Salta el contingut

Anàlisi forense de ransomware: reverse engineering per entendre els canvis

Introducció

Quan una organització pateix un atac de ransomware, les preguntes immediates que es formula l'equip de resposta a incidents no són tan sols "com hem estat atacats?" sinó sobretot: quins sistemes han estat afectats, quins fitxers han estat xifrats, quines dades s'han exfiltrat i quins artefactes ha deixat el malware en el sistema? Respondre a totes aquestes preguntes és la tasca de l'analista forense especialitzat en malware.

El reverse engineering de malware en un context forense no té com a objectiu reproduir ni millorar el codi maliciós, sinó comprendre el comportament del programari maliciós per documentar els danys causats, reconstruir la línia temporal de l'atac i extreure indicadors de compromís (IoC) que permetin detectar infeccions similars en altres sistemes de l'organització.

El cas WannaCry (2017) il·lustra perfectament per què aquesta feina és essencial. En menys de 24 hores, el ransomware va xifrar sistemes en 150 països, afectant el Servei Nacional de Salut del Regne Unit (NHS), Telefónica a Espanya i la xarxa ferroviària alemanya Deutsche Bahn. L'anàlisi forense posterior va permetre identificar que WannaCry explotava la vulnerabilitat EternalBlue (MS17-010) del protocol SMBv1, eliminava les còpies de seguretat del sistema Windows (VSS), i intentava connectar-se a un domini específic com a mecanisme de "kill switch". Sense l'anàlisi forense detallada del codi, no hauria estat possible ni aturar la propagació ni notificar correctament els sistemes afectats.


Cicle de vida d'un ransomware: perspectiva forense

Per saber on buscar les evidències, cal entendre primer com opera un ransomware. Cada fase deixa **artefactes forenses** específics en el sistema.

flowchart TD
    A["1. Infecció inicial\n──────────────\nPhishing, RDP exposat,\nexplotació de vulns,\ndrive-by download"] --> B["2. Establiment\n──────────────\nPersistència al registre,\ntasques programades,\nserveis maliciosos"]
    B --> C["3. Reconeixement\n──────────────\nEscaneig de la xarxa,\nllistat de fitxers,\nidentificació de backups"]
    C --> D["4. Evasió i preparació\n──────────────\nDesactivació AV/EDR,\neliminació VSS,\ndescàrrega d'eines"]
    D --> E["5. Exfiltració\n──────────────\nRobar dades sensibles\nabans de xifrar\n(doble extorsió)"]
    E --> F["6. Xifratge\n──────────────\nXifrat de fitxers,\ncanvi d'extensions,\ncreació nota de rescat"]
    F --> G["7. Comunicació C2\n──────────────\nEnviament de clau,\nTor/I2P,\nbeacon al servidor"]

    style A fill:#8B0000,color:#fff
    style B fill:#8B0000,color:#fff
    style C fill:#8B0000,color:#fff
    style D fill:#8B0000,color:#fff
    style E fill:#8B0000,color:#fff
    style F fill:#8B0000,color:#fff
    style G fill:#8B0000,color:#fff

Cada fletxa d'aquest diagrama representa una transició que deixa traces en el sistema: entrades al registre d'esdeveniments de Windows, modificacions al sistema de fitxers, connexions de xarxa registrades, canvis al registre de Windows, etc. L'analista forense ha de reconstruir aquest flux a la inversa, partint de l'estat final del sistema infectat.


Eines d'anàlisi de malware

L'anàlisi de ransomware es divideix en dues aproximacions complementàries: l'anàlisi estàtica (examinar el codi sense executar-lo) i l'anàlisi dinàmica (executar el malware en un entorn controlat i observar el seu comportament). En una investigació forense real s'apliquen ambdues.

Anàlisi estàtica

L'anàlisi estàtica no requereix executar el malware i, per tant, no comporta risc d'infecció addicional. Es pot aplicar directament sobre la mostra recuperada del sistema infectat.

Eina Funció principal Plataforma
strings Extreu cadenes de text llegibles del binari Linux/Windows
PEStudio Anàlisi de capçaleres PE, imports, strings, indicadors de sospita Windows
CFF Explorer Anàlisi estructural de fitxers PE/DLL Windows
Ghidra Descompilació i desensamblatge avançat (NSA, codi obert) Multiplataforma
Radare2 Framework d'anàlisi binària i RE Multiplataforma
YARA Creació i verificació de regles de detecció per a famílies de malware Multiplataforma
DIE (Detect-It-Easy) Detecta empaquetadors, protectors i compiladors Multiplataforma
# Extracció bàsica de cadenes significatives d'un binari
# (mostra strings de més de 8 caràcters)
strings -n 8 mostra_ransomware.exe

# Filtrar per patrons rellevants: extensions de fitxers, IPs, dominis, claus de registre
strings -n 8 mostra_ransomware.exe | grep -E "\.(exe|dll|bat|ps1)"
strings -n 8 mostra_ransomware.exe | grep -E "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
strings -n 8 mostra_ransomware.exe | grep -iE "(HKEY|SOFTWARE|CurrentVersion|Run)"

# Calcular hash per identificar la mostra a bases de dades de malware (VirusTotal, MalwareBazaar)
sha256sum mostra_ransomware.exe
md5sum mostra_ransomware.exe

Bones pràctiques

Abans de qualsevol anàlisi, calcula el hash SHA-256 de la mostra i cerca'l a VirusTotal (virustotal.com) i MalwareBazaar (bazaar.abuse.ch). Moltes mostres ja estan catalogades amb informació detallada sobre la família de malware, el mètode d'infecció i els IoC coneguts. Això pot estalviar hores d'anàlisi.

Anàlisi dinàmica

L'anàlisi dinàmica consisteix a executar el malware en un entorn aïllat (sandbox) i monitoritzar tots els canvis que realitza al sistema. Mai s'ha d'executar malware en un sistema real o connectat a una xarxa productiva.

Eina Funció Mode
Cuckoo Sandbox Sandbox automatitzada amb anàlisi de comportament Automatitzat
Any.Run Sandbox interactiva al núvol Online
Process Monitor (ProcMon) Monitoritza totes les operacions de fitxers, registre i xarxa Manual
Process Hacker Visualitza processos, fils, memòria i connexions Manual
RegShot Compara l'estat del registre de Windows abans/després Manual
Wireshark Captura el tràfic de xarxa generat pel malware Manual
Noriben Simplifica ProcMon per a anàlisi de malware Manual
flowchart LR
    A["1. Snapshot previ\nRegShot (abans)\nHash del sistema"] --> B["2. Execució controlada\nMàquina virtual aïllada\nSense xarxa real\nFakeNet-NG per simular DNS/HTTP"]
    B --> C["3. Observació\nProcMon actiu\nWireshark captant\nProcess Hacker obert"]
    C --> D["4. Snapshot posterior\nRegShot (després)\nComparar diferències"]
    D --> E["5. Anàlisi\nFitxers creats/modificats\nClaus de registre noves\nConnexions intentades"]

Entorn d'anàlisi segur

L'entorn d'anàlisi dinàmica ha d'estar completament aïllat de la xarxa corporativa. Utilitza sempre una màquina virtual amb les instantànies (snapshots) habilitades per poder restaurar l'estat inicial. Algunes mostres avançades de ransomware detecten si estan executant-se en una VM (per exemple, comprovant el nom del processador, la mida de la RAM o la presència de Guest Additions) i no s'executen en aquest cas per dificultar l'anàlisi.


Artefactes en el sistema de fitxers

Un dels objectius principals de l'anàlisi forense post-ransomware és determinar quins fitxers han estat xifrats, modificats o creats pel malware. Aquesta informació és imprescindible tant per a la recuperació com per a l'informe pericial.

Extensions de fitxers i patrons de xifratge

El ransomware habitualment renombra els fitxers xifrats afegint una extensió característica. Identificar aquesta extensió permet:

  • Enumerar tots els fitxers afectats
  • Confirmar la família de ransomware (cada família té extensions característiques)
  • Estimar el volum de dades afectades
# Llistat de fitxers amb extensions sospitoses en un sistema Linux (post-infecció)
find /mnt/evidencia -name "*.locked" -o -name "*.encrypted" -o -name "*.enc" 2>/dev/null

# Cercar notes de rescat típiques
find /mnt/evidencia -name "README*.txt" -o -name "HOW_TO_DECRYPT*" -o -name "*RANSOM*" 2>/dev/null

# Comptar fitxers afectats per directori (útil per a l'informe)
find /mnt/evidencia -name "*.locked" | sed 's|/[^/]*$||' | sort | uniq -c | sort -rn

Exemples d'extensions per família de ransomware:

Família Extensions Notes
WannaCry .WNCRY Crea @Please_Read_Me@.txt
LockBit 3.0 .[cadena aleatòria] Extension aleatòria per víctima
Ryuk .RYK Dirigit a empreses grans
Conti .CONTI Exfiltració prèvia al xifratge
BlackCat/ALPHV .[cadena aleatòria] Escrit en Rust, multiplataforma
Dharma .[correu].id.[ID].[extensió] Patró complex

Notes de rescat

Les notes de rescat són fitxers de text o HTML que el ransomware crea en cada directori afectat. Des del punt de vista forense, contenen informació valuosa:

  • Adreça de contacte: sovint una adreça .onion de la xarxa Tor
  • ID de víctima: identificador únic per a la negociació (pot coincidir amb artefactes en memòria o comunicacions C2)
  • Instruccions de pagament: permet identificar la família i variant del ransomware
  • Termini: permet datar aproximadament el moment de l'atac

Miniactivitat

Cerca a la base de dades ID Ransomware (id-ransomware.malwarehunterteam.com) la nota de rescat de WannaCry. Identifica: (1) la família confirmada, (2) si existeix una eina de desxifrat gratuïta disponible, i (3) quins artefactes forenses s'associen a aquesta família.


Artefactes al registre de Windows

El registre de Windows és un dels llocs on els ransomwares deixen més evidències. L'analista ha de revisar sistemàticament les claus relacionades amb la persistència, la configuració i les accions del malware.

Persistència

Els ransomwares estableixen mecanismes de persistència per assegurar-se que s'executen a l'inici del sistema, especialment si la màquina es reinicia durant el procés de xifratge.

Claus de registre més habituals per a la persistència:

# Autoinici per a l'usuari actual
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

# Autoinici per a tots els usuaris (requereix privilegis d'administrador)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

# Serveis del sistema (ransomware avançat pot instal·lar-se com a servei)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[nom_servei]
# Exportació de claus de persistència per a anàlisi (en un sistema Windows)
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run_hklm.reg
reg export "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" run_hkcu.reg

# En anàlisi forense offline (muntant el registre d'un sistema infectat amb regripper o regipy)
# Eines com RegRipper permeten extreure artefactes de registre de fitxers NTUSER.DAT, SOFTWARE, SYSTEM

Claus de configuració del ransomware

Alguns ransomwares emmagatzemen informació de configuració (ID de víctima, clau pública de xifratge, estat del procés) al registre:

# Exemple: claus creades per LockBit
HKEY_CURRENT_USER\Software\[nom_aleatori]
HKEY_LOCAL_MACHINE\SOFTWARE\[identificador]

# Exemple: WannaCry emmagatzema informació de procés a:
HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r

Miniactivitat

Utilitza l'eina RegShot en una VM de laboratori. Fes un primer shot de l'estat del registre, executa una aplicació legítima com ara el Bloc de notes, fes un segon shot i analitza les diferències. Comprèn quines claus es creen en una execució normal. Aquesta és la mateixa metodologia que s'aplica quan s'analitza malware en un sandbox, però amb l'objectiu d'identificar les claus creades pel programari maliciós.


Eliminació de còpies de seguretat (VSS)

Una de les accions més característiques i destructives del ransomware modern és l'eliminació de les còpies shadow de volum (Volume Shadow Copies, VSS) de Windows. Aquestes còpies permeten restaurar fitxers a versions anteriors sense necessitat de backups externs, i els ransomwares les eliminen per impedir la recuperació gratuïta de les dades.

Des del punt de vista forense, la presència de comandes VSS en els logs d'esdeveniments és un dels indicadors més fiables d'un atac de ransomware.

Comandes habituals que executa el ransomware per eliminar les VSS:

# Forma clàssica (WannaCry, Ryuk, molts altres)
vssadmin.exe delete shadows /all /quiet

# Forma amb PowerShell (evasió de restriccions)
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Forma alternativa amb wmic
wmic shadowcopy delete

# Desactivació de la recuperació de Windows
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no

# Eliminar punts de restauració del sistema
wbadmin delete catalog -quiet

Impacte forense de l'eliminació de VSS

L'eliminació de les còpies VSS no sols impedeix la recuperació dels fitxers xifrats, sinó que també pot destruir artefactes forenses valuosos emmagatzemats en les còpies anteriors: registres d'esdeveniments, prefetch, fitxers temporals, etc. Si es detecta eliminació VSS en els logs, cal documentar-ho explícitament a l'informe pericial com a acció deliberada per dificultar la investigació.

Localització de l'evidència als registres d'esdeveniments de Windows:

# Log on apareix l'execució de vssadmin
Windows Event Log: Security (EventID 4688 - Process Creation)
Windows Event Log: System (EventID 7045 - Service Install, si el ransomware s'instal·la com a servei)
Sysmon EventID 1 (Process Create) - si Sysmon estava actiu

# Exemple de cerca amb PowerShell en un sistema viu
Get-WinEvent -LogName Security | Where-Object {$_.Message -like "*vssadmin*"}

Anàlisi del tràfic de xarxa

El ransomware modern quasi sempre es comunica amb servidors de comandament i control (C2) per:

  • Transmetre la clau de xifratge generada localment (per impedir la recuperació sense pagar)
  • Rebre instruccions sobre quins fitxers xifrar
  • Confirmar l'èxit de l'atac
  • En el model de doble extorsió: exfiltrar dades prèviament
sequenceDiagram
    participant V as Víctima (sistema infectat)
    participant C as Servidor C2 (Tor/.onion)
    participant D as Servidor DNS

    V->>D: Resolució DNS de domini C2
    D-->>V: Resposta (IP del C2 o domini .onion)
    V->>C: Petició inicial: enviament d'ID víctima + clau pública
    C-->>V: Confirmació + clau de xifratge específica per a la víctima
    Note over V: Inici del procés de xifratge
    V->>C: Beacon periòdic: estadística de progrés
    V->>C: Notificació: xifratge completat

IoC de xarxa a buscar

En l'anàlisi de captures de xarxa (PCAP) o en els logs del firewall:

# Cerca de connexions a ports Tor (9001, 9030 habituals per a relays)
grep -E ":9001|:9030" firewall_logs.txt

# Cerca de dominis .onion en consultes DNS (indici de Tor o I2P)
grep -i "\.onion" dns_logs.txt

# Cerca de patrons de beacon (peticions regulars i periòdiques al mateix destí)
# Agrupar per IP destí i comptar ocurrències
awk '{print $9}' access.log | sort | uniq -c | sort -rn | head -20

# Analitzar una captura PCAP amb tshark
tshark -r captura.pcap -T fields -e ip.dst -e dns.qry.name | sort | uniq -c | sort -rn

Miniactivitat

Cerca el hash SHA-256 de WannaCry (ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa) a VirusTotal. Revisa la pestanya "Behavior" i anota: (1) quines claus de registre modifica, (2) quins processos llança, (3) a quins dominis intenta connectar-se. Això simula l'anàlisi de IoC que faria un analista forense en investigar una infecció.


Casos reals: aprenentatge forense

WannaCry (2017) — La vulnerabilitat EternalBlue

Data: 12 de maig de 2017 Impacte: +200.000 sistemes en 150 països, ~4.000 milions de dòlars de danys estimats

L'anàlisi forense de WannaCry va revelar una arquitectura inusual per a un ransomware:

  1. Vector d'entrada: Explotació de MS17-010 (EternalBlue) en SMBv1 sense interacció de l'usuari — propagació de cuc.
  2. Estructura de dos components: Un droppper/cuc i el ransomware pròpiament dit (component separat).
  3. Kill switch: WannaCry comprovava si el domini www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com era resoluble. Si ho era, s'aturava. Marcus Hutchins va registrar aquest domini i va aturar la propagació global.
  4. Xifratge dèbil: Usava RSA-2048 per protegir la clau AES-128. Posteriorment es va descobrir que en sistemes Windows XP, els nombres primers necessaris per a RSA es mantenien en memòria i podien recuperar-se amb eines com WanaKiwi, permetent desxifrar sense pagar.
  5. Artefactes: Crea un directori C:\ProgramData\[aleatori]\ amb múltiples fitxers executables i DLLs. Fitxer taskche.exe com a component de xifratge.

NotPetya (2017) — Destrucció disfressada de ransomware

Data: 27 de juny de 2017 Impacte: +10.000 milions de dòlars. Afecta Maersk, Merck, FedEx, i Ucrania massivament.

L'anàlisi forense va demostrar que NotPetya no era un ransomware real, sinó un wiper (destructor de dades) dissenyat per semblar-ho:

  1. Vector d'entrada: Actualització maliciosa del software de comptabilitat ucraïnès MeDoc (atac a la cadena de subministrament).
  2. Sobrescriptura del MBR: A diferència de WannaCry, NotPetya sobreescrivia el Master Boot Record del disc, fent el sistema completament inoperatiu.
  3. Clau irrecuperable: La clau de desxifrat generada mai s'enviava al servidor C2 — era impossible recuperar les dades fins i tot pagant.
  4. Moviment lateral: Usava EternalBlue + Mimikatz (extracció de credencials de memòria LSASS) per propagar-se lateralment per la xarxa corporativa.

Lliçó forense de NotPetya

La classificació correcta d'un incident com a "ransomware" o "wiper" té implicacions legals i d'assegurança molt importants. NotPetya va ser classificat inicialment com a ransomware, però l'anàlisi forense posterior va demostrar que era un acte de guerra cibernètica atribuït a l'APT Sandworm (Rússia). Diverses asseguradores van intentar no cobrir els danys al·legant que era un "acte de guerra", generant litigis milionaris. La qualitat de l'informe forense va ser decisiva en aquests procediments.

LockBit 3.0 (2022-present) — Ransomware-as-a-Service

LockBit representa l'evolució moderna del ransomware: un model de negoci criminal com a servei (RaaS) on els desenvolupadors del ransomware el "llogen" a afiliats que s'encarreguen de les infeccions.

Artefactes forenses característics de LockBit 3.0: - Desactiva Windows Defender via PowerShell i modifica les claus de registre de protecció en temps real - Crea un procés de servei enmascat amb noms legítims de Windows - Utilitza tècnica de process hollowing per injectar codi en processos legítims - Xifra amb AES-128 + RSA-2048; afegeix una extensió aleatòria única per víctima - Canvia el fons d'escriptori amb la nota de rescat


Metodologia forense aplicada: els 5 passos

Quan arriba una mostra de ransomware o s'analitza un sistema post-infecció, la metodologia recomanada és:

flowchart TD
    A["1. Identificació i contenció\n──────────────────\nAïllar el sistema de la xarxa\nDocumentar l'estat inicial\nRecollir la RAM (si el sistema és actiu)"] --> B["2. Adquisició d'evidències\n──────────────────\nImatge forense del disc\nExportació de logs d'esdeveniments\nCaptura de tràfic de xarxa existent"]
    B --> C["3. Anàlisi estàtica\n──────────────────\nIdentificar la mostra de malware\nExtreure strings i IoC\nIdentificar la família"]
    C --> D["4. Anàlisi dinàmica (sandbox)\n──────────────────\nExecutar en entorn aïllat\nMonitoritzar canvis: registre, fitxers, xarxa\nDocumentar tot el comportament observat"]
    D --> E["5. Documentació i IoC\n──────────────────\nElaborar informe tècnic\nLlistar tots els artefactes\nPublicar IoC per a protecció d'altres sistemes"]

Llista de verificació forense per a incidents de ransomware

Quan s'analitza un sistema afectat per ransomware, cal revisar sistemàticament:

Sistema de fitxers: - [ ] Extensió afegida als fitxers xifrats - [ ] Nota de rescat (nom, contingut, ubicació) - [ ] Binari del ransomware (ruta, hash SHA-256) - [ ] Fitxers temporals creats (%TEMP%, %APPDATA%) - [ ] Fitxers de log propis del malware

Registre de Windows: - [ ] Claus de persistència (Run, RunOnce, serveis) - [ ] Claus de configuració del malware - [ ] Modificacions a claus de seguretat (desactivació de Defender)

Logs d'esdeveniments: - [ ] EventID 4688 (creació de processos): vssadmin, bcdedit, wbadmin, powershell - [ ] EventID 7045 (instal·lació de nous serveis) - [ ] EventID 4624/4625 (inicis de sessió, especialment via RDP) - [ ] EventID 4776 (validació de credencials, possibles atacs de força bruta)

Xarxa: - [ ] Connexions a IPs o dominis desconeguts - [ ] Consultes DNS inusuals (dominis .onion, DGA) - [ ] Transferències de dades sortints grans (exfiltració) - [ ] Escaneigs de ports SMB/RDP interns (propagació lateral)


Exercici pràctic: Anàlisi forense d'una mostra de ransomware simulada

Avís de seguretat

Aquest exercici utilitza eines d'anàlisi forense sobre mostres segures o simulades. Mai s'ha d'executar codi de ransomware real fora d'un entorn d'anàlisi completament aïllat (VM sense connexió de xarxa real, snapshots actives, sense carpetes compartides amb el host).

Objectius

  • Identificar artefactes estàtics d'un binari maliciós
  • Extreure indicadors de compromís (IoC) usant strings i PEStudio
  • Simular l'anàlisi de canvis al sistema post-infecció
  • Elaborar un mini-informe forense amb els troballes

Part 1: Anàlisi estàtica amb strings

Treballa sobre un arxiu de mostra de malware obtingut de MalwareBazaar (repositori segur per a investigadors):

# 1. Descarregar una mostra de MalwareBazaar (necessita compte gratuït)
# Les mostres estan en ZIP xifrat amb contrasenya "infected"

# 2. Calcular hash per verificar autenticitat
sha256sum mostra.exe

# 3. Extreure strings per analitzar
strings -n 8 mostra.exe > strings_output.txt

# 4. Filtrar per patrons d'interès forense
grep -iE "HKEY|SOFTWARE|Run" strings_output.txt         # Claus de registre
grep -iE "vssadmin|bcdedit|wbadmin" strings_output.txt  # Eliminació de VSS
grep -iE "\.(onion|bit)" strings_output.txt              # Dominis C2
grep -iE "http[s]?://" strings_output.txt                # URLs
grep -iE "bitcoin|monero|wallet" strings_output.txt      # Criptomonedes

# 5. Identificar si està empaquetat (binari comprimit/xifrat)
# Un binari empaquetat tindrà molt poques strings significatives
wc -l strings_output.txt

Part 2: Anàlisi amb RegShot (Windows VM aïllada)

1. Instal·la RegShot en una VM Windows aïllada (sense xarxa)
2. Fes el primer shot (estat inicial del registre)
3. Executa el programa sospitós (en un entorn COMPLETAMENT aïllat)
4. Espera 30-60 segons
5. Fes el segon shot
6. Compara els dos shots
7. Documenta totes les claus de registre noves o modificades

Part 3: Cerca d'IoC a VirusTotal

1. Busca el hash SHA-256 de la mostra a VirusTotal
2. Accedeix a la pestanya "Details" → anota el compilador, la data de compilació
3. Accedeix a "Relations" → llistat de dominis i IPs contactats
4. Accedeix a "Behavior" (Sandbox reports) → anota:
   - Fitxers creats/modificats/eliminats
   - Claus de registre modificades
   - Processos llançats
   - Connexions de xarxa
5. Accedeix a "Community" → comentaris d'investigadors sobre la família

Lliurament: mini-informe forense

Elabora un document de 2-3 pàgines amb la següent estructura:

  1. Identificació de la mostra: hash SHA-256, nom de fitxer, mida, data d'anàlisi
  2. Família de malware identificada: nom, varinat, fonts de la identificació
  3. Artefactes en sistema de fitxers: fitxers creats, extensió de xifratge, nota de rescat
  4. Artefactes al registre de Windows: claus creades o modificades
  5. IoC de xarxa: IPs, dominis, ports, protocols
  6. Recomanacions de detecció: regles YARA o signatures per detectar la mostra
  7. Conclusions: impacte estimat, recomanacions de contenció

Recursos complementaris

  • MalwareBazaar (bazaar.abuse.ch): repositori de mostres de malware per a investigadors
  • ID Ransomware (id-ransomware.malwarehunterteam.com): identificació de famílies per nota de rescat o extensió
  • VirusTotal (virustotal.com): anàlisi multi-motor i comportament en sandbox
  • Any.Run (any.run): sandbox interactiva al núvol per a anàlisi dinàmica
  • Ghidra (ghidra-sre.org): eina de reverse engineering del NSA, codi obert
  • The DFIR Report (thedfirreport.com): informes forenses detallats d'incidents reals
  • MITRE ATT&CK (attack.mitre.org): marc de tàctiques i tècniques d'atac, inclou ransomware