-herramientas-imprescindibles-para-un-analisis-dinamico-eficaz-de-malware\/","title":{"rendered":"Cinco herramientas imprescindibles para un an\u00e1lisis din\u00e1mico eficaz de malware"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El an\u00e1lisis din\u00e1mico de malware es una parte clave de cualquier investigaci\u00f3n de amenazas. Implica ejecutar una muestra de un programa malicioso en el entorno aislado de un entorno limitado de malware para monitorear su comportamiento y recopilar indicadores procesables. El an\u00e1lisis eficaz debe ser r\u00e1pido, profundo y preciso. Estas cinco herramientas te ayudar\u00e1n a lograrlo con facilidad.<\/p>\n

1. Interactividad<\/h2>\n

Tener la capacidad de interactuar con el malware y el sistema en tiempo real es una gran ventaja cuando se trata de an\u00e1lisis din\u00e1mico. De esta manera, no s\u00f3lo puedes observar su ejecuci\u00f3n sino tambi\u00e9n ver c\u00f3mo responde a tus entradas y desencadena comportamientos espec\u00edficos. <\/p>\n

Adem\u00e1s, ahorra tiempo al permitirle descargar muestras alojadas en sitios web para compartir archivos o abrirlas empaquetadas dentro de un archivo, que es una forma com\u00fan de entregar cargas \u00fatiles a las v\u00edctimas.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
El correo electr\u00f3nico de phishing inicial que contiene el pdf malicioso y la contrase\u00f1a del archivo<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Mira esto sesi\u00f3n de zona de pruebas<\/a> en el Caja de arena ANY.RUN<\/a> que muestra c\u00f3mo se utiliza la interactividad para analizar toda la cadena de ataque, empezando por un correo electr\u00f3nico de phishing que contiene un archivo adjunto en PDF. El enlace dentro del .pdf conduce a un sitio web para compartir archivos donde se aloja un .zip protegido con contrase\u00f1a. <\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
El sitio web que aloja el archivo .zip<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El sandbox nos permite no solo descargar el archivo sino tambi\u00e9n ingresar la contrase\u00f1a (que se puede encontrar en el correo electr\u00f3nico) y extraer su contenido para ejecutar la carga maliciosa.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Puede ingresar manualmente una contrase\u00f1a para abrir archivos protegidos en ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Despu\u00e9s de iniciar el archivo ejecutable que se encuentra dentro del archivo, el sandbox detecta instant\u00e1neamente que el sistema ha sido infectado con AsyncRAT, una popular familia de malware utilizada por los atacantes para controlar de forma remota las m\u00e1quinas de las v\u00edctimas y robar datos confidenciales.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
ANY.RUN proporciona un veredicto concluyente sobre cada muestra<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Agrega las etiquetas correspondientes a la interfaz y genera un informe sobre la amenaza.<\/p>\n

\n

Analice archivos y URL en un entorno privado y en tiempo real del entorno limitado de ANY.RUN.<\/p>\n

Obtenga una prueba gratuita de 14 d\u00edas del sandbox<\/a> para probar sus capacidades.<\/p>\n<\/div>\n

2. Extracci\u00f3n de COI<\/h2>\n

Recopilar indicadores de compromiso (IOC) relevantes es uno de los principales objetivos del an\u00e1lisis din\u00e1mico. La detonaci\u00f3n de malware en un entorno vivo lo obliga a exponer las direcciones de su servidor C2, claves de cifrado y otras configuraciones que garantizan su funcionalidad y comunicaci\u00f3n con los atacantes. <\/p>\n

Aunque los desarrolladores de malware suelen proteger y ofuscar dichos datos, algunas soluciones sandbox est\u00e1n equipadas con capacidades avanzadas de recopilaci\u00f3n de IOC, lo que facilita la identificaci\u00f3n de la infraestructura maliciosa.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Como parte de cada sesi\u00f3n de an\u00e1lisis en ANY.RUN, obtienes un informe completo del COI<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En ANY.RUN, puede recopilar r\u00e1pidamente una variedad de indicadores, incluidos hashes de archivos, URL maliciosas, conexiones C2, solicitudes de DNS y m\u00e1s.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Configuraci\u00f3n de muestra de AsyncRAT extra\u00edda por el sandbox ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El sandbox de ANY.RUN va un paso m\u00e1s all\u00e1 al presentar no solo una lista de indicadores relevantes recopilados durante la sesi\u00f3n de an\u00e1lisis, sino tambi\u00e9n al extraer configuraciones para docenas de familias de malware populares. Vea un ejemplo de una configuraci\u00f3n de malware a continuaci\u00f3n sesi\u00f3n de zona de pruebas<\/a>.<\/p>\n

Estas configuraciones son la fuente m\u00e1s confiable de IOC procesables que puede utilizar sin dudarlo para mejorar sus sistemas de detecci\u00f3n y mejorar la efectividad de sus medidas de seguridad generales.<\/p>\n

3. Mapeo de MITRE ATT&CK<\/h2>\n

Prevenir posibles ataques a su infraestructura no se trata solo de encontrar de manera proactiva los IOC utilizados por los atacantes. Un m\u00e9todo m\u00e1s duradero es comprender las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) empleados en el malware que actualmente se dirige a su industria. <\/p>\n

El marco MITRE ATT&CK le ayuda a mapear estos TTP para permitirle ver qu\u00e9 est\u00e1 haciendo el malware y c\u00f3mo encaja en el panorama de amenazas m\u00e1s amplio. Al comprender los TTP, puede crear defensas m\u00e1s s\u00f3lidas adaptadas a su organizaci\u00f3n y detener a los atacantes en la puerta.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
TTP de una muestra de malware AgentTesla analizada en el sandbox ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Ver el siguiente an\u00e1lisis<\/a> del Agente Tesla. El servicio registra todos los principales TTP utilizados en el ataque y presenta descripciones detalladas de cada uno de ellos. <\/p>\n

Todo lo que queda por hacer es tener en cuenta esta importante inteligencia sobre amenazas y utilizarla para fortalecer sus mecanismos de seguridad.<\/p>\n

4. An\u00e1lisis del tr\u00e1fico de red<\/h2>\n

El an\u00e1lisis din\u00e1mico de malware tambi\u00e9n requiere un examen exhaustivo del tr\u00e1fico de red generado por el malware. <\/p>\n

El an\u00e1lisis de las solicitudes HTTP, las conexiones y las solicitudes DNS puede proporcionar informaci\u00f3n sobre la comunicaci\u00f3n del malware con servidores externos, el tipo de datos que se intercambian y cualquier actividad maliciosa. <\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
An\u00e1lisis del tr\u00e1fico de red en el entorno limitado de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El entorno limitado de ANY.RUN captura todo el tr\u00e1fico de la red y le permite ver los paquetes recibidos y enviados en formatos HEX y de texto.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Regla de Suricata que detecta la actividad de exfiltraci\u00f3n de datos de AgentTesla<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Adem\u00e1s de simplemente registrar el tr\u00e1fico, es vital que el sandbox detecte autom\u00e1ticamente acciones da\u00f1inas. Con este fin, ANY.RUN utiliza reglas Suricata IDS que escanean la actividad de la red y brindan notificaciones sobre amenazas.<\/p>\n

Tambi\u00e9n puede exportar datos en formato PCAP para realizar an\u00e1lisis detallados utilizando herramientas como Wireshark. <\/p>\n

Pruebe el an\u00e1lisis avanzado de tr\u00e1fico de red de ANY.RUN<\/a> con una prueba gratuita de 14 d\u00edas. <\/p>\n

5. An\u00e1lisis de procesos avanzado<\/h2>\n

Para comprender el flujo de ejecuci\u00f3n del malware y su impacto en el sistema, es necesario tener acceso a informaci\u00f3n detallada sobre los procesos que genera. Para ayudarle con esto, el entorno de pruebas que elija debe proporcionar un an\u00e1lisis de procesos avanzado que cubra varias \u00e1reas.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Gr\u00e1fico visual en el sandbox ANY.RUN que muestra la ejecuci\u00f3n del malware AsynRAT<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Por ejemplo, visualizar el \u00e1rbol de procesos en el Caja de arena ANY.RUN<\/a> facilita el seguimiento de la secuencia de creaci\u00f3n y terminaci\u00f3n de procesos e identifica procesos clave que son cr\u00edticos para el funcionamiento del malware. <\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
ANY.RUN sandbox le notifica sobre archivos con certificados que no son de confianza<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tambi\u00e9n debe poder verificar la autenticidad del proceso observando los detalles del certificado, incluido el emisor, el estado y la validez.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Volcado de proceso del malware XWorm disponible para descargar en ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Otra caracter\u00edstica \u00fatil son los volcados de procesos, que pueden contener informaci\u00f3n vital, como claves de cifrado utilizadas por el malware. Una zona de pruebas eficaz le permitir\u00e1 descargar f\u00e1cilmente estos volcados para realizar an\u00e1lisis forenses adicionales.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
ANY.RUN muestra desgloses detallados de los scripts de PowerShell, JavaScript y VBScript<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Una de las tendencias recientes en ciberataques es el uso de malware sin archivos que se ejecuta \u00fanicamente en la memoria. Para detectarlo, debe tener acceso a los scripts y comandos que se ejecutan durante el proceso de infecci\u00f3n.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Archivos cifrados por el ransomware LockBit durante el an\u00e1lisis en el entorno limitado de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El seguimiento de los eventos de creaci\u00f3n, modificaci\u00f3n y eliminaci\u00f3n de archivos es otra parte esencial de cualquier investigaci\u00f3n sobre las actividades del malware. Puede ayudarle a revelar si un proceso est\u00e1 intentando eliminar o modificar archivos en \u00e1reas confidenciales, como directorios del sistema o carpetas de inicio.<\/p>\n\n\n\n\n
\"An\u00e1lisis<\/a><\/td>\n<\/tr>\n
Ejemplo de XWorm usando la clave de registro Ejecutar para lograr persistencia<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Monitorear los cambios en el registro realizados por el proceso es crucial para comprender los mecanismos de persistencia del malware. El Registro de Windows es un objetivo com\u00fan para la persistencia de b\u00fasqueda de malware, ya que puede usarse para ejecutar c\u00f3digo malicioso al iniciar o alterar el comportamiento del sistema.<\/p>\n

Analice amenazas de malware y phishing en ANY.RUN Sandbox <\/h2>\n

ANY.RUN proporciona un entorno limitado en la nube para an\u00e1lisis de malware y phishing que ofrece resultados r\u00e1pidos y precisos para agilizar sus investigaciones. Gracias a la interactividad, puede interactuar libremente con los archivos y URL que env\u00ede, as\u00ed como con el sistema para explorar la amenaza en profundidad.<\/p>\n

Puede integrar el entorno limitado avanzado de ANY.RUN con funciones como m\u00e1quinas virtuales Windows y Linux, modo privado y trabajo en equipo en su organizaci\u00f3n.<\/p>\n

Deje su solicitud de prueba a probar el entorno limitado de ANY.RUN<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n