Análisis de malware

El análisis de malware es el estudio o proceso de determinar la funcionalidad, el origen y el impacto potencial de una muestra de malware determinada, como un virus, un gusano, un caballo de Troya, un rootkit o una puerta trasera. Malware o software malicioso es cualquier software informático destinado a dañar el sistema operativo host o robar datos confidenciales de usuarios, organizaciones o empresas. El malware puede incluir software que recopila información del usuario sin permiso.

Casos de uso

Hay tres casos de uso típicos que impulsan la necesidad de un análisis de malware:

• Gestión de incidentes de seguridad informática: si una organización descubre o sospecha que algún malware puede haber ingresado a sus sistemas, es posible que un equipo de respuesta desee realizar un análisis de malware en cualquier muestra potencial que se descubra durante el proceso de investigación para determinar si es malware y, si entonces, qué impacto podría tener ese malware en los sistemas dentro del entorno de las organizaciones de destino.
• Investigación de malware: los investigadores de malware académicos o de la industria pueden realizar análisis de malware simplemente para comprender cómo se comporta el malware y las últimas técnicas utilizadas en su construcción.
• Extracción de indicador de compromiso: los proveedores de productos y soluciones de software pueden realizar análisis masivos de malware para determinar posibles nuevos indicadores de compromiso; esta información puede luego alimentar el producto o la solución de seguridad para ayudar a las organizaciones a defenderse mejor contra ataques de malware.

Tipos

El método mediante el cual se realiza el análisis de malware suele ser de uno de dos tipos:

• Análisis de malware estático: el análisis estático o de código generalmente se realiza diseccionando los diferentes recursos del archivo binario sin ejecutarlo.y estudiando cada componente. El archivo binario también se puede desensamblar (o realizar ingeniería inversa) usando un desensamblador como IDA o Ghidra. El código de la máquina a veces se puede traducir a código ensamblador que puede ser leído y entendido por humanos: el analista de malware puede leer el ensamblado ya que está correlacionado con funciones y acciones específicas dentro del programa, luego entender las instrucciones de ensamblado y tener un una mejor visualización de lo que está haciendo el programa y cómo fue diseñado originalmente. Ver el conjunto permite que el analista de malware o el ingeniero inverso obtengan una mejor comprensión de lo que se supone que debe suceder en comparación con lo que realmente sucede y comience a identificar acciones ocultas o funcionalidades no deseadas. Algunos programas maliciosos modernos se crean usando técnicas evasivas para vencer este tipo de análisis,
• Análisis dinámico de malware: el análisis dinámico o de comportamiento se realiza observando el comportamiento del malware mientras se ejecuta en un sistema host.Esta forma de análisis a menudo se realiza en un entorno de espacio aislado para evitar que el malware infecte realmente los sistemas de producción; muchos de estos sandboxes son sistemas virtuales que se pueden revertir fácilmente a un estado limpio una vez que se completa el análisis. El malware también se puede depurar mientras se ejecuta utilizando un depurador como GDB o WinDbg para observar el comportamiento y los efectos en el sistema host del malware paso a paso mientras se procesan sus instrucciones. El malware moderno puede exhibir una amplia variedad de técnicas evasivas diseñadas para derrotar el análisis dinámico, incluidas las pruebas de entornos virtuales o depuradores activos, retrasando la ejecución de cargas maliciosas o requiriendo alguna forma de entrada interactiva del usuario.

Etapas

El examen del software malicioso implica varias etapas, que incluyen, entre otras, las siguientes:

• Inversión de código manual
• Análisis de comportamiento interactivo
• Análisis de propiedades estáticas
• Análisis completamente automatizado