El análisis dinámico de códigos maliciosos permite conocer de una manera rápida y efectiva qué acciones realiza una amenaza en el sistema. De esta forma se puede obtener información acerca de los archivos creados, conexiones de red, modificaciones en el registro, etc. Para lograr este fin existe una gran cantidad de recursos y herramientas que brindan la posibilidad de analizar una amenaza a través de diferentes enfoques. En el post de hoy compartiremos con ustedes algunos conceptos y herramientas a tener en cuenta al momento de conocer qué es lo que hace el código malicioso que deseamos analizar.

Lo primero que necesitamos antes de iniciar un análisis es contar con un entorno aislado, en el cual desarrollaremos nuestra investigación y que nos permitirá encontrar toda la información: un laboratorio. Siempre es necesario tener en cuenta cuál es la amenaza que vamos a analizar y en base a ello decidir si es necesario realizar el trabajo en una máquina física o si un entorno virtual será lo mejor.  Esta elección depende de los gustos del investigador y también del código malicioso a analizar; si el malware tiene protección contra máquinas virtuales lo mejor será hacerlo directamente en una máquina física.

En lo que refiere a las herramientas que se pueden utilizar, estas se dividen en tres categorías principales: herramientas basadas en hooks, en diferencias y en notificaciones. Las herramientas basadas en hooks utilizan una serie de técnicas para interceptar las llamadas a funciones o mensajes entre los componentes o elementos del sistema y de esta manera conocer sus parámetros para monitorizar en tiempo real lo que está sucediendo, ya sea a nivel de usuario o del sistema. Un ejemplo de este tipo de recursos es Process Monitor de Sysinternals, que a través de filtros permite conocer acciones en el registro, sistema de archivos y conexiones de red:

Ver más… »

Categories: Análisis de malware, Herramientas
2 Comments »