Buenas a todos!

En primer lugar, me alegra mucho que se siga manteniendo el foro y mi respeto para todos los administradores y colaboradores de Indetectables, que mantienen esto por puro amor a la seguridad!

Abro este tema , para que quien quiera comparta las herramientas o forma de analizar que más utiliza para analizar malware, yo seguramente estoy bastante desfasado ya que hace años que no analizo.

Yo lo que utilizaba en su momento era lo siguiente:
Maquinas virtuales:
Vmware
Virtualbox

Tenia snapshots de las mismas.

Herramientas:
- SysAnalyzer con ella controlaba el compartimiento del malware, las entradas de registro que hacía, conexiones, y las modificaciones en disco.
-ProcessMonitor para ver los procesos del sistema y los archivos
-Tcpview para ver las conexiones del ordenador hacía fuera es similar a netstat pero más "bonito" de ver.

¿Qué herramientas y formas de analizar usáis en la actualidad? 

Saludos!
La metodología que se suele usar es la de 4 etapas [Enlace externo eliminado para invitados] y vas pasando de etapa según los indicios. Si lo pasas por Cuckoo o PEStudio y saltaron alertas por todos lados paras ahí.
Después las herramientas las tenes en gran parte en el Toolkit de la comunidad ([Enlace externo eliminado para invitados]), a lo sumo agregaría Ghidra, IDA PRO, Fiddler (o Charles, o algunos usan Burp Suite de una) y para el análisis usan vms modificadas como hace Cuckoo (que casualmente es un desarrollo de alguien de la comunidad).
VMWare es muy flexible para hacer eso, yo lo usaba para saltar los "anti-vm" bastante.

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
El camino que dejaste es el correcto incluso en epocas actuales. Una vez tengas el virtualizador de preferencia (VMW o VBOX) lo que podrias hacer es disponer de 2 tipos de sistemas operativos que vas a customizar previamente y/o lo puedas descargar ya customizado. (te voy a dejar todos los enlaces al final)

Principalmente un Windows -de ser posible un 7 y 10- (cualquier versión de 64 de estudiante es utíl), asegurate de bajar las herramientas indispensables del OS (Python, Editores de Texto, Chrome,Updates, Config de FW y de red, etc). Una vez tengas esa primera etapa recomiendo que hagas un snapshop de esa imagen totalmente limpia sin herramientas y posteriormente hagas desde ahí otra imagen custom para el fin en cuestión. En este caso tenes distintas opciones para configurar tu entorno Windows, principalmente el entorno de red que debe utilizarse solo sí tu objetivo justamente es analizar el comportamiento de la amenaza en terminos de comunicaciones y tramas http/http , todo esto es con el fin de ejecutar literalmente la muestra, capturar su trafico y entender los steps principales.

Adicionalmente te recomiendo tengas una disto en Linux, para: Redirigir Trafico capturado desde el Windows, de esa manera la performance de tu Windows solo se ocupa de ejecutar la pieza de malware y el trafico lo envias a otro sistema operativo (Ubuntu) y en el mismo entorno ejecutas el Wiresharp. Como alternativa podrías que contar con una aplicación que simule el trafico y de esa manera no exponerte literalmente a internet, sino es por medio de un proxy que a su vez permita capturar comodamente todo ese trafico. (de hecho es lo mas recomendable cuando no tenes en claro contra que estas lidiando).

Para preparar tu ambiente y customizar tu configuración de red te dejo algunas sugerencias:


FlareVM -Windows 10-
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]


La comunidad tiene su propio install si lo que queres es tener las herramientas más basícas y utilizadas
[Enlace externo eliminado para invitados]

Networking:
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]


Linux:
[Enlace externo eliminado para invitados]

Cada herramienta tiene su porpia tecnica, su propia configuración. Sin embargo existe un grupo de ellas que solo van a poder ayudarte si el enfoque del analisis solo es Estatico (sin ejecición) o Dincamico. (Con Ejecución). Tal cual DSR indicó PEstudio es una de los principales desarrollos que continua en mantinimiento y te podria dar los primeros indicadores cuando se trata de una analisis estatico. Por el contrario toda la suite de Sysisternals en sus ultimas versiones tienen grandes capacidades para capturar cambios en el sistema, llaves de registro, escritura en disco y en qué directorios, procesos injectados y/o captura de comunicaciones.

Guias de Estudio:
[Enlace externo eliminado para invitados] (Neil Fox - #1 How to Build a Malware Lab - #2 How To Analyse a Malicious Word Document - #3 Static Analysis Tools & Techniques
- #4 Behavioural Analysis Tools & Techniques - #5 Malware Analysis Using a Cuckoo Sandbox - #6 Common Malware Persistence Techniques - #7 Intro to Analysing Malware Using x32dbg - #8 How to Manually Unpack Malware)

[Enlace externo eliminado para invitados] (Lenny Zelter - Practical Malware Analysis Essentials for Incident Responders)
[Enlace externo eliminado para invitados] (Felipe Duarte - Threat Intelligence, the Malware Analysis Way)
[Enlace externo eliminado para invitados] (Analysis REMCOS Malware .NET Unpacking)
[Enlace externo eliminado para invitados] (Reverse Engineering 101)
[Enlace externo eliminado para invitados] (Awesome Malware Awesome (Analysis and reverse engineering, Banking trojans, Botnets, Command and Control
Credential Stuffing Account Checkers, Data stealers, Evasion, Phishing kits, Keyloggers, RAM scrapers
Ransomware, Remote Administration Tools (RATs), Rootkits, Web Shells)

[Enlace externo eliminado para invitados] (Evasion, Infection, Kernel Mode, Process Injection, Persistense,System Components and Abuse)
[Enlace externo eliminado para invitados]] (Analysis Malware Traffic)[/i]

Por ultimo y no menos importante te quería la captura de memoría, evtx y/o artefactos en general, pero en otro post![/justify]
Responder

Volver a “Mensajes Entre Nosotros”