Configuración de laboratorio para análisis de malware

Posted on by Rudeus Greyrat

Las amenazas son una de las áreas más desafiantes en el campo de la seguridad de la información y la falta de personal calificado hace que sea aún más difícil para las empresas mantener su información y activos seguros y atender tal situación sin incurrir en grandes pérdidas. El análisis de malware es el proceso de determinar el origen, el impacto potencial y la funcionalidad de la muestra de malware dada, como virus, troyanos, etc.

En este artículo, no vamos a discutir el paradero de Malware o Malware Analysis. Más bien, veremos cómo puede configurar de manera efectiva un laboratorio para el análisis de malware. Como un plan no puede adaptarse a las necesidades de todas las organizaciones, debemos tener en cuenta algunas alternativas y decidir cuál es la mejor de acuerdo con las necesidades de su organización.

Cubriremos los siguientes temas en este artículo:

  • ¿Por qué necesitamos un laboratorio de análisis de malware?
  • Lluvia de ideas para construir un laboratorio de análisis de malware.
  • Pasos para montar un laboratorio de análisis de malware.

Comencemos y discutamos cada uno de estos temas en detalle.

¿Por qué necesitamos un laboratorio de análisis de malware?

Malware Analysis Lab puede ayudarlo de cualquiera de las siguientes maneras:

  • Aumentará su velocidad de análisis.
  • Un entorno adecuado construirá un marco e identificará TTP e IOC.
  • Un laboratorio de análisis de malware le ayudará a controlar lo que entra y sale de la red.
  • Disminuirá el riesgo de infección.

Lluvia de ideas para construir un laboratorio de análisis de malware

Lo primero y más importante que debe hacer antes de configurar un laboratorio es determinar las necesidades y los requisitos para configurar un laboratorio. Es muy importante contar con algunos sistemas dedicados con herramientas para controlar, analizar y salvaguardar su entorno.
Algunas de las preguntas que debe tener claras para tener una comprensión clara de lo que necesita en su laboratorio.

¿Qué herramientas necesitas?:

Hay una gran cantidad de herramientas disponibles en el mercado para cada tarea asociada con el análisis de malware. Pero debe probar varias de estas herramientas y determinar qué herramientas se adaptan mejor a sus necesidades.

¿Qué tipo de Sistemas Operativos necesitas?:

Hay una variedad de sistemas disponibles, como Windows, Linux, OS X o incluso sistemas operativos móviles como Android, iOS, etc. Es recomendable comenzar primero con Windows y Linux y luego puede tener en sus manos otros sistemas operativos. .

¿Qué quieres lograr?:

Debe tener una comprensión clara de su motivo para establecer el laboratorio y tener claro lo que quiere lograr a través del laboratorio.

Pasos para configurar el laboratorio de análisis de malware

Para configurar el laboratorio de análisis de malware, siga los puntos que se mencionan a continuación.

1. Red: Uno de los pasos más importantes y el primero en configurar un laboratorio es definir su red. Aquí hay algunas razones por las que este paso es importante:

  • Debe tener información sobre su red para identificar patrones poco comunes e intentos de conexión poco comunes.
  • Necesita saber qué está entrando y qué está saliendo de la red.
  • Debe interceptar el tráfico entre su sistema de análisis y la red.
  • Necesita aislar el sistema de análisis de otras computadoras.

Elija sus espacios de direcciones de red privada favoritos para asignar direcciones IP estáticas a cada uno de sus sistemas. La razón de esta asignación es que cuando comience a recopilar información de la red, pasará la mayor parte de su tiempo tratando de averiguar a qué sistemas pertenecen si no hace una lista.

También necesitará una máquina dedicada para controlar el tráfico de su red y actuar como puerta de enlace para su laboratorio. REMnux y Kali son dos opciones que puede considerar para su puerta de enlace.

2. Virtualización: se requiere software de virtualización en cualquiera de los siguientes escenarios:

  • Cuando no tiene algunas máquinas de repuesto, un interruptor y un espacio físico dedicado para esto.
  • Simplemente desea llevar su laboratorio con usted dondequiera que vaya.

Hay pocas opciones para el software de virtualización como VMWare, Qemu, Virtual Box (gratis), y si no le importa gastar unos cuantos dólares, puede optar por VMWare Workstation. El software de virtualización le permitirá alojar todo su laboratorio en una sola máquina y proporciona otra característica interesante, es decir, instantáneas. Las instantáneas le permiten revertir el estado de sus máquinas a un estado limpio, para que pueda iniciar un análisis una y otra vez. Estos son muy útiles para realizar un seguimiento de su trabajo en análisis largos. Si está utilizando un software de virtualización, la forma en que configura su red virtual es muy importante. Tienes tres opciones para esto:

  • Puenteado: no utilice el modo puenteado, esto puede exponer su red a amenazas y no desea infectar los sistemas de nadie más.
  • NAT: Esta es la elección ideal. Deshabilite DHCP para que pueda ceñirse a su diseño.
  • Host-Only: Host-Only solo comunicará su sistema virtual con su máquina host, tampoco quiere esto.

3. Máquinas de análisis: si va a realizar análisis de malware, necesitará una variedad de sistemas para ejecutar sus muestras, ejecutar sus herramientas y realizar análisis estáticos y dinámicos. Tendrás que seguir los siguientes sencillos pasos para configurar cada uno de los sistemas que elijas.

  • Instale el sistema operativo e instale las actualizaciones de seguridad.
  • Instale herramientas de máquina virtual (opcional).
  • Instale herramientas de análisis y, para Windows, puede consultar las herramientas Flare VM para automatizar parte de esta tarea.
  • Configure la configuración de red.
  • Guarde una instantánea en un estado claro.

Estos cinco simples pasos lo ayudarán a obtener una lista de verificación y configurar las máquinas que necesitará para avanzar en su análisis.

Los sistemas operativos se pueden seleccionar de la siguiente lista:

  • ventanas 10
  • ventanas 7
  • Linux (Servidor Ubuntu 16.04)
  • REMnux
  • kali linux
  • Metaexplotable 2
  • Metaexplotable 3
  • Máquina virtual con OS X
  • Android

REMnux o Kali deben ser su puerta de enlace, ya que REMnux es un sistema dedicado para la ingeniería inversa de malware y viene con toneladas de herramientas útiles para este propósito y Kali es una distribución de Linux diseñada específicamente para pruebas de penetración y piratería ética. Para los principiantes , REMnux debería ser la primera y la última opción para Gateway, ya que REMnux le permite rastrear el tráfico de red fuera de sus máquinas de análisis y también controlarlo.

En caso de que esté listo para usar ambas opciones, REMnux y Kali, estas deberían ser sus únicas máquinas con acceso a Internet. Puede lograr esto agregando más de una tarjeta de red a estas máquinas virtuales. Como la segunda tarjeta de red le permitirá proporcionar acceso a Internet a su máquina de análisis cuando sea necesario y será menos propenso a exponerse a las muestras de malware que está analizando.

4. Probar su entorno: antes de comenzar con el análisis, debe asegurarse de que todo esté perfecto y funcione bien. Para ello es necesario comprobar las siguientes cosas:

  • Asegúrese de que ninguna máquina de análisis tenga acceso a Internet o a la red de su hogar/trabajo. Puede controlar esto con una puerta de enlace. Intente encenderlo y apagarlo para que pueda familiarizarse con el proceso.
  • Encienda todas sus máquinas e intente ejecutar un escaneo de red para ver que todo funcione correctamente.
  • Es muy importante asegurarse de que todas sus máquinas tengan una instantánea en un estado claro. Debe tener reglas y definiciones claras que indiquen con qué frecuencia las actualizará para instalar parches de seguridad, nuevas versiones de software y otras advertencias.

    • 5. Inicie su análisis de malware: ahora, en esta etapa, está listo para comenzar con su primer análisis de malware. Simplemente tome una muestra, encienda sus máquinas y comience a interiorizarse con las herramientas, los sistemas y el nuevo entorno. También puede echar un vistazo a theZoo , un repositorio de Github con más de 170 muestras de diferentes familias para que las vea, en caso de que no tenga ninguna muestra para empezar.

    El análisis de malware puede ser difícil, pero sería divertido, ya que no solo ejecuta muestras y desensambla código, sino que también explorará muchas tecnologías y arquitecturas diferentes a lo largo del tiempo. La mejor manera de mantenerse al día es probar continuamente cosas nuevas y mirar nuevas muestras, y la mejor manera de ser efectivo es tener un entorno funcional adecuado donde pueda realizar todas las actividades.

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *