ANÁLISIS DE MALWARE BÁSICO EN WINDOWS

No ejecutamos el malware. Dinámico. Estático.

Ejecutamos el malware y observamos su comportamiento. Dinámico. Estático.

¡No subir malware al proveedor!. Determinación del tipo de archivo. Análisis de marca de tiempo. Análisis de la estructura del fichero PE. Análisis con herramientas antimalware comerciales.

Cuándo no sabemos de qué tipo es. Hashing criptográfico y difuso. Determinación del tipo de archivo. Análisis de marca de tiempo. Análisis de la estructura del fichero PE.

El criptográfico para detectar muestras idénticas y el difuso para muestras similares. Determinación del tipo de archivo. Análisis de marca de tiempo. Análisis de recursos. Hashing criptográfico y difuso.

Llamadas a la API, nombre de archivos creados o modificados, direcciones IP o dominios, claves de registro, comandos. Análisis de la estructura del fichero PE. Extracción de cadenas de texto. Hashing criptográfico y difuso. Análisis de marca de tiempo.

Fecha/hora de creación del malware. Análisis de marca de tiempo. Determinación del tipo de archivo. Análisis de recursos. Extracción de cadenas de texto.

Qué funciones de la API de Windows utiliza la muestra, o qué funciones integra que pueden ser utilizadas por otras aplicaciones. Análisis con herramientas antimalware comerciales. Análisis de marca de tiempo. Hashing criptográfico y difuso. Inspección de importaciones y exportaciones.

Secciones del fichero y sus permisos. Análisis de la estructura del fichero PE. Análisis de marca de tiempo. Inspección de importaciones y exportaciones. Determinación del tipo de archivo.

Iconos, diálogos, imágenes... Determinación del tipo de archivo. Análisis de marca de tiempo. Análisis de recursos. Extracción de cadenas de texto.

Monitorización de eventos (procesos, sistema de ficheros y Registro de Windows). Técnicas de análisis dinámico básico. Técnicas de análisis estático básico.

Análisis de tráfico de red. Técnicas de análisis dinámico básico. Técnicas de análisis estático básico.

Permite identificar muestras idénticas (MD5, SHA-1, SHA-256). Hash difuso. Hash criptográfico.

Permite identificar muestras similares, aunque no sean idénticas (ssdeep, imphash, ...). Hash difuso. Hash criptográfico.

Reconocen el tipo de archivo por su firma (% de probabilidad). CFF Explorer. Strings/BinText/FLOSS. Resource Hacker. Trid/TrIDNet.

Extrae cadenas de texto. Strings/BinText/FLOSS. CFF Explorer. Trid/TrIDNet. Pestudio.

Análisis de recursos de ficheros PE. Resource Hacker. CFF Explorer. Pestudio. Trid/TrIDNet.

Análisis manual de ficheros PE: estructura del fichero PE, importaciones y exportaciones, etc. Strings/BinText/FLOSS. Pestudio. CFF Explorer. Trid/TrIDNet.

Análisis (semi)automatizado de ficheros PE. Pestudio. Strings/BinText/FLOSS. CFF Explorer. Trid/TrIDNet.

Monitorización de procesos. Regshot. Fakenet. Procmon.

Simulacion de un entorno de red falso y captura del tráfico de red. Fakenet. Procmon. Regshot.

Monitorización del sistema de ficheros y el Registro de Windows. Procmon. Fakenet. Regshot.

Lograr persistencia. OpenMutex(). CreateService(). connect(). WriteProcessMemory().

Lograr persistencia. RegOpenKey(). OpenMutex(). CheckRemoteDebuggerPresent(). GetKeyState().

Garantizar que solo se ejecuta una instancia del malware. CreateService(). OpenMutex(). RegOpenKey(). GetKeyState().

Implementar un keylogger. GetKeyState(). OpenMutex(). CreateService(). RegOpenKey().

Implementar técnicas anti-depuración. RegOpenKey(). CheckRemoteDebuggerPresent(). CreateService(). connect().

Inyección de procesos. OpenMutex(). RegOpenKey(). OpenMutex(). WriteProcessMemory().

Recibir órdenes desde un servidor de Comando y Control. CreateService(). connect(). OpenMutex(). WriteProcessMemory().