homepage
Open menu Go one level top
  • Train and Certify
    • Get Started in Cyber
    • Courses & Certifications
    • Training Roadmap
    • Search For Training
    • Online Training
    • OnDemand
    • Live Training
    • Summits
    • Cyber Ranges
    • College Degrees & Certificates
    • NICE Framework
    • DoDD 8140
    • Specials
  • Manage Your Team
    • Overview
    • Group Purchasing
    • Why Work with SANS
    • Build Your Team
    • Hire Cyber Talent
    • Team Development
    • Private Training
    • Security Awareness Training
    • Leadership Training
    • Industries
  • Resources
    • Overview
    • Reading Room
    • Webcasts
    • Newsletters
    • Blog
    • Tip of The Day
    • Posters
    • Top 25 Programming Errors
    • The Critical Security Controls
    • Security Policy Project
    • Critical Vulnerability Recaps
    • Affiliate Directory
  • Focus Areas
    • Blue Team Operations
    • Cloud Security
    • Digital Forensics & Incident Response
    • Industrial Control Systems
    • Leadership
    • Offensive Operations
  • Get Involved
    • Overview
    • Work Study
    • Teach for SANS
    • Partnerships
    • Sponsorship Opportunities
    • Join the Community
  • About
    • About SANS
    • Instructors
    • Mission
    • Initiatives
    • Diversity
    • Awards
    • Contact
    • Frequently Asked Questions
    • Customer Reviews
    • Press
  • Log In
  • Join
  • Contact Us
  • SANS Sites
    • GIAC Security Certifications
    • Internet Storm Center
    • SANS Technology Institute
    • Security Awareness Training
  • Search
  1. Home >
  2. Blog >
  3. Dominando las 4 etapas del AnAilisis de Malware
370x370_Lenny-Zeltser.jpg
Lenny Zeltser

Dominando las 4 etapas del AnAilisis de Malware

July 29, 2014

image.png

This is a Spanish translation of Lenny Zeltser's article Mastering 4 Stages of Malware Analysis. It was translated from English by Andres Velazquez. Este artículo fue traducido del inglés por Andrés Velázquez (@cibercrimen).

El análisis de software malicioso o malware involucra una variedad de tareas, algunas más simples que otras. Estas tareas pueden ser agrupadas en etapas basadas en la naturaleza de las técnicas de análisis de software malicioso. Agrupadas como capas, una encima de otra, estas etapas forman una pirámide que va creciendo conforme complejidad. Entre más te acerques a la punta, más grande es el esfuerzo y menos común el set de habilidades.

Análisis Completamente Automatizado

La manera más fácil de evaluar la naturaleza de un archivo sospechoso es escaneándolo utilizando herramientas completamente automatizadas, algunas están disponibles como productos comerciales y otras de forma gratuita. Estas herramientas están diseñadas para evaluar rápidamente qué podría hacer el espécimen si se corriera en el sistema. Típicamente generan reportes con detalles como llaves de registro que usa el programa malicioso, sus valores mutex (o mutantes), actividad de archivos, tráfico de red, etc.

Las herramientas completamente automatizadas normalmente no proveen tanta información como lo podría hacer la intuición de un analista humano al examinar el espécimen en un modo mucho más manual. De cualquier forma, contribuyen en la respuesta ante un incidente al procesar rápidamente una vasta cantidad de malware, permitiéndole al analista (de quien el tiempo es muy valioso) enfocarse en casos que realmente requieren atención humana.

Para un listado de servicios y herramientas gratuitos que pueden realizar análisis automatizado, revisa mis listas de Toolkits para Análisis automatizado de malware y Servicios automatizados para análisis de malware. (en inglés)

Análisis Estático de Propiedades

Un analista interesado en dar un vistazo más de cerca a un archivo sospechoso, puede proceder examinando sus propiedades estáticas. Estos detalles pueden obtenerse relativamente rápido, porque no involucran el tener que correr el programa potencialmente malicioso. Las propiedades estáticas incluyen las cadenas de caracteres en el archivo, detalles de la cabecera, hashes, recursos incrustados, firmas del packer, metadatos como la fecha de creación, etc.

Mirar las propiedades estáticas puede a veces ser suficiente para definir indicadores básicos de compromiso. (en inglés) Este proceso también ayuda a determinar si el analista debería dar un vistazo más de cerca al espécimen usando técnicas más comprensivas y en dónde enfocar los pasos subsecuentes. Analizar propiedades estáticas es útil como parte del esfuerzo triage del accidente.

VirusTotal es un ejemplo de una herramienta en línea excelente, cuya producción incluye propiedades estáticas del archivo. Para dar un vistazo a algunas utilidades gratuitas, puedes correrla localmente en tu laboratorio, mira mi post Analizando Propiedades Estáticas de archivos sospechosos en Windows y Examinando de Ofuscación XOR para análisis de malware. (en inglés)

Análisis Interactivo de Comportamiento

Después de usar herramientas automatizadas y examinar las propiedades estáticas del archivo así como también haber tomado en cuenta el contexto general de la investigación, el analista puede decidir dar un vistazo aún más de cerca al espécimen. Esto frecuentemente conlleva infectar y aislar un sistema de laboratorio con el programa malicioso para observar su comportamiento.

El análisis de comportamiento involucra examinar cómo corre la muestra en el laboratorio para entender sus registros, sistema de archivos, proceso y actividades de red. Entender cómo usa la memoria el programa (por ejemplo, la realización de análisis forense de memoria) puede aportar revelaciones adicionales. Esta etapa de análisis de malware es especialmente útil cuando el investigador interactúa con el programa malicioso, en lugar de solo observar pasivamente el espécimen.

El analista puede observar que el espécimen atenta con conectarse a un huésped en particular, el cual no está accesible en el laboratorio aislado. El investigador podría imitar el sistema en el laboratorio y repetir el experimento para ver qué haría el programa malicioso una vez que pudiera conectarse. Por ejemplo, si el espécimen usa al huésped como servidor de comando y control (C2), el analista puede tener la posibilidad de aprender acerca del espécimen simulando las actividades C2 del atacante. Este acercamiento para moldear el laboratorio y evocar las características de comportamiento adicionales aplica a los archivos, claves de registro y otras dependencias que la muestra pueda tener.

Poder ejercer este tipo de poder sobre el espécimen en un laboratorio propiamente orquestado, es lo que diferencia esta etapa de las tareas de un análisis totalmente automatizado. Interactuar con el malware de forma creativa consume mayor tiempo y es más complicado que emplear herramientas totalmente automatizadas. Por lo general requiere mayores habilidades que el realizar tareas más tempranas en la pirámide.

Para mayor información relacionada con el análisis de comportamiento interactivo revisa mi post Asolación de Red Virtualizada para un laboratorio de análisis de Malware y mi webcast Introducción al análisis de comportamiento de software malicioso y la tercera parte del post de Jake Williams Consejos en el Análisis de Malware e Ingeniería Inversa.

Decodificación Manual de Malware

Practicar Ingeniería Inversa al código que compromete el espécimen, puede agregar valiosas aportaciones a los elementos encontrados después de completar el análisis de comportamiento interactivo. Algunas de las características del espécimen son simplemente imprácticas para ejercer y examinar sin hacer lo propio con el código. Información que solo la reversión manual del código puede proveer incluye:

  • Decodificar datos cifrados almacenados o transferidos por el espécimen.
  • Determinar la lógica de generación del algoritmo de dominio del programa malicioso
  • Entender otras capacidades del ejemplar que no se exhiben por si mismas durante el análisis de comportamiento.

La decodificación manual de malware involucra el uso de un desensamblador y un debugger, en lo que podría usar la ayuda de un decompilador y una variedad de plugins y herramientas especializadas que automatizan algunos aspectos de estas labores. La memoria forense puede ayudar en esta etapa de la pirámide también.

Invertir el código puede tomar mucho tiempo y requiere un conjunto de habilidades que son relativamente raras. Por esta razón, muchas investigaciones de malware no llegan a profundizar hasta el código. Sin embargo, saber cómo llevar a cabo por lo menos algunos pasos de inversión de código, incrementa en gran medida el campo de visión del analista en cuanto a la naturaleza del programa malicioso en un equipo.

Para tener una idea de los aspectos básicos de la ingeniería inversa a nivel de código en el contexto de otras etapas de análisis de malware, sintonizar mi webcast Introducción al Análisis de Malware. Para un mayor acercamiento a la reversión de código manual, lee el libro en línea de Dennis Yurichev Ingeniería inversa para principiantes.

Combinación de las Etapas de Análisis de Malware

El proceso de examinación de software malicioso consta de varias etapas, que podrían ser enumeradas conforme mayor complejidad y representadas como una pirámide. Sin embargo, ver estas etapas como pasos discretos y secuenciales simplifica en demasía los pasos del proceso de análisis de malware. En la mayoría de los casos, se entrelazan diferentes tipos de tareas de análisis con las observaciones generadas en una etapa, relacionando esfuerzos realizados en otra. Tal vez las etapas podrían estar representadas por un ciclo de "lavar, enjuagar, repetir", que sólo podría ser interrumpido cuando el analista se queda sin tiempo.

Si estás interesado en este tema, revisa el curso de análisis de malware que imparto en el SANS Institute.

La pirámide presentada en este post está basada en un diagrama similar elaborado por Alissa Torres (@sibertor). Este artículo fue traducido del inglés por Andrés Velázquez (@cibercrimen). El artículo original se encuentra en zeltser.com.

— Lenny Zeltser

Lenny Zeltser teaches malware analysis at SANS Institute. He is active on Twitter and writes a security blog.

Share:
TwitterLinkedInFacebook
Copy url Url was copied to clipboard
Subscribe to SANS Newsletters
Join the SANS Community to receive the latest curated cybersecurity news, vulnerabilities, and mitigations, training opportunities, plus our webcast schedule.
United States
Canada
United Kingdom
Spain
Belgium
Denmark
Norway
Netherlands
Australia
India
Japan
Singapore
Afghanistan
Aland Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belize
Benin
Bermuda
Bhutan
Bolivia
Bonaire, Sint Eustatius, and Saba
Bosnia And Herzegovina
Botswana
Bouvet Island
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Cook Islands
Costa Rica
Croatia (Local Name: Hrvatska)
Curacao
Cyprus
Czech Republic
Democratic Republic of the Congo
Djibouti
Dominica
Dominican Republic
East Timor
East Timor
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
France
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Germany
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard And McDonald Islands
Honduras
Hong Kong
Hungary
Iceland
Indonesia
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Jersey
Jordan
Kazakhstan
Kenya
Kingdom of Saudi Arabia
Kiribati
Korea, Republic Of
Kosovo
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Liechtenstein
Lithuania
Luxembourg
Macau
Macedonia
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States Of
Moldova, Republic Of
Monaco
Mongolia
Montenegro
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
Northern Mariana Islands
Oman
Pakistan
Palau
Palestine
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Bartholemy
Saint Kitts And Nevis
Saint Lucia
Saint Martin
Saint Vincent And The Grenadines
Samoa
San Marino
Sao Tome And Principe
Senegal
Serbia
Seychelles
Sierra Leone
Sint Maarten
Slovakia (Slovak Republic)
Slovenia
Solomon Islands
South Africa
South Georgia and the South Sandwich Islands
South Sudan
Sri Lanka
St. Helena
St. Pierre And Miquelon
Suriname
Svalbard And Jan Mayen Islands
Swaziland
Sweden
Switzerland
Taiwan
Tajikistan
Tanzania
Thailand
Togo
Tokelau
Tonga
Trinidad And Tobago
Tunisia
Turkey
Turkmenistan
Turks And Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Vatican City
Venezuela
Vietnam
Virgin Islands (British)
Virgin Islands (U.S.)
Wallis And Futuna Islands
Western Sahara
Yemen
Yugoslavia
Zambia
Zimbabwe

Tags:
  • Digital Forensics and Incident Response

Related Content

Blog
DFIR_FOR509_Countdown_Social4.jpg
Digital Forensics and Incident Response, Cloud Security
April 9, 2021
NEW FOR509: Enterprise Cloud Forensics & Incident Response - Beta coming June 2021
The new Enterprise Cloud Forensics course brings examiners up to speed with the rapidly changing world of enterprise cloud
SANS DFIR
read more
Blog
3_Min_Max_(58).png
Digital Forensics and Incident Response
March 30, 2021
3MinMax Series Topic Review - Apple Acquisition
Apple devices that we must be aware of in order to perform forensic acquisitions
370x370_Kevin-Ripa.jpg
Kevin Ripa
read more
Blog
3_Min_Max_(56).png
Digital Forensics and Incident Response
March 30, 2021
3MinMax Series Topic Review - Using KAPE in Forensics
KAPE is an efficient and highly configurable triage program that will target essentially any device or storage location, find forensically
370x370_Kevin-Ripa.jpg
Kevin Ripa
read more
  • Register to Learn
  • Courses
  • Certifications
  • Degree Programs
  • Cyber Ranges
  • Job Tools
  • Security Policy Project
  • Posters
  • The Critical Security Controls
  • Focus Areas
  • Blue Team Operations
  • Cloud Security
  • Cybersecurity Leadership
  • Digital Forensics
  • Industrial Control Systems
  • Offensive Operations
Subscribe to SANS Newsletters
Join the SANS Community to receive the latest curated cybersecurity news, vulnerabilities, and mitigations, training opportunities, plus our webcast schedule.
United States
Canada
United Kingdom
Spain
Belgium
Denmark
Norway
Netherlands
Australia
India
Japan
Singapore
Afghanistan
Aland Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belize
Benin
Bermuda
Bhutan
Bolivia
Bonaire, Sint Eustatius, and Saba
Bosnia And Herzegovina
Botswana
Bouvet Island
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Cook Islands
Costa Rica
Croatia (Local Name: Hrvatska)
Curacao
Cyprus
Czech Republic
Democratic Republic of the Congo
Djibouti
Dominica
Dominican Republic
East Timor
East Timor
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
France
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Germany
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard And McDonald Islands
Honduras
Hong Kong
Hungary
Iceland
Indonesia
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Jersey
Jordan
Kazakhstan
Kenya
Kingdom of Saudi Arabia
Kiribati
Korea, Republic Of
Kosovo
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Liechtenstein
Lithuania
Luxembourg
Macau
Macedonia
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States Of
Moldova, Republic Of
Monaco
Mongolia
Montenegro
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
Northern Mariana Islands
Oman
Pakistan
Palau
Palestine
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Bartholemy
Saint Kitts And Nevis
Saint Lucia
Saint Martin
Saint Vincent And The Grenadines
Samoa
San Marino
Sao Tome And Principe
Senegal
Serbia
Seychelles
Sierra Leone
Sint Maarten
Slovakia (Slovak Republic)
Slovenia
Solomon Islands
South Africa
South Georgia and the South Sandwich Islands
South Sudan
Sri Lanka
St. Helena
St. Pierre And Miquelon
Suriname
Svalbard And Jan Mayen Islands
Swaziland
Sweden
Switzerland
Taiwan
Tajikistan
Tanzania
Thailand
Togo
Tokelau
Tonga
Trinidad And Tobago
Tunisia
Turkey
Turkmenistan
Turks And Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Vatican City
Venezuela
Vietnam
Virgin Islands (British)
Virgin Islands (U.S.)
Wallis And Futuna Islands
Western Sahara
Yemen
Yugoslavia
Zambia
Zimbabwe
  • © 2021 SANS™ Institute
  • Privacy Policy
  • Contact
  • Twitter
  • Facebook
  • Youtube
  • LinkedIn