Cubrimos la segunda parte del análisis estático de malware. Pasamos por el análisis de cadenas, hashes y firmas. Esto fue parte de Sala de análisis estático básico TryHackMe.

Obtenga notas de campo de informática forense

Precauciones básicas para el análisis de malware:

Antes de analizar el malware, hay que entender que el malware suele ser destructivo. Esto significa que cuando se analiza malware, existe una alta probabilidad de dañar el entorno en el que se analiza. Este daño puede ser permanente y puede requerir más esfuerzo deshacerse de él que el esfuerzo realizado para analizar el malware. Por lo tanto, es necesario crear una configuración de laboratorio que pueda resistir la naturaleza destructiva del malware.

Maquinas virtuales:

La configuración de un laboratorio para el análisis de malware requiere la capacidad de guardar el estado de una máquina (instantánea) y volver a ese estado cuando sea necesario. De este modo la máquina queda preparada con todas las herramientas necesarias instaladas y se guarda su estado. Después de analizar el malware en esa máquina, se restaura a su estado limpio con todas las herramientas instaladas. Esta actividad garantiza que cada malware se analice en un entorno limpio y, después del análisis, la máquina se pueda revertir sin sufrir daños.

Las máquinas virtuales proporcionan un medio ideal para el análisis de malware. Algunos programas famosos utilizados para crear y utilizar máquinas virtuales incluyen Oracle VirtualBox y VMware Estación de trabajo. Estas aplicaciones pueden crear instantáneas y volver a ellas cuando sea necesario, lo que las hace muy adecuadas para nuestro análisis de malware. En resumen, los siguientes pasos describen el uso de máquinas virtuales para el análisis de malware.

  1. Creó una máquina virtual nueva con un nuevo SO instalar
  2. Configure la máquina instalando todas las herramientas de análisis necesarias en ella.
  3. Tome una instantánea de la máquina.
  4. Copie/descargue muestras de malware dentro del máquina virtual y analizarlo
  5. Revertir la máquina a la instantánea una vez finalizado el análisis

Seguir estos pasos garantiza que su máquina virtual no está contaminado con restos de muestras de malware anteriores al analizar malware nuevo. También garantiza que no tendrá que instalar sus herramientas una y otra vez para cada análisis. Seleccionar las herramientas para instalar en su máquina virtual de análisis de malware también puede resultar complicado. Se puede utilizar una de las máquinas virtuales de análisis de malware disponibles gratuitamente con herramientas preinstaladas para facilitar esta tarea. Repasemos algunas de las máquinas virtuales de análisis de malware más populares entre los investigadores de seguridad.

LLAMARADA máquina virtual:

La llamarada máquina virtual es una máquina virtual basada en Windows adecuada para el análisis de malware creada por Mandiant (anteriormente FireEye). Contiene algunas de las herramientas de análisis de malware favoritas de la comunidad. Además, también es personalizable, es decir, puede instalar cualquiera de sus propias herramientas en la VM. FLARE VM es compatible con Windows 7 y Windows 10. Para obtener una lista de las herramientas ya instaladas en la VM y los pasos de instalación, puede visitar el página de GitHub o el blog mandante Para el máquina virtual. Dado que es una máquina virtual basada en Windows, puede realizar análisis dinámicos de malware basado en Windows.

Una instancia de FLARE máquina virtual A esta sala se adjunta para la realización de tareas prácticas. Haga clic en el botón Iniciar máquina en la esquina superior derecha de esta tarea para iniciar la máquina antes de continuar con la siguiente tarea. La máquina virtual adjunta tiene un directorio llamado mal en el escritorio, que contiene muestras de malware que estaríamos analizando para esta sala.

REMnux:

REMnux significa Ingeniería Inversa de Malware Linux. Es una distribución de análisis de malware basada en Linux creada por Lenny Zeltser en 2010. Posteriormente, más personas se unieron al equipo para mejorar la distribución. Como la llamarada máquina virtual, incluye algunas de las herramientas de análisis de malware y ingeniería inversa más populares preinstaladas. Ayuda a los analistas a ahorrar tiempo que de otro modo se dedicaría a identificar, buscar e instalar las herramientas necesarias. Detalles como la instalación y la documentación se pueden encontrar en GitHub o el sitio web para distribución. Al ser una distribución basada en Linux, no se puede utilizar para realizar análisis dinámicos de malware basado en Windows. REMnux se utilizó anteriormente en la sala de Introducción al análisis de malware y también se utilizará en las próximas salas.

Respuestas de la habitación
En el escritorio de la máquina virtual adjunta, hay un directorio llamado 'mal' con las muestras de malware 1 a 6. Utilice hilo dental para identificar cadenas ofuscadas encontradas en las muestras denominadas 2, 5 y 6. ¿Cuál de estas muestras contiene la cadena 'DbgView? .exe'?
En los ejemplos ubicados en el directorio Desktop\mal\ en la VM adjunta, ¿cuál de los ejemplos tiene el mismo imphash que el archivo 3?
Usando la utilidad ssdeep, ¿cuál es el porcentaje de coincidencia de los archivos mencionados anteriormente?
¿Cuántas coincidencias para las técnicas de ejecución anti-VM se identificaron en la muestra?

¿La muestra tiene la capacidad de suspender o reanudar un hilo? Responda con Y para sí y N para no.

Qué MBC ¿Se observa el comportamiento frente al 'Análisis antiestático' objetivo de MBC?

¿En qué dirección está la función que tiene la capacidad 'Check HTTP Código de estado'?

Abra el escritorio de muestra\mal\4 en PEstudio. ¿Qué biblioteca está en la lista negra?

¿Qué hace este dll?

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos