¿Cómo analizar el malware para averiguar dónde envió el keylogger los datos?

1

Recientemente, mi antivirus detectó algunos keyloggers que infectaron mi red. Tengo esos archivos de malware y quiero analizarlos.

¿Cómo puedo hacer este análisis? Es importante conocer detalles como dónde se envían esos registros. Al menos necesito una pista para investigar.

    
pregunta R1- 15.05.2018 - 08:42
fuente

2 respuestas

6

Si no eres un experto en esta habilidad, todavía hay algunas herramientas de análisis de malware automatizadas que puedes usar para obtener información de los archivos.

Las cajas de arena pueden ser una herramienta muy útil, y Cuckoo es probablemente la que mejor se conoce. Puede configurarlo usted mismo o buscar cajas de arena de cuco en línea . Cuckoo le dirá qué consultas de DNS se han realizado y qué conexiones HTTP se intentaron, así como muchos otros detalles.

Puede replicar una parte de lo que hace un sandbox ejecutando el malware en una máquina virtual cerrada y monitoreando las conexiones de red y cualquier cambio que realice en el sistema de archivos. Esto solo le proporciona una pequeña cantidad de información (y es muy arriesgado ejecutar malware desconocido en su propia máquina virtual si no sabe lo que está haciendo), pero también es una opción.

Si tienes algunas habilidades, es posible que desees ejecutar un depurador y ver exactamente cómo se ejecuta, pero esta es una habilidad avanzada.

Por supuesto, hay numerosas herramientas comerciales disponibles.

    
respondido por el schroeder 15.05.2018 - 10:50
fuente
4

El análisis de malware necesita conocimientos sobre ingeniería inversa y, dependiendo de la complejidad de su malware, podría ser un verdadero dolor entender cómo funciona. Si nunca ha abierto IDA u OllyDbg, por ejemplo, no es necesario que intente analizar sus archivos (sin saber cómo se hacen las cosas: ensamblaje, ingeniería inversa, desempaquetado ...)

Ahora, si solo desea monitorear su red, como dijo @schroeder, ejecute sus archivos maliciosos en una máquina virtual y luego ejecute Wireshark para El ejemplo probablemente hará el truco.

Aquí hay algunos servicios de análisis de malware o sandbox en línea que puede usar para obtener información "profunda" sobre su keylogger:

Marque este enlace , enumera algunos servicios y entornos de pruebas de análisis de malware automatizados gratuitos.

    
respondido por el Soufiane Tahiri 15.05.2018 - 14:55
fuente

Lea otras preguntas en las etiquetas