Cubrimos el análisis dinámico de malware mediante el monitoreo y el registro de llamadas API utilizando herramientas como API Logger y API Monitor. Esto fue parte de TryHackMe Análisis dinámico básico

Obtenga notas de informática forense

Las ventanas SO abstrae el hardware y proporciona una interfaz programable de aplicaciones (API) para realizar todas las tareas. Por ejemplo, existe una API para crear archivos, una API para crear procesos, una API para crear y eliminar registros, etc. Por lo tanto, una forma de identificar el comportamiento del malware es monitorear a qué API llama un malware. Los nombres de las API generalmente se explican por sí solos. Sin embargo, Documentación de Microsoft Se puede consultar para encontrar información sobre las API. Para abrir un nuevo proceso, podemos hacer clic en el menú de tres puntos resaltado. Al hacer clic, un explorador de archivos nos permite seleccionar el ejecutable cuyo archivo queremos monitorear. API llamadas. Una vez que seleccionamos el ejecutable, podemos hacer clic en 'Inyectar y registrar' para iniciar el proceso de registro de API.

API registrador

El API Logger es una herramienta sencilla que proporciona información básica sobre las API llamadas por un proceso.

Podemos ver el PID del proceso que monitoreamos y la API llamada con información básica sobre la API en el campo 'msg'. Podemos hacer clic en el menú 'PID' para el API logger para registrar llamadas API de un proceso en ejecución. Esta ventana muestra los procesos con PID, el usuario que ejecutó ese proceso y la ruta de la imagen del proceso. El resto del proceso es el mismo que al iniciar nuestro proceso.

API Monitor

El API Monitor proporciona información más avanzada sobre las llamadas API de un proceso. API Monitor tiene versiones de 32 y 64 bits para procesos de 32 y 64 bits, respectivamente.

Como podemos ver, API El monitor tiene varias pestañas

  1. Esta pestaña es un filtro para el API grupo que queremos monitorear. Por ejemplo, tenemos un grupo para API relacionadas con "Gráficos y juegos", otro para API relacionadas con "Internet", etc. API Monitor sólo nos mostrará las API del grupo que seleccionemos en este menú.
  2. Esta pestaña muestra los procesos que se están monitoreando API llamadas. Podemos hacer clic en la opción 'Monitorear nuevo proceso' para comenzar a monitorear un nuevo proceso.
  3. Esta pestaña muestra el API llamada, el módulo, el hilo, el tiempo, el valor de retorno y cualquier error. Podemos monitorear esta pestaña en busca de API llamadas por un proceso.
  4. Esta pestaña muestra los procesos en ejecución que API El monitor puede monitorear.
  5. Esta pestaña muestra los parámetros del API llamada, incluidos los valores de esos parámetros antes y después de las llamadas API.
  6. Esta pestaña muestra el búfer hexadecimal del valor seleccionado.
  7. Esta pestaña muestra la pila de llamadas del proceso.
  8. Finalmente, esta pestaña muestra la Salida.

Vemos eso API Monitor nos proporciona mucha más información sobre las llamadas API realizadas por un proceso que API Logger. Sin embargo, debemos ralentizar el proceso de análisis para digerir toda esta información. Al analizar el malware, podemos decidir si utilizar API Logger o API Monitor según nuestras necesidades. Por favor dirígete al Introducción a la sala API de Windows para aprender más sobre API llamadas.

Respuestas de la habitación

Si un analista quiere analizar el malware de Linux, ¿qué sistema operativo debería tener la máquina virtual de su zona de pruebas?
Monitorear la muestra ~Escritorio\Samples\1.exe utilizando ProcMon. Este ejemplo realiza algunas conexiones de red. ¿Cuál es la primera URL en la que se realiza una conexión de red?

¿Qué operación de red se realiza en la URL mencionada anteriormente?

¿Cuál es el nombre con la ruta completa del primer proceso creado por este ejemplo?

La muestra ~Escritorio\samples\1.exe crea un archivo en el C:\ directorio. ¿Cuál es el nombre con la ruta completa de este archivo?

Qué API se utiliza para crear este archivo?

En la pregunta 1 de la tarea anterior, identificamos una URL a la que se realizó una conexión de red. Qué API ¿Se utilizó la llamada para realizar esta conexión?

En la tarea anterior notamos que después de un tiempo, la actividad de la muestra se desaceleró de tal manera que no se informó mucho sobre la muestra. ¿Puedes mirar el API llamadas y ver qué llamada API podría ser responsable de ello?

¿Cuál es el nombre del primer Mutex creado por el ejemplo ~Desktop\samples\1.exe? Si hay números en el nombre del Mutex, reemplácelos con X.

¿El archivo está firmado por una organización conocida? Responda con Y para Sí y N para No.

¿El proceso en la memoria es el mismo que el proceso en el disco? Responda con Y para Sí y N para No.

Analizar la muestra ~Escritorio\Samples\3.exe usando Regshot. Hay un valor de registro agregado que contiene la ruta de acceso del ejemplo en el formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXX\. ¿Cuál es la ruta de ese valor después del formato mencionado aquí?

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos