A menudo me encuentro con dispositivos infectados en mi entorno y me gustaría saber más sobre las infecciones específicas que se han producido. ¿Cuáles son las mejores herramientas y técnicas que podría usar para hacer esto? Estaba pensando en tomar una imagen del dispositivo y crear una máquina virtual para poder realizar pruebas, matarlo y crear una nueva máquina virtual infectada desde cero.
El análisis de malware debe realizarse en una máquina virtual, preferiblemente desconectada de Internet. Esto es principalmente para proteger su sistema y evitar que se propague (si el malware tiene esa capacidad). También puede usar instantáneas o, a veces, puede configurar una máquina virtual para nunca mantener el estado. VirtualBox es gratis y hará el trabajo. VMWare Player también es gratis, pero limitado. No permite el uso de instantáneas por desgracia.
Existen varias herramientas para ayudarle con el análisis de malware. Desconectarse de Internet a veces puede impedir que el malware ejecute su código malicioso. Hay un par de herramientas de sandboxing que escucharán en los puertos y responderán a las solicitudes de la red de manera adecuada para obligar al malware a continuar con su operación. El recomendado por Practical Malware Analysis es FakeNet . Con FakeNet puede incluso diseñar respuestas personalizadas para protocolos propietarios y / o puertos no estándar.
Cuckoo Sandbox es una herramienta de código abierto que puede proporcionar informes de análisis sobre el malware durante su operación. Puede rastrear las llamadas al sistema, mantener copias de los archivos creados (incluso si son eliminados más tarde) por el malware y proporcionar volcados de memoria de todo el sistema. Una herramienta muy poderosa.
La mayoría del malware está empaquetado, así que querrás asegurarte de que puedas descomprimir binarios, extraer recursos, etc. UPX es el más común. CFF Explorer es bastante útil para analizar recursos, e incluye una utilidad UPX. Es posible que desee revisar estas 5 herramientas recomendadas por MAMB.
Estas herramientas le darán un gran vistazo a lo que el malware está haciendo en un sistema. Sin embargo, si necesita llegar a los detalles importantes, querrá que su popular IDA Pro . Esto es principalmente para un malware más complicado que no puedes forzar a correr. Algunos malware se iniciarán en subprocesos suspendidos para ejecutarse más tarde. Algunos simplemente saben que no estás conectado a Internet a través de sus propios controles. Así que tendrás que depender del desmontaje para descubrir qué es lo que están tratando de lograr.
Otras herramientas que son útiles, depuradores. Windbg o Ollydbg son las dos más comunes, pero hay muchas opciones. Le permite adjuntar a la pieza de malware mientras se está ejecutando, establecer puntos de interrupción, inspeccionar la memoria, etc.
Puede tomar una imagen de memoria con Moonsols DumpIt y analizar la imagen con Volatility. También puede usar Mandiant Redline para recopilar una imagen de memoria y realizar un análisis genérico de lo que podría estar mal.
Si tiene una configuración de puerto de grifo o tramo, podría retroceder y analizar los paquetes si estuviera realizando la captura completa de paquetes.
Puede usar herramientas de sysinternals como autoruns, process explorer y process monitor para tener una idea rápida de lo que está sucediendo.
Una vez que puedas aislar el malware, puedes copiarlo y ejecutarlo en un sandbox como malwr o en una máquina virtual segura como mencionaste. Recomendaría consultar el libro Practical Malware Analysis sobre cómo configurar de forma segura una VM y qué herramientas usar para el análisis dinámico y estático.
Lea otras preguntas en las etiquetas virtualization malware reverse-engineering sandbox