Cubrimos el análisis dinámico de malware utilizando el explorador de procesos para descubrir DLL, identificadores, consumo de recursos, actividad de red y para descubrir técnicas de malware comunes como el vaciado y el enmascaramiento de procesos. Esto fue parte de TryHackMe Análisis dinámico básico

Obtenga notas de informática forense

Process Explorer es otra herramienta muy útil de Sysinternals Suite. Puede considerarse una forma más avanzada del Administrador de tareas de Windows. Process Explorer es una herramienta muy poderosa que puede ayudarnos a identificar técnicas de enmascaramiento y vaciado de procesos.

Enmascaramiento del proceso

Los autores de malware a veces utilizan nombres de procesos similares a los procesos de Windows o software de uso común para esconderse de las miradas indiscretas de un analista. La pestaña 'Imagen', como se muestra en la captura de pantalla anterior, ayuda al analista a superar esta técnica. Al hacer clic en el botón 'Verificar' en esta pestaña, un analista puede identificar si el ejecutable del proceso en ejecución está firmado por la organización correspondiente, que será Microsoft en el caso de los archivos binarios de Windows. En esta captura de pantalla en particular, podemos ver que ya se hizo clic en la opción Verificar. Además, podemos ver el texto '(No había firma en el asunto) Microsoft Corporation' en la parte superior. Esto significa que, aunque el ejecutable afirma ser de Microsoft, no está firmado digitalmente por Microsoft y se hace pasar por un proceso de Microsoft. Esto puede ser una indicación de un proceso malicioso.

Debemos señalar aquí que este proceso de verificación solo aplica a la Imagen del proceso almacenada en el disco. Si un proceso firmado ha sido vaciado y su código ha sido reemplazado con código malicioso en la memoria, es posible que aún obtengamos una firma verificada para ese proceso. Para identificar procesos vacíos, tenemos que mirar hacia otra parte.

Proceso de vaciado

Otra técnica utilizada por el malware para ocultarse a simple vista es Process Hollowing. En esta técnica, el binario de malware vacía un proceso legítimo que ya se está ejecutando eliminando todo su código de su memoria e inyectando código malicioso en lugar del código legítimo. De esta manera, mientras un analista ve un proceso legítimo, ese proceso ejecuta el código malicioso del autor del malware. Process Explorer también puede ayudarnos a identificar esta técnica. Cuando seleccionamos 'Imagen', Process Explorer nos muestra cadenas presentes en la imagen de disco del proceso. Cuando se selecciona 'Memoria', Process Explorer extrae cadenas de la memoria del proceso. En circunstancias normales, las cadenas en la Imagen de un proceso serán similares a las de la Memoria ya que el mismo proceso se carga en la memoria. Sin embargo, si un proceso ha sido vaciado, veremos una diferencia significativa entre las cadenas en la Imagen y la memoria del proceso. De ahí que nos muestre que el proceso cargado en la memoria es muy diferente del proceso almacenado en el disco.

Respuestas de la habitación

Si un analista quiere analizar el malware de Linux, ¿qué sistema operativo debería tener la máquina virtual de su zona de pruebas?
Monitorear la muestra ~Escritorio\Samples\1.exe utilizando ProcMon. Este ejemplo realiza algunas conexiones de red. ¿Cuál es la primera URL en la que se realiza una conexión de red?

¿Qué operación de red se realiza en la URL mencionada anteriormente?

¿Cuál es el nombre con la ruta completa del primer proceso creado por este ejemplo?

La muestra ~Escritorio\samples\1.exe crea un archivo en el C:\ directorio. ¿Cuál es el nombre con la ruta completa de este archivo?

Qué API se utiliza para crear este archivo?

En la pregunta 1 de la tarea anterior, identificamos una URL a la que se realizó una conexión de red. Qué API ¿Se utilizó la llamada para realizar esta conexión?

En la tarea anterior notamos que después de un tiempo, la actividad de la muestra se desaceleró de tal manera que no se informó mucho sobre la muestra. ¿Puedes mirar el API llamadas y ver qué llamada API podría ser responsable de ello?

¿Cuál es el nombre del primer Mutex creado por el ejemplo ~Desktop\samples\1.exe? Si hay números en el nombre del Mutex, reemplácelos con X.

¿El archivo está firmado por una organización conocida? Responda con Y para Sí y N para No.

¿El proceso en la memoria es el mismo que el proceso en el disco? Responda con Y para Sí y N para No.

Analizar la muestra ~Escritorio\Samples\3.exe usando Regshot. Hay un valor de registro agregado que contiene la ruta de acceso del ejemplo en el formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXX\. ¿Cuál es la ruta de ese valor después del formato mencionado aquí?

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos