¿Porqué realizar Análisis de Malware?
El análisis de malware es el estudio del comportamiento del malware. El objetivo del análisis de malware es comprender el funcionamiento del malware, además de como detectarlo y eliminarlo. Involucra analizar el binario sospechoso en un entorno seguro para identificar sus características y funcionalidades, de manera se puedan construir mejores defensas para proteger la red de una organización.
El principal motivo para realizar análisis de malware es para extraer información desde la muestra de malware, lo cual puede ayudar a responder ante un incidente de malware. La meta del análisis de malware es determinar la capacidad del malware, detectarlo, y contenerlo. También ayuda a determinar patrones identificables los cuales pueden ser utilizados para curar y prevenir futuras infecciones. Las siguientes son algunas de las razones por las cuales se realiza un análisis de malware:
- Para determinar la naturaleza y el propósito del malware. Por ejemplo, puede ayudar a determinar si el malware es roba información, es un bot HTTP, un bot de spam, un rootkit, un keylogger o un RAT, etc.
- Para comprender cómo se comprometió el sistema y su impacto
- Para identificar los indicadores de red asociados al malware, los cuales pueden luego utilizarse para detectar infecciones similares utilizando la vigilancia de la red. Por ejemplo, durante el análisis, si se determina un malware se contacta con un dominio/dirección IP particular, se puede utilizar este dominio/dirección IP para crear una firma y supervisar el tráfico de red, para identificar todos los hosts contactándose con ese dominio/dirección IP
- Para extraer indicadores basados en el host, como nombres de archivos y llaves de registro, lo cual a su vez, pueden utilizarse para determinar una infección similar mediante vigilancia basada en host. Por ejemplo, si se conoce un malware crea una llave del registro, se puede utilizar esta llave del registro como indicador para crear una firma, o escanear la red para identificar los hosts teniendo la misma llave del registro
- Determinar la intención y el motivación del atacante. Por ejemplo, durante el análisis, si encuentra el malware está robando credenciales bancarias, entonces se puede deducir el motivo del atacante es la ganancia monetaria
Mencionar también, los equipos para inteligencia de amenazas frecuentemente utilizan indicadores determinados a partir de un análisis de malware, para clasificar el ataque y atribuirlo a amenazas conocidas. El análisis de malware puede ayudar a obtener información sobre quién podría estar detrás del ataque (competidor, grupo de ataque patrocinado por un estado, etc.).
Fuentes:
https://www.first.org/global/sigs/malware/ma-framework/#Why-Malware-Anal...
https://csrc.nist.gov/publications/detail/sp/800-83/rev-1/final
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/