Tutorial completo de análisis de malware, hoja de trucos y lista de herramientas 

Analizar el malware para desglosar su función y la rutina de infección es un trabajo duro. aquí describimos los tutoriales completos de análisis de malware , las herramientas y la hoja de trucos elaborada.

¿Qué es el análisis de malware?

El análisis de malware es un proceso que analiza las muestras de familias de malware como troyanos, virus, rootkits, ransomware y spyware en un entorno aislado para comprender la infección, el tipo, el propósito y la funcionalidad mediante la aplicación de varios métodos basados ​​en su comportamiento para comprender el motivación y aplicar la mitigación adecuada mediante la creación de reglas y firma para prevenir a los usuarios.

Tutoriales de análisis de malware

En este tutorial de análisis de malware, nos centramos en varios tipos de análisis y herramientas de análisis de malware relacionadas que se utilizan principalmente para descomponer el malware.

• Análisis de malware estático
• Análisis dinámico de malware
• Análisis forense de la memoria
• Detección de malware
• Análisis de dominio web
• Análisis de interacciones de red
• Depuración y depurador
• Analiza URL maliciosas
• Técnica de cajas de arena

¿Qué es el análisis de malware estático?

Este procedimiento incluye la extracción y el examen de diferentes componentes binarios e inducciones de comportamiento estático de un ejecutable, por ejemplo, encabezados de API, DLL referidos, áreas de PE y todos los demás activos sin ejecutar las muestras .

Cualquier desviación de los resultados normales se registra en la investigación estática que se produce y la decisión se toma de la misma manera. El análisis estático se realiza sin ejecutar el malware, mientras que el análisis dinámico se realiza ejecutando el malware en un entorno controlado.

1. Desmontaje : los programas se pueden trasladar a nuevas plataformas informáticas compilando el código fuente en un entorno diferente.

2. Huella digital de archivos : soluciones de prevención de pérdida de datos de red para identificar y rastrear datos en una red.

3. Escaneo de virus: herramientas de escaneo de virus e instrucciones para la eliminación de malware y virus. Elimine malware, virus, spyware y otras amenazas. ej.: VirusTotal, Payload Security

4. Análisis de artefactos de memoria : durante el tiempo dedicado a descomponer rarezas antiguas de la memoria como [volcado de RAM, pagefile.sys, hiberfile.sys], el inspector puede comenzar la identificación del proceso no autorizado

5. Detección de empaquetadores – Detección de empacadores utilizada para detectar empacadores, codificadores, compiladores, codificadores de empacadores, carpinteros, instaladores.+ Nuevos símbolos+.

Herramientas de análisis de malware estático

Análisis híbrido
Virustotal.com
BinText
Dependency Walker
IDA
Md5deep
PEiD
Exeinfo PE
RDG Packer
D4dot
PEview

¿Qué es el análisis dinámico de malware?

El análisis dinámico siempre debe ser el primer enfoque de un analista para descubrir la funcionalidad del malware. en el análisis dinámico, construirá una máquina virtual que se utilizará como un lugar para realizar análisis de malware .

Además, el software malicioso se analizará mediante un entorno aislado de software malicioso y un proceso de monitoreo de software malicioso y paquetes de análisis de datos creados por el software malicioso.

Consideración importante en el entorno virtual

muy importante aislar el entorno para evitar que escape el Malware.

• se examina la ruta única (rastreo de ejecución)
• entorno de análisis posiblemente no invisible
• entorno de análisis posiblemente no completo
• problemas de escalabilidad
• permitir restaurar rápidamente el entorno de análisis
• podría ser detectable (problemas de virtualización x86)

Herramientas de análisis dinámico:

Procmon
Process Explorer
Anubis
Comodo Instant Malware Analysis
Process MonitorRegshot
ApateDNS
OllyDbg
Regshot
Netcat
Wireshark

Tutoriales de análisis de malware: análisis forense de memoria

Artefactos volátiles de memoria encontrados en la memoria física.La memoria volátil Forense contiene información valiosa sobre el estado de tiempo de ejecución del sistema, brinda la capacidad de vincular artefactos del análisis forense tradicional ( red, sistema de archivos, registro ).

• Gestione toda la gama de memoria del sistema (sin depender de las llamadas a la API).
• Cree una imagen del espacio de direcciones completo de un proceso en el disco, incluidos los archivos DLL, EXE, montones y pilas cargados de un proceso.
• Imagen de un controlador específico o todos los controladores cargados en la memoria en el disco.
• Hash el EXE y las DLL en el espacio de direcciones del proceso (MD5, SHA1, SHA256).
• Verifique las firmas digitales de los EXE y DLL (basados ​​en disco).
• Salida de todas las cadenas en la memoria por proceso.

Herramientas importantes

• WinDbg: depurador de kernel para sistemas Windows
• Muninn: un script para automatizar partes del análisis utilizando Volatility
• DAMM: análisis diferencial de malware en la memoria, basado en la volatilidad
• FindAES: busque claves de cifrado AES en la memoria
• Volatilidad: marco forense de memoria avanzado

Detección de malware

Coincidencia de patrones o basada en firmas: una firma es un algoritmo o hash (un número derivado de una cadena de texto) que identifica de forma única un virus específico.

Análisis heurístico o defensa proactiva: el escaneo heurístico es similar al escaneo de firmas, excepto que en lugar de buscar firmas específicas, el escaneo heurístico busca ciertas instrucciones o comandos dentro de un programa que no se encuentran en los programas de aplicación típicos.

Basado en reglas: el componente del motor heurístico que realiza el análisis (el analizador) extrae ciertas reglas de un archivo y estas reglas se comparan con un conjunto de reglas para código malicioso.

Bloqueo de comportamiento: el enfoque de comportamiento sospechoso, por el contrario, no intenta identificar virus conocidos, sino que supervisa el comportamiento de todos los programas.

Basado en el peso: un motor heurístico basado en un sistema basado en el peso, que es un enfoque bastante antiguo, califica cada funcionalidad que detecta con un cierto peso según el grado de peligro.

Sandbox: permite que el archivo se ejecute en un sistema virtual controlado (o “sandbox”) para ver qué hace.

Herramientas importantes en tutoriales de análisis de malware

• YARA : herramienta de coincidencia de patrones para analistas.
• Generador de reglas Yara : genere reglas YARA basadas en un conjunto de muestras de malware. Además, contiene una buena base de datos de cadenas para evitar falsos positivos.
• Marco de análisis de archivos : solución modular y recursiva de análisis de archivos.
• hash deep : calcule hashes de resumen con una variedad de algoritmos.
• Loki : escáner basado en host para IOC.
• Mal funcionamiento : catalogue y compare el malware a nivel de función.
• MASTIFF – Marco de análisis estático.

Análisis de dominio web

En estos tutoriales de análisis de malware , el análisis de dominio es el proceso mediante el cual un ingeniero de software aprende información de fondo, inspecciona dominios y direcciones IP .

El análisis de dominio debe incluir simplemente un breve resumen de la información que ha encontrado, junto con referencias que permitirán que otros encuentren esa información.

Herramientas importantes

• SpamCop : lista de bloqueo de spam basada en IP.
• SpamHaus : lista de bloqueo basada en dominios e IP.
• Sucuri SiteCheck – Escáner de seguridad y malware de sitios web gratuito.
• TekDefense Automatic : herramienta OSINT para recopilar información sobre URL, IP o hash.
• URLQuery : escáner de URL gratuito.
• IPinfo : recopile información sobre una dirección IP o un dominio mediante la búsqueda de recursos en línea.
• Whois : búsqueda whois en línea gratuita de DomainTools.
• verificador de correo : biblioteca de detección de correo electrónico temporal en varios idiomas.

Tutoriales de análisis de malware basado en interacciones de red

Mientras se enfoca en la seguridad de la red, monitorea la plataforma integral para un análisis de tráfico de red más general también.

Una herramienta pasiva de captura de paquetes/sniffer de red para detectar sistemas operativos, sesiones, nombres de host, puertos abiertos , etc. sin poner ningún tráfico en la red.

IPv4/6, TCP, UDP, ICMPv4/6, IGMP y Raw a través de Ethernet, PPP, SLIP, FDDI, Token Ring e interfaces nulas, y comprende la lógica de filtro BPF de la misma manera que la detección de paquetes más común.

Herramientas importantes

• Tcpdump : recopila el tráfico de red.
• tcpick : rastrea y reensambla flujos TCP del tráfico de la red.
• tcpxtract : extrae archivos del tráfico de red.
• Wireshark : la herramienta de análisis de tráfico de red.
• CapTipper : explorador de tráfico HTTP malicioso.
• Chopshop : marco de análisis y decodificación de protocolos.
• CloudShark : herramienta basada en web para el análisis de paquetes y la detección de tráfico de malware

Depuración y depurador

En los tutoriales de análisis de malware, los depuradores son una de las herramientas útiles de análisis de malware que permiten un análisis de código a bajo nivel. Una de las funcionalidades más importantes de un depurador es el punto de interrupción.

Cuando se alcanza un punto de interrupción, se detiene la ejecución del programa y se otorga el control al depurador, lo que permite el análisis de malware del entorno en ese momento.

Un depurador es una pieza de software que utiliza las instalaciones de la Unidad central de procesamiento (CPU) que se diseñaron específicamente para ese propósito.

Un depurador proporciona información sobre cómo un programa realiza sus tareas, permite al usuario controlar la ejecución y proporciona acceso al entorno del programa depurado.

Esto podría ser muy útil al analizar malware, ya que sería posible ver cómo intenta detectar la manipulación y omitir las instrucciones basura insertadas a propósito.

Herramientas importantes

• obj dump : parte de GNU Binutils, para el análisis estático de binarios de Linux.
• OllyDbg : un depurador de nivel de ensamblaje para el ejecutable de Windows
• FPort : informa de los puertos TCP/IP y UDP abiertos en un sistema activo y los asigna a la aplicación propietaria.
• GDB : el depurador de GNU.
• IDA Pro : desensamblador y depurador de Windows, con una versión de evaluación gratuita.
• Depurador de inmunidad : depurador para análisis de malware y más, con una API de Python.

Analiza URL maliciosas

Hoy en día, los sitios web están expuestos a diversas amenazas que aprovechan sus vulnerabilidades. Un sitio web comprometido se usará como un trampolín y servirá para los malvados propósitos de los atacantes.

Por ejemplo, los mecanismos de redirección de URL se han utilizado ampliamente como un medio para realizar ataques basados ​​en la web de forma encubierta.

La redirección se refiere a la sustitución automática de destinos de acceso y, por lo general, está controlada por un protocolo HTTP en la web.

Además de este método convencional, a menudo se han utilizado otros métodos para acceder automáticamente al contenido web externo, por ejemplo, la etiqueta iframe , en particular para los ataques basados ​​en la web .

Herramientas importantes

• Firebug : extensión de Firefox para desarrollo web.
• Java Decompiler : descompile e inspeccione aplicaciones Java.
• jsunpack-n : un desempaquetador de javascript que emula la funcionalidad del navegador.
• Krakatau : descompilador, ensamblador y desensamblador de Java.
• Malzilla – Analiza páginas web maliciosas.

Técnica de sandbox

Sandboxing es un sistema de seguridad crítico que segrega programas, evitando que los proyectos malévolos o fallidos dañen o husmeen en lo que quede de su PC.

El producto que utiliza actualmente es sandboxing una parte importante del código que ejecuta todos los días.

Un sandbox es una condición firmemente controlada donde se pueden ejecutar proyectos. Los sandboxes limitan lo que puede hacer un poco de código, dándole de manera similar la misma cantidad de consentimientos que necesita sin incluir autorizaciones adicionales que podrían ser abusadas.

Herramientas importantes

• firmware.re : desempaqueta, escanea y analiza casi cualquier paquete de firmware.
• Análisis híbrido : herramienta de análisis de malware en línea, con tecnología de VxSandbox.
• IRMA : una plataforma de análisis asincrónica y personalizable para archivos sospechosos.
• Cuckoo Sandbox : código abierto, sandbox autohospedado y sistema de análisis automatizado.
• cuckoo-modified : versión modificada de Cuckoo Sandbox publicada bajo licencia GPL.
• Examinador de PDF : analice archivos PDF sospechosos.
• ProcDot : un conjunto de herramientas gráficas de análisis de malware.
• Recompositor : una secuencia de comandos de ayuda para cargar archivos binarios de forma segura en sitios de pruebas.
• Sand droid – Sistema automático y completo de análisis de aplicaciones Android.

Conclusión

En estos tutoriales en línea de análisis de malware , hemos descrito los diversos métodos para analizar el malware y los diversos tipos de herramientas que se utilizan para analizar el malware. no está limitado, puede utilizar aquí las herramientas completas de análisis de malware .