El análisis de malware no es un proceso trivial. Algunos lo ven como algo monótono y aburrido, pero otros lo encuentran apasionante; mientras que algunos llevan a cabo análisis exitosos en poco tiempo, otros se enredan utilizando herramientas o sistemas de análisis automatizados sin llegar a ningún lugar. Ahora, ¿qué se debería tener en cuenta para comenzar en esta temática con el pie derecho? Estos simples consejos te ayudarán a lograrlo.
Reconoce el contexto, y utilízalo a tu favor
Antes de empezar a buscar, es importante distinguir qué es lo que se está buscando. De no hacerlo, se podría poner en riesgo el análisis, no siendo minucioso en lo más importante, o incluso se lo podría extender por un largo tiempo sin llegar a algo concreto.
Toda la información recopilada sobre una muestra debe ser considerada. Conocer a qué familia de malware pertenece será muy relevador, ya que dará indicios de su comportamiento. Aún desconociendo la amenaza bajo la lupa, ver de dónde fue obtenida, cómo se propaga, o demás detalles ajenos al análisis en sí, harán que se tenga más en claro hacia dónde se quiere llegar.
No pienses que todas las muestras son iguales
Los datos obtenidos del contexto serán útiles para marcar un camino a seguir, pero nunca deben ser determinantes. Una variante de una familia puede presentar un comportamiento muy distinto al de muestras hermanas aparentemente similares.
El análisis automatizado, con cuidado
Contar con herramientas de análisis automatizado puede ser de suma utilidad para ver si las conjeturas tomadas sobre una muestra son ciertas. Ahora, ambos tipos de análisis -manual y automatizado- deben ser llevados a la par. Utilizar únicamente el segundo tipo dará lugar a una gran posibilidad de resultados erróneos. Por ejemplo, si se utiliza un sistema basado en máquinas virtuales contra una muestra con mecanismos anti-VM, se podría llegar a la conclusión (completamente errónea) de que la campaña detrás de la amenaza ya no se encuentra vigente.
Las herramientas van y vienen, y no son el foco del análisis
Actualmente existe un sinfín de herramientas para llevar a cabo distintas etapas del análisis, y poseen objetivos distintos. Utilidades para análisis de tráfico, para verificación de protecciones, decompiladores, debuggers… la lista es interminable. Ahora, no son el foco del análisis. Una herramienta que hoy se encuentra muy vigente podría quedar en el pasado dentro de poco tiempo. Por todo esto, es importante centrarse no en ellas, sino en los conceptos que hay detrás. Las herramientas pasarán fácilmente… algo que de seguro no sucederá con los conceptos.
Piensa como el cibercriminal
Considerar esto permitirá obtener más información de la que disponemos. Por ejemplo, si se está analizando una muestra asociada a fraudes bancarios, sería esperable que intente robar credenciales bancarias, o algo por el estilo. Si se logra percibir lo que el cibercriminal busca, el análisis será mucho más fácil.
Estos breves consejos distan mucho de ser definitivos. El análisis de malware es un campo complejo y extenso, que requiere de un aprendizaje continuo y de una búsqueda constante de nuevos enfoques. De todos modos, pueden ser un buen puntapié inicial para aquellos que quieran iniciarse en este interesante tópico.