Módulo 1
Configuración de un entorno de análisis de malware
Última actualización en: 5 Septiembre 2024
Editar esta página en GitHubCaso práctico
Antes de comenzar a analizar cualquier malware, debe configurar un entorno seguro para hacerlo. Definitivamente, el malware daña los sistemas en los que se ejecuta. No desees ejecutarlo en tu sistema principal. Además, probablemente querrás evitar que el malware realmente establezca conexiones con los servidores de C&C (comando y control) del autor de amenazas. Ambos significan que debes configurar una máquina virtual para utilizarla al realizar análisis de malware.
Objetivos
Después de completar este subtema, el profesional debe poder configurar una máquina virtual (VM) y tomar instantáneas (snapshots) en ella.
Sección Principal
La configuración exacta que necesitas depende de tu método de análisis y del sistema operativo del malware que estés analizando. En la mayoría de los casos, puedes comenzar con una máquina virtual Linux preconfigurada como REMnux. Consulta el Capítulo 6 de la Guía de Campo para Respuesta a Incidente para la Sociedad Civil y Medios para obtener instrucciones paso a paso sobre cómo realizar la configuración. Para cosas específicas (por ejemplo, análisis dinámico de malware de iOS) necesitarás herramientas adicionales (por ejemplo, un iPhone o iPad con jailbreak). Las máquinas virtuales ocasionalmente tienen vulnerabilidades que permiten que el software que se ejecuta en la máquina virtual ataque el sistema operativo host. La mayoría del malware ni siquiera se acerca a este nivel de sofisticación, pero en caso de duda, lo más seguro es analizar el malware en un dispositivo físico separado que se borre posteriormente.
Para configurar REMnux, recomendamos que sigas los pasos descritos en el Capítulo 6 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios y descargues la VM (Máquina Virtual)[1]. Esta es una manera fácil de comenzar que proporciona un excelente aislamiento entre su sistema host y el entorno REMnux. Tenga cuidado de no compartir datos confidenciales de su sistema operativo host en la máquina virtual. De acuerdo con las instrucciones vinculadas anteriormente, tome una instantánea (snapshot) de su máquina virtual una vez que se haya configurado y antes de comenzar a trabajar en cualquier malware. Puedes utilizar snapshots para volver a tu máquina virtual válida conocida antes de analizar diferentes piezas de malware y aislar diferentes clientes entre sí. Para obtener más información sobre snapshots de VM en general, revisa este artículo.
Mientras realiza el análisis de malware, es posible que desee herramientas adicionales en su máquina virtual de análisis. Adelante, instálelos y configúrelos, pero tenga en cuenta lo que hizo. Después de que hayas terminado tu análisis, puedes subir tu snapshot “limpio” de la VM , instalar y configurar la herramienta, y luego crear un nuevo snapshot “limpio” para tu próxima aventura de análisis de malware.
Para mover archivos de malware, la práctica estándar es colocarlos en archivos ZIP cifrados. En este caso, la calidad del cifrado no importa. El objetivo no es tanto mantener en secreto el malware, sino más bien evitar liberarlo involuntariamente en otros sistemas y prevenir que los sistemas antimalware lo detecten o lo eliminen. No dudes en incluir la contraseña en el nombre del archivo ZIP.
Práctica
- Descargue (si aún no lo ha hecho) el software de la máquina virtual (recomendamos VirtualBox) e instale REMnux.
- Actualice REMnux y tome una instantánea de VM.
- Configure una única carpeta compartida entre su host y la máquina virtual REMnux.
- Descargue un software de Windows aleatorio (presumiblemente no malicioso) de algo como download.cnet.com y transfiéralo a la máquina virtual REMnux utilizando un archivo ZIP cifrado. (Si ha completado recientemente la ruta de aprendizaje Detección de Malware, puede reutilizar la misma descarga).
- Coge un poco de malware de MalwareBazaar (¡ADVERTENCIA: este es un malware activo! No lo ejecute.) y transfiéralo a la máquina virtual REMnux. (Si ha completado recientemente la ruta de aprendizaje Detección de Malware, puede reutilizar la misma descarga).
Verificación de habilidades
Vaya a la carpeta que utiliza su máquina virtual para compartir archivos entre los sistemas operativos host e invitado. Agregue un archivo allí y luego calcule un hash criptográfico de este archivo en ambos sistemas operativos. Asegúrate de que los hashes coincidan.
Learning Resources
Guía de campo para la respuesta a incidentes para la sociedad civil y los medios de comunicación
GratisUna guía sobre cómo analizar contenido potencialmente malicioso, configurar máquinas virtuales y más
Idiomas: Inglés
Visitar SitioREMnux
GratisLa página web de la distribución REMnux Linux, que a menudo se utiliza para el análisis de malware
Idiomas: El sitio web y la documentación de la distribución están en inglés; varias herramientas con la distribución en sí pueden estar localizadas en otros idiomas.
Visitar SitioObtenga el dispositivo virtual
GratisUna guía sobre cómo instalar y ejecutar REMnux como máquina virtual
Idiomas: Inglés
Visitar SitioLa diferencia entre instantáneas y copias de seguridad (backups)
GratisUn artículo que destaca cómo una máquina virtual puede contener tanto instantáneas como copias de seguridad, y la diferencia entre ellas. Comprender ambos hará que sea mucho más fácil administrar y restablecer las máquinas virtuales utilizadas para el análisis de malware.
Idiomas: Inglés
Visitar SitioNotes
¡Felicidades por terminar Módulo 1!
Marque la casilla para confirmar su finalización y continúe al siguiente módulo.
Marca el módulo actual como completado y guarda el progreso para el usuario.
🎉
¡Felicidades!
Has completado todos los módulos en este camino de aprendizaje.