Investigation: Cargar archivos para escaneo de malware

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by Susan Ewald on Feb 28, 2017
Version 2Show Document
  • View in full screen mode
  

Existen dos métodos para que los analistas carguen archivos para su escaneo en Malware Analysis.

Un analista de malware con permiso para Iniciar escaneo de Malware Analysis puede cargar archivos para escanear mediante la opción Escanear archivos del cuadro de diálogo Seleccionar un servicio Malware Analysis.

También es posible cargar un archivo para su escaneo mediante un recurso compartido de archivos inspeccionados.

Cargar archivos manualmente

En este tema se proporcionan instrucciones para iniciar un escaneo por demanda de un archivo cargado. Cuando se carga un archivo para su escaneo, Security Analytics inicia el trabajo de carga y lo agrega a la línea de espera de trabajos. Cuando el trabajo ha finalizado, puede ver el escaneo en la pestaña Investigation > Malware Analysis.

Para cargar un archivo para escanear:

  1. En el menú de Security Analytics, seleccione Investigation > Malware Analysis.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis con hosts y servicios de Malware Analysis disponibles para el usuario actual en el panel de la izquierda.
    MWASnJbLst.png
  2. Haga clic en Ver escaneo.
    Aparece el dashlet Escanear para encontrar malware.
    ScanMw.png
  3. Haga clic en ic-add.png
    Se muestra una vista del sistema de archivos que permite elegir los archivos que se cargarán.
  4. Seleccione uno o más archivos de la lista y haga clic en Abrir.
    Se agregan los nombres de archivo.
  5. Continúe agregando y eliminando archivos hasta que tenga una lista de los archivos que desea cargar.
  6. Nombre el escaneo y seleccione los tipos de archivos que desea omitir. Esto es útil para un archivo .zip que contenga tipos de archivos diferentes y sobrescribe la configuración de omisión predeterminada.
  7. Haga clic en Escanear.
    El trabajo de escaneo se envía y Security Analytics muestra un mensaje de confirmación que indica que el envío se realizó correctamente. La solicitud de escaneo se agrega al dashlet Lista de trabajos de escaneo. La configuración de omisión en este cuadro de diálogo reemplaza a la configuración predeterminada definida en los ajustes de configuración básicos de Malware Analysis.
  8. El trabajo se agrega a la Lista de trabajos de escaneo del cuadro de diálogo Seleccionar un servicio Malware Analysis y del dashlet Lista de trabajos de escaneo del tablero Unified.
    MwaFileScanJobList.png
  9. Para ver el escaneo cuando finalice, haga doble clic en el escaneo.
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.

Cargar archivos desde una carpeta inspeccionada

Para cargar archivos desde una carpeta inspeccionada, puede soltarlos en un recurso compartido de archivo inspeccionado para Malware Analysis. Los analistas pueden compartir reglas YARA, archivos de hash y archivos zip infectados con Malware Analysis.

Security Analytics Malware Analysis inspecciona un recurso compartido de archivo y consume automáticamente los archivos que se colocan en carpetas específicas de dicho recurso compartido. Esta función es útil para:

  • La importación en masa de archivos de hash desde /var/lib/rsamalware/spectrum/hashWatch.
  • La adición de reglas YARA personalizadas a la lista de indicadores de riesgo (IOC) en el host desde /var/lib/rsamalware/spectrum/yara/watch.
  • La creación de trabajos de escaneo según demanda a partir de un archivo Zip de archivos Zip infectados desde /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Los analistas deben preparar los archivos para el consumo de acuerdo con los requisitos, la extensión del archivo debe estar correcta y el archivo debe copiarse a la carpeta inspeccionada correcta en el recurso compartido de archivo.

Importar una lista de hash

Para importar una lista de hash desde el directorio inspeccionado, la lista debe tener el formato especificado y estar clasificada por md5. Puede soltar un archivo con formato en una carpeta (/var/lib/rsamalware/spectrum/hashWatch) del host de Malware Analysis y se importará automáticamente a la base de datos de hash local. Esto se describe en “Configurar el filtro de hash” en la Guía de configuración de Malware Analysis.

Para importar una lista de hash mediante el método de carpeta inspeccionada:

  1. Copie las listas de hash que desea importar al directorio /var/lib/rsamalware/spectrum/hashWatch.
    Security Analytics Malware Analysis inspecciona automáticamente esta carpeta y procesa los archivos que contiene.
    1. Security Analytics Malware Analysis agrega cada hash encontrado en las listas de hash al filtro de hash.
    2. Si se producen errores de procesamiento, estos se registran en: /var/lib/rsamalware/spectrum/hashWatch/error
    3. Los archivos procesados se catalogan aquí: /var/lib/rsamalware/spectrum/hashWatch/processed
    4. Los archivos procesados no se eliminan del directorio hashWatch.
  2. Después de importar hashes de forma masiva, el administrador del sistema puede usar un cronjob para limpiar archivos procesados antiguos.

Importar reglas YARA a la lista de IOC

Los clientes con habilidades y conocimientos avanzados pueden agregar funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live o la colocación de estas reglas en una carpeta inspeccionada para consumo del host. En Implementar contenido personalizado de YARA se proporciona información completa sobre los requisitos previos para el uso de contenido personalizado de YARA y la creación de reglas.

Cuando las reglas estén listas, coloque los archivos de YARA personalizados en la carpeta que inspecciona el servicio Malware Analysis:
/var/lib/rsamalware/spectrum/yara/watch
El archivo se consume en un minuto.
Cuando se consume, Security Analytics lo transfiere a la carpeta processed y la nueva regla se agrega a la vista Configuración del servicio Malware Analysis > pestaña Indicadores de riesgo.

YARA-IOC.png

Importar archivos a la Lista de trabajos de escaneo

Cuando obtiene muestras de soluciones de seguridad perimetral y desea realizar un análisis adicional de los archivos, puede comprimirlos y proteger el archivo con infected y, a continuación, agregarlo a la carpeta inspeccionada para que Malware Analysis lo consuma. Este archivo comprimido se puede colocar en la carpeta inspeccionada: /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Nota: El tamaño máximo del archivo es 100 MB.

Para analizar archivos zip protegidos con contraseña que están infectados, Malware Analysis consume los archivos que se colocan en una carpeta inspeccionada y crea un trabajo según demanda que se agrega a la Lista de trabajos de escaneo.

  1. Cuando haya iniciado sesión como administrador, coloque los archivos que se procesarán en un archivo zip con la contraseña infected en /var/lib/rsamalware/spectrum/infectedZipWatch/watch
    En uno o dos minutos, Malware Analysis consumirá el archivo y creará un trabajo según demanda en la Lista de trabajos de escaneo. El nombre del trabajo de escaneo es el nombre del archivo, el usuario es file share, y el tipo de evento es 1. El archivo se transfiere a /var/lib/rsamalware/spectrum/infectedZipWatch/processed
    104MWAFileSharejob.png
  2. Cuando el trabajo se haya agregado a la Lista de trabajos de escaneo, ejecute un script o un cronjob para limpiar el archivo Zip en /var/lib/rsamalware/spectrum/infectedZipWatch/processed.
You are here
Table of Contents > Realizar un análisis de malware > Cargar archivos para escaneo de malware

Attachments

    Outcomes