Herramientas de análisis de software para la búsqueda de amenazas
Si no está interesado en Wireshark, procmon y Windows Sysinternals, probablemente esté en el lugar equivocado.
El análisis de malware permite a los analistas ver qué acciones se tomaron y nos permite usar estas acciones para crear un perfil que puede usarse para detectar y bloquear más infecciones y encontrar infecciones relacionadas. Ejecutamos malware en el laboratorio para determinar cómo se comportan, les damos diferentes entradas para observar cambios en el comportamiento, los ejecutamos a través de depuradores para desactivar medidas de seguridad y examinamos las capacidades que puedan tener con análisis adversarios, incluso podría ser posible. utilizar un desensamblador para obtener una imagen más completa de las rutas que podría tomar el malware. Utilizando estas herramientas y técnicas, los analistas de malware crean una lista de indicadores que pueden usarse para detectar y bloquear el malware que están examinando, generar información sobre quién podría estar apuntando a su red e incluso qué podría estar recopilando el malware. Centraré mi atención en el análisis del comportamiento y daré algunos ejemplos de caza de amenazas y lo que esta técnica puede hacer.
1. Análisis de comportamiento del malware
El análisis de comportamiento es el paso de ejecutar malware en condiciones controladas, donde se pueden observar las acciones realizadas por el malware. Al ejecutar el malware en un entorno completamente aislado, podemos ver qué hará si no puede comunicarse. Con el análisis de comportamiento, puedes hacer todo paso a paso. Cuando está completamente aislado, ¿intenta escanear la red? Si es así, continúe y agréguelo a 1 y vea qué sucede. ¿Comenzará a cuidar eso? El objetivo principal de este tipo de análisis es ver qué hace el malware en un proceso paso a paso, permitiéndole mapear sus diferentes acciones y tener una mejor visión integral antes de comenzar a inspeccionarlo en un depurador o mediante el desensamblaje del malware. . Yo diría que esta es una de las partes más interesantes del análisis.
2. Entorno de laboratorio básico para análisis de malware
Su entorno de laboratorio básico debe incluir:
Configuración VMware/Virtualbox de los siguientes ordenadores:
Windows con Wireshark, Process Monitor y procDOT instalados.
REMnux (viene con todo lo que necesita preinstalado)
Asegúrese de que su máquina virtual esté configurada solo como host de red y que, al configurar una dirección IP estática, su sistema Windows La máquina REMnux Box actuará como puerta de enlace predeterminada. Esto asegura que el primer salto será REMnux y permitirá el control de tráfico que queremos.
3. Herramientas de análisis de malware
Hay varias herramientas que le gustaría utilizar para recopilar la mayor cantidad de información, puede:
Wireshark: esta herramienta utiliza Usado para recopilar el tráfico de red en una interfaz determinada. Las siguientes opciones le permitirán ver páginas y tráfico, e incluso le permitirán recrear y guardar archivos transmitidos mientras se ejecuta la captura de paquetes. /en-us/sysinternals/downloads/procmon
ProcDOT: esta herramienta toma un CSV de Process Monitor y puede mostrarle el trabajo realizado por un proceso específico como un diagrama de flujo. Esto hace que sea más fácil explicar qué sucedió y en qué orden. /
FakeDNS: Esta herramienta es un script incluido en REMnux que responde a todas las solicitudes de DNS con su propia información y envía el dominio solicitado al terminal. Esto es útil para determinar qué dominio solicita cada computadora conectada a él.
accept-all-ips: Esta herramienta también es un script incluido en REMnux. Esto redirigirá todo el tráfico IP al host REMnux. Muy peligroso si se activa en un entorno vivo, pero útil para forzar transferencias a máquinas de análisis.
INetSim: Este es un paquete de software que puede simular muchos servicios/protocolos comunes en la web. Esta suite puede incluso proporcionar buenos archivos ejecutables para muestras de malware si es necesario.
sim.org/
4. Ejecutar malware mediante análisis de comportamiento
Cuando ejecute malware, asegúrese de iniciar procmon y Wireshark en el host de Windows, siempre antes de iniciar el malware. Antes. Esto garantiza que detecte toda la actividad de malware. Una vez que haya terminado con el malware, podrá guardar los resultados de procmon y abrirlos en procdDOT. Esto le dará una buena idea de lo que está haciendo el malware. Asegúrese de verificar Wireshark y cualquier tráfico desconocido. Una vez que pueda ver que no hace nada, puede restablecer su máquina con Windows y comenzar de nuevo. Sí, el reinicio se repite con cada operación, pero siempre se desea comenzar con un ambiente limpio. Una vez que haya determinado qué está buscando el malware, configure su sistema REMnux o limpie el entorno para darle lo que quiere. Realmente querrás repetir esto hasta que no puedas descubrir lo que necesita o deje de pedir cosas nuevas. En este punto, debe tener una buena dirección IP, nombre de dominio, archivo, etc. El malware está buscando o contactado.
Asegúrese de que su sistema esté configurado para alertar sobre estos indicadores que se descubren. No querrás terminar con una infección similar porque olvidaste buscar la información que acabas de encontrar. Existen otros tipos de análisis para las muestras de malware que tiene, pero en este punto, centrémonos en el siguiente paso y veamos dónde puede ayudarnos nuestra lista de indicadores.
5. Utilicemos el análisis de malware para encontrar amenazas
Una vez que determine qué está buscando el malware, tendrá un buen lugar para comenzar a buscar otras amenazas. Busque otros lugares en la web que puedan tener una versión similar (incluso si son todas sus estaciones de trabajo) y búsquelo. También se pueden utilizar actividades similares para descubrir amenazas, ya sea consultando registros directamente o examinando los registros del sistema a través de un SIEM. Si nota que el malware está utilizando un agente de usuario no estándar al establecer una conexión de red, buscar en los registros de su agente ese agente y agentes similares puede ser una buena manera de encontrar amenazas similares. Lo mismo ocurre con los puertos y los nombres de dominio. La mayoría de las veces, si una herramienta funciona, los usuarios la seguirán. Lo mismo ocurre con los actores maliciosos que implementan malware. Si tomo WordPress como ejemplo, no es que no sea la plataforma más segura, cuando ocurre un hackeo generalmente hay un archivo que se agrega a una carpeta de inclusión y el malware puede apuntar directamente a ese archivo. Entonces es una buena idea buscar rutas similares en el nombre de dominio donde el firewall y el proxy muestran tráfico. A menudo, esto puede revelar diferentes amenazas en su entorno. Sea minucioso en este tipo de búsqueda. El hecho de que haya bloqueado indicadores y actividad y haya activado alertas ahora no significa que otro sistema no se verá afectado hasta que tenga esas comprobaciones y bloqueos en su lugar.
Asegúrate de tener acceso a los registros del ordenador donde se encontró el malware. Sería mejor si pudiera obtener información sobre el tráfico de la red. Utilizando estos y lo que sabe sobre el malware después de la ingeniería inversa, debería poder determinar si el malware está permitiendo que otra actividad maliciosa ingrese a la red. Si es así, los registros y los flujos de red deberían darle algunas pistas sobre qué más se permitió la entrada y si utilizó su computadora para algún movimiento lateral.
El análisis de malware y la caza de amenazas son dos conceptos y técnicas que se utilizan para garantizar que nuestras redes permanezcan seguras. Cuando unimos estos conceptos, podemos determinar de manera más efectiva el alcance de la amenaza. El análisis de comportamiento es sólo un paso en el proceso de análisis de malware y puede ayudar. Más tipos de análisis de malware e ingeniería inversa, que brindan información no disponible a través del análisis de comportamiento que puede utilizar para buscar amenazas en mayor profundidad.