Máquina virtual para análisis de malware

Posted on by Rudeus Greyrat

Cualquier persona que sepa cómo usar una computadora puede realizar un análisis básico de malware. Todo lo que necesita es un poco de motivación, ambición y una máquina virtual para comenzar. Se utiliza una máquina virtual para simular una réplica del entorno ideal del entorno original para ver cómo una muestra de malware interactúa con todo, desde el sistema de archivos hasta el registro. Las pruebas de malware pueden contribuir en gran medida a proteger su red de los ataques cibernéticos más peligrosos. La capacidad de simular múltiples instancias de SO en la misma máquina y proporcionar un entorno real pero de una manera muy protegida hace que la virtualización sea una herramienta extremadamente poderosa en el análisis basado en el comportamiento. Estas son algunas de las ventajas de la virtualización: 

  • Admite análisis multiplataforma: el análisis de malware a menudo se lleva a cabo en una variedad de sistemas para dar al evaluador una idea de cómo interactúa un espécimen con diferentes plataformas de sistema operativo. La virtualización permite crear varios sistemas virtuales como Windows, Mac OS X, Linux, etc. Esto simplemente elimina la necesidad de comprar e instalar máquinas físicas voluminosas.
  • Brinda protección del sistema: al realizar sus actividades de prueba dentro de una máquina virtual, puede proteger el resto del sistema para que no sufra daños.
  • Crea fácilmente las condiciones de prueba ideales: la virtualización es tan flexible que se puede utilizar para simular un entorno de prueba ideal para probar todo tipo de aplicaciones. Puede asignar todo el almacenamiento de RAM virtual y la potencia de procesamiento que requiere el entorno de prueba.

En este artículo, cubriremos los siguientes temas:  

  1. Preparación de su máquina virtual para el análisis de malware
  2. Protegiendo su Host de Malware
  3. ¿Cómo puede el malware diferenciar entre ejecutarse en hardware real y ejecutarse dentro de una máquina virtual?
  4. ¿Cómo se comportan de manera diferente algunos programas maliciosos en hardware real en comparación con una máquina virtual?

Comencemos y discutamos cada uno de estos temas en detalle.  

1. Preparar su máquina virtual para el análisis de malware

No necesita ser un experto en seguridad dedicado para comenzar con el análisis de Malware. Todo lo que necesita es una máquina virtual configurada correctamente que lo ayudará a jugar CSI cibernético. El proceso de creación de una máquina virtual es similar para la mayoría de los Softwares. Estos son algunos pasos generales que puede seguir al configurar una máquina virtual. Tenga en cuenta que estos no pertenecen a ningún programa de virtualización individual. 

  • Crear una máquina virtual.
  • Elija un tipo de sistema operativo.
  • Asignar memoria RAM. La mayoría de las configuraciones de máquinas virtuales recomiendan un mínimo de 1024 MB.
  • Crear un disco duro virtual. Queremos crear una máquina virtual que sea lo más similar posible a la máquina física. Así crearemos un disco duro virtual que permitirá el acceso del malware a archivos, carpetas, etc.
  • Asignar almacenamiento. La mayoría de los monitores de máquinas virtuales le permiten asignar espacio de almacenamiento de forma dinámica o por un valor fijo.
  • Instale el sistema operativo invitado. Una vez que la máquina virtual está activa, necesitamos instalar el sistema operativo virtual para que la máquina virtual funcione.
  • Haga una instantánea de su máquina virtual. La función Instantánea en la máquina virtual es similar a la función Punto de restauración en Windows. Esta función permite conservar el estado del sistema operativo huésped hasta un punto específico en el tiempo que se puede restaurar a pedido. 

2. Proteger su host de malware

Hubo un tiempo en que las máquinas virtuales se consideraban una forma más segura de realizar análisis de malware. Como protege el host instalado físicamente en el hardware subyacente, ya que está separado del sistema virtual. El error de Venom encontrado en Xen, mi querido VirtualBox y KVM demostró que el malware podía escapar de un entorno virtual. Aquí hay algunas formas de proteger su host: 

  • Debe intercambiar archivos entre ambos sistemas a través de una carpeta compartida, puede establecer los permisos en esa carpeta en solo lectura. Esto evitará que la máquina virtual realice cambios en el host.
  • Instale un software antivirus.
  • La mayoría de los softwares de protección antivirus protegen contra el spyware, Windows Defender debe usarse para una protección adicional en la máquina con Windows.
  • Mantén tu Sistema Operativo actualizado.
  • Limite el acceso al host (cortafuegos desactivado).

3. ¿Cómo puede el malware diferenciar entre ejecutarse en hardware real y ejecutarse dentro de una máquina virtual? 

Las máquinas virtuales están diseñadas para imitar la máquina física en todos los aspectos, ya sea la asignación de RAM o la asignación de almacenamiento. El objetivo del software de máquina virtual es proporcionar una plataforma que pueda facilitar la ejecución de múltiples sistemas operativos simultáneamente, de manera eficiente y con un nivel aceptado de aislamiento (así como una cantidad requerida de capacidades de uso compartido) en lugar de proporcionar un entorno idéntico al sistemas de metal desnudo. 

Algunos programas maliciosos buscan diferencias específicas que se pueden detectar cuando se encuentran en sistemas operativos virtualizados que se ejecutan dentro del software de una máquina virtual. Estas diferencias son en gran medida irrelevantes, pero tales diferencias le dan al malware la oportunidad de determinar si se están ejecutando dentro de una máquina real o virtual. Aquí hay algunas diferencias entre las máquinas reales y las máquinas virtuales que el malware suele observar para detectar la diferencia. 
 

  • Es mucho más conveniente trabajar con la mayoría del software de la máquina virtual cuando el software específico conocido como adiciones de invitados del paquete de software de la máquina virtual está instalado dentro de la VM. Estas adiciones de invitados suelen ser controladores de dispositivos, servicios, componentes de la bandeja del sistema, etc. La presencia de tales adiciones de invitados es una de las cosas más fáciles que puede hacer el malware para detectar una máquina virtual. Rutinariamente realizan esta práctica para detectar la diferencia.
  • La comunicación desde el interior de la máquina virtual al host y viceversa se realiza mediante cosas como memoria compartida o secuencias de instrucciones especiales, etc. Los autores de malware analizan estos componentes de cerca.
  • Algunos programas maliciosos buscan signos de un sistema que utiliza un usuario normal que realiza tareas de rutina en lugar de un sistema limpio que está diseñado específicamente y se utiliza para un propósito particular, como el análisis de malware. Por lo general, el análisis de malware comienza con una VM limpia por dos razones: 
    • Tener un sistema limpio elimina muchas variabilidades, lo que hace que el proceso de análisis sea más fácil y consistente.
    • Es bastante fácil obtener una máquina virtual limpia para cada sesión de análisis de malware.
    • Es muy poco probable que un analista de malware siga usando la instancia de VM que usaría para analizar una pieza de malware en particular durante un período de tiempo haciendo cosas de rutina como lo haría un usuario final típico.
  • El hardware moderno puede ser bastante complejo, incluso los controladores de dispositivos oficiales en estos días no utilizan todas las funciones presentes en el hardware real. En el caso del hardware emulado dentro de las máquinas virtuales, el enfoque general es emular el hardware lo suficientemente bien como para que los controladores de dispositivos del sistema operativo funcionen bien con el hardware emulado. El hardware emulado carecerá de las características presentes en el hardware real que uno puede buscar para detectar si el hardware es real o emulado.
  • Es un problema extremadamente difícil de eliminar o emular en torno a las discrepancias de tiempo. Incluso con las tecnologías de virtualización asistidas por hardware, algunas operaciones son mucho más lentas o se comportan de manera diferente dentro de una máquina virtual en comparación con una máquina física. 
    Los autores de malware detectan tales diferencias para emitir un juicio.

4. ¿En qué se diferencia el comportamiento de algunos programas maliciosos en hardware real en comparación con una máquina virtual? 

Algunos malware son muy inteligentes y desagradables, después de detectar que se están ejecutando en una VM en lugar de una máquina física con hardware y software reales, comienzan a comportarse de manera diferente. En esta sección, analizaremos cómo algunos programas maliciosos se comportan de manera diferente en la VM en comparación con cuando se ejecutan en hardware real. 

  • Absténgase de inyectar código malicioso en las aplicaciones y procesos del sistema: los malware tienden a inyectar código malicioso en las aplicaciones y procesos normales de un sistema. Por ejemplo: 
    • Pueden inyectar código que busque datos privados o propietarios en el proceso del Explorador de Windows.
    • Pueden inyectar un código malicioso de «llamada a casa» en los principales procesos del navegador, como Internet Explorer, Firefox o Chrome.
  • El malware generalmente mantiene su código malicioso encriptado y/o altamente ofuscado: cuando se ejecuta dentro de una VM, el malware intenta no descifrar y exponer su código para que un analista no pueda examinarlo dinámicamente observando lo que hace el código en el sistema. o estáticamente desarmando y mirando las instrucciones de la CPU para ver qué hace.
  • El malware contemporáneo tiende a no conectarse ni comunicarse con los servidores de C&C y/o la infraestructura de botnet de los perpetradores de malware: cuando se ejecuta dentro de una máquina real, el malware se conecta con los servidores de C&C y se comunica con el servidor de C&C y la infraestructura de botnet. Pero en el caso de VM, evitan tales conexiones y comunicaciones ya que el analista puede observar la actividad de la red para detectar, diseccionar y analizar estas comunicaciones. 
     

La virtualización proporciona un mecanismo práctico y que ahorra tiempo para crear un entorno de análisis de malware. Asegúrese de establecer los controles y mecanismos necesarios para evitar que el malware escape de su entorno de prueba. Con un laboratorio perfeccionado, estará bien equipado para aprovechar al máximo sus habilidades de análisis de malware.

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *