Cubrimos el análisis dinámico de malware analizando y comparando los cambios y modificaciones realizados en el registro utilizando Regshot. Esto fue parte de Análisis básico de malware dinámico TryHackMe.
Obtenga notas de informática forense
¿Qué es una caja de arena?
Analizar malware es como un juego del gato y el ratón. Los analistas de malware siguen ideando nuevas técnicas para analizar el malware, mientras que los autores de malware idean nuevas técnicas para evadir la detección.
Se ha enfatizado que el malware sólo debe analizarse en un entorno controlado, idealmente una máquina virtual. Sin embargo, esto adquiere cada vez más importancia para el análisis dinámico de malware. La principal preocupación al realizar análisis estáticos de malware en un entorno real es una ejecución accidental, pero ejecutamos malware intencionalmente en un escenario de análisis dinámico. Esto hace que sea aún más importante garantizar que el malware se analice en un entorno aislado.
Entonces, ¿qué se requiere para crear un sandbox?
En términos generales, se requerirá la siguiente configuración para crear una zona de pruebas:
- Una máquina aislada, idealmente una máquina virtual, que no esté conectada a sistemas activos o de producción y esté dedicada al análisis de malware.
- La capacidad de la máquina virtual o aislada para guardar su estado limpio inicial y volver a ese estado una vez que se completa el análisis de malware. Esta funcionalidad a menudo se denomina creación y reversión de una instantánea. Necesitaremos volver al estado limpio original antes de analizar un nuevo malware para que la infección del malware anterior no contamine el análisis del siguiente.
- Herramientas de monitorización que nos ayudan a analizar el malware mientras se ejecuta dentro de la Máquina Virtual. Estas herramientas pueden automatizarse, como vemos en los entornos sandbox automatizados, o pueden ser manuales, lo que requiere que el analista interactúe mientras realiza el análisis. Aprenderemos sobre algunas de estas herramientas más adelante en esta sala.
- Un mecanismo de intercambio de archivos que se puede utilizar para introducir el malware en la máquina virtual y enviarnos los datos de análisis o informes. A menudo, se utilizan directorios compartidos o unidades de red para este fin. Sin embargo, debemos tener cuidado de que el directorio compartido se desmonte al ejecutar el malware, ya que el malware podría infectar todos los archivos. Esto es especialmente cierto en el caso del ransomware, que puede cifrar todas las unidades o directorios compartidos.
En el Introducción al análisis de malware En la sala, aprendimos sobre algunas zonas de pruebas automatizadas para ayudar a realizar análisis dinámicos. A continuación, conoceremos algunas herramientas que nos ayudarán a crear nuestro sandbox, lo que nos brinda más control del análisis. Entonces comencemos.
Virtualización
Hay muchas herramientas comerciales y gratuitas disponibles para la virtualización. Algunos de los más famosos incluyen VirtualBox de Oracle y Player and Workstation de VMware. Estas tres herramientas nos permiten crear Máquinas Virtuales aisladas de nuestra máquina local. Sin embargo, VMWare Player no puede crear instantáneas. Para el análisis dinámico de malware, la creación de instantáneas es un requisito crítico, lo que hace que VMWare Player no sea adecuado para el análisis de malware. VMWare Workstation y VirtualBox tienen la opción de creación de instantáneas y, por lo tanto, son adecuados para el análisis de malware. VirtualBox es gratuito, pero VMWare Workstation tiene una licencia paga.
Aparte de estos, el software de virtualización basado en servidor como XenServer, QEmu, ESXi, etc., ayuda con la virtualización en un servidor dedicado. Las empresas suelen utilizar este tipo de configuración para sus necesidades de virtualización. Las organizaciones de investigación de seguridad a menudo utilizan tecnologías similares para crear una máquina virtual granja para virtualización a gran escala.
Para el alcance de esta sala, nos saltaremos el paso de crear un máquina virtual e instalar un sistema operativo en él. Tenga en cuenta que el sistema operativo de la máquina virtual debe ser el mismo que el sistema operativo objetivo del malware para el análisis dinámico. En la mayoría de los escenarios, este será el sistema operativo Windows. En esta sala cubriremos herramientas relacionadas con el sistema operativo Windows.
Herramientas de análisis
Una vez que tengamos un máquina virtual Con el sistema operativo instalado, necesitamos tener algunas herramientas de análisis en la VM. Los sistemas automatizados de análisis de malware tienen algunas herramientas integradas que analizan el comportamiento del malware. Por ejemplo, en el entorno limitado de Cuckoo, cuckoomon es una herramienta que registra la actividad de malware en una configuración del entorno limitado de Cuckoo. En las próximas tareas, aprenderemos sobre algunas herramientas para realizar análisis dinámicos manuales de malware. Una vez que tengamos las herramientas necesarias instaladas en la VM y antes de ejecutar cualquier malware en la VM, debemos tomar una instantánea. Después del análisis de cada malware, debemos revertir la VM a esta instantánea, que mantendrá el estado limpio de la VM. Esto garantizará que nuestro análisis no se vea contaminado por diferentes muestras de malware que se ejecutan simultáneamente.
Compartición de archivos
Diferentes plataformas ofrecen diferentes opciones para compartir archivos entre el anfitrión y el invitado. SO. En las herramientas más populares, es decir, Oracle VirtualBox o VMWare Workstation, las siguientes opciones son comunes:
- Carpeta compartida.
- Crear una ISO en el host y montarla en el máquina virtual.
- Copiar y pegar portapapeles.
Aparte de estas, existen otras opciones menos comunes, por ejemplo, ejecutar un servidor web en el invitado donde se pueden cargar muestras de malware o montar una unidad extraíble en la máquina virtual. Tenga en cuenta que cuanto más aislada esté la opción de compartir archivos, más segura será para el sistema operativo anfitrión. Además de compartir malware con el máquina virtual, la opción de compartir archivos también se utiliza para extraer informes de análisis de la VM.
Una vez que hemos creado un máquina virtual, configuramos herramientas de análisis, tomamos una instantánea y colocamos el malware dentro de nuestra zona de pruebas, podemos comenzar a analizar nuestro malware. En la siguiente tarea, aprenderemos sobre herramientas que nos ayudarán.
Respuestas de la habitación
~Escritorio\Samples\1.exe utilizando ProcMon. Este ejemplo realiza algunas conexiones de red. ¿Cuál es la primera URL en la que se realiza una conexión de red?¿Qué operación de red se realiza en la URL mencionada anteriormente?
¿Cuál es el nombre con la ruta completa del primer proceso creado por este ejemplo?
~Escritorio\samples\1.exe crea un archivo en el C:\ directorio. ¿Cuál es el nombre con la ruta completa de este archivo?Qué API se utiliza para crear este archivo?
En la pregunta 1 de la tarea anterior, identificamos una URL a la que se realizó una conexión de red. Qué API ¿Se utilizó la llamada para realizar esta conexión?
En la tarea anterior notamos que después de un tiempo, la actividad de la muestra se desaceleró de tal manera que no se informó mucho sobre la muestra. ¿Puedes mirar el API llamadas y ver qué llamada API podría ser responsable de ello?
¿Cuál es el nombre del primer Mutex creado por el ejemplo ~Desktop\samples\1.exe? Si hay números en el nombre del Mutex, reemplácelos con X.
¿El archivo está firmado por una organización conocida? Responda con Y para Sí y N para No.
¿El proceso en la memoria es el mismo que el proceso en el disco? Responda con Y para Sí y N para No.
~Escritorio\Samples\3.exe usando Regshot. Hay un valor de registro agregado que contiene la ruta de acceso del ejemplo en el formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXX\. ¿Cuál es la ruta de ese valor después del formato mencionado aquí?Tutorial en vídeo
