Investigate: Cargar archivos para escaneo de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Existen dos métodos para que los analistas carguen archivos para su escaneo en Malware Analysis.

Un analista de malware con permiso para Iniciar escaneo de Malware Analysis puede cargar archivos para escanear mediante la opción Escanear archivos del cuadro de diálogo Seleccionar un servicio Malware Analysis.

También es posible cargar un archivo para su escaneo mediante un recurso compartido de archivos inspeccionados.

Cargar archivos manualmente

En este tema se proporcionan instrucciones para iniciar un escaneo por demanda de un archivo cargado. Al cargar un archivo para escanear, NetWitness Suite inicia el trabajo de carga y lo agrega a la línea de espera de trabajos. Cuando el trabajo ha finalizado, puede ver el escaneo en Malware Analysis.

Para cargar un archivo para escanear:

  1. Vaya a INVESTIGATE > Malware Analysis.
    Se muestra el cuadro de diálogo Seleccionar un servicio Malware Analysis con hosts y servicios de Malware Analysis disponibles para el usuario actual en el panel de la izquierda.
    Select a Malware Analysis Service dialog
  2. Haga clic en Ver escaneo.
    Se muestra el cuadro de diálogo Escanear para encontrar malware.
    Scan for Malware dialog
  3. Haga clic en the add icon
    Se muestra una vista del sistema de archivos que permite elegir los archivos que cargará.
  4. Seleccione uno o más archivos de la lista y haga clic en Abrir.
    Se agregan los nombres de archivo. Malware Analysis agrega un carácter de escape a los caracteres del nombre de archivo antes de procesar un archivo. La cantidad máxima de caracteres del nombre de archivo después del carácter de escape es 200. Si el nombre de archivo tiene más de 200 caracteres, Malware Analysis trunca caracteres del nombre de archivo y muestra el nombre de archivo truncado en la interfaz del usuario de NetWitness Suite.
  5. Continúe agregando y eliminando archivos hasta que tenga una lista de los archivos que desea cargar.
  6. Nombre el escaneo y seleccione los tipos de archivos que desea omitir. Esto es útil para un archivo .zip que contenga tipos de archivos diferentes y sobrescribe la configuración de omisión predeterminada.
  7. Haga clic en Escanear.
    El trabajo de escaneo se envía y NetWitness Suite muestra un mensaje de confirmación que indica que el envío se realizó correctamente. La solicitud de escaneo se agrega al dashlet Lista de trabajos de escaneo. La configuración de omisión en este cuadro de diálogo reemplaza a la configuración predeterminada definida en los ajustes de configuración básicos de Malware Analysis.
  8. El trabajo se agrega a la Lista de trabajos de escaneo del cuadro de diálogo Seleccionar un servicio Malware Analysis y del dashlet Lista de trabajos de escaneo del tablero Unified.
  9. Para ver el escaneo cuando finalice, haga doble clic en él.
    Se muestra el Resumen de eventos de malware del escaneo seleccionado.

Cargar archivos desde una carpeta inspeccionada

Para cargar archivos desde una carpeta inspeccionada, puede soltarlos en un recurso compartido de archivo inspeccionado para Malware Analysis. Los analistas pueden compartir reglas YARA, archivos de hash y archivos zip infectados con Malware Analysis.

Malware Analysis inspecciona un recurso compartido de archivo y consume automáticamente los archivos que se colocan en carpetas específicas de dicho recurso compartido. Esta función es útil para:

  • La importación en masa de archivos de hash desde /var/lib/rsamalware/spectrum/hashWatch.
  • La adición de reglas YARA personalizadas a la lista de indicadores de riesgo (IOC) en el host desde /var/lib/rsamalware/spectrum/yara/watch.
  • La creación de trabajos de escaneo según demanda a partir de un archivo Zip de archivos Zip infectados desde /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Los analistas deben preparar los archivos para el consumo de acuerdo con los requisitos, la extensión del archivo debe estar correcta y el archivo debe copiarse a la carpeta inspeccionada correcta en el recurso compartido de archivo.

Importar una lista de hash

Para importar una lista de hash desde el directorio inspeccionado, la lista debe tener el formato especificado y estar clasificada por md5. Puede soltar un archivo con formato en una carpeta (/var/lib/rsamalware/spectrum/hashWatch) del host de Malware Analysis y se importará automáticamente a la base de datos de hash local. Esto se describe en “Configurar el filtro de hash” en la Guía de configuración de Malware Analysis.

Para importar una lista de hash mediante el método de carpeta inspeccionada:

  1. Copie las listas de hash que desea importar en el directorio /var/lib/rsamalware/spectrum/hashWatch .
    NetWitness Suite Malware Analysis inspecciona automáticamente esta carpeta y procesa los archivos que contiene.
    1. Malware Analysis agrega cada hash encontrado en las listas de hash al filtro de hash.
    2. Si se producen errores de procesamiento, se registran en: /var/lib/rsamalware/spectrum/hashWatch/error
    3. Los archivos procesados se catalogan aquí: /var/lib/rsamalware/spectrum/hashWatch/processed
    4. Los archivos procesados no se eliminan del directorio hashWatch.
  2. Después de importar hashes de forma masiva, el administrador del sistema puede usar un cronjob para limpiar archivos procesados antiguos.

Importar reglas YARA a la lista de IOC

Los clientes con habilidades y conocimientos avanzados pueden agregar funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live o la colocación de estas reglas en una carpeta inspeccionada para consumo del host. En Implementar contenido personalizado de YARAse proporciona información completa sobre los requisitos previos para el uso de contenido personalizado de YARA y reglas de autoría.

Cuando las reglas estén listas, coloque los archivos de YARA personalizados en la carpeta que inspecciona el servicio Malware Analysis:
/var/lib/rsamalware/spectrum/yara/watch
El archivo se consume en un minuto.
Cuando se consume, NetWitness Suite lo transfiere a la carpeta processed y la nueva regla se agrega a la vista Configuración de servicios > pestaña Indicadores de riesgo de Malware Analysis.

YARA-IOC.png

Importar archivos a la Lista de trabajos de escaneo

Cuando obtiene muestras de soluciones de seguridad perimetral y desea realizar un análisis adicional de los archivos, puede comprimirlos y proteger el archivo con infected y, a continuación, agregarlo a la carpeta inspeccionada para que Malware Analysis lo consuma. Este archivo comprimido se puede colocar en la carpeta inspeccionada: /var/lib/rsamalware/spectrum/infectedZipWatch/watch.

Note: El tamaño máximo del archivo es 100 MB.

Para analizar archivos zip protegidos con contraseña que están infectados, Malware Analysis consume los archivos que se colocan en una carpeta inspeccionada y crea un trabajo según demanda que se agrega a la Lista de trabajos de escaneo.

  1. Cuando haya iniciado sesión como administrador, coloque los archivos que se procesarán en un archivo zip con la contraseña infected en /var/lib/rsamalware/spectrum/infectedZipWatch/watch
    En uno o dos minutos, Malware Analysis consumirá el archivo y creará un trabajo según demanda en la Lista de trabajos de escaneo. El nombre del trabajo de escaneo es el nombre del archivo, el usuario es file share, y el tipo de evento es 1. El archivo se transfiere a /var/lib/rsamalware/spectrum/infectedZipWatch/processed
  2. Cuando el trabajo se haya agregado a la Lista de trabajos de escaneo, ejecute un script o un cronjob para limpiar el archivo Zip en /var/lib/rsamalware/spectrum/infectedZipWatch/processed.
You are here
Table of Contents > Realización de un análisis de malware > Cargar archivos para escaneo de Malware Analysis

Attachments

    Outcomes