Detección y determinación basadas en muestras

Caso de Uso

Tienes una muestra de un archivo y necesita determinar si es malicioso. Esto puede haber sido enviado al objetivo por correo electrónico, redes sociales o mensajería instantánea, o transferido a través de medios extraíbles o de otro modo. El archivo en sí puede ser binario, un archivo comprimido, una página web capturada u otros formatos de archivo. El objetivo principal es determinar si el archivo es malicioso. Además, es posible que puedas determinar información adicional útil para caracterizar el archivo, sin embargo, para obtener más orientación, revisa el Análisis de Malware en la Ruta de Aprendizaje.

Objetivos

Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente:

• Investigar archivos sospechosos utilizando plataformas de malware.
• Utiliza entornos Sandbox para ayudar a determinar si una muestra es maliciosa y qué hace.

Sección Principal

Si necesita una evaluación más profunda de algunos archivos específicos, existen servicios en línea que escanearán un archivo específico o un conjunto de archivos en busca de malware. Si tienes un archivo que sospechas que es malicioso, puedes cargarlo en el servicio de escaneo. Ten en cuenta que estos servicios no mantienen confidencial el contenido de los archivos que envías. No debes enviar archivos que contengan información confidencial. Estos archivos pueden provenir de archivos adjuntos de correo electrónico o ser archivos descargados recientemente en el dispositivo de la víctima. Ten en cuenta que, en muchos casos, la descarga inicial puede ser un dropper (ejecutable que instala el malware real, a menudo más fácil de personalizar que el malware “real”) y es posible que el software antimalware no lo reconozca. Si es posible, analiza las fechas de creación/modificación/descarga de archivos para identificar los archivos que podrían haber sido descargados por el dropper inicial.

Si prefieres no compartir un archivo completo con un servicio en línea, pero aun así deseas verificar si alguna vez se ha enviado, simplemente puedes cargar un hash del archivo. Un hash es como una huella digital corta de un archivo: se puede utilizar para identificar un archivo único sin revelar su contenido. Para obtener más información sobre hashes, consulta la sección “Hashes” en el Capítulo 7 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios. La actividad de la guía supone que el usuario está aprendiendo en un sistema operativo Linux, por lo que deberás buscar la utilidad de línea de comandos que utilizarás para obtener una suma SHA en la plataforma elegida, por ejemplo, usando shasum o openssl en MacOS o usando Get-FileHash o certutil en PowerShell.

Un servicio popular de inteligencia de malware es VirusTotal de Google. VirusTotal escaneará un archivo con varios escáneres antimalware e informará los resultados. También puede buscar hashes de archivos o URL. VirusTotal es de uso gratuito, sujeto a restricciones de volumen. Para obtener una descripción detallada y actividad, completa la sección “Utilizando VirusTotal” del Capítulo 7 del documento de Internews’ Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios.

Después de leer el capítulo anterior, deberías poder:

• Comprender lo que significa enviar una muestra a VirusTotal (compartir tu muestra con clientes de pago de VirusTotal) y poder decidir si es apropiado hacerlo.
• Enviar un archivo o verificar un registro mediante hash y leer las pestañas Detecciones, Detalles, Relaciones, Comportamiento y Comunidad en VirusTotal.

Sandboxes

Los entornos Sandbox proporcionan un entorno virtual que simula una computadora común que captura registros detallados de las actividades que ocurren en la memoria y en el disco. Generalmente, esto permite una forma segura y automatizada de iniciar el análisis de malware y comprender las acciones e intenciones de un archivo.

Varios servicios de sandbox comerciales de acceso gratuito incluyen Hybrid Analysis, Any.Run, Joe Sandbox, y Triage. Estos servicios ejecutan archivos que les envías y realizan análisis dinámico. Esto tiene grandes ventajas al poder detectar heurísticamente nuevo malware y también al poder evaluar varias etapas del malware. Ten en cuenta que las muestras enviadas serán recopiladas y estarán disponibles para clientes de pago y analistas.

Cuckoo Sandbox es una herramienta de análisis de malware en un sandbox de código abierto y gratuita que puedes autohospedar. CERT-EE en Estonia ofrece una versión gratuita alojada en línea: Cuckoo V2, Cuckoo V3 (Beta).

Para obtener más información sobre el uso de Sandboxes para la detección de muestras, completa la sección “Sandboxes” en el Capítulo 10 de Internews’ Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios, que utiliza el Triage sandbox como ejemplo.

Después de completar la actividad, deberías poder:

• Enviar un archivo a sandbox.
• Seleccionar o configurar un entorno operativo apropiado para sandbox.
• Decidir si las redes deben deshabilitarse o emularse.
• Lee la visión general de los resultados, incluidas las detecciones automáticas.
• Tener una comprensión general de las otras categorías de información que se presentan en el análisis del sandbox. Con el propósito de detección, no es necesaria una comprensión detallada, pero para el Análisis de Malware o la caza de amenazas deberás comprenderlos más a fondo.

Puedes encontrar un análisis más detallado sobre las Sandboxes en la ruta de aprendizaje de Análisis de Malware de Infuse.

Ten en cuenta que el malware avanzado puede iniciar verificaciones para descubrir si se encuentra en un entorno virtualizado / sandbox, por lo que puede comportarse de manera diferente según el entorno, por lo que ningún entorno sandbox será 100% confiable.

Para obtener más información sobre los tipos de técnicas que utiliza el Análisis Híbrido, puede aprender a realizar tu propio Análisis de Malware híbrido (estático y dinámico) en la ruta de aprendizaje de Análisis de Malware.

Práctica

1. Encuentra o crea un archivo de texto sin formato en tu sistema y luego calcula su hash sha256. Después de haber hecho eso, cambia el archivo editándolo en un editor de texto sin formato y agregándole un solo carácter. Calcula su hash sha256 nuevamente.
2. Descarga un ejecutable desconocido de Windows desde un sitio como download.cnet.com. Envíalo a VirusTotal o analízalo con Hybrid Analysis. Ten en cuenta que los instaladores pueden marcarse incorrectamente como maliciosos debido a la naturaleza de su funcionamiento. Piensa por qué podría estar sucediendo esto y, si es posible, discútelo con un compañero o mentor.
3. Encuentra el hash de una pieza de malware bien conocido (puedes hacerlo navegando en un sitio que contenga hashes de malware, ¡no es necesario que descargues la muestra y genera el hash tú misma!) y súbelo a VirusTotal. Explica lo que ves y lo que sucedió.

Verificación de habilidades

Independientemente (o con un mentor)

1. Explora muestras de malware enviadas recientemente en Malware Bazaar. Copia los hashes de 3 a 5 muestras que hayas detectado y pégalos en la búsqueda de VirusTotal. ¿Cuáles son los resultados? Cada uno de esos hashes debe ser detectado como malicioso por al menos un par de motores de detección de malware de VirusTotal. Si ninguno de los hashes es detectado como malicioso o reconocido por VirusTotal, entonces es probable que hayas cometido algún error en algún lugar y vale la pena tomarse un momento para volver a seguir tus pasos.

Con un Compañero o un Mentor

1. Pídele a un compañero o mentor que seleccione alrededor de 10 archivos aleatorios, que podrían ser, por ejemplo, imágenes. Luego tomarán el hash sha256 de 3 archivos seleccionados al azar y te enviarán tanto los archivos como los hashes. Identifica cuáles de esos 10 archivos coinciden con los hashes y solicita a tu compañero o mentor que revise tu trabajo.

Recursos Educativos