Reading
Add Comment
"ANALISIS DE MALWARE EN LA NUBE / CLOUD"
Poco se habla de la gran capacidad que tiene la nube y sus caracteristicas, una de ellas es la capacidad para crear aplicaciones que nos ayuden con las tareas de ingenieria en reversa de software asi como el analisis de ficheros binarios y el analisis de malware, el analisis de malware es una de estas disciplinas y subramas de la seguridad cibernetica tan fascinantes como vastas que nos sorprenden dia a dia, alla por los años 90s ser analista de malware era casi ridiculo si no pensar que era casi imposible por la vasta variedad de conocimientos que se tenia que tener para poder entender las enramadas del lenguaje maquina-ensamblador y ni pensar que cada computadora tiene su propio lenguaje ensamblador para poder analizar el malware alojado o como corre dentro de la computadora, antes de continuar hay que aclarar que hay dos tipos fundamentales de analisis de malware:
- ANALISIS DINAMICO
- ANALISIS ESTATICO
Como podemos ver es importante saber reconocer los tipos analisis para saber que analisis aplicar y en que momento o en que caso determinado, vamos a ver la interfaz prinicipal de la aplicacion para registrarnos y analizar un malware mas adelante.
procedemos a entrar a un repositorio en github para descargar una muestra de malware llamada 'ZeusRat' .
Hay otra opcion en esta ventana que llama mucho la atencion y es la opcion de linea de commandos o command line, sabemos como analistas que las opciones que tenemos en el listado son para 'como' ejecutar dentro de la maquina virtual en la nube, podemos correr como administrador el malware para ver como se comporta o otras opcioes como la de ejecutar las librerias de windows dinamicas o dll.
tenemos la primera opcion como la del registro, y es que esta opcion es mas que interesante porque cada vez que se reinicie el equipo , el malware siempre estara ahi reiniciando su configuracion inicial, recordemos que any run es computacion en la nube pero con maquinas virtuales completamente funcionales , dependiendo de nuestras elecciones en el command line se ejecutara en la maquina virtual de una u otra forma.
Las otras opciones son opciones paga para miembros con plan de paga en any run que tiene capacidades de extender las funcionalidades como por ejemplo modificar las configuraciones de red o configurar para que el trafico de red se enrute hacia la red TOR, la otra opcion es elegir el sistema operativo donde se ejecutara el malware , si sabemos que el malware afecta principalmente a una version especifica de windows tenemos que elegir tal opcion para ver un entorno mas realista.
despues de haber configurado todo, procedemos a ponerle start analisys para que comience nuestro analisis de malware.
se nos abrira una nueva ventana que explicaremos mas adelante:
- en la ventana del titulo nos aparece el nombre del sistema operativo
- en la ventana derecha podemos ver los hashes tanto en md5
- la hora y fecha que se inicio la maquina virtual asi como el tiempo total que la maquina virtual lleva encendida y funcionando
- tenemos opciones de IOC para ver que indicadores de compromiso tenemos que estan activos en el malware
- graficas para ver el funcionamiento del malware
- ATT&CK para ver las tacticas, tecnicas y procedimientos que estan dentro del malware y trabajar con la matriz de mitre
- podemos ver los procesos que se abren al tiempo que abrimos el malware para analizarlos en tiempo real
- podemos ver los detalles de los procesos y en que lugar se estan corriendo los procesos asi como el origen de los procesos
hay que recordar que las maquinas virtuales tienen tiempo y que para extender el tiempo de uso de la ejecucion de la maquina virtual se tiene que presionar en add time y para parar el tiempo de la ejecucion en stop , una vez finalizado el tiempo la maquina virtual se apagara y se tomaran las screenshots necesarias para el posterior reporte.
con una herramienta de la misma plataforma podremos exportar el grafico del mapa donde se ve claramente el funcionamiento del malware zeus remoto.
dentro de la interfaz de administracion nos muestra lo siguiente:
En el apartado builder se nos abrirar una ventana que podremos configurar el puerto asi como el nombre del ejecutable que enviaremos al objetivo, si se da click a este ejecutable entonces se conectara a nuestro c&c (command and control) y podremos tener diversas opciones de control de la computadora objetivo como ejemplo:
- instalar un keylogger
- ver la pantalla del usuario
- ver contraseñas volcadas en el navegador
- administracion de procesos
- abrir un sitio web
- ver la camara web
- iniciar un proceso
- apagar la computadora
- etc
tambien podemos ver las tecnicas o tacticas de la matriz mitre podemos encontrar dentro del malware, vemos que podemos encontrar el robo de credenciales del navegador y con un nivel de peligrosidad alto en la escala de medicion.
ahora, podemos analizar dentro de la herramienta de la plataforma para ver que tecnicas y tacticas estan activas dentro de la matriz que estan presentes en el malware.
Podemos ver que en tacticas de persistencia ejecuta un registro en el sistema operativo windows para que el malware sea resistente frente a reinicios y no se desactive la ejecucion del malware en caso de que la maquina objetivo sufra algun reinicio o apagado repentino o intencional, en credential access el malware accesa a las credenciales guardadas en el navegador(por eso os repito incansablemente la mala idea de guardar tarjetas de credito , contraseñas de sitios bancarios, importantes, redes sociales, etc.
Como podemos ver es muy importante analizar este tipo de archivos en un entorno controlado y la plataforma en la nube any run app es una excelente opcion para tener un entorno en la nube sin necesidad de instalacion en el ordenador del analista de malware.
Referencias Bibliograficas:
![Pinterest](http://pinterest.com/pin/create/button/?url=https://thepentesterdiaries.blogspot.com/2025/12/analisis-de-malware-en-la-nuble-o-cloud.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjO3x-77CDSv6TrTiaYaUj3zp6su4la_tY6iKo1LUsfwwiLESRawdr_032ak674h37GGAFsyWjA7-akSkCgMi6UcLzdAtiw_4g0Ayva95VIYh0mIXurJEwKZ_QtOG6vnSqwWZX_6vXZ3KliVhPip7z_wNvuAoxu_tXjkFTO9APtexdqdC70-6lDDFZouBWm/s72-w640-c-h290/Captura.PNG&description= "ANALISIS DE MALWARE EN LA NUBE / CLOUD" Poco se habla de la gran capacidad que tiene la nube y sus caracteristicas, una de e...){kind=link}
0 comments:
Publicar un comentario