Análisis de Malware en 5 pasos

Muy de vez en cuando me da por juguetear con este tipo de cosas y dice el refrán, el que juega con fuego se acaba quemando, así para no quemarnos, vamos a ver como poder analizar Malware de forma segura en 5 sencillos pasos.

Paso 1.- Prepara tu laboratorio de análisis, ya sea físico o virtual.

Hoy en con el avance en la virtualización de sistemas, prácticamente no necesitamos un laboratorio físico. Las ventajas de los sistemas virtuales son muy claras sobre la de los físicos. Menos maquinaria, menos calor en la habitación, menos broncas de mami o papi: niño este mes hemos pagado un ojo de la cara de luz, como la próxima factura sea igual o peor, te corto todos los cables…

Los sistemas más conocidos de virtualización:

• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.

Paso 2.- Aisla tu laboratorio de análisis de tus equipos de producción.

Pues eso, asegúrate de tus sistemas de análisis no tengan acceso al segmento de red donde corren tu/s máquinas. Ya sabes que al Marlware de hoy en día le encanta expandirse a través de las redes. Be smart my friend!

Paso 3.- Instala herramientas de análisis de comportamiento.

Una vez tengamos el sistema listo, tenemos que ver que ocurre en el sistema cuando ejecutemos el espécimen de prueba. Para ello necesitaremos utilidades que nos muestren/monitoricen:

• El sistema de ficheros y el registro (Windows): Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita. o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware.
• Los procesos: Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita., etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc.
• La red: Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita., etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas.
• Cambios en el sistema: Debe registrarse para ver este enlace. Gracias por su visita.. También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias.

Paso 4.- Instalar herramientas de análisis de código.

A parte de monitorizar el malware con las herramientas antes mencionadas, ahora viene lo más divertido, ver que cojones demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores.

• Desensambladores / depuradores: Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita., etc. Pues como dije, para saber que hace el miserable bicho nada mejor que conocer su lógica.
• Volcadores de memoria: Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita., etc. Muchas veces los ejecutables vienen con los datos encriptados, por lo que con un depurador no nos es suficiente para ver información valiosa sobre el mismo, e incluso de esta forma también suelen saltarse los antivirus, que le pregunten al sabio :-) , pero en cierto momento esos datos, instrucciones se tienen que desencriptar para ser usados/ejecutados y ¿Dónde ocurre esto? en la memoria. Así que herramientas de volcado memoria en tiempo de ejecución son críticas.

Paso 5.- Usa herramientas de análisis online.

Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis.

• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.
• Debe registrarse para ver este enlace. Gracias por su visita.

Y aquí más información sobre hostings sospechosos que alojan código malicioso.

• Evaluación de amenazas en tiempo real: Debe registrarse para ver este enlace. Gracias por su visita., Debe registrarse para ver este enlace. Gracias por su visita. y Debe registrarse para ver este enlace. Gracias por su visita..
• Reputación histórica: Debe registrarse para ver este enlace. Gracias por su visita. y Debe registrarse para ver este enlace. Gracias por su visita. (Web Of Trust).

Y de regalo una chuleta.
Debe registrarse para ver este enlace. Gracias por su visita.

Fuente: Debe registrarse para ver este enlace. Gracias por su visita.
Artículo original: Debe registrarse para ver este enlace. Gracias por su visita.

Interesante
gracias