Antes de cazar malware, todo investigador necesita encontrar un sistema donde analizarlo. Hay varias formas de hacerlo: cree su propio entorno o use soluciones de terceros. Hoy repasaremos todos los pasos para crear un entorno aislado de malware personalizado donde puede realizar un an\u00e1lisis adecuado sin infectar su computadora. Y luego comp\u00e1relo con un servicio ya hecho.<\/p>\n
\u00bfPor qu\u00e9 necesita un sandbox de malware? <\/h2>\n
Un sandbox permite detectar amenazas cibern\u00e9ticas y analizarlas de forma segura. Toda la informaci\u00f3n permanece segura y un archivo sospechoso no puede acceder al sistema. Puede monitorear los procesos de malware, identificar sus patrones e investigar el comportamiento.<\/p>\n
Antes de configurar un sandbox, debe tener un objetivo claro de lo que quiere lograr a trav\u00e9s del laboratorio. <\/p>\n
Hay dos formas de organizar su espacio de trabajo para el an\u00e1lisis:<\/p>\n
- \n
- Caja de arena personalizada.<\/strong> Hecho desde cero por un analista por su cuenta, espec\u00edficamente para sus necesidades.<\/li>\n
- Una soluci\u00f3n llave en mano.<\/strong> Un servicio vers\u00e1til con una gama de configuraciones para satisfacer sus demandas. <\/li>\n<\/ul>\n
\u00bfC\u00f3mo construir su propia caja de arena de malware? <\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648150391_475_Como-crear-un-Sandbox-de-analisis-de-malware-personalizado.jpg\")
<\/div>\nC\u00f3mo hacer su propia caja de arena de malware<\/strong><\/h4>\n
Repasemos todos los pasos que necesita para configurar el entorno simple para la investigaci\u00f3n de malware:<\/p>\n
1 \u2014 Instalar una m\u00e1quina virtual<\/b><\/p>\n
- \n<\/ol>\n
- Depuradores: x64dbg investiga el c\u00f3digo malicioso ejecut\u00e1ndolo.<\/li>\n
- Desensambladores: Ghidra facilita la ingenier\u00eda inversa, con acceso a la salida del descompilador. Tambi\u00e9n se puede utilizar como depurador. <\/li>\n
- Analizadores de tr\u00e1fico: Wireshark comprueba la comunicaci\u00f3n de red que solicita el malware.<\/li>\n
- Analizadores de archivos: Process Monitor, ProcDOT tiene como objetivo monitorear y comprender c\u00f3mo los procesos tratan con los archivos.<\/li>\n
- Monitores de procesos: Process Explorer, Process Hacker ayudan a observar el comportamiento del malware. <\/li>\n<\/ul>\n
9 \u2014 Actualice su sistema a la \u00faltima versi\u00f3n<\/b><\/p>\n
- \n<\/ol>\n
- Solo lleva unos minutos completar un an\u00e1lisis de una muestra maliciosa.<\/li>\n
- La mayor\u00eda de las herramientas est\u00e1n listas para usted, solo elija lo que necesita y comience la tarea. <\/li>\n
- Sus archivos, sistema y red est\u00e1n completamente seguros. <\/li>\n
- La interfaz es lo suficientemente simple incluso para analistas principiantes. <\/li>\n<\/ol>\n
Todav\u00eda se puede personalizar: seleccione un sistema operativo, un conjunto de software, localizaci\u00f3n y otros detalles para sus prop\u00f3sitos. \u00a1Pero la ventaja es que no necesitas instalar nada! Tome su computadora y ya est\u00e1 todo listo. <\/p>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648150391_34_Como-crear-un-Sandbox-de-analisis-de-malware-personalizado.jpg\")
<\/div>\nPor lo general, dos minutos son suficientes para descifrar incluso un malware avanzado, y la mayor\u00eda de los trucos anti-evasi\u00f3n modernos no funcionan aqu\u00ed. ANY.RUN los caza a todos.<\/p>\n
Disfruta de una soluci\u00f3n m\u00e1s r\u00e1pida<\/h3>\n
La mejor experiencia es tuya, por eso te ofrecemos probar el sandbox por ti mismo y comprobar las caracter\u00edsticas de CUALQUIER EJECUTAR<\/a>. Y aqu\u00ed hay una oferta especial para nuestros lectores: puede probar el servicio de forma gratuita: <\/p>\n
\u00a1Escriba el c\u00f3digo de promoci\u00f3n “HACKERNEWS” en el asunto del correo electr\u00f3nico en support@any.run y obtenga 14 d\u00edas de suscripci\u00f3n premium ANY.RUN gratis! <\/strong><\/p>\n
Por supuesto, depende de usted c\u00f3mo realizar el an\u00e1lisis de malware. Puede dedicar alg\u00fan tiempo a crear su propio entorno virtual o realizar an\u00e1lisis en varios minutos utilizando un espacio aislado conveniente como ANY.RUN. La decisi\u00f3n es tuya. Lo m\u00e1s importante es qu\u00e9 har\u00e1s con estos servicios y c\u00f3mo lograr\u00e1s tus objetivos all\u00ed. Pero esa es otra historia. \u00a1Caza exitosa!<\/p>\n
<\/p>\n<\/div>\n
Su sistema debe estar actualizado, as\u00ed como todo el software. Filtre los cambios regulares de Windows que ocurren con bastante frecuencia. Sin embargo, su experimento puede requerir una versi\u00f3n diferente, por ejemplo, c\u00f3mo el malware explota algunos errores del sistema operativo. En este escenario, elija y configure la versi\u00f3n necesaria. <\/p>\n
10: apague Windows Defender y el firewall de Windows.<\/b><\/p>\n
- \n<\/ol>\n
Deshabilite cosas como Windows Defender. Si est\u00e1 trabajando con malware, puede activar el antivirus. <\/p>\n
11 \u2014 Preparar los archivos para el an\u00e1lisis<\/b><\/p>\n
- \n<\/ol>\n
Cree una carpeta compartida, seleccione un directorio que necesite. <\/p>\n
Configure una instant\u00e1nea para retroceder al estado posterior de la m\u00e1quina virtual en caso de error. <\/strong><\/p>\n
Si completa todos estos pasos, est\u00e1 listo para comenzar el an\u00e1lisis.<\/p>\n
\u00bfExiste una opci\u00f3n m\u00e1s eficiente para analizar el malware? <\/h2>\n
Todos estos pasos toman mucho tiempo y preparaci\u00f3n. Y a\u00fan as\u00ed, existe la posibilidad de que su sandbox no sea lo suficientemente seguro, invisible para el malware y proporcione la informaci\u00f3n necesaria. Entonces, \u00bfcu\u00e1l es una mejor soluci\u00f3n? Aqu\u00ed viene la segunda opci\u00f3n: use una soluci\u00f3n preparada. Echemos un vistazo a ANY.RUN. <\/p>\n
CUALQUIER EJECUTAR<\/a> es un entorno limitado de malware en l\u00ednea que puede usar para detectar, monitorear y analizar amenazas. La mejor parte es el tiempo y la comodidad: <\/p>\n
- \n
La ejecuci\u00f3n de malware debe ocurrir en un entorno debidamente aislado para evitar la infecci\u00f3n de un sistema operativo host. Es mejor tener una computadora aislada, pero puede configurar una m\u00e1quina virtual o m\u00e1s bien algunas de ellas con diferentes versiones de sistemas operativos. Hay un mont\u00f3n de m\u00e1quinas virtuales presentadas en el mercado: VMWare, VirtualBox, KVM, Oracle VM VirtualBox, Microsoft Hyper-V, Parallels o Xen.<\/p>\n
2 \u2014 Comprobar artefactos<\/b><\/p>\n
- \n<\/ol>\n
El malware moderno es inteligente: entiende si se ejecuta en la m\u00e1quina virtual o no. Por eso es esencial deshacerse de los artefactos. Verifique el c\u00f3digo, elimine la detecci\u00f3n y otros. <\/p>\n
3 \u2014 Usa una red diferente<\/b><\/p>\n
- \n<\/ol>\n
Otra precauci\u00f3n es utilizar un sistema de red diferente. Es importante prevenir cualquier infecci\u00f3n de otras computadoras en su red. Obtenga un servicio VPN y config\u00farelo correctamente. No puede permitir que la fuga de tr\u00e1fico ocurra desde una direcci\u00f3n IP real. <\/p>\n
4 \u2014 Asignar una cantidad realista de recursos<\/b><\/p>\n
- \n<\/ol>\n
Nuestro objetivo es hacer que un sistema parezca lo m\u00e1s aut\u00e9ntico posible para enga\u00f1ar a cualquier programa malicioso para que se ejecute. Aseg\u00farese de asignar una cantidad realista de recursos: m\u00e1s de 4 Gb de RAM, un m\u00ednimo de 4 n\u00facleos y espacio en disco de 100 Gb y m\u00e1s. Ese es un requisito b\u00e1sico para pretender ser un sistema leg\u00edtimo. Y a\u00fan as\u00ed, ten en cuenta que el malware comprueba la configuraci\u00f3n de los equipos. Si hay el nombre de una m\u00e1quina virtual en alguna parte, un objeto malicioso la identifica y deja de funcionar. <\/p>\n
5 \u2014 Instalar software de uso com\u00fan<\/b><\/p>\n
- \n<\/ol>\n
Si instalas Windows y lo dejas como est\u00e1, un objeto malicioso conseguir\u00e1 que sea analizado. <\/p>\n
Instale algunas aplicaciones, como Word, navegadores y otros programas que todos los usuarios suelen tener. <\/p>\n
6 \u2014 Abre varios archivos<\/b><\/p>\n
- \n<\/ol>\n
Aqu\u00ed necesitamos mostrar que es una computadora real que pertenece a alguien. Abra algunos documentos para acumular registros y algunos archivos temporales. Varios tipos de virus comprueban esto. Puede usar Regshot o Process monitor para realizar registros de cambios en el registro y en el sistema de archivos. Tenga en cuenta que estos programas pueden ser detectados por malware cuando se est\u00e1 ejecutando. <\/p>\n
7 \u2014 Imitar una conexi\u00f3n de red<\/b><\/p>\n
- \n<\/ol>\n
Algunos tipos de malware verifican si pueden conectarse a sitios web como Google. \u00bfC\u00f3mo enga\u00f1ar a un programa malicioso para que piense que est\u00e1 en l\u00ednea? Utilidades como INetSim y la herramienta FakeNet imitan una conexi\u00f3n real a Internet y nos permiten interceptar las solicitudes que realiza el malware. Intente verificar los protocolos de red entre un objeto malicioso y su servidor host. Pero de antemano, averig\u00fce con qu\u00e9 se conecta la muestra analizada usando WireShark. Y se necesita un esfuerzo para no ceder esta herramienta al malware, tenga cuidado.<\/p>\n
8 \u2014 Instalar herramientas de an\u00e1lisis<\/b><\/p>\n
- \n<\/ol>\n
Prepare las herramientas que usar\u00e1 para el an\u00e1lisis y aseg\u00farese de saber c\u00f3mo usarlas. Puede utilizar las herramientas Flare VM o hacer uso de estos programas: <\/p>\n
- \n
- Una soluci\u00f3n llave en mano.<\/strong> Un servicio vers\u00e1til con una gama de configuraciones para satisfacer sus demandas. <\/li>\n<\/ul>\n