Cubrimos el análisis de malware dinámico básico utilizando el monitor de procesos para descubrir conexiones de red, procesos generados por el malware y otros artefactos importantes. Esto fue parte de TryHackMe Análisis dinámico básico
Obtenga notas de informática forense
Los controles de ProcMon se explican por sí solos. Las etiquetas en la captura de pantalla muestran algunos de los controles críticos de los datos visibles debajo de estos controles.
- Muestra las opciones Abrir y Guardar. Estas opciones sirven para abrir un archivo que contiene eventos ProcMon o guardar los eventos en un archivo compatible.
- Muestra la opción Borrar. Esta opción borra todos los eventos que ProcMon muestra actualmente. Es bueno borrar los eventos una vez que ejecutamos una muestra de malware de interés para reducir el ruido.
- Muestra la opción Filtrar, que nos da mayor control sobre los eventos mostrados en la ventana de ProcMon.
- Estos son conmutadores para activar o desactivar eventos de Registro, Sistema de archivos, Red, Proceso/Subproceso y Creación de perfiles.
Debajo de estos controles, podemos ver de izquierda a derecha el Tiempo, Proceso, ID del Proceso (PID), Nombre del evento, Ruta, Resultado y Detalles de la actividad. Podemos observar que los eventos se muestran en orden cronológico. Generalmente, ProcMon mostrará una abrumadora cantidad de eventos que ocurren en el sistema. Para facilitar el análisis, es aconsejable filtrar los eventos según aquellos de nuestro interés.
ProcMon permite filtrar fácilmente los eventos desde la propia ventana de eventos. Si hacemos clic derecho en la columna del proceso de nuestra elección, se abre un menú emergente. Podemos ver diferentes opciones en el menú emergente. Algunas de estas opciones están relacionadas con el filtrado. Por ejemplo, si elegimos la opción Incluir 'Explorador.EXE', ProcMon solo mostrará eventos con Process Name Explorer.EXE. Si elegimos la opción Excluir 'Explorer.EXE', excluirá Explorer.EXE de los resultados. De manera similar, podemos hacer clic derecho en otras columnas de la ventana de eventos para filtrar otras opciones.
Respuestas de la habitación
~Escritorio\Samples\1.exe utilizando ProcMon. Este ejemplo realiza algunas conexiones de red. ¿Cuál es la primera URL en la que se realiza una conexión de red?¿Qué operación de red se realiza en la URL mencionada anteriormente?
¿Cuál es el nombre con la ruta completa del primer proceso creado por este ejemplo?
~Escritorio\samples\1.exe crea un archivo en el C:\ directorio. ¿Cuál es el nombre con la ruta completa de este archivo?Qué API se utiliza para crear este archivo?
En la pregunta 1 de la tarea anterior, identificamos una URL a la que se realizó una conexión de red. Qué API ¿Se utilizó la llamada para realizar esta conexión?
En la tarea anterior notamos que después de un tiempo, la actividad de la muestra se desaceleró de tal manera que no se informó mucho sobre la muestra. ¿Puedes mirar el API llamadas y ver qué llamada API podría ser responsable de ello?
¿Cuál es el nombre del primer Mutex creado por el ejemplo ~Desktop\samples\1.exe? Si hay números en el nombre del Mutex, reemplácelos con X.
¿El archivo está firmado por una organización conocida? Responda con Y para Sí y N para No.
¿El proceso en la memoria es el mismo que el proceso en el disco? Responda con Y para Sí y N para No.
~Escritorio\Samples\3.exe usando Regshot. Hay un valor de registro agregado que contiene la ruta de acceso del ejemplo en el formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXX\. ¿Cuál es la ruta de ese valor después del formato mencionado aquí?Tutorial en vídeo
