¿Cómo puede usar de forma segura la ingeniería inversa para estudiar el malware?

Con tecnología de la IA y la comunidad de LinkedIn

La ingeniería inversa es una técnica que le permite analizar la estructura, el comportamiento y la funcionalidad de un programa de software, como el malware. Al desensamblar, depurar y descompilar el código de malware, puede obtener información sobre su propósito, origen y capacidades. Sin embargo, el malware de ingeniería inversa también implica riesgos, como infectar su sistema, exponer datos confidenciales o violar los límites legales o éticos. En este artículo, aprenderá cómo usar de forma segura la ingeniería inversa para estudiar el malware, siguiendo algunas de las mejores prácticas y precauciones.

Expertos destacados en este artículo

Elección de la comunidad a partir de 6 contribuciones. Más información

1 Configurar un entorno seguro

El primer paso para realizar ingeniería inversa de malware de forma segura es configurar un entorno seguro y aislado donde pueda ejecutar y examinar el programa malicioso sin dañar su propio sistema u otros. Puede usar una máquina virtual, un espacio aislado o un dispositivo de hardware dedicado para crear un entorno controlado y desechable que imite el sistema de destino del malware. También debe deshabilitar cualquier conexión de red, software antivirus u otras características que puedan interferir con el análisis de malware o alertar a los atacantes.

Añade tu opinión

Mithun Vijay

🛡 Coffee powered Cyber Knight 🔎 Offensive Security Manager 🎓Assistant Professor in Cyber Security
Denunciar la contribución
A malware sample should be treated like a sample of a biological pathogen. Would you test a potentially infectious viral or bacterial material on yourself? It will make you sick. A similar concept should be applied to malware analysis. It should be tested on a fully isolated system called a sandbox. There are several ways you can build yourself a sandbox or simply use existing ones, like Cuckoo Sandbox - automated and open source malware analysis system.

Traducido

Recomendar
Steven SIM Kok Leong

✪ OT-ISAC EC Chair | ISACA Information Security Advisory & Emerging Trends | Lead Group Cybersecurity CoE | Award-winning Tech Talent Builder, Cyber Security Leader, Influencer, Board ✪ CSO50, CSO30 ASEAN & HK #1 ….
Denunciar la contribución
While the use of virtual machines are often relied upon, we need to be mindful of guest escapes. Vulnerabilities could be exploited in the guest VM to gain privileged entry into the host machine or server. Therefore, it would be much safer to deploy a physically isolated environment beyond just virtually isolated.

Traducido

Recomendar
Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar la contribución
From experience, I can't stress enough the criticality of a well-fortified environment. Over the years, there have been instances where malware was inadvertently unleashed during the analysis phase, causing significant damage. The choice between a physical lab or a virtualized setup is crucial; physical environments provide a higher degree of isolation but come with logistical challenges. However, the advent of advanced malware that can detect virtualized environments and behave differently or self-destruct means sometimes a physical lab becomes indispensable.

Traducido

Recomendar

2 Elija las herramientas adecuadas

Al aplicar ingeniería inversa al malware, se deben elegir las herramientas adecuadas según el nivel de análisis requerido y el tipo de malware. Los desensambladores como IDA Pro o Ghidra convierten el código binario en lenguaje ensamblador, mientras que los depuradores como OllyDbg o x64dbg permiten ejecutar el malware paso a paso y modificar sus variables y registros. Los descompiladores como JEB o dnSpy intentan reconstruir el código fuente a partir de código binario o ensamblador, lo cual es útil para lenguajes de alto nivel como Java o C#. Los editores hexadecimales como HxD o Hex Workshop se pueden usar para ver y editar bytes sin procesar del archivo de malware, mientras que otras herramientas como PEiD o CFF Explorer pueden ayudar a identificar compiladores, empaquetadores, ofuscadores, encabezados, secciones o importaciones.

Añade tu opinión

Jeff Moore
Denunciar la contribución
Selecting the right tools is crucial & depends on the desired level of analysis & the type of malware being examined. Different tools serve different purposes in the process. Disassemblers: IDA Pro & Ghidra are to convert binary code into assembly language, making it easier to understand. Debuggers such as OllyDbg / x64dbg allow step-by-step execution of the malware, enabling analysts to modify variables & registers during runtime. Overall, the selection of tools for reverse engineering malware depends on the specific goals of the analysis, the type of malware being examined, the expertise of the analyst. Utilizing the right combination of tools, analysts can gain a understanding of the malware, its functionality, potential countermeasures

Traducido

Recomendar

3 Seguir un enfoque sistemático

El tercer paso en la ingeniería inversa de malware es seguir un enfoque sistemático, comenzando con una visión general y progresando a un análisis más detallado. Como guía, debe recopilar información básica sobre el archivo de malware, como su nombre, tamaño, hash, tipo y firma. Luego, debe realizar un análisis estático del código de malware utilizando desensambladores, descompiladores o editores hexadecimales para descubrir sus funciones, cadenas, bibliotecas o indicadores de compromiso. Además, debe realizar un análisis dinámico del comportamiento del malware mediante el uso de depuradores o entornos aislados para observar sus acciones, interacciones o comunicaciones de red. Finalmente, compare sus hallazgos con otras fuentes de información, como bases de datos en línea, foros o informes, para verificar sus resultados, identificar la familia de malware o descubrir nuevas variantes.

Añade tu opinión

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar la contribución
Like in solving a complex jigsaw puzzle, beginning without a strategy can be both overwhelming and fruitless. The mentioned steps are fundamental, but I'd emphasize the importance of the comparative analysis. Cross-referencing your results with shared intelligence from the cybersecurity community often provides crucial insights. Moreover, with the prevalence of polymorphic malware, recognizing slight variances and derivatives becomes a paramount task.

Traducido

Recomendar

4 Documente sus hallazgos

El cuarto paso en el proceso de ingeniería inversa es documentar sus hallazgos y conclusiones en un formato claro y consistente. Esto ayuda a comunicar sus resultados, compartir conocimientos y apoyar las decisiones. La documentación debe incluir el propósito, el alcance y la metodología del análisis, así como las características, características y capacidades del malware. Además, debe incluir pruebas, artefactos e indicadores de compromiso del malware. Finalmente, debe proporcionar recomendaciones para contramedidas o estrategias de mitigación para el malware.

Añade tu opinión

5 Respetar los límites legales y éticos

El paso final es respetar los límites legales y éticos que se aplican al malware de ingeniería inversa y evitar cualquier acción que pueda dañarse a sí mismo, a otros o a los autores del malware. No debe realizar ingeniería inversa de malware sin una razón legítima, como investigación, educación o defensa. Además, debe tener el permiso del propietario, autor o ley antes de realizar ingeniería inversa a menos que tenga una excepción o justificación válida. Además, no debe aplicar ingeniería inversa al malware de una manera que viole los derechos de autor, marca comercial o derechos de patente del propietario o autor. También es importante no aplicar ingeniería inversa al malware de una manera que exponga, modifique o elimine cualquier dato confidencial o personal suyo, de otros o de los autores del malware. Por último, no realice ingeniería inversa de malware de una manera que desencadene, propague o informe cualquier acción maliciosa o dañina del malware.

Añade tu opinión

6 Esto es lo que más debe considerar

Este es un espacio para compartir ejemplos, historias o ideas que no encajan en ninguna de las secciones anteriores. ¿Qué más le gustaría añadir?

Añade tu opinión

Yusuf Purna

Chief Cyber Risk Officer at MTI | Advancing Cybersecurity and AI Through Constant Learning
Denunciar la contribución
While all the above points are pivotal, one must also appreciate the psyche behind malware creation. Often, understanding the motives—whether financial, political, or ideological—provides unique insights into its design and possible future iterations. Networking with fellow professionals, attending workshops, and continuous learning are not just beneficial but essential. In this ever-evolving field, the moment you stop learning is the moment you become obsolete.

Traducido

Recomendar

Seguridad de la información

Seguir

Valorar este artículo

Hemos creado este artículo con la ayuda de la inteligencia artificial. ¿Qué te ha parecido?

Está genial Está regular

Denunciar este artículo

Ver todo

¿Cómo puede usar de forma segura la ingeniería inversa para estudiar el malware?

1

2

3

4

5

6

1 Configurar un entorno seguro

2 Elija las herramientas adecuadas

3 Seguir un enfoque sistemático

4 Documente sus hallazgos

5 Respetar los límites legales y éticos

6 Esto es lo que más debe considerar

Seguridad de la información

Valorar este artículo

Gracias por tus comentarios

Más artículos sobre Seguridad de la información

Lecturas más relevantes

¿Cómo puede usar de forma segura la ingeniería inversa para estudiar el malware?

1

2

3

4

5

6

1 Configurar un entorno seguro

2 Elija las herramientas adecuadas

3 Seguir un enfoque sistemático

4 Documente sus hallazgos

5 Respetar los límites legales y éticos

6 Esto es lo que más debe considerar

Seguridad de la información

Valorar este artículo

Gracias por tus comentarios

Explorar otras aptitudes