Como analista de inteligencia sobre amenazas en una importante empresa de seguridad, usted desempeña un papel en la recopilación eficiente de información sobre amenazas potenciales. Durante su jornada laboral, un equipo de respuesta a incidentes le ha proporcionado un hash asociado con un instalador de software malicioso detectado en la red de su organización. Su tarea es analizar este hash para recopilar información valiosa sobre amenazas y mejorar las defensas de su organización.
Preguntas
1.- Para mitigar la amenaza de manera eficaz, es importante determinar el origen o la categoría de este malware. ¿Puede identificar a qué familia de malware está asociada esta muestra para comprender mejor sus comportamientos típicos y los riesgos asociados?
Para responder a esta pregunta utilizaré la herramienta VirusTotal.
2.- Es importante identificar la primera aparición pública del malware para rastrear eficazmente su historia y propagación. ¿Puede proporcionar la fecha y hora de presentación inicial de este malware en VirusTotal?
Nuevamente utilizaremos la herramienta Virustotal en el apartado "Details".
3.- Reconocer una técnica MITRE específica empleada por el malware ayuda a desarrollar estrategias de defensa específicas. ¿Cuál es el ID MITRE de la técnica utilizada por el malware para la recopilación de datos?
Otra vez más, utilizaremos la herramienta Virustotal en su apartado "Behavior".
4.- Conocer los nombres de los archivos ejecutables que descarga el malware ayuda a detectar y aislar las máquinas infectadas. ¿Cuál es el nombre del archivo ejecutable que descarga el malware?
En el apartado "Relations" podemos ver los archivos utilizados por el malware.
5.- Continuando con la pregunta anterior, ¿puedes identificar el nombre del segundo padre de ejecución observado en la red para el ejecutable descubierto?
Para responder a esta pregunta seguiremos utilizando la herramienta Virustotal. Pongan atención a los detalles de la imagen.
6.- Identificar los dominios utilizados en los ataques puede ayudar a bloquear futuras comunicaciones maliciosas y comprender la infraestructura del atacante. ¿Qué dominio utiliza el actor de amenazas para alojar el instalador de la aplicación ilegítima?
Ahora utilizaremos una herramienta adicional llamada "Threat Graph" perteneciente a VirusTotal. Para usar esta herramienta debemos crear una cuenta en Virustotal.
7.- Necesitamos identificar el vector de acceso que utiliza el malware para mitigarlo. ¿Qué controlador de protocolo utiliza el malware?
Para responder esta respuesta utilizaremos el apartado "Community" de VirusTotal.
8.- Descubrir al actor de amenazas asociado con este malware es fundamental para comprender sus tácticas, técnicas y procedimientos (TTP) y reforzar las defensas contra futuros ataques. ¿Puede proporcionar el nombre del actor de amenazas?
Esta respuesta se puede responder con la respuesta anterior. Un actor de amenaza o en inglés threat actor, en ciberseguridad se refiere a la persona, grupo u organización que tiene la intención de afectar o causar daños a los sistemas de información.
Happy Hack!!!
Comentarios
Publicar un comentario