Tipos de Análisis de Malware
Para comprender el funcionamiento y las características del malware, además de evaluar su impacto en el sistema, frecuentemente se utilizan diferentes técnicas para análisis. A continuación se presenta una clasificación para estas técnicas de análisis:
Análisis Estático
Es el proceso de analizar un binario sin ejecutarlo. Es el más fácil de realizar, además de permitir extraer los metadatos asociados al binario sospechoso. El análisis estático puede no revelar toda la información requerida, pero algunas veces puede proporcionar información interesante la cual ayude a determinar donde enfocar los esfuerzos posteriores de análisis.
Análisis Dinámico (Análisis de comportamiento):
Es el proceso de ejecutar el binario sospechoso en un entorno aislado para vigilar su comportamiento. Esta técnica de análisis es fácil de realizar, además de proporcionar información valiosa sobre la actividad del binario durante su ejecución. Esta técnica de análisis es útil, pero no revela todas las funcionalidades del programa hostil.
Análisis de Código
Es una técnica avanzada la cual se centra en el análisis del código, con el propósito de comprender el funcionamiento interno del binario. Esta técnica revela información la cual no es posible determinar solo desde el análisis estático y dinámico. El análisis de código se divide a su vez en análisis estático de código y análisis dinámico de código. El análisis estático de código implica desensamblar el binario sospechoso, y observar su código para entender el comportamiento del programa, mientras el análisis dinámico de código implica depurar el binario sospechoso de forma controlada para entender su funcionalidad. El análisis de código requiere conocimientos sobre lenguajes de programación, además de conceptos sobre sistemas operativos.
Análisis de Memoria (Forense de Memoria)
Esta es una técnica de análisis para la memoria RAM de la computadora, con el propósito de buscar artefactos forenses. Es típicamente una técnica forense, pero su integración en el análisis de malware ayudará a comprender el comportamiento del mismo después de la infección. El análisis de la memoria es especialmente útil para determinar las capacidades de ocultación y evasión del malware.
Nota: Integrar diferentes técnicas de análisis mientras se realiza un análisis de malware, puede revelar mucho información contextual, la cual podría ser valiosa en la investigación del malware
Fuentes:
https://www.crowdstrike.com/cybersecurity-101/malware/malware-analysis/
https://zeltser.com/malware-analysis-cheat-sheet/
https://forensicswiki.xyz/wiki/index.php?title=Memory_analysis
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/